Читаем без скачивания Безопасность карточного бизнеса : бизнес-энциклопедия - А. Алексанов
Шрифт:
Интервал:
Закладка:
Активация входных/выходных дверей датчика СКД должна осуществляться картридером совокупно с работой ПО СКД, гарантирующим невозможность повторного прохода (anti pass-back) — если карта СКД зарегистрирована внутри помещения, невозможно по этой же карте еще раз войти туда же, сначала необходимо выйти.
Картридеры должны быть постоянно соединены с сервером, регистрирующим и протоколирующим все события с картами. Факты прохода через устройства контроля доступа и соответствующие им события ПО могут быть зарегистрированы сервером СКД только в конце цикла доступа входа/выхода. Цикл доступа в производственные помещения должен состоять по меньшей мере из следующих действий:
1) активация внешнего картридера;
2) открытие и закрытие первой двери шлюза или входа к турникету;
3) регистрация присутствия человека в шлюзе или помещении с управляемым турникетом;
4) открытие и закрытие второй двери шлюза/помещения с турникетом;
5) регистрация отсутствия человека в шлюзе или помещении с управляемым турникетом;
6) регистрация на сервере факта прохода человека и генерация события, гарантирующего невозможность повторного прохода (anti pass-back).
Понятие и описание шлюзаШлюз — это заводская конструкция (в просторечии — «стакан»), предназначенная для обеспечения прохода с соблюдением режимов:
1) проход по одному человеку (one-by-one);
2) невозможность повторного прохода (anti pass-back);
3) контроль веса и объема проходящих лиц (невозможность пронести одним человеком другого на закорках под одеждой) (anti piggy-backing).
Согласно действующим требованиям МПС в шлюзе должна быть реализована так называемая мультифакторная аутентификация (карта СКД + биометрия: отпечаток пальца, сканирование радужной оболочки глаза, взвешивание).
Требования к помещениям персонализации и распечатки ПИН-конвертовУчастки персонализации и рассылки предназначены исключительно для эмбоссирования, кодирования, персонализации карт, внедрения и персонализации микропроцессоров, а также для рассылки продуктов МПС. Для выполнения данных задач могут использоваться отдельные помещения; в этом случае к каждому из них предъявляются следующие требования безопасности.
Эти помещения или участки должны быть полностью изолированы и постоянно закрыты, за исключением только доступа и выхода уполномоченных сотрудников. Двери в эти помещениях не должны вести за пределы здания, за исключением пожарных выходов, оборудованных сигнализацией. Необходимо наличие видеокамер наблюдения во всех таких помещениях.
Помещение, в котором производится вычисление ПИНов, их генерация и вывод на печать (ПИН-мэйлерная), должно быть отдельным и располагаться в зоне повышенной безопасности. Дверь в это помещение должна быть оборудована СКД на вход и выход, наряду с системой обеспечения невозможности двойного прохода, управляемой сервером, регистрирующим все перемещения. Дверь должна быть оборудована доводчиком, автоматически ее закрывающим. В случае открытия двери более чем на 30 секунд автоматически должен срабатывать тревожный звуковой сигнал.
Программное обеспечение (ПО) СКД должно быть реализовано таким образом, чтобы гарантировать проход в помещение строго один за другим и только для уполномоченных сотрудников. Помещение должно быть оборудовано внутренним датчиком движения, который должен активировать систему сигнализации каждый раз, когда последний сотрудник покидает помещение. Программный счетчик, регистрирующий карты СКД на вход и выход, должен протоколировать события с картой по окончании каждого цикла доступа (активация по считыванию карты, открытие и закрытие двери).
Необходимо настроить логику ПО СКД в соответствии с набором правил dead man logic.
В обоих случаях тревожным оповещением должен быть местный звуковой сигнал. Дополнительно по окончании рабочего времени необходимо направлять сигнал во внешнее охранное подразделение. Необходимо наличие внутренней видеокамеры наблюдения, постоянно соединенной с системой видеозаписи.
Поле зрения камеры должно охватывать зону входа в помещение и общий вид производимых действий внутри его. Эта камера не должна иметь возможности изменения фокусировки и масштабирования во избежание попадания конфиденциальных данных, таких как номера и сроки действия карт, в поле зрения сотрудников охраны/SCR.
Сотрудники БП, вовлеченные в процедуры генерации, печати и раскладки ПИН-конвертов, не должны привлекаться к работам, связанным с персонализацией, кодированием и эмбоссированием соответствующих карт.
Серверная (комната генерации ключей)Требования безопасности к серверной (комнате генерации ключей) аналогичны требованиям к помещению персонализации/распечатки ПИН-конвертов.
Хранилище БПГлавное хранилище является объектом высшей категории безопасности всего БП. Стены хранилища должны быть изготовлены из армированного бетона (минимум 15 см) или материалов, обеспечивающих аналогичные прочность и стойкость. Ни одна из стен хранилища не должна быть внешней стеной здания. Наличие окон не допускается.
Хранилище должно быть оборудовано внутренними датчиками движения и достаточным количеством вибродатчиков, способными обнаруживать и регистрировать сотрясения стен, пола и потолка. Необходимо наличие видеокамеры наблюдения. Хранилище должно быть оборудовано основной усиленной сталью дверью, оснащенной механизмом из двух механических или электронных замков, требующим физического одновременного присутствия минимум двух человек для получения доступа.
Открытие двери хранилища должно всегда осуществляться только двумя сотрудниками; необходимо наличие минимум двух замков и хранителей ключа от двери хранилища. Хранилище должно быть постоянно закрыто на дверь и на замок — либо на основную дверь, либо на облегченный дневной вариант («day gate»), за исключением случаев, когда сотрудникам необходимо получить туда доступ по служебной необходимости. Дверь должна быть оборудована автоматически закрывающим ее доводчиком, и в случае ее открытия более чем на 60 с должен автоматически срабатывать тревожный звуковой сигнал — локальный и в мониторной.
Каждый факт доступа в хранилище и работа с хранящимися в нем материалами должны регистрироваться в журнале посещений хранилища и подтверждаться минимум двумя сотрудниками. Записи журнала посещения хранилища должны периодически подвергаться ревизии.