Când auzim termenul „securitate”, gândul ne duce automat la parole, firewall-uri și atacuri cibernetice. În realitate, securitatea fizică rămâne una dintre cele mai importante componente ale protecției informațiilor, bunurilor și persoanelor. Cele mai sofisticate sisteme IT devin inutile dacă cineva poate pur și simplu să intre într-o clădire și să acceseze un server, să copieze documente sau să distrugă echipamente.
În acest articol vom defini securitatea fizică, vom explica cum este tratată în cele două standarde internaționale de referință — ISO/IEC 27001:2022 (securitatea informațiilor) și ISO 31000:2018 (managementul riscurilor) — și vom arăta cum se aplică aceste principii în contextul legislației românești.
Ce este securitatea fizică? Definiție
Securitatea fizică (physical security) reprezintă ansamblul măsurilor, procedurilor și sistemelor destinate protejării persoanelor, bunurilor materiale, echipamentelor, infrastructurii și informațiilor împotriva amenințărilor tangibile: acces neautorizat, furt, vandalism, sabotaj, dezastre naturale sau incendii.
Spre deosebire de securitatea cibernetică, care operează în mediul digital, securitatea fizică se ocupă de mediul real — clădiri, încăperi, echipamente, documente tipărite, suporturi de stocare și persoanele care le accesează.
O definiție mai formală, aliniată cu standardele internaționale: securitatea fizică este componenta unui sistem de management al securității care se ocupă de protecția fizică și de mediu a activelor organizației, prin stabilirea de perimetre de securitate, controale de acces fizic, protecția echipamentelor și monitorizarea continuă a spațiilor.
Securitatea fizică în ISO 27001:2022
Ce este ISO 27001?
ISO/IEC 27001:2022 este standardul internațional pentru sistemele de management al securității informațiilor (ISMS — Information Security Management System). Standardul definește cerințe pentru implementarea, menținerea și îmbunătățirea continuă a unui ISMS care protejează confidențialitatea, integritatea și disponibilitatea informațiilor.
Anexa A a standardului conține 93 de controale de securitate, grupate în patru categorii tematice: organizaționale, de personal, fizice și tehnologice. În versiunea din 2013, securitatea fizică era tratată în domeniile A.11.1 și A.11.2 din 14 domenii. În versiunea actualizată din 2022, controalele fizice au primit o categorie dedicată — Anexa A.7 — semn al importanței crescânde pe care standardul o acordă protecției mediului fizic.
Cele 14 controale fizice din Anexa A.7
ISO 27001:2022 definește 14 controale fizice, fiecare adresând o dimensiune specifică a securității mediului fizic:
A.7.1 — Perimetre de securitate fizică. Stabilirea de bariere fizice (garduri, ziduri, uși securizate) pentru a delimita zonele care conțin informații sensibile sau infrastructură critică. Nu este vorba doar de uși încuiate — poate include supraveghere video, sisteme de detecție a intruziunilor și personal de securitate.
A.7.2 — Controlul accesului fizic. Asigurarea că doar persoanele autorizate pot intra în zone securizate. Mijloacele includ carduri de acces, sisteme biometrice (amprentă, recunoaștere facială), coduri PIN și registre de vizitatori. Principiul de bază: accesul se acordă strict pe baza nevoii de a cunoaște (need-to-know).
A.7.3 — Securizarea birourilor, încăperilor și facilităților. Proiectarea și implementarea de măsuri de securitate pentru spațiile de lucru, inclusiv separarea departamentelor care gestionează date sensibile (HR, financiar, IT) de restul organizației.
A.7.4 — Monitorizarea securității fizice. Aceasta este o controală nouă, introdusă în versiunea 2022. Organizațiile trebuie să monitorizeze continuu spațiile fizice pentru a detecta accesul neautorizat. Include CCTV, senzori de mișcare, alarme și sisteme de detecție. ISO 27002 adaugă recomandarea ca aceste sisteme să fie protejate împotriva dezactivării de la distanță.
A.7.5 — Protecția împotriva amenințărilor fizice și de mediu. Măsuri împotriva dezastrelor naturale (inundații, cutremure, incendii), dar și amenințări provocate de om (explozii, tulburări civile). Include sisteme de stingere a incendiilor, detectoare de fum și apă, climatizare pentru servere și planuri de evacuare.
A.7.6 — Lucrul în zone securizate. Reguli pentru activitățile desfășurate în zone cu nivel ridicat de securitate: interdicția de a folosi telefoane cu cameră, restricții privind accesul nesupravegheat, evidența persoanelor prezente.
