Большое количество статей посвящено обеспечению безопасного доступа к информационным ресурсам посредством различного оборудования и ПО. Однако, без грамотного построения физической безопасности на предприятии сложно говорить об эффективном обеспечении информационной безопасности, ведь если посторонний может пройти в серверную, то он без проблем может подключить какое-то свое устройство, выдернуть диск из “зеркала” или что похуже. По сути, физическая безопасность и контроль физического доступа - это основа любой системы защиты в организациях и в этой статье мы поговорим о том, как все это лучше организовать.

Контроль физического доступа основан на совокупности организационных и технических мер. Недостаточно просто установить оборудование, настроить камеры и раздать карточки. Важно выстроить процесс управления доступом. Этот процесс должен быть разделен на различные задачи, решаемые соответствующими подразделениями.

Контролируемая зона

Википедия дает такое определение: Контролируемая зона — это территория или пространство, на которых исключено неконтролируемое пребывание лиц или транспортных средств без постоянного или разового допуска. Контролируемая зона может ограничиваться периметром охраняемой территории частично, охраняемой территорией, охватывающей здания и сооружения, в которых проводятся закрытые мероприятия, частью зданий, комнатой, кабинетом, в которых проводятся закрытые мероприятия. Контролируемая зона может устанавливаться размером больше, чем охраняемая территория, при этом она должна обеспечивать постоянный контроль за неохраняемой частью территории.

То есть, территория нашей организации по сути является контролируемой территорией, доступ на которую мы собственно и должны контролировать. Казалось бы здесь все достаточно просто: забор, охрана на входе, пропуска и прочее. Однако на практике мне приходилось бывать на предприятиях, где контролировался только проезд транспорта на территорию, а пешие посетители могли свободно перемещаться по территории завода и заходить в любые цеха. Достаточно было иметь каску и соответствующую спецодежду.

Поэтому, прежде всего необходимо определиться с тем, что является контролируемой зоной. Это может быть арендуемая территория предприятия или помещения в бизнес центре. Важно обеспечить контроль доступа таким образом, чтобы посторонние не могли проникнуть на эту территорию без предъявления документов, получения пропуска и сопровождения.

Пропуска и СКУД

Мы огородили нашу контролируемую зону и теперь давайте определимся с тем, по каким правилам мы будем пускать людей на эту территорию. С работниками все достаточно просто: при приеме на работу сотрудник получает постоянный пропуск, по которому его идентифицируют при прохождении на территорию и перемещениях внутри.

Сложнее с разовыми пропусками, которые получают посетители при посещении организации. При получении разового пропуска посетитель обязательно должен предъявить документ, удостоверяющий личность (паспорт, права и т. д.) и идентификатор выданной карточки должен быть связан с данными этого документа. Недопустима ситуация, когда временный пропуск просто выдают не уточная данных из документов. Да и широко распространенная практика записи данных из документов в бумажный журнал тоже не слишком правильна. Да, таким образом можно избежать требований ФЗ №152 “О персональных данных”, так как мы ничего не храним в электронном виде, но с другой стороны при расследовании будет намного сложнее узнать, кто пользовался картой.

Для автоматизации управления доступом используется система СКУД. В рамках данной статьи мы не будем говорить о конкретных решениях, все необходимое можно найти в Интернете. Система СКУД состоит из базы данных, в которой хранится вся информация по идентификаторам выданных карт, тому куда имеет доступ тот или иной пользователь, а также в базе должны храниться журналы использования этих карт. Проще говоря, в этих журналах есть записи о том, кто и когда входил и выходил за контролируемую зону. Не стоит пренебрегать этим источником информации, так как он может быть очень полезен при расследовании.

Однако, и здесь можно допустить ошибки. Для контроля доступа на входе обязательно должен использоваться турникет, или иное устройство, позволяющее проходить через него строго по одному. Недопустима ситуация, когда пройти может несколько человек по одному пропуску. И здесь мы снова вспоминаем про организационные меры. Проход через турникет должен контролировать человек, в противном случае у нас обязательно будут сотрудники и посетители, забывшие пропуск и пытающиеся проникнуть через турникет вместе с кем-то другим, как часто делают в метро.  

Однако, пропуск нужен не только для прохождения на территорию. Любая СКУД позволяет разграничить доступ в различные помещения. Так, например, мы можем разрешить доступ в серверную только для администраторов, а доступ на склад только для логистического персонала. Не должно быть ситуации, когда любой сотрудник может по своей карте попасть в любое помещение в организации. И тем более не должно быть доступа в любые помещения у посетителей с разовыми пропусками. По сути, разовый пропуск должен только давать доступ на территорию организации, дальше он нигде работать не должен, потому что, посетители должны находиться в сопровождении сотрудника, к которому он пришел. Например, если человек пришел на собеседование, то специалист HR его встречает у входа, и сопровождает по территории компании все время, пока он там находится. На выходе посетитель сдает карточку обратно.

Также полезной практикой является использование бейджей с фото того, кому принадлежит карточка. Так у сотрудников с постоянными пропусками на самом пропуске должно быть его фото и ФИО. Во многих организациях существует требование постоянного ношения таких бейджей, для того, чтобы можно было сразу понять, кому принадлежит этот пропуск. Для разовых пропусков на бейджах обычно пишут ПОСЕТИТЕЛЬ.

Возвращаясь к техническим средствам обеспечения контроля стоит отметить, что хорошей практикой является интеграция базы СКУД с системами управления событиями информационной безопасности SIEM. Мы можем передавать в SIEM все события о входах и выходах на контролируемую территорию. Далее система SIEM будет использовать эту информацию в своих правилах корреляции. Например, если пользователь залогинился в AD то правило проверит, а входил ли такой человек на территорию сегодня, или логинился ли он через VPN (если такой доступ имеется). Если ни того, ни другого не было, то это инцидент, так как скорее всего это злоумышленник где-то узнал учетные данные и пытается их использовать.

И еще один “модный” способ использования СКУД это контроль рабочего времени. Многие работодатели в целях экономии повышения трудовой дисциплины используют данные со СКУД, чтобы узнать кто и когда пришел на работу.  

Видеонаблюдение

Важным элементом системы управления доступом является видеонаблюдение. Есть определенные правила по которым устанавливаются камеры. Основной принцип – не должно быть мертвых зон, то есть участков, не просматриваемых камерами. Также камеры обычно устанавливают в проходах для того, чтобы контролировать перемещения сотрудников и посетителей.

Система видеонаблюдения должна записывать видео и сохранять записи на протяжении некоторого времени, как минимум месяца. Также должны быть возможности для быстрого поиска нужных записей по месту записи, дате и времени.

Здесь говоря об оргмерах также не лишним будет напомнить о том, что результат работы камер должен контролировать человек. Да, записи - это хорошо, но в случае, если инцидент происходит в реальном времени, то именно человек может оперативно отреагировать, например нажав тревожную кнопку.

Заключение

Управление физическим доступом является неотъемлемой частью системы обеспечения безопасности в организации. Использование описанных в статье мер позволит существенно увеличить контроль и защищенность ресурсов организации в целом.

Приглашаю вас на бесплатный вебинар про управление доступом через полномочия. Регистрация доступна по ссылке.