ПРОЕКТНАЯ ЧАСТЬ, Комплекс организационных мер функционирования системы контроля и управления доступом - Внедрение системы контроля и управления доступом
Комплекс организационных мер функционирования системы контроля и управления доступом
Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности, контроля и управления доступом
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:
- 1. Акты федерального законодательства:
- - Международные договоры РФ; - Конституция РФ; - Законы федерального уровня (включая федеральные конституционные законы, кодексы); - Указы Президента РФ; - Постановления правительства РФ; - Нормативные правовые акты федеральных министерств и ведомств; - Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
- - Доктрина информационной безопасности РФ; - Руководящие документы ФСТЭК (Гостехкомиссии России); - Приказы ФСБ.
- - Международные стандарты; - Государственные (национальные) стандарты РФ; - Рекомендации по стандартизации; - Методические указания.
В целом, система информационной безопасности строится на основе международного стандарта по обеспечению информационной безопасности ISO 17799 ("Нормы и правила при обеспечении безопасности информации") [6].
ISO/IEC 17799 - стандарт информационной безопасности, опубликованный в 2005 году организациями ISO и IEC. Он озаглавлен Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности (англ. Information technology - Security techniques - Code of practice for information security management). Стандарт предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности.
Стандарт ISO 17799 содержит следующие разделы, описывающие различные аспекты безопасности информационных систем:
- - стратегия информационной безопасности; - организационные вопросы; - классификация информационных ресурсов; - управление персоналом (влияние человеческого фактора на информационную безопасность); - обеспечение физической безопасности; - администрирование информационных систем ; - управление доступом (необходимость четкого разграничения прав и обязанностей при работе с информацией); - разработка и сопровождение информационных систем (механизмы обеспечения безопасности информационных систем); - обеспечение непрерывности бизнеса; - обеспечение соответствия предъявляемым требованиям.
Работа по созданию нормативной базы и стандартов в области комплексных и интегрированных систем безопасности (СКУД, СОТ, ОПС) ведется техническими комитетами (ТК) Федерального агентства "Росстандарт".
Первую редакцию стандарта на СКУД приняли в 1998 году. Инициатором его разработки выступил в середине 90-х гг. НИЦ "Охрана" МВД РФ, а проводил разработку российский технический комитет по стандартизации ТК 234 "Системы тревожной сигнализации и противокриминальной защиты".
Государственный стандарт СКУД - ГОСТ Р 51241-2008 "Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний" [5] разработан НИЦ "Охрана" при МВД России. К работе над стандартом ней активно подключились специалисты государственных и коммерческих организаций, чья деятельность касается сферы обеспечения безопасности, в частности СКУД.
Данный стандарт [5] распространяется на системы и средства контроля и управления доступом (СКУД), предназначенные для предотвращения несанкционированного доступа людей, транспорта и других объектов в зону (из зоны) доступа (здания, помещения, территории, транспортные средства) в целях обеспечения антикриминальной защиты. В стандарте проведено уточнение объекта стандартизации. Понятие "система" (системы контроля и управления доступом) в нем рассматривается только как продукция промышленного (серийного) производства, выпускаемая предприятиями и предназначенная для поставки или непосредственной продажи потребителю (заказчику).
Стандарт ГОСТ Р 54831-2011. "Системы контроля и управления доступом. Устройства преграждающие управляемые. Общие технические требования. Методы испытаний" [4] распространяется на вновь разрабатываемые и модернизируемые преграждающие управляемые устройства, входящие в состав систем контроля и управления доступом по ГОСТ Р 51241 или работающие автономно и предназначенные для ограждения прохода людей.
Стандарты на отдельные компоненты СКУД:
- 1. ГОСТ Р 53705-2009. "Системы безопасности комплексные. Металлообнаружители стационарные для помещений. Общие технические требования. Методы испытаний" [3]. 2. Серия стандартов на карты идентификационные - 34 стандарта на карты различных технологий. Серии стандартов ГОСТ Р ИСО/МЭК 10373, ГОСТ Р ИСО/МЭК 11694, ГОСТ Р ИСО/МЭК 15457 и др. 3. Серия стандартов по биометрической идентификации - 10 стандартов ГОСТ Р ИСО/МЭК 19794 "Автоматическая идентификация. Идентификация биометрическая".
Организационно-административная основа создания системы контроля и управления доступом в организации
Организационно-административные меры защиты - это меры, регламентирующие процессы функционирования АСОЭИ, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации. Они регламентируют процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователей и систем таким образом, чтобы несанкционированный доступ к информации становился либо невозможным, либо существенно затруднялся.
