Bezpieczeństwo Fizyczne i Środowiskowe
Strefy bezpieczeństwa, kontrola dostępu, serwerownia, CCTV i clean desk
1. Strefy Bezpieczeństwa Fizycznego
Organizacja wydziela następujące strefy bezpieczeństwa fizycznego:
| Strefa | Opis | Przykładowe lokalizacje | Dostęp |
|---|---|---|---|
| Strefa 1 – Publiczna | Obszary dostępne dla odwiedzających bez ograniczeń | Hol recepcji, sala konferencyjna zewnętrzna | Bez ograniczeń; monitoring CCTV |
| Strefa 2 – Biurowa | Obszary pracy dla pracowników | Biura open space, sale konferencyjne wewnętrzne | Karta / kod PIN; odwiedzający z eskortą |
| Strefa 3 – Ograniczona | Obszary z ograniczonym dostępem dla wybranych pracowników | Pomieszczenia IT, szafy telekomunikacyjne, archiwa | Karta + PIN lub biometria; lista uprawnionych |
| Strefa 4 – Krytyczna | Serwerownia, MDF/IDF z systemami kluczowymi | Serwerownia główna, rack z OT/ICS | Karta + PIN + (opcjonalnie biometria); rejestr wejść; CCTV; max. 2 osoby autoryzowane |
▸ Organizacja uzupełnia – mapowanie stref
Mapa stref bezpieczeństwa (plan budynku): ▸ [lokalizacja planu / załącznik A]
Liczba lokalizacji objętych polityką: ▸ [liczba adresów]
2. Kontrola Dostępu Fizycznego
| Mechanizm | Strefa | Wymaganie | Realizacja w organizacji |
|---|---|---|---|
| System kart dostępu | 2, 3, 4 | Wymagany | ▸ [np. HID / Lenel / system własny] |
| Rejestr wejść (log) | 3, 4 | Wymagany, retencja ▸ 12 mies.min. 12 mies. – KSC | ▸ [automatyczny z systemu kart] |
| CCTV / monitoring wizyjny | 1, 2, 3, 4 | Wymagany, retencja nagrań ▸ min. 30 dnimin. 30 dni | ▸ [np. Hikvision / Axis; retencja: X dni] |
| Śluzownica / man-trap | 4 (serwerownia) | ▸ [Wymagane / Zalecane] | ▸ [dostępna / planowana / nie dotyczy] |
| Odwiedzający – eskortowanie | 2, 3 | Wymagane – zakaz samodzielnego poruszania się gości | ▸ [rejestr gości w recepcji, odznaka gościa] |
3. Wymagania dla Serwerowni (Strefa 4)
| Parametr | Wymaganie | Realizacja / wartość |
|---|---|---|
| Temperatura pomieszczenia | ▸ 18–27°CASHRAE Class A1 | ▸ [klimatyzacja precyzyjna – producent/model] |
| Wilgotność względna | ▸ 40–60%wg ASHRAE | ▸ [monitoring: TAK / NIE] |
| UPS (podtrzymanie zasilania) | ▸ min. 15 min pełnego obciążeniamin. 15 min | ▸ [producent/model, czas podtrzymania: X min] |
| Agregat prądotwórczy | ▸ [Wymagany / Zalecany] | ▸ [dostępny – czas rozruchu: X sek / planowany / nie dotyczy] |
| Detekcja pożaru | Wymagana | ▸ [czujniki dymu / VESDA / system gaszenia (Novec/FM200)] |
| Detekcja zalania | Zalecana | ▸ [czujniki zalania pod podłogą techniczną: TAK / NIE] |
| Redundancja zasilania | ▸ [min. A+B lub 2N]zalecane dla systemów krytycznych | ▸ [dual PSU w serwerach: TAK / NIE] |
| Monitoring środowiskowy (temp/wilg/zasilanie) | Wymagany – alerty 24/7 | ▸ [narzędzie monitoringu, np. APC / Paessler PRTG] |
4. Polityka Czystego Biurka i Ekranu (Clean Desk / Screen)
- Po zakończeniu pracy lub opuszczeniu stanowiska: wszystkie dokumenty poufne zamknięte w szufladzie lub sejfie.
- Blokada ekranu po ▸ [5 minutach]max. 15 min nieaktywności lub przed odejściem od biurka.
- Zakaz pozostawiania nośników (USB, dyski, wydruki) na biurku bez nadzoru.
- Niszczenie dokumentów papierowych: niszczarka co najmniej klasy ▸ [DIN P-4]min. DIN P-4 dla danych poufnych.
- Urządzenia wielofunkcyjne (drukarki): wydruki odbierane natychmiast; dokumenty poufne drukowane wyłącznie przy drukarce (tryb PIN release).
Historia Zmian
| Wersja | Data | Autor | Opis | Zatwierdził |
|---|---|---|---|---|
| ▸ 1.0 | ▸ | ▸ | ▸ Pierwsze wydanie | ▸ Zarząd |
DOC-018 Bezpieczeństwo Fizyczne i Środowiskowe | v1.0 | NIS2/KSC