Prijenos tehnologije i mjere zaštite

Vaše poduzeće može razmotriti i primjenu najboljih praksi za fizičku sigurnost koje su u nastavku navedene da bi spriječilo neovlašteni pristup strateškoj tehnologiji i informacijama.

Jasno označite kontroliranu tehnologiju

Sva kontrolirana roba mora jasno biti označena kao „kontrolirana“ i mora se razlikovati i biti fizički odvojena od nekontrolirane tehnologije i informacija. Može biti korisno podatke rasporediti u kategorije podataka, kao npr.: 1) javna uporaba, 2) samo za unutarnju uporabu, te 3) povjerljivo/kontrolirano.

Nadalje, vaše poduzeće trebalo bit “označiti” ili klasificirati tehnologiju ili robu koja se smatra osjetljivom ili koja je podložna kontroli. Klasifikacijski broj robe (CCN) ili Izvozni klasifikacijski broj (ECN) mora biti dodijeljen svakom strateškom podatku koji se nalazi na nacionalnom kontrolnom popisu i ta se informacija mora pohraniti za buduću uporabu.

Izradite sigurnu fizičku pohranu

Kontrolirana se tehnologija mora čuvati zaključana u sigurnom spremniku (ormariću, sefu, ladici) kada nije u uporabi ili kada nije u posjedu ovlaštenih službenika poduzeća.

Koristite načelo “jedne brave“ za zaštitu kontrolirane robe koristeći se barem jednim mehanizmom (ključ, kartica-ključ, pristupni kod i sl.) za sprječavanje razotkrivanja podataka neovlaštenim osobama. Napomena: Ovo je minimalni zahtjev za zaštitu kontrolirane tehnologije i informacija.
Dokumentacija u tiskanom obliku koja sadrži kontrolirane informacije ili tehnologiju treba biti pohranjena pod ključem (npr. u sigurnom, zaključanom ormariću za spise u uredu koji je zaključan kada u njemu nema nikoga).
U slučaju kontrolirane tehnologije koja se ne može pohraniti u sigurni spremnik kada se ne koristi možda će biti potrebne dodatne sigurnosne mjere. Ova vrsta “otvorene“ pohranenajčešće je manje sigurna i predstavlja veći rizik od nenamjernog prijenosa kontrolirane tehnologije i informacija.
Preporuča se da se kontrolirane informacije ne uklanja iz skladišta bez odobrenja osobe ovlaštene za usklađenost u vašem poduzeću.
Uvedite postupke za pravilno uništavanje i odlaganje kontroliranih informacija (npr. papira, grafičkih prikaza, nacrta).

Odredite ograničena područja

Ograničena područja se koriste za regulaciju pristupa kontroliranoj tehnologiji koja je tijekom radnog vremena smještena u otvorenom području. U ograničenim radnim područjima se često koriste fizičke prepreke za zaštitu od usmenog ili vizualnog prijenosa kontroliranih informacija neovlaštenim pojedincima.

Ograničeno područje treba imati jasno određene parametre, ali fizičke pregrade nisu uvijek neophodne.
Ograničeno područje je korisno kada je nepraktično ili nemoguće zaštititi pristup kontroliranoj tehnologiji zbog njenog oblika, veličine, količine ili neke druge neobične karakteristike.
Zaposlenici unutar ograničenog područja su odgovorni za kontrolu svih zaposlenika koji nemaju odgovarajuće ovlaštenje za ulazak u ograničeno područje.

Uvedite kontrolu pristupa

Brojna poduzeća koriste kontrolu pristupa kako bi osigurala da kontrolirana tehnologija bude dostupna samo ovlaštenom osoblju.