Система контроля и управления доступом (СКУД) - это совокупность программных и технических средств, а также организационно-методических мероприятий, с помощью которых решается задача контроля и управления посещением охраняемого объекта. Современные системы контроля доступа призваны решать три основные задачи:
- 1. Организация контроля перемещения персонала. Правильная организация труда. Каждому пользователю достаточно выдать один ключ ("Touch Memory" или карту "Proximity") для его идентификации системой охраны объекта. Исключение возможности праздного шатания сотрудников. 2. Организация учета. Создание системы учета рабочего времени (на основе анализа времени прихода/ухода сотрудника с территории предприятия или рабочего места). Контроль места нахождения сотрудника на объекте с точностью до зоны доступа. 3. Организация охраны предприятия. Интеграция СКД с системой охранно-пожарной сигнализации для комплексного решения задач безопасности. Обеспечение реакции охранной составляющей системы на попытки несанкционированного доступа, взлома дверей и т. д. Возможность автоматической постановки / снятия с охраны помещений по факту прохода в зону доступа сотрудника. Предоставление свободного доступа в случае возникновения пожара.
Современная система контроля и управления доступом состоит из следующих ключевых компонентов:
- - устройства идентификации (идентификаторы и считыватели); - устройства контроля и управления доступом (контроллеры); - устройства центрального управления (компьютеры); - устройства исполнительного (замки, приводы дверей, шлагбаумов, турникетов и т. д.).
Планируемая к внедрению СКУД обладает всеми средствами централизованного управления, в качестве которых будут использоваться СВТ общего назначения (персональные или специализированные компьютеры). Основным компонентом средств управления сетевых СКУД является программное обеспечение (ПО).
Конструкторская документация на средства СКУД должна соответствовать требованиям ЕСКД. Эксплуатационные документы должны быть выполнены в соответствии с ГОСТ.
Параметры управляющего сигнала (напряжение, ток и длительность) должны быть указаны в нормативных документах на УПУ конкретного типа. Требования к УПУ, в состав которых входят встроенные средства специального контроля, устанавливают в нормативных документах на устройства преграждающие управляемые конкретного типа.
Необходимо провести комплекс испытаний СКУД методами, приведенными в соответствующем ГОСТ [4][5]. Политика информационной безопасности в организации должна стать частью более общей документированной политики.
После утверждения проекта, до начала монтажных работ, необходимо решить ряд организационных моментов:
- - помещение для монтажников; - временный склад для оборудования. Обеспечение сохранности оборудования; - вопросы допуска монтажников на объект и контроля; - вопросы оперативного взаимодействия с бригадой монтажников и головной организацией; - координация взаимодействия монтажников и эксплуатирующего объект подразделения.
Параллельно с сопровождением работ по монтажу оборудования, целесообразно начать разработку внутренних регламентирующих документов. Даже если в компании уже действует Регламент контрольно-пропускного режима, обязательно необходимо внести в него изменения, касающиеся СКУД.
Разработка Регламента пропускного режима в компании - тема для отдельной статьи, здесь лишь приведу краткий перечень вопросов, которые должны быть отражены в Регламенте:
- - цели и задачи; - точки доступа; - порядок назначения уровней доступа; - порядок выдачи пропусков; - порядок выдачи гостевых пропусков; - порядок изъятия пропусков; - действия при утере пропуска; - нештатные ситуации; - формы заявок, внешний вид пропусков, формы отчетных документов.
Кроме разработки регламента, необходимо провести еще ряд организационных мероприятий, например, разработка и согласование дизайна пропусков, консультации с отделом персонала по организации взаимодействия и т. п.
В комплект эксплуатационных документов внедряемой (проектируемой) СКУД войдет "Руководство по эксплуатации программного обеспечения" (приложение Д), в котором должны быть указаны требования к компьютеру и составу общесистемных программ, необходимых для работы ПО СКУД. информационный безопасность программный аппаратный
После завершения монтажных работ подрядчик проводит пуско-наладку системы. На этом этапе необходимо плотно подключить к процессу сотрудников, которые будут непосредственно эксплуатировать систему. Сотрудники должны пройти теоретическое обучение, а также, участвуют в процессе пуско-наладки приобрести практические навыки.
На этом же этапе проводится ввод базы данных сотрудников в систему, назначение уровней доступа, привязка уровней доступа к конкретным сотрудникам, изготовление пропусков, выдача пропусков сотрудникам. Ввод системы в эксплуатацию может проходить поэтапно, чтобы не вносить резких изменений в бизнес-процессы компании.
Похожие статьи
-
Выбор комплекса задач обеспечения информационной безопасности Современные системы контроля и управления доступом (СКУД, СКиУД) способны максимально...
-
ВВЕДЕНИЕ - Внедрение системы контроля и управления доступом
В последние годы одним из самых эффективных и востребованных подходов к решению задач комплексной безопасности организаций различных форм собственности...
-
Идентификация и оценка информационных активов Информационный актив является компонентом системы, в которую организация напрямую вкладывает средства, и...
-
1. Общие сведения 1.1 Наименование Система информационной безопасности ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет" 2....
-
Общая характеристика предприятия Акционерное общество "Банк Москвы" - российский коммерческий банк, оказывающий банковские услуги как юридическим, так и...
-
Структура и процесс функционирования системы управления базами данных - Разработка базы данных
СУБД является прикладным программным обеспечением, предназначенным для решения конкретных прикладных задач и выполнения системных функций, расширяющих...