A.7.7 — Clear desk și clear screen. Politici care impun ca documentele sensibile să nu fie lăsate la vedere pe birou, iar ecranele computerelor să fie blocate când nu sunt folosite. O măsură simplă, dar extrem de eficientă.
A.7.8 — Amplasarea și protecția echipamentelor. Echipamentele IT critice trebuie plasate în locații protejate împotriva accesului neautorizat, condițiilor de mediu nefavorabile și pericole de natură fizică.
A.7.9 — Securitatea activelor în afara sediului. Protecția laptopurilor, telefoanelor și documentelor transportate în afara organizației, inclusiv criptare, politici de utilizare și proceduri în caz de pierdere.
A.7.10 — Suporturi de stocare. Gestionarea ciclului de viață al suporturilor fizice (hard disk-uri, USB-uri, documente tipărite): clasificare, etichetare, transport securizat și distrugere conform procedurilor.
A.7.11 — Utilități suport. Protecția alimentării cu energie, a climatizării și a altor utilități necesare funcționării sistemelor informatice — surse UPS, generatoare, redundanță.
A.7.12 — Securitatea cablajului. Protecția cablurilor de alimentare și comunicații împotriva interceptării, interferenței sau deteriorării.
A.7.13 — Întreținerea echipamentelor. Mentenanța regulată pentru a asigura disponibilitatea și integritatea echipamentelor, cu respectarea procedurilor de securitate.
A.7.14 — Eliminarea sau reutilizarea echipamentelor în siguranță. Înainte de a dona, vinde sau arunca un echipament, toate datele trebuie șterse ireversibil. Un hard disk formatat simplu poate fi recuperat — este nevoie de ștergere certificată sau distrugere fizică.
De ce contează securitatea fizică în ISO 27001?
Standardul pornește de la o premisă fundamentală: nu poți proteja informația dacă nu protejezi mediul fizic în care aceasta se află. Un atacator care obține acces fizic la un server poate cauza la fel de multe daune ca un hacker care penetrează rețeaua de la distanță — uneori chiar mai multe, deoarece accesul fizic poate eluda complet controalele logice.
Organizațiile care se certifică ISO 27001 trebuie să implementeze controalele fizice relevante sau să justifice în Declarația de Aplicabilitate (SoA — Statement of Applicability) de ce anumite controale nu sunt necesare în cazul lor specific.
Managementul riscului conform ISO 31000:2018
Ce este ISO 31000?
ISO 31000:2018 este standardul internațional pentru managementul riscurilor. Spre deosebire de ISO 27001, care se concentrează pe securitatea informațiilor, ISO 31000 oferă un cadru universal aplicabil oricărui tip de risc — financiar, operațional, strategic, de mediu, de securitate sau de conformitate.
ISO 31000 definește riscul ca „efectul incertitudinii asupra obiectivelor”. Incertitudinea poate genera atât amenințări (rezultate negative), cât și oportunități (rezultate pozitive). Managementul riscului, conform standardului, înseamnă activitățile coordonate de direcționare și control al unei organizații în ceea ce privește riscurile.
Standardul nu este certificabil, dar oferă principii, un cadru de lucru (framework) și un proces pe care orice organizație le poate adopta.
Principiile ISO 31000
ISO 31000:2018 stabilește opt principii fundamentale pentru un management eficace al riscului:
Managementul riscului trebuie să fie integrat în toate procesele organizației, nu tratat ca o activitate separată. Trebuie să fie structurat și cuprinzător, bazat pe o abordare sistematică. Trebuie să fie personalizat, adaptat contextului specific al organizației. Trebuie să fie incluziv, implicând părțile interesate relevante. Trebuie să fie dinamic, răspunzând prompt la schimbări. Trebuie să fie bazat pe cele mai bune informații disponibile. Trebuie să ia în considerare factorii umani și culturali. Și trebuie să urmărească îmbunătățirea continuă.
Procesul de management al riscului
ISO 31000 descrie un proces iterativ în mai mulți pași:
Stabilirea contextului. Se definește mediul intern și extern al organizației, obiectivele, criteriile de risc și domeniul de aplicare al evaluării. Pentru securitatea fizică, contextul include tipul obiectivului, locația geografică, vecinătățile, istoricul incidentelor și cerințele legale.
Identificarea riscurilor. Se identifică sursele de risc, evenimentele potențiale, cauzele și consecințele posibile. În securitatea fizică: acces neautorizat, furt, incendiu, inundație, vandalism, sabotaj, spionaj industrial.
Analiza riscurilor. Se evaluează probabilitatea și impactul fiecărui risc identificat, luând în considerare controalele existente. Se folosesc metode calitative (scări de evaluare), cantitative (valori numerice) sau semi-cantitative.
