Keď sa povie kybernetická bezpečnosť, väčšina ľudí si predstaví firewally, heslá alebo hackerské útoky. V skutočnosti však mnoho bezpečnostných incidentov nezačína v digitálnom priestore, ale úplne obyčajne – fyzickým prístupom k zariadeniam, priestorom alebo dokumentom. Práve preto je riadenie fyzickej bezpečnosti jedným zo základných pilierov ochrany informačných systémov verejnej správy.

Prečo je fyzická bezpečnosť kľúčová

Server bez dozoru, otvorené pracovisko administrátora, voľne položené dokumenty alebo nezabezpečený vstup do budovy môžu mať rovnaké následky ako kybernetický útok. Fyzická bezpečnosť chráni to, na čom digitálne služby stoja – techniku, dáta aj ľudí, ktorí s nimi pracujú.

MIRRI SR preto v rámci Reformy – štandardizácia pripravilo Metodiku fyzickej bezpečnosti a bezpečnosti prostredia, ktorá pomáha organizáciám verejnej správy nastaviť ochranu systematicky, primerane rizikám a v súlade s platnou legislatívou.

Metodika, ktorá dáva fyzickej bezpečnosti jasný rámec

Metodika vychádza z:

• zákona o ITVS,
• zákona o kybernetickej bezpečnosti,
• príslušných vyhlášok.

Jej cieľom nie je komplikovať život, ale:

• zjednotiť prístup k fyzickej bezpečnosti,
• znížiť riziko neoprávneného prístupu,
• ochrániť informačné aktíva,
• a pomôcť organizáciám predchádzať incidentom.

Metodika má odporúčací charakter – každá organizácia si ju môže a má prispôsobiť svojim podmienkam, veľkosti a rizikovému profilu.

Čo všetko fyzická bezpečnosť zahŕňa

Metodika sa venuje fyzickej bezpečnosti komplexne a prakticky. Pokrýva napríklad:

Ochranu priestorov a pracovísk

• pravidlá pre zabezpečené priestory,
• zásady práce v chránených zónach,
• fyzické zabezpečenie pracovísk administrátorov a dátových centier.

Riadenie prístupov

• kľúčový režim,
• kartové a čipové prístupy,
• postupy pri strate kľúčov alebo kariet,
• jasné pravidlá prideľovania a odoberania prístupov.

Kamerové systémy a alarmy

• správne nastavenie,
• evidencia,
• kontrola a údržba,
• súlad s právnymi predpismi.

Ochranu technických zariadení a komponentov

• evidencia hardvéru,
• bezpečný presun zariadení,
• ochrana pred krádežou, poškodením či výpadkom,
• zohľadnenie vplyvu prostredia (požiar, voda, teplota).

Bezpečnosť nie je len technika, ale aj ľudia a procesy

Silnou stránkou metodiky je dôraz na kombináciu opatrení:

• technických (zámky, kamery, alarmy),
• organizačných (pravidlá, postupy, kontroly),
• personálnych (zodpovednosti, školenia, dohľad).

Metodika zároveň jasne pomenúva role a zodpovednosti, aby bolo vždy zrejmé:

• kto má čo na starosti,
• kto rozhoduje,
• kto kontroluje dodržiavanie pravidiel.

Jednoduchý postup a možnosť zlepšovania

Metodika obsahuje:

• základný implementačný postup v jednoduchých krokoch,
• metriky, vďaka ktorým si organizácia vie vyhodnotiť úroveň fyzickej bezpečnosti,
• a nástroje na priebežné zlepšovanie.

Fyzická bezpečnosť tak nie je jednorazová úloha, ale živý proces, ktorý sa vyvíja spolu s organizáciou a jej rizikami.

Prečo sa fyzická bezpečnosť týka každého úradu

Každý orgán verejnej správy spracúva dáta, prevádzkuje systémy a poskytuje služby občanom. Jedna slabina v jednom objekte môže ovplyvniť celý systém.

Riadenie fyzickej bezpečnosti je preto:

• základom dôvery v digitálne služby štátu,
• súčasťou zodpovedného riadenia IT,
• a nevyhnutným doplnkom kybernetickej bezpečnosti.

Fyzická bezpečnosť ako základ digitálnej odolnosti

Metodika riadenia fyzickej bezpečnosti, zaradená do Jednotného metodického rámca, pomáha organizáciám nastaviť ochranu tak, aby bola funkčná, primeraná a udržateľná.

Pretože v kybernetickej bezpečnosti platí jednoduchá pravda:
Ak nie je chránený priestor, nie sú chránené ani dáta.