2. Responde a la necesidad de proteger las áreas
El equipo y controles generales
3. Evitar el acceso físico no autorizado,
daños o intromisiones en
las instalaciones y a la información
de la organización.
Los servicios de procesamiento de información
sensible deberían ubicarse en áreas seguras y
protegidas en un perímetro de seguridad definido
por barreras y controles de entrada adecuados.
Estas áreas deberían estar protegidas físicamente
contra accesos no autorizados, daños e
interferencias.
La protección suministrada debería estar acorde
con los riesgos identificados.
4. Los perímetros de seguridad (como paredes, tarjetas de
control de entrada a puertas o un puesto manual de
recepción) deberían utilizarse para proteger las áreas que
contengan información y recursos para su procesamiento.
Guía en inglés sobre medidas de seguridad física
Ejemplo de política de seguridad física en español
de SISTESEG
5. Las áreas de seguridad deberían estar protegidas por
controles de entrada adecuados que garanticen el acceso
únicamente al personal autorizado.
Documento técnico en inglés de APC sobre control
de acceso físico a infraestructuras críticas
Guía de INTECO y A nova sobre el uso de video vigilancia en
distintos entornos, la legislación aplicable y sus implicaciones
en materia de protección de datos personales.
6. Se debería asignar y aplicar la seguridad física para
oficinas, despachos y recursos.
NS/03: Seguridad física de instalaciones de almacenamiento de
información clasificada en la administración pública española.
Publicada por la Autoridad Delegada para la Seguridad de la
Información Clasificada de España.
OR-ASIP-01-01.02: Orientaciones para el plan de protección
de una zona de acceso restringido. Oficina Nacional de
Seguridad de España.
OR-ASIP-01-02.02: Orientaciones para la constitución de
zonas de acceso restringido. Oficina Nacional de Seguridad
de España.
7. Se debería designar y aplicar medidas de protección física
contra incendio, inundación, terremoto, explosión, malestar
civil y otras formas de desastre natural o humano.
Documento técnico en inglés de APC sobre protección
contra incendios en infraestructuras críticas
Diversos documentos técnicos de APC en inglés y español
sobre refrigeración de CPDs
The Uptime Institute es una organización que publica
estándares y mantiene un esquema de certificación para la
mejora del grado de disponiblidad de centros de proceso de
datos, basado en 4 niveles (Tier I, Tier II, Tier III y Tier IV).
8. Se debería diseñar y aplicar protección física y pautas para
trabajar en las áreas seguras.
Se deberían controlar las áreas de carga y descarga con objeto
de evitar accesos no autorizados y, si es posible, aislarlas de los
recursos para el tratamiento de la información.