ПРОЕКТНАЯ ЧАСТЬ, Комплекс организационных мер функционирования системы контроля и управления доступом - Внедрение системы контроля и управления доступом

Комплекс организационных мер функционирования системы контроля и управления доступом

Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности, контроля и управления доступом

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

    1. Акты федерального законодательства:
      - Международные договоры РФ; - Конституция РФ; - Законы федерального уровня (включая федеральные конституционные законы, кодексы); - Указы Президента РФ; - Постановления правительства РФ; - Нормативные правовые акты федеральных министерств и ведомств; - Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
    2. Нормативно-методические документы государственных органов России:
      - Доктрина информационной безопасности РФ; - Руководящие документы ФСТЭК (Гостехкомиссии России); - Приказы ФСБ.
    3. Стандарты информационной безопасности:
      - Международные стандарты; - Государственные (национальные) стандарты РФ; - Рекомендации по стандартизации; - Методические указания.

В целом, система информационной безопасности строится на основе международного стандарта по обеспечению информационной безопасности ISO 17799 ("Нормы и правила при обеспечении безопасности информации") [6].

ISO/IEC 17799 - стандарт информационной безопасности, опубликованный в 2005 году организациями ISO и IEC. Он озаглавлен Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности (англ. Information technology - Security techniques - Code of practice for information security management). Стандарт предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности.

Стандарт ISO 17799 содержит следующие разделы, описывающие различные аспекты безопасности информационных систем:

    - стратегия информационной безопасности; - организационные вопросы; - классификация информационных ресурсов; - управление персоналом (влияние человеческого фактора на информационную безопасность); - обеспечение физической безопасности; - администрирование информационных систем ; - управление доступом (необходимость четкого разграничения прав и обязанностей при работе с информацией); - разработка и сопровождение информационных систем (механизмы обеспечения безопасности информационных систем); - обеспечение непрерывности бизнеса; - обеспечение соответствия предъявляемым требованиям.

Работа по созданию нормативной базы и стандартов в области комплексных и интегрированных систем безопасности (СКУД, СОТ, ОПС) ведется техническими комитетами (ТК) Федерального агентства "Росстандарт".

Первую редакцию стандарта на СКУД приняли в 1998 году. Инициатором его разработки выступил в середине 90-х гг. НИЦ "Охрана" МВД РФ, а проводил разработку российский технический комитет по стандартизации ТК 234 "Системы тревожной сигнализации и противокриминальной защиты".

Государственный стандарт СКУД - ГОСТ Р 51241-2008 "Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний" [5] разработан НИЦ "Охрана" при МВД России. К работе над стандартом ней активно подключились специалисты государственных и коммерческих организаций, чья деятельность касается сферы обеспечения безопасности, в частности СКУД.

Данный стандарт [5] распространяется на системы и средства контроля и управления доступом (СКУД), предназначенные для предотвращения несанкционированного доступа людей, транспорта и других объектов в зону (из зоны) доступа (здания, помещения, территории, транспортные средства) в целях обеспечения антикриминальной защиты. В стандарте проведено уточнение объекта стандартизации. Понятие "система" (системы контроля и управления доступом) в нем рассматривается только как продукция промышленного (серийного) производства, выпускаемая предприятиями и предназначенная для поставки или непосредственной продажи потребителю (заказчику).

Стандарт ГОСТ Р 54831-2011. "Системы контроля и управления доступом. Устройства преграждающие управляемые. Общие технические требования. Методы испытаний" [4] распространяется на вновь разрабатываемые и модернизируемые преграждающие управляемые устройства, входящие в состав систем контроля и управления доступом по ГОСТ Р 51241 или работающие автономно и предназначенные для ограждения прохода людей.

Стандарты на отдельные компоненты СКУД:

    1. ГОСТ Р 53705-2009. "Системы безопасности комплексные. Металлообнаружители стационарные для помещений. Общие технические требования. Методы испытаний" [3]. 2. Серия стандартов на карты идентификационные - 34 стандарта на карты различных технологий. Серии стандартов ГОСТ Р ИСО/МЭК 10373, ГОСТ Р ИСО/МЭК 11694, ГОСТ Р ИСО/МЭК 15457 и др. 3. Серия стандартов по биометрической идентификации - 10 стандартов ГОСТ Р ИСО/МЭК 19794 "Автоматическая идентификация. Идентификация биометрическая".

Организационно-административная основа создания системы контроля и управления доступом в организации

Организационно-административные меры защиты - это меры, регламентирующие процессы функционирования АСОЭИ, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации. Они регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, чтобы несанкционированный доступ к информации становился либо невозможным, либо существенно затруднялся.