-
Современные информационные технологии определяются как непрерывные процессы обработки, хранения, передачи и отображения информации, направленные на...
-
Физическая защита Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и...
-
При внедрении СЭД необходимо придерживаться следующих основных принципов: *активное участие высшего руководства Заказчика в решении организационных...
-
Методы внедрения системы. - Примение информационных технологий в управлении
Компания, собирающаяся внедрить компьютерную систему управления, как правило, дает следующую установку: система должна начать действовать как можно...
-
Информационные технологии в системах организационного управления Применение компьютерных информационных технологий позволяет в ряде случаев при...
-
Организационный план - Автоматизированная система управления городскими финансами
Для проектирования деятельности рабочей группы с максимальной эффективностью необходимо построить корректную организационную структуру. Существует шесть...
-
Программная система должна пройти следующие виды испытаний: 1) предварительные; 2) опытная эксплуатация; 3) приемочные. Приемо-сдаточные испытания...
-
После того, как был реализован процесс карьерного планирования в информационной системе, можно сделать выводы о том, что внедрение информационной системы...
-
Организационная система управления проектами
Контрольная работа Тема 9 В зависимости от специфики, размера и сложности программного проекта в его реализации могут принимать участие от одной до...
-
Для лучшего понимания сути концепции необходимо знать следующие понятия и определения. Концепция информатизации железнодорожного транспорта - это система...
-
Последовательность действий при принятии решения о внедрении корпоративной информационной системы С чего начать разработку решения? Любая промышленная...
-
Для перехода в административный раздел системы необходимо выбрать пункт меню "Файл" > "Администратор", после чего откроется окно, показанное на...
-
Безопасность информации предполагает отсутствие недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и...
-
Введение - Разработка и тестирование автоматизированной системы контроля успеваемости студентов
Тема разработки автоматизированной системы контроля успеваемости и вычисления оценок слабо освещена в научной литературе со стороны вычислительной части...
-
Экономическое обоснование разработанных проектных решений систем управления
Общие положения Настоящие методические указания определяют содержание и порядок разработки организационно-экономической части дипломных проектов...
-
Технологический план - Автоматизированная система управления городскими финансами
Для разработки автоматизированной системы и дальнейшего развития требуются программные и аппаратные ресурсы, а также организационная техника....
-
Бизнес-архитектура, как и любой другой, значимый в рамках реализации проекта, элемент должен иметь формальное, задокументированное представление. Чаще...
-
Считается, что правильно организованный документооборот и электронный архив документов становятся необходимыми условиями эффективной работы современного...
-
Одной из самых актуальных проблем в организации ООО "555" является низкая квалификация кадров в сфере информационных технологий и особенно в части ИБ....
-
Основная цель системы ДИСКОР - совершенствование оперативного управления работой железных дорог на основе более эффективного использования пропускной...
-
Защита информации в БД - Банки и базы данных. Системы управления базами данных
Целью защиты информации является обеспечение безопасности ее хранения и обрабатывания. Процесс построения эффективной защиты начинается на начальных...
-
Для поддержания компьютерной системы 1С:Библиотека в исправном состоянии необходимо осуществлять мероприятия в соответствии с типовой системой...
-
В дипломном проекте была проделана следующая работа: - Выбрана элементная база для стенда. Согласно заданию стенд спроектирован на основе промышленного...
-
Объектом автоматизации сайта "вопрос-ответ" является предметная область "Проектирование информационных систем". Основное назначение сайта "вопрос-ответ"...
-
Структурная схема терминов Структуру АИС составляет совокупность отдельных ее частей, называемых подсистемами. АС состоит из двух подсистем:...
-
Разрабатываемая система должна включать справочную информацию о работе системы и подсказки пользователю. В состав сопровождающей документации должны...
-
Система - совокупность разнородных объектов, объединенных для достижения определенной цели. Системы могут различаться по элементам и целям....
-
Планировка и организация рабочего места должна основываться на учете антропометрических и психофизиологических данных людей. Рабочее место должно...
-
В первую очередь самым важным основанием для разработки информационной системы является, размещенный на официальном портале государственных закупок...
-
Согласно выбранному подходу к описанию бизнес-архитектуры следует проанализировать исходные, для проекта по разработке информационной системы, данные и...
-
Оценка стоимости разработки программного обеспечения, или, в частности информационной системы, - один из самых важных, сложных и в то же время неизбежных...
-
Информационная система Lumesse ETWeb является системой, которая автоматизирует весь комплекс процессов управления персоналом. Важно отметить, что данная...
-
Введение - Автоматизированная система управления городскими финансами
Автоматизированная система управления городскими финансами - это специально разрабатываемая программная платформа для поддержки и осуществления...
-
ВВЕДЕНИЕ - Разработка модели системы информационной безопасности на предприятии
Обеспечение безопасности информационных ресурсов давно стало предметом обсуждения во многих учреждениях, в совокупности с развитием информационных...
ПРОЕКТНАЯ ЧАСТЬ, Комплекс организационных мер функционирования системы контроля и управления доступом - Внедрение системы контроля и управления доступом