www.hakin9.org

hakin9 Nr 5/2007

36

Obrona

O

chrona fizyczna jest najstarszą, ale
ciągle pewną metodą ochrony zaso-
bów materialnych i informacyjnych.

Jeżeli w organizacji nie wdrożono podstawo-
wych środków ochrony fizycznej, to nie można
mówić o jakimkolwiek bezpieczeństwie. Ochro-
na fizyczna stanowi pierwszą linię obrony insty-
tucji przed zagrożeniami.

Organizacje, które kładą nacisk na ochro-

nę teleinformatyczną zasobów IT, często nie
doceniają mechanizmów ochrony fizycznej.
Brak odpowiednich zabezpieczeń fizycznych
może nieść za sobą katastrofalne skutki, po-
cząwszy od kradzieży sprzętu, komputerowych
nośników informacji, po uszkodzenia wskutek
awarii zasilania lub systemu klimatyzacji. Brak
zasobów, ich uszkodzenie, czy też niedostęp-
ność może zakłócić ciągłość funkcjonowania
instytucji i realizowania przez nią zadań sta-
tutowych.

Projektując system ochrony fizycznej za-

sobów IT należy kierować się wymaganiami
biznesowymi, wymaganiami prawa i tzw. naj-
lepszymi praktykami w tym zakresie. Można
skorzystać z zaleceń zawartych w normie ISO
17799, a zwłaszcza w rozdziale Bezpieczeń-
stwo fizyczne i środowiskowe. Punktem wyjścia

do zbudowania skutecznego sytemu ochrony
fizycznej zasobów IT jest przeprowadzenie
analizy ryzyka. Poziom ochrony zasobów IT
(sprzętu komputerowego, sprzętu sieciowego
– urządzeń aktywnych, sprzętu telekomuni-
kacyjnego, okablowania, oprogramowania,
komputerowych nośników informacji, licencji
na oprogramowanie, dokumentacji technicznej,
systemów zasilania i klimatyzacji, personelu
IT, itp.) zależy od poziomu ryzyka związanego
z materializacją zagrożeń.

Skuteczny system ochrony fizycznej ma

uniemożliwić osobom nieuprawnionym dostęp
do elementów systemów i sieci teleinforma-

Ochrona fizyczna

zasobów IT

Andrzej Guzik

stopień trudności

Ochrona fizyczna jest najstarszą metodą ochrony zasobów

materialnych i informacyjnych. Stanowi ona pierwszą linię

obrony instytucji przed zagrożeniami. Zgodnie z normą ISO

17799 jej celem jest zapobieganie nieuprawnionemu dostępowi,

uszkodzeniom i ingerencji w pomieszczenia instytucji i jej

informacje.

Z artykułu dowiesz się

• jak dobrać zabezpieczenia czynne (osobowe)

i bierne (budowlano-mechaniczne i elektronicz-
ne) zasobów IT instytucji.

Powinieneś wiedzieć

• znać podstawy systemu zarządzania bezpie-

czeństwem informacji.

Ochrona fizyczna zasobów IT

hakin9 Nr 5/2007

www.hakin9.org

37

tycznych. Podstawową zasadą, ja-
ka musi być uwzględniona przy pro-
jektowaniu systemu kontroli dostę-
pu jest jasny i spójny podział obiektu
na strefy zabezpieczające. Popraw-
nie wyznaczone strefy dostępu (wła-
ściwie zlokalizowane), odpowiednio
zabezpieczone pomieszczenia oraz
skuteczna kontrola dostępu (kontro-
la wejść i wyjść oraz przebywania)
gwarantują realizację przyjętego w
organizacji poziomu bezpieczeństwa
zasobów IT. Strefy dostępu, w za-
leżności od sposobu ochrony, moż-
na podzielić na: strefy ogólnodostęp-
ne, strefy z ograniczonym dostępem,
strefy szczególnie chronione, strefy
zastrzeżone. Następnie należy każ-
dej ze stref przyporządkować odpo-
wiednią klasę środków ochrony. Doj-
ście do najbardziej chronionych stref
i pomieszczeń powinno przebiegać
przez więcej niż jeden punkt kontro-
li zależnie od ważności miejsca chro-
nionego. Eliminuje się wtedy możli-
wość przypadkowego ominięcia po-
jedynczego punktu kontroli. Nale-
ży również do minimum ograniczyć
ilość osób mających dostęp do klu-
czowych pomieszczeń.

Dla większej skuteczności syste-

mu kontroli dostępu wskazane jest
zainstalowanie centralnego syste-
mu kontroli dostępu, a nie pojedyn-
czych urządzeń (czytników sterują-
cych poszczególnymi bramkami, czy

też drzwiami) oraz specjalizowane
oprogramowanie do analizy zdarzeń
z narzędziami pozwalającymi wy-
chwycić nieautoryzowany dostęp do
kluczowych miejsc w organizacji.

Aby system ochrony fizycznej

spełniał swoje zadania, środki ochrony
(mechanizmy zabezpieczające) mu-
szą być kompleksowe, komplementar-
ne (wzajemnie się uzupełniać), racjo-
nalne (zaakceptowane przez użytkow-
ników) i efektywne (koszt zabezpie-
czeń nie może przekraczać wartości
chronionych zasobów) oraz obejmo-
wać wszystkie rodzaje zabezpieczeń,
począwszy od zabezpieczeń organi-

zacyjnych (często lekceważonych),
poprzez zabezpieczenia budowlane,
mechaniczne, elektroniczne, a skoń-
czywszy na ochronie fizycznej (czyn-
nej). Ważne jest wreszcie zagwaran-
towanie optymalnych warunków pracy
dla sprzętu elektronicznego – stąd za-
lecana jest instalacja klimatyzacji oraz
zapewnienie awaryjnego zasilania.

Przystępując do budowy sys-

temu ochrony fizycznej zasobów
IT powinniśmy odpowiedzieć sobie
na następujące pytania: Co chroni-
my? Przed czym chronimy? W jaki
sposób chronimy? Z jakim skutkiem
chronimy?

Rysunek 1.

Zarządzanie ryzykiem

Związki w zarządzaniu ryzykiem

Wykorzystują

chronią przed

zwiększają

zmniejszają

analiza

wskazuje

realizowane przez

zwiększają

zwiększają

narażają

posiadają

ZAGROŻENIA

PODATNOŚCI

ZASOBY

RYZYKA

ZABEZPIECZENIA

WYMAGANIA

W ZAKRESIE

OCHRONY

WARTOŚCI

(stąd potencjalnie

następstwa dla

działania instytucji)

Tabela 1.

Kategoria zagrożonej wartości, a wartości podlegające ochronie

Kategoria

zagrożonej

wartości

Wartości podlegające ochronie

Z1

mienie małej wartości, które można zastąpić

Z2

mienie średniej wartości, które można wymienić lub zastąpić
dokumenty lub przedmioty o wartości zabytkowej lub muzealnej, występujące w powtarzalnych eg-
zemplarzach lub które można odtworzyć
dokumenty stanowiące tajemnicę służbową

Z3

mienie dużej wartości
dokumenty lub przedmioty mające zabytkowa wartość, niepowtarzalne w kraju
dokumenty o dużej wartości, których uszkodzenie, zniszczenie lub kradzież jak również poznanie
może prowadzić do dużych szkód
życie ludzi związanych z wartościami wymienionymi w punktach a, b, c

Z4

mienie bardzo dużej wartości
przedmioty zabytkowe stanowiące dziedzictwo kultury światowej
dokumenty, których kradzież jak również poznanie lub przejrzenie przez osoby niepowołane może
zagrażać porządkowi społecznemu, osłabieniu obronności albo egzystencji państwa
życie wielu ludzi

hakin9 Nr 5/2007

www.hakin9.org

Obrona

38

Analiza ryzyka powinna obej-

mować analizę wartości zasobów
IT (chronimy tylko zasoby warto-
ściowe, słabo zabezpieczone, za-
grożone), analizę zagrożeń (powin-
niśmy brać pod uwagę tylko zagro-
żenia realne, a nie hipotetyczne),
analizę podatności (słabości zaso-
bów) oraz analizę aktualnego sta-
nu zabezpieczenia zasobów IT (za-
bezpieczenia organizacyjne i tech-
niczne). Następnie, na podstawie
wyników analizy ryzyka, powinni-
śmy dobrać zabezpieczenia tak,
aby zminimalizować ryzyko zwią-
zane z wykorzystaniem podatno-
ści przez zagrożenia. Ryzyko, któ-
re pozostaje po wprowadzeniu za-
bezpieczeń, nazywamy ryzykiem
szczątkowym.

Zaprojektowane zabezpiecze-

nia należy ująć w planie zabezpie-
czeń (planie ochrony zasobów IT)
oraz opracować harmonogram ich
wdrożenia. Polska norma, PN-93
E-08390/14 Systemy alarmowe
Wymagania ogólne Zasady sto-
sowania wyróżnia, ze względu na
stopień zagrożenia osób i wartość
szkód, cztery kategorie zagrożo-
nych wartości, od Z1 do Z4, odpo-

wiadające różnym poziomom ryzy-
ka występującym w dozorowanych
obiektach.

Do oceny skuteczności zabez-

pieczenia określonej kategorii za-
grożonej wartości norma ustala
trzy poziomu bezpieczeństwa (niż-
szy, normalny, wyższy) chronio-
nych zasobów i przyporządkowuje
im odpowiedniej klasy środki elek-
troniczne wspomagające ochronę
fizyczną, w postaci stosownej klasy
systemów alarmowych (systemów
sygnalizacji włamania i napadu), od
SA1 do SA4.

Do szacowania wartości wymier-

nej mienia (chronionych zasobów)
można posłużyć się wielokrotnością
współczynnika N, definiowanego ja-
ko średni roczny dochód pracownika
w pięciu podstawowych działach go-
spodarki (publikowany przez ZUS).

Na potrzeby niniejszego artykułu

przyjęto cztery poziomy ryzyka (ni-
skie, średnie, wysokie, bardzo wyso-
kie) i odpowiadające mu cztery kate-
gorie zagrożonej wartości (od Z1 do
Z4) oraz cztery klasy środków ochro-
ny: zabezpieczenia pierwszego typu
(BM1, E1, OF1), klasa – popularna,
zabezpieczenia drugiego typu (BM2,

E2, OF2), klasa – standardowa, za-
bezpieczenia trzeciego typu (BM3,
E3, OF3), klasa – certyfikowana i za-
bezpieczenia czwartego typu (BM4,
E4, OF4), klasa – specjalna.

Po dokonaniu klasyfikacji zaso-

bów IT można je przyporządkować
do określonej kategorii zagrożonej
wartości i w prosty sposób dobrać,
adekwatne do poziomu zagroże-
nia (poziomu ryzyka), stosowne za-
bezpieczenia, pierwszego, drugie-
go, trzeciego lub czwartego typu,
w postaci odpowiednich zabezpie-
czeń czynnych – osobowych (od
OF1 do OF4) i zabezpieczeń bier-
nych: budowlano-mechanicznych (od
BM1 do BM4) oraz elektronicznych
(od E1 do E4).

Środki ochrony fizycznej (czyn-

nej) obejmują: dozorców, portierów,
recepcjonistów, wartowników, patrole
interwencyjne, pracowników ochrony
fizycznej pierwszego i drugiego stop-
nia, SUFO (specjalizowane uzbrojo-
ne formacje ochronne), odpowiednio
do klasy środków ochrony (1, 2, 3
lub 4). Środki ochrony budowlano-
mechaniczne obejmują: ogrodzenia,
bramy, ściany, stropy, drzwi, okna,
szyby, zamki, kłódki, kraty, żaluzje,

Tabela 2.

Poziom bezpieczeństwa chronionych zasobów (obiektu), klasa systemu alarmowego, a kategoria

zagrożonej wartości

Kategoria

zagrożonej

wartości

Poziom bezpieczeństwa

niższy

normalny

wyższy

uzyskany przez system alarmowy klasy

Z1

nieokreślonej

SA1

SA2

Z2

SA1

SA2

SA3

Z3

SA2

SA3

SA4

Z4

SA3

SA4

SA4+(SA3+SA2)

Tabela 3.

Szacowanie wartości wymiernej mienia (chronionych zasobów)

Kategoria zagrożonej wartości

Szacowana wartość mienia

Z1

wartość ≤ 10 x N

Z2

10 x N < wartość ≤ 100 x N

Z3

100 x N < wartość ≤ 1000 x N

Z4

wartość > 1000 x N

Ochrona fizyczna zasobów IT

hakin9 Nr 5/2007

www.hakin9.org

39

rolety, kasety, sejfy, szafy metalowe
do przechowywania wartości, szafy
ognioodporne do przechowywania
komputerowych nośników informa-
cji, odpowiednio do klasy środków
ochrony (1, 2, 3 lub 4). Środki ochro-
ny elektronicznej obejmują: systemy
sygnalizacji włamania i napadu,
systemy kontroli dostępu, systemy
telewizji dozorowej, systemy sygnali-
zacji pożarowej, dźwiękowe systemy
ostrzegawcze, odpowiednio do klasy
środków ochrony (1, 2, 3 lub 4).