Система контроля и управления доступом (СКУД) - это совокупность программных и технических средств, а также организационно-методических мероприятий, с помощью которых решается задача контроля и управления посещением охраняемого объекта. Современные системы контроля доступа призваны решать три основные задачи:

    1. Организация контроля перемещения персонала. Правильная организация труда. Каждому пользователю достаточно выдать один ключ ("Touch Memory" или карту "Proximity") для его идентификации системой охраны объекта. Исключение возможности праздного шатания сотрудников. 2. Организация учета. Создание системы учета рабочего времени (на основе анализа времени прихода/ухода сотрудника с территории предприятия или рабочего места). Контроль места нахождения сотрудника на объекте с точностью до зоны доступа. 3. Организация охраны предприятия. Интеграция СКД с системой охранно-пожарной сигнализации для комплексного решения задач безопасности. Обеспечение реакции охранной составляющей системы на попытки несанкционированного доступа, взлома дверей и т. д. Возможность автоматической постановки / снятия с охраны помещений по факту прохода в зону доступа сотрудника. Предоставление свободного доступа в случае возникновения пожара.

Современная система контроля и управления доступом состоит из следующих ключевых компонентов:

    - устройства идентификации (идентификаторы и считыватели); - устройства контроля и управления доступом (контроллеры); - устройства центрального управления (компьютеры); - устройства исполнительного (замки, приводы дверей, шлагбаумов, турникетов и т. д.).

Планируемая к внедрению СКУД обладает всеми средствами централизованного управления, в качестве которых будут использоваться СВТ общего назначения (персональные или специализированные компьютеры). Основным компонентом средств управления сетевых СКУД является программное обеспечение (ПО).

Конструкторская документация на средства СКУД должна соответствовать требованиям ЕСКД. Эксплуатационные документы должны быть выполнены в соответствии с ГОСТ.

Параметры управляющего сигнала (напряжение, ток и длительность) должны быть указаны в нормативных документах на УПУ конкретного типа. Требования к УПУ, в состав которых входят встроенные средства специального контроля, устанавливают в нормативных документах на устройства преграждающие управляемые конкретного типа.

Необходимо провести комплекс испытаний СКУД методами, приведенными в соответствующем ГОСТ [4][5]. Политика информационной безопасности в организации должна стать частью более общей документированной политики.

После утверждения проекта, до начала монтажных работ, необходимо решить ряд организационных моментов:

    - помещение для монтажников; - временный склад для оборудования. Обеспечение сохранности оборудования; - вопросы допуска монтажников на объект и контроля; - вопросы оперативного взаимодействия с бригадой монтажников и головной организацией; - координация взаимодействия монтажников и эксплуатирующего объект подразделения.

Параллельно с сопровождением работ по монтажу оборудования, целесообразно начать разработку внутренних регламентирующих документов. Даже если в компании уже действует Регламент контрольно-пропускного режима, обязательно необходимо внести в него изменения, касающиеся СКУД.

Разработка Регламента пропускного режима в компании - тема для отдельной статьи, здесь лишь приведу краткий перечень вопросов, которые должны быть отражены в Регламенте:

    - цели и задачи; - точки доступа; - порядок назначения уровней доступа; - порядок выдачи пропусков; - порядок выдачи гостевых пропусков; - порядок изъятия пропусков; - действия при утере пропуска; - нештатные ситуации; - формы заявок, внешний вид пропусков, формы отчетных документов.

Кроме разработки регламента, необходимо провести еще ряд организационных мероприятий, например, разработка и согласование дизайна пропусков, консультации с отделом персонала по организации взаимодействия и т. п.

В комплект эксплуатационных документов внедряемой (проектируемой) СКУД войдет "Руководство по эксплуатации программного обеспечения" (приложение Д), в котором должны быть указаны требования к компьютеру и составу общесистемных программ, необходимых для работы ПО СКУД. информационный безопасность программный аппаратный

После завершения монтажных работ подрядчик проводит пуско-наладку системы. На этом этапе необходимо плотно подключить к процессу сотрудников, которые будут непосредственно эксплуатировать систему. Сотрудники должны пройти теоретическое обучение, а также, участвуют в процессе пуско-наладки приобрести практические навыки.

На этом же этапе проводится ввод базы данных сотрудников в систему, назначение уровней доступа, привязка уровней доступа к конкретным сотрудникам, изготовление пропусков, выдача пропусков сотрудникам. Ввод системы в эксплуатацию может проходить поэтапно, чтобы не вносить резких изменений в бизнес-процессы компании.

Похожие статьи




ПРОЕКТНАЯ ЧАСТЬ, Комплекс организационных мер функционирования системы контроля и управления доступом - Внедрение системы контроля и управления доступом

Предыдущая | Следующая