Koristite se kontrolom ključa za upravljanje pristupom kontroliranoj tehnologiji. Kontrola ključem može biti manualna, ali je bolje da bude elektronička (npr. kartica-ključ ili kontrolne tipkovnice s pristupnim kodovima za svakog zaposlenika).
Ograničena radna područja često imaju fizičke pregrade kojima se onemogućuje usmeni ili vizualni prijenoskontroliranih informacija neovlaštenim osobama.
Uvedite politiku pojedinačnog ulaskapri čemu svaki zaposlenik mora zasebno ulaziti u ograničeno područje ili pristupati kontroliranoj tehnologiji koristeći svoj ključ, značku, pristupni kod ili akreditaciju (nastojte zabraniti da dvije osobe ulaze istovremeno).
Zahtijevajteregistracijuza pristup kontroliranoj tehnologiji ili opremi. Kada je moguće, kontrolirane informacije treba pohraniti u zaključane spremnike s uspostavljenimpostupcima za odjavu tako da se može pratiti sljedivost. Ako to nije moguće, poduzeće treba razmisliti o korištenju ograničenih područja da bi se moglo pratiti tko je ušao i izašao.

Razvijte mjere za identifikaciju i kontrolu posjetitelja

Vaše poduzeće je dužno osigurati da posjetitelji nemaju (vizualni ili usmeni) pristup kontroliranoj tehnologiji, osim u slučaju da imaju dozvolu nadležnog nacionalnog tijela. Vaše poduzeće može poduzeti sljedeće korake da bi se posjetiteljima spriječio pristup kontroliranoj tehnologiji i informacijama te zadržala usklađenost sa zahtjevima strateške kontrole trgovine:

Provjera - Preporučuje se da se u vašem poduzeću prethodno izvrše provjere posjetitelja da bi se na taj način osiguralo da se oni ne nalaze na popisu strana ili subjekata s ograničenjima (Napomena: Vaše poduzeće može upotrijebiti alat za provjeru strana s ograničenjima). Nadalje, možda je važno unaprijed utvrditi državljanstvo posjetitelja s obzirom na to da neke države imaju ograničenja u vezi prijenosa kontrolirane tehnologije određenim stranim državljanima. Vaše bi poduzeće također moglo razmotriti mogućnost o provjere životopisa/vize kako bi se osiguralo da posjetitelji ne predstavljaju nepotreban rizik ili da nemaju veze s određenim stranama, pojedincima ili odredištima.
Registar posjetitelja - Preporuča se da se svi posjetitelji potpišu u registar posjetitelja prije ulaska u prostorije vašeg poduzeća. Vaše je poduzeće dužno utvrditi ima li posjetitelj pravo na pristup kontroliranim informacijama te osigurati odgovarajuću oznaku i/ili pratnju
Pratnja za posjetitelja i identifikacijske oznake - Svi posjetitelji moraju nositi identifikacijske oznake. Identifikacijske oznake posjetitelja moraju biti lako prepoznatljive i vidljivo izložene tijekom cijelog boravka u prostorijama vašeg poduzeća. Posjetitelji koji nemaju pravo pristupa kontroliranim informacijama trebaju uvijek biti u pratnji zaposlenika i moraju stalno nositi identifikacijske kartice/oznake.
Ugovor o povjerljivosti - Vaše bi poduzeće moglo zahtijevati da posjetitelji potvrde svoje saznanje o programu unutarnje usklađenosti (ICP) (i/ili planu kontrole tehnologije) te da potpišu ugovor o povjerljivosti sukladno kojemu posjetitelji ne smiju odavati bilo kakve informacije vezane uz posjet.
Fizičke provjere - Vaše bi poduzeće pri ulasku moglo provoditi fizičku provjeru torbi, paketa i medija za elektroničku pohranu. Posjetitelji bi morali ostaviti mobilne telefone ili ostale elektroničke uređaje prije ulaska u prostorije u kojima se nalazi kontrolirana strateška tehnologija.
Kontrola pristupa trećih strana - Vaše bi poduzeće moglo uvesti kontrole koje bi čuvarima i osoblju za održavanje i upravljanje zgradom ograničile pristup kontroliranim informacijama.

Stranica 2 od 5

Traženje ICP Web-mjesto

Predanost visokog rukovodstva postizanju usklađenosti

Osposobljavanje i podizanje razine osviještenosti

Pregled uspješnosti,revizije,izvješćivanje i korektivne radnje

Dodatni elementi PUU-a za razmatranje

Organizacijska struktura,odgovornosti i resursi

Proces i postupci pregleda transakcija

Vođenje evidencije i dokumentacija

Brze poveznice

Informativni materijali za PUU

ALATI ZA PROVEDBU PUU

Najbolje prakse za fizičku sigurnost

Traženje ICP Web-mjesto