Projektując system ochrony fi-

zycznej nie należy zapominać o
ochronie przeciwpożarowej zaso-
bów IT. Powinno się zabezpieczyć
obiekt, lub co najmniej kluczowe po-
mieszczenia, czujkami systemu sy-
gnalizacji pożarowej oraz systemem
gaśniczym, np. serwerownie, cen-
trale telefoniczne, pomieszczenia,
w których przechowuje się kopie za-
pasowe danych, pomieszczenia, w
których zlokalizowano sprzęt tele-
komunikacyjny – urządzenia aktyw-
ne, szafy dystrybucyjne, urządze-
nia awaryjnego zasilania (centralny
UPS, agregat prądotwórczy). Ochro-
na przeciwpożarowa nie wchodzi w
skład ochrony fizycznej, regulują ją,
m.in. przepisy: Ustawy z dnia 24
sierpnia 1991 r. o ochronie przeciw-
pożarowej, Rozporządzenie MSWiA
z dnia 21 kwietnia 2006 r. w spra-

wie ochrony przeciwpożarowej bu-
dynków, innych obiektów budowla-
nych i terenów oraz Rozporządze-
nie MI z dnia 12 kwietnia 2002 r.
w sprawie warunków technicznych,
jakim powinny odpowiadać budynki
i ich usytuowanie.

Ważnym aspektem ochrony fi-

zycznej jest system przepustek (iden-
tyfikatorów) lub inny system upraw-
niający do wejścia, przebywania i wyj-
ścia ze stref dostępu, zasady przy-
znawania i odbierania uprawnień do
przebywania w strefach dostępu oraz
okresowa kontrola uprawnień. W ten
sposób możemy mieć pewność, że
uprawnienia dostępu w systemie ma-
ją tylko upoważnione osoby. Bardzo
przydatne są tu systemy telewizji do-
zorowej wraz z chronioną rejestracją
obrazu. Cyfrowe rejestratory obrazu
zapewniają długi czas nagrań i mogą
zostać użyte do celów dowodowych
w przypadku incydentu.

Należy również wdrożyć procedu-

ry organizacyjne obejmujące: eskorto-
wanie gości, zamykanie drzwi i okien
w pomieszczeniach, zarządzanie klu-
czami do pomieszczeń (szczelny sys-
tem przechowywania kluczy do po-
mieszczeń chronionych użytku bieżą-
cego i zapasowych), nadzór nad pra-
cą personelu pomocniczego, zwłasz-
cza sprzątaniem pomieszczeń i pra-
cą personelu serwisowego, przecho-
wywanie kopii zapasowych w zabez-
pieczonych pomieszczeniach (jak naj-
bardziej odległych w pionie i poziomie
od miejsc ich wytworzenia) w specjal-
nych szafach ognioodpornych, służą-
cych do przechowywania komputero-
wych nośników informacji, zapewnie-
nie aktualnej dokumentacji technicz-
nej (zasilania, okablowania, sprzętu,
oprogramowania, planów awaryjnych
i planów ciągłości działania).

Najsłabszym ogniwem każdego

systemu bezpieczeństwa jest czyn-
nik ludzki. Należy o nim pamiętać
już na etapie rekrutacji i zatrudnia-
nia personelu IT (należy zatrudniać
właściwych ludzi, sprawdzać ich
referencje z poprzednich miejsc pra-
cy, szkolić personel IT z procedur
bezpieczeństwa, ciągle podnosić
jego świadomość, rozdzielać kluczo-
we obowiązki pomiędzy dwóch pra-
cowników zgodnie z zasadą „dwóch
par oczu”).

Wszyscy pracownicy IT powinni

podpisać stosowne zobowiązania
o poufności, a z kluczowymi pracow-
nikami IT należy podpisać umowy
o zakazie konkurencji.

Reasumując, zaprojektowanie sku-

tecznego sytemu ochrony zasobów IT
wymaga zastosowania właściwej me-
todyki obejmującej następujące dzia-
łania:

• klasyfikacja zasobów IT (analiza

wartości zasobów),

• analiza zagrożeń,
• analiza podatności,
• analiza aktualnego stanu bezpie-

czeństwa,

• ustalenie wymaganego poziomu

ochrony zasobów IT,

• określenie kategorii zagrożonej

wartości,

• ustalenie klas środków ochrony,
• opracowanie planu zabezpieczeń

(planu ochrony zasobów IT),

• wdrożenie zabezpieczeń,
• monitorowanie zabezpieczeń,
• doskonalenie systemu zabezpie-

czeń.

Poddaję to pod rozwagę osobom od-
powiedzialnym za bezpieczeństwo
fizyczne zasobów IT w organiza-
cjach. l

O autorze

Andrzej Guzik – audytor systemów za-
rządzania jakością i bezpieczeństwem
informacji, specjalista w zakresie ochro-
ny informacji prawnie chronionych,
redaktor portalu http://www.ochronain-
formacji.pl.
Kontakt z autorem a.guzik@ochrona-
informacji.pl

Tabela 4.

Wymagana klasa środków ochrony, a kategoria zagrożonej wartości

Kategoria zagrożonej wartości

Wymagane klasy środków ochrony

Z1

BM1

E1

OF1

Z2

BM2

E2

OF2

Z3

BM3

E3

OF3

Z4

BM4

E4

OF4