Монтаж оборудования
Физически оборудование будет защищено наилучшим образом в том случае, если организация сама создает новое оборудование или приобретает оборудование, которое может быть модифицировано при установке. Организация может спроектировать распределительные щиты, помещения для серверов и оптимальную схему коммуникаций и расширений, что упростит монтаж оборудования для информационного обслуживания. Даже если организация переживает пока не лучшие времена, в правилах безопасности должна быть предусмотрена установка такого оборудования.
Правила, регламентирующие монтаж оборудования, должны быть простыми и общедоступными. Во-первых, нужно изучить существующее оборудование. Где следует разместить компьютеры, серверы и коммуникационное оборудование? Это надо определить в неспецифических терминах. Например, рассмотрим формулировку правил компании, которая запускает большую вычислительную систему в крупном городе. Главный компьютер этой системы размещен на 10 этаже за несколькими надежно закрывающимися дверями, помещение имеет фальшпол, высокие потолки, лампы дневного света и два пожарных выхода. Эта компания могла бы иметь правила безопасности, предписания которых выражены следующими словами.
Помещение для компьютеров должно иметь достаточную площадь и быть расположено на любом этаже, кроме первого, с несколькими дверями и иметь несколько пожарных выходов.
Заметьте, что в этой формулировке не говорится о фальшполах, высоких потолках и освещении. Эти элементы, несмотря на их важность, можно назвать деталями реализации и описывать их в правилах безопасности вовсе не обязательно. Таким образом, если фальшпол больше не потребуется или появятся новые типы ламп, которые работают лучше старых, не нужно будет делать изменения в правилах.
Язык документов политики безопасности
Очень важно, каким языком написаны правила безопасности, не менее важно, чем при написании этой книги.
Язык, особенно языковой стиль, используемый при составлении формулировок правил, может сказать много о документе, а также о том, как в организации относятся к правилам информационной безопасности.
Можно допустить и ложное толкование документа. Если язык чересчур формален или многословен, то может возникнуть мнение, что правила написаны для них как бы свысока. Если же язык чересчур неформален, то служащие могут и не воспринять эти правила серьезно.Поэтому, здесь нужно искать золотую середину.
В этой книге представлены формулировки правил, написанные простым языком, но формальным стилем. Формулировки составлены без использования модных словечек или жаргона. Формальность связана с тенденцией использовать в формулировках правил повелительные безличные наклонения (в английском варианте слова "shall" и "shall not"). Те, кто работают с федеральным правительством, отметят, что этот стиль похож на стиль, который используется в заявках на : торгах (RFP — Request For Proposals) или в рабочих предписаниях (SOW — statement of work).
Стоит отметить, что в формулировке задается размер помещения без указания конкретных размеров. Выражением "помещения должны иметь достаточные размеры" правило предписывает, чтобы эти помещения для компьютеров были подходящими. Тонкость этого момента заключается в том, что требования этих правил будут гарантировать, что при проектировании новых площадей офиса будет достаточно серьезно учтено обеспечение необходимыми помещениями информационных систем.
Одним из вопросов, которые необходимо учесть при разработке правил монтажа оборудования, является доступность к резервным источникам электропитания и доступ к ресурсам, предоставляемым предприятиями коммунального хозяйства. Под резервными источниками электропитания подразумевается все,. начиная от энергетической компании, обеспечивающей электроэнергией от отдельных энергетических систем, до источников бесперебойного питания (UPS— uninterruptible power supply), которые снабжают компьютеры электроэнергией аккумуляторов, предоставляя администратору время для отключения систем и выполнения всех подготовительных для отключения питания операций. Сложности начинаются при разработке правил, в которые включены требования по электроэнергии.Правила должны отражать физические и экономические реалии, и в то же время определять, что необходимо делать, чтобы обезопасить бизнес-процесс. Например, банк может затребовать полное резервирование электрообеспечения систем, которые обеспечивают автоматическое функционирование банкоматов, но - ограниченное резервирование для систем, которые поддерживают работу этих банкоматов только в рабочее время. Правило могло бы быть следующим:
Компьютерное оборудование нужно размещать в помещениях, в которых имеется несколько дверей и пожарных выходов с полами жесткой конструкции, и в которых предусмотрен доступ к резервным источникам электропитания.