Evaluarea riscurilor. Se compară rezultatele analizei cu criteriile de risc stabilite, pentru a decide care riscuri necesită tratament prioritar. Se utilizează de obicei o matrice de risc (probabilitate × impact).
Tratarea riscurilor. Se selectează opțiunile de tratament: evitarea riscului, reducerea probabilității sau impactului (prin măsuri de securitate), transferul riscului (asigurări) sau acceptarea riscului rezidual.
Monitorizarea și revizuirea. Procesul este continuu — riscurile se schimbă, apar amenințări noi, iar eficacitatea măsurilor trebuie verificată periodic.
Comunicarea și consultarea. Pe tot parcursul procesului, informațiile despre riscuri trebuie comunicate părților interesate.
Cum se aplică ISO 31000 la securitatea fizică?
Când un evaluator de risc la securitatea fizică realizează o analiză de risc, procesul urmează exact etapele definite de ISO 31000. Evaluatorul stabilește contextul (tipul obiectivului, activitatea desfășurată, mediul), identifică amenințările și vulnerabilitățile fizice, le analizează și evaluează, apoi recomandă măsuri de tratament proporționale cu nivelul de risc identificat.
Standardul ISO 31000 oferă astfel metodologia pe care se bazează analiza de risc la securitatea fizică, în timp ce ISO 27001 definește controalele specifice care trebuie implementate.
Legătura cu legislația din România
În România, securitatea fizică este reglementată în principal prin Legea nr. 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, completată de HG nr. 301/2012 (Normele metodologice) și Instrucțiunea MAI nr. 9/2013 privind efectuarea analizelor de risc la securitatea fizică.
Conform acestor acte normative, persoanele juridice care dețin bunuri sau valori de orice natură sunt obligate să efectueze o analiză de risc la securitatea fizică, realizată de evaluatori autorizați, înscriși în Registrul Național al Evaluatorilor de Risc la Securitatea Fizică (RNERSF).
Analiza de risc realizată conform legislației românești integrează principiile ambelor standarde internaționale: procesul de evaluare urmează metodologia ISO 31000 (identificare, analiză, evaluare, tratare), iar măsurile recomandate se aliniază cu tipurile de controale definite în Anexa A.7 a ISO 27001 — perimetre de securitate, control acces, supraveghere, protecție echipamente.
Neefectuarea analizei de risc la securitatea fizică atrage amenzi între 5.000 și 10.000 RON pentru persoane juridice, conform HG 301/2012. Dar dincolo de conformitatea legală, analiza de risc este un instrument strategic care protejează investiția, reputația și continuitatea operațională a organizației.
Diferența dintre ISO 27001 și ISO 31000 în materie de securitate fizică
Este important să înțelegem complementaritatea celor două standarde:
ISO 31000 oferă cadrul metodologic — cum identifici, analizezi și tratezi riscurile. Este un standard-ghid, aplicabil oricărui domeniu, nu doar securității. Nu specifică ce măsuri concrete trebuie implementate, ci cum să ajungi la decizia corectă.
ISO 27001 oferă controalele concrete — ce măsuri specifice de securitate fizică trebuie implementate (perimetre, acces, monitorizare, protecția echipamentelor). Este un standard certificabil, cu cerințe precise.
Practic, ISO 31000 răspunde la întrebarea „cum evaluez riscurile?”, iar ISO 27001 răspunde la „ce măsuri implementez pentru a le trata?”. O analiză de risc profesională la securitatea fizică le folosește pe amândouă.
Concluzie
Securitatea fizică nu este un concept abstract sau o simplă formalitate birocratică. Este o componentă critică a protecției oricărei organizații, recunoscută ca atare atât de standardele internaționale (ISO 27001 și ISO 31000), cât și de legislația românească (Legea 333/2003).
O analiză de risc la securitatea fizică realizată profesional, de evaluatori autorizați RNERSF, nu doar că asigură conformitatea legală — ea identifică vulnerabilitățile reale ale obiectivului, evaluează amenințările în context și recomandă măsuri proporționale și eficiente.
Dacă organizația ta nu a efectuat încă analiza de risc la securitatea fizică sau dacă aceasta a expirat (valabilitatea este de 3 ani), contactează un evaluator autorizat pentru a evita amenzile și, mai important, pentru a proteja ceea ce contează.
Articol redactat de echipa E-Risk.ro. Evaluatori autorizați RNERSF, analiză de risc la securitatea fizică conform Legii 333/2003 și principiilor ISO 31000:2018.
Ai nevoie de analiză de risc? Solicită ofertă sau sună la 0724 668 591.