Обеспечение физической безопасности и контроля физического доступа организации – важный аспект не только для снижения финансовых и материальных рисков, но и вероятности реализации угроз ИБ. Требования наличия хорошо выстроенной системы физической безопасности и контроля физического доступа определены в нормативных документах регулятора и строго контролируются. При отсутствии элементов такой системы вероятность преступных посягательств в отношении материальных ценностей организации многократно возрастает. В процессе совершения преступления (кражи) преступник может похитить носитель информации, сервер, системный блок АРМ пользователя или администратора, на которых содержится конфиденциальная информация.
Например, в 2015 году при краже имущества частной IT-компании в г. Кострома был похищен файловый сервер, стоимость которого составляла 409 тысяч рублей, но главное, что на данном сервере хранилась конфиденциальная информация, включая персональные данные. Данное преступление стало возможным только потому, что руководитель организации пренебрёг ограничением физического доступа, а именно установкой металлической двери в серверное помещение.
В этих условиях особое значение имеют государственные нормативы по обеспечению физической безопасности, например:
- Федеральный закон «О персональных данных» от 27.07.2006 N 152-ФЗ
- Приказ ФСТЭК № 21
- Федеральный закон «О коммерческой тайне» от 29.07.2004 N 98-ФЗ
- Федеральный закон «О безопасности» от 28.12.2010 N 390-ФЗ
- Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ
- Федеральный закон «О ведомственной охране» от 14.04.1999 N 77-ФЗ
- ПП № 456
- ISO/IEC 27002
- ГОСТ Р ИСО/МЭК 17799-2005
Именно для снижения финансовых, правовых, репутационных рисков, а также рисков ИБ необходим аудит физической безопасности.
