Yrityksen toimitilojen sekä niissä sijaitsevien laitteiden suojaamista kutsutaan yleisesti nimellä fyysinen turvallisuus. Esimerkiksi tärkeitä tietoja sisältävän palvelimen eheyttä, luottamuksellisuutta ja saatavuutta ei voida varmistaa, mikäli se ei ole fyysisesti turvattu. Fyysinen uhka, kuten tulipalo, saattaa tuhota tietokoneita tai varmuuskopioita. Palo-, vesi- tai sähkövahingoilta suojautuminen on tärkeässä osassa kokonaisvaltaisen tietoturvan hallintaa. Myös inhimilliset uhat, kuten varkaudet ja ilkivalta, tulee ottaa huomioon. Liitteessä 2 on kuvattuna muita tässä osa-alueessa huomioitavia asioita.[1]
Kun työntekijöiden päivittäinen toimintaympäristö saadaan suojattua, voidaan keskittyä myös muiden tietoturvan osa-alueiden suunnitteluun ja kehittämiseen. Yrityksen koon, toimialan ja henkilöstön määrän perusteella voidaan karkeasti arvioida, millaisia fyysisiä suojakeinoja toimitilat vaativat. Mikäli liiketoiminta vaatii useiden palvelinten hallintaa, on myös fyysisen turvallisuuden oltava kunnossa. Vastaavasti vähemmän tietotekniikasta riippuvaiset yritykset keskittävät suojaukset muualle. Turvatoimet voidaan kohdentaa pelkästään tiettyyn toimitilan alueeseen, mutta kokonaisvaltainen suojaaminen on suositeltavampaa. Esimerkiksi palvelinhuoneen turvan tasoon vaikuttaa myös ympäröivien alueiden turvallisuus. Toimitiloja suunniteltaessa kannattaa tutustua ISO27000 -sarjan tietoturvastandardeihin sekä valtiovarainministeriön VAHTI -ohjeisiin. [2]
Lue seuraavaksi fyysisessä tietoturvassa huomioitavista asioista tai palaa sisällysluetteloon.
Liitteen 2 sisältö: Tärkeimmät fyysisessä tietoturvassa huomioitavat ja dokumentoitavat asiat
(Lähteet: ISO/IEC 27001:fi 2006, 38; ISF 2007, 34)
Liitteet taulukkomuodossa opinnäytetyön liiteosiossa.
Turva-alueiden määrittely
Jaetaan toimitilojen alueet tärkeyden mukaan erilaisiin turva-alueisiin.
Suojaaminen
Otetaan käyttöön ja kirjataan eri alueiden suojatoimenpiteet, kuten kulunvalvonta, murtohälyttimet tai paloturvallisuuteen vaikuttavat tekijät.
Kouluttaminen
Huolehditaan henkilöstön osaamisesta fyysisen tietoturvan suojaamisessa. Laaditaan ohjeita erilaisten laitteiden ja tapahtumien hallintaan.
Riskitekijät
Mikäli esimerkiksi IT-tiloissa on riskitekijöitä, kuten vesipisteitä, on ne otettava huomioon tietoturvallisuuden näkökulmasta.
—
Lähteet
1 (Hakala ym. 2006, 11.)
2 (Laaksonen ym. 2006, 125–127.)