СКУД + ИБ: актуально?
Системы безопасности №5, 2010
Интеграция систем СКУД и ИБ позволяет достичь перехода количества в качество, поднять безопасность предприятия на новый уровень. От подобной интеграции в первую очередь выигрывает система ИБ. Например, при использовании единой карты доступа сотрудника (RFID-метка и Smart-карта в одном пластике) можно задавать новые правила, согласно которым сотрудник не сможет получить доступ к информационным ресурсам с компьютера/терминала, находящегося в помещении, в которое он вначале не прошел по RFID-метке.
Интеграция систем ИБ на уровне единого идентификатора позволит повысить эффективность управления правами сотрудников. Это предоставит следующие возможности:
- ограничить или запретить доступ к информационным ресурсам предприятия, если пользователь вошел в корпоративную сеть вне помещения предприятия, не отметившись на электронной проходной;
- автоматически блокировать ПК при выходе сотрудника из кабинета;
- запретить выход из помещения в случае невыполнения правил компьютерной безопасности (например, если, покидая рабочее место, сотрудник не закрыл конфиденциальные документы, не завершил работу в приложениях и т.п.);
- блокировать доступ к информационным ресурсам при срабатывании режима СКУД "доступ под принуждением";
- запретить или ограничить доступ к информационным ресурсам при нарушении режима Antipassback во время пропускания человека в зону доступа (это "мягкий" режим контроля повторного входа, когда нарушение фиксируется, но человек пропускается, или режим "ловушка", когда человек пропускается в помещение и блокируется в нем);
- централизованно управлять правами физического и информационного доступа для выделенных групп сотрудников;
- создавать консолидированную отчетность по фактам физического и информационного доступов и вести комплексный учет рабочего времени сотрудников.
Интеграция СКУД и систем ИБ — следующий уровень взаимодействия этих подсистем, повышающий эффективность каждой из них.
Какие каналы связи использовать?
Прокладывать новые физические коммуникационные каналы — дорого да и не всегда возможно. Целесообразно по максимуму использовать уже имеющиеся каналы, но трафик СКУД должен быть изолирован от остального трафика (например, за счет VPN-туннелирования). Для трафика СКУД должны быть обеспечены как минимум целостность, аутентификация источника, гарантированная доставка сообщений прикладного уровня. Каналы должны быть физически защищены. Если данные условия не выполняются, то необходимо прокладывать отдельные коммуникационные каналы.
Какие функции важны?
В первую очередь — решения по усилению контроля логического доступа к информационным ресурсам (см. вопрос 1). Современные системы ИБ предоставляют возможность одновременно использовать различные устройства как биометрической, так и двух-факторной аутентификации (карты доступа + код) в рамках единого защитного комплекса. Это позволяет добиться максимального уровня защищенности там, где это необходимо, и сохранить "бюджетные" карты СКУД для рядовых сотрудников: каждой группе сотрудников может быть предоставлено соответствующее устройство, оптимально сочетающее затраты на организацию одного рабочего места и требуемые на данном месте меры безопасности.
Службы ИТ и СБ: есть проблемы?
Проблемы есть и будут. Насколько эти проблемы станут критическими и не помешают ли интеграции подсистем, зависит в первую очередь от того, какое место занимает служба ИБ в общей организационной структуре предприятия.
- Имеется единая служба безопасности, а в ней подразделения ИБ и физической безопасности — проблем при интеграции СКУД и ИБ скорее всего не возникнет, так как есть единый руководитель.
- Имеются служба физической безопасности и служба ИБ, возглавляемые различными руководителями, находящимися на примерно равных уровнях служебной иерархии и не подчиняющимися друг другу, — при этом очень высока вероятность возникновения конфликта. Возможны постоянные взаимные претензии («Вы забили своим трафиком все каналы», «А вы купили не те карточки»), борьба за то, кто будет «рулить» системой и администрировать ее.
Востребован ли единый идентификатор?
Это интересное, актуальное и перспективное решение. В первую очередь нужно упомянуть Smart-карты или USB-ключи с интегрированными RFID-метками. Сотрудник не выйдет из помещения, не отсоединив Smart-карту/ключ от компьютера, что при грамотной настройке функций безопасности ОС вызовет блокировку рабочей станции. С другой стороны, сотрудник не сможет войти на рабочую станцию, предварительно не войдя в помещение, где она установлена, по радиометке. Но надо отчетливо понимать, что в ряде случаев подобная интеграция может привести к дополнительным расходам. Например, при использовании Smart-карт со встроенными радиометками и для визуального контроля доступа карту придется выводить из обращения при увольнении сотрудника. Точно так же при использовании USB-ключей со встроенными радиометками: при выходе из строя радиометки или ключа придется менять все устройство.