Защита информации

Некоторые аспекты системы контроля и управления доступом

Система контроля и управления доступом (СКД) предназначена для усиления охраны объекта и контроля допуска сотрудников в служебные и технические помещения объекта, а также управления эвакуационными дверями в случае аварийных ситуаций. Вход и выход сотрудников в разрешенные зоны доступности осуществляется по персональным электронным картам-пропускам в автоматическом режиме в разрешенное время. Постоянные (личные) карты-пропуска изготавливаются для сотрудников и выдаются им в личное пользование. Код, записанный на карту-пропуск, является неизменным личным кодом сотрудника, с использованием которого он имеет возможность проходить в разрешенные зоны доступа и выделенные помещения, и на основании которого ведется автоматическая регистрация проходов, а так же учет рабочего времени.

Система контроля доступа объекта должна обеспечивать:

  • доступ в помещения через турникеты или двери с электрозамками – по электронной карте-пропуску и/или коду, набираемому на клавиатуре считывателя
  • выдачу сигнала тревоги в помещение охраны (пультовую) в случае несанкционированного проникновения в зоны доступа (взлом, незакрытые двери; попытка подбора кода)
  • принудительное разблокирование (с разрушением защитного стекла или автоматическое с пульта оператора) в случае пожара или иной экстренной ситуации дверей эвакуационных выходов, если они оснащаются средствами контроля доступа с регистрацией этих фактов на сервере СКД
  • учет, регистрацию и документирование фактов прохода сотрудников и гостей в местах установки устройств СКД с указанием даты и времени прохода
  • создание и ведение базы данных на всех сотрудников, с введением в нее паспортных и иных данных, цветных фотографий, а также её оперативную корректировку
  • доступ к базе данных и архиву, а также выдачу справок по ним с документированием на принтере и экране монитора оператора системы по требованию пользователя в зависимости от уровня доступа
  • учет, регистрацию и документирование действий оператора

Современные системы контроля доступа (СКД) позволяют точно идентифицировать личность входящего и определить его степень допуска в данное помещение. И если простая система не пропустит постороннего в охраняемое помещение, то сложная может не только заблокировать выходы, сработав по принципу мышеловки, но и вызвать службу безопасности, сообщить на сотовый телефон хозяину о непрошеном визитере и т.д.    Как правило, такие функции выполняет служба безопасности здания, предприятия.

СКД позволяют организовать полный контроль за перемещениями сотрудников, сократить непроизводительные перерывы, снизить вероятность хищений. Каждому сотруднику может быть разрешен доступ в определенные помещения в определенное время в зависимости от его статуса и полномочий.

Системой контроля и управления доступом (СКУД) называется совокупность программно-технических средств и организационно-методических мероприятий, с помощью которых решается задача контроля и управления посещением отдельных помещений, а также оперативный контроль перемещения персонала и времени его нахождения на территории объекта. Действительно, СКУД это не только аппаратура и программное обеспечение, это продуманная система управления движением персонала

Все факты предъявления карточек и связанные с ними действия (проходы, тревоги и т.д.) фиксируются в контроллере и сохраняются в компьютере. Информация о событиях, вызванных предъявлением карточек, может быть использована в дальнейшем для получения отчетов по учету рабочего времени, нарушениям трудовой дисциплины и др. На предприятиях можно выделить четыре характерные точки контроля доступа: проходные, офисные помещения, помещения особой важности, и въезды/выезды автотранспорта.

На предприятии должен быть отдел службы безопасности. Возглавлять данную службу должен начальник службы безопасности информации. Эта должность может быть штатной, либо ее можно занимать по совместительству (зависит от статуса фирмы и ее финансового состояния).

В службе безопасности должны быть должностные лица, отвечающие первоначально за отдельные направления защиты. Ими могут быть:

  • главный специалист по обеспечению безопасности информации в выделенных помещениях фирмы;
  • главный специалист по обеспечению безопасности информации на объектах вычислительной техники фирмы;
  • главный специалист по обеспечению безопасности связи.

Кроме того, в каждом выделенном помещении должны быть назначены ответственные по обеспечению безопасности информации. Такие же ответственные назначаются и на каждый объект вычислительной техники. Что касается безопасности связи, то здесь должны быть ответственные за обеспечение безопасности каждого вида связи (телефонной, телеграфной, факсимильной, при передаче данных). Эти должности также занимаются по совместительству. Свою деятельность по обеспечению безопасности информации начальник службы безопасности информации должен начать с создания службы безопасности информации и назначения приказом руководителя фирмы (организации), должностных лиц, но с учетом конкретных особенностей фирмы, а также разработать для них функциональные обязанности. Далее необходимо удостовериться, имеется ли перечень сведений, относящихся к коммерческой тайне фирмы. Если такого перечня нет, то разработать его и утвердить приказом руководителя. К разработке данного перечня по необходимости могут привлекаться и другие должностные лица фирмы. После этого проводится инструктивно-методическое занятие с сотрудниками фирмы, где до их внимания доводится утвержденный перечень сведений, относящихся к коммерческой тайне фирмы и юридическая ответственность за неправомерные действия с конфиденциальной информацией с подписанием договорного обязательства о неразглашении коммерческой тайны.

Следующий этап работы службы безопасности информации заключается в том, чтобы разобраться с объектами фирмы, где обрабатывается конфиденциальная информация. Для этого необходимо уточнить, имеется ли утвержденный перечень выделенных помещений и объектов вычислительной техники, где обрабатывается конфиденциальная информация. Если такого перечня нет, то его необходимо разработать. После того как перечень объектов будет разработан и утвержден, уточняется, было ли проведено спецобследование и аттестация выделенных помещений и объектов вычислительной техники. Объекты, прошедшие спецобследование и аттестацию, должны иметь соответственно акты спецобследования и аттестаты соответствия. Следует иметь в виду, что спецобследование объектов можно проводить своими силами (то есть созданной приказом руководителя комиссией по проведению спецобследования, при наличии подготовленных специалистов), а специсследование и спецпроверку ПЭВМ и аттестацию объектов проводят только фирмы (организации), имеющие лицензии на право деятельности в этой области.

А.А. Шевчук

Tagged: