Единая система контроля и управления доступом к ресурсам предприятия

От iosiadmin_oleg в вт, 02/10/2012 - 15:17

Галичанин А.Ю.,

Фадеев Ю.И.,

ФГБОУ ВПО «Удмуртский государственный университет»,

г. Ижевск

 

Любое предприятие в процессе  своей деятельности использует следующие основные ресурсы: персонал, материалы, финансы, информацию. Доступ к  конкретному защищаемому ресурсу обычно происходит в 4 этапа (рис. 1).

Рис.1. Схема доступа к защищаемому ресурсу

 

Доступ к материальным ресурсам может быть реализован на любом из этапов, а доступ к информационному ресурсу – на четвертом этапе. В данной статье под термином информационный ресурс будем понимать носители конфиденциальной информации (далее -  КИ).

 

Для разграничения физического доступа к материальным ресурсам на первых трех этапах сегодня широко применяются системы контроля и управления доступом (далее -  СКУДм).

 

СКУДм — это комплекс технических средств, включающий в себя электромеханические, электронные устройства и программные средства, обеспечивающие функции контроля и управления доступом. СКУДм предназначена для ограничения и санкционирования перемещения людей, предметов, транспорта по территории предприятия в зданиях и помещениях. Чтобы получить санкционированный доступ, пользователь системы должен иметь идентификатор с кодом (идентификатором могут служить и биометрические данные человека). У входа в контролируемое помещение специальное устройство (считыватель) считывает информацию с идентификатора и передает ее в контроллер, который анализирует данные о владельце и реагирует соответствующим образом: открывает или блокирует дверь, регистрирует проход персоны (или неудачную попытку) и т.д. В контексте защиты информационного ресурса  СКУДм можно рассматривать как первый рубеж его защиты.

 

Для защиты от несанкционированного доступа (НСД) в автоматизированные информационные системы (АС), обрабатывающие КИ применяются программные и программно-аппаратные средства защиты (далее -  СКУДас). Однако принципиально обе СКУД решают одни и те же задачи – идентификация сотрудника и контроль его полномочий.

 

В работе [1, с.204] предложена продуктивная идея создания единой СКУД для реализации доступа  к материальным и информационным ресурсам. Автор работы отмечает, что современное предприятие, как правило, включает в себя несколько систем безопасности, раздельно контролирующих доступ к различным физическим и информационным объектам. Обеспечением физической и информационной безопасности часто занимаются разные и никак не взаимодействующие друг с другом службы предприятия. При этом контролируемые ими права сотрудников на доступ к различным ресурсам предприятия зависят только от личности сотрудника. Показывая пропуск на проходной, открывая бесконтактной картой офисную дверь, вводя сетевой пароль, сотрудник осуществляет одну и ту же процедуру -идентифицирует себя. Очевидно, что каждый сотрудник должен обладать едиными, целостными, внутренне согласованными правами. Получить доступ к компьютеру в офисе предприятия имеет право только тот сотрудник, который в этот офис вошел. То есть задача идентификации этого сотрудника в двух контурах безопасности может и должна быть решена единым способом.

 

Интеграция систем безопасности на уровне единого идентификатора позволит качественно изменить политику безопасности предприятия и повысить эффективность управления правами сотрудников и уровень безопасности ресурсов предприятия. Новые возможности обеспечат решение следующих задач:

 

  • установка запрета или ограниченного доступа к информационным ресурсам предприятия, если пользователь физически не прошел электронную проходную или не вошел в помещение;
  • установка запрета на выход из помещения в случае невыполнения правил компьютерной безопасности при покидании рабочего места;
  • автоматическая блокировка ПК при выходе из кабинета;
  • блокирование доступа к информационным ресурсам при срабатывании режима СКУД «доступ под принуждением»;
  • построение консолидированной отчетности по фактам физического и информационного доступов и основанного на ней комплексного учета рабочего времени;
  • единое управление правами физического и информационного доступа для выделенных групп сотрудников и др.

 

Актуальность проблемы подтверждается результатами изучения мнений сообщества компаний рынка ИТ и систем безопасности [2, с.150]. Приведем некоторые из них.

 

1.«Технологии обеспечения безопасности физических и ИТ-активов развиваются параллельно, независимо друг от друга. Подобная разобщенность увеличивает риски. Единственным правильным путем организации системы безопасности компании является объединение ИТ и физической безопасности в рамках единой стратегии управления рисками. В настоящее время единый идентификатор представляется наиболее оптимальным решением» (Ярослав Бартон, региональный менеджер по продажам компании HID Global).

 

2. «Интеграция СКУД и систем информационной безопасности в настоящее время, как правило, не востребована. Но постепенно ситуация изменяется, и заказчик все чаще требует такую интеграцию» (А.В. Шаповалов, руководитель проекта компании «ААМ Системз»).

 

3. «Безусловно, грамотная интеграция СКУД с информационной системой безопасности на объекте заказчика дает неоспоримое преимущество комбинированного решения, которое позволяет использовать информацию о физическом местонахождении пользователя, предоставляемую системой контроля доступа, в качестве условия доступа в информационную сеть компании. На данный момент ведущие производители систем безопасности предлагают качественно новые решения для совместной работы этих систем» (Е.С. Кин, менеджер по развитию бизнеса компании Nedap Security Management).

 

4. «Интеграция систем СКУД и ИБ позволяет достичь перехода количества в качество, поднять безопасность предприятия на новый уровень. Интеграция систем ИБ на уровне единого идентификатора позволит повысить эффективность управления правами сотрудников. Интеграция СКУД и систем ИБ — следующий уровень взаимодействия этих подсистем, повышающий эффективность каждой из них» (А.В. Крячков, директор по продуктам компании «Аладдин Р.Д.»).

 

5. «Конечно, единый идентификатор актуален, особенно для крупных предприятий или территориально распределенных организаций. Использование единого идентификатора помогает снизить издержки на издание, поддержание и управление пропусками персонала, управление физическим доступом, управление доступом к информации и в конечном итоге управление информационной безопасностью в инфраструктуре предприятия. На наш взгляд, наиболее подходящей является совмещенная технология контактных и бесконтактных Smart-карт.» (Д.В. Казаков, заместитель генерального директора ООО «ИТРИУМ СПб»).

 

Резюме: по вопросу востребованности единого идентификатора все эксперты сошлись во мнении, что это перспективное решение, интерес к которому будет только расти.

 

Однако это решение не является полным по отношению ко всем видам носителей КИ. Детализируем понятие «информационный ресурс». Информационный ресурс – это конфиденциальная информация и носители, на которых она существует. В общем случае можно выделить три вида носителей: бумажные  (традиционный документ), отчуждаемые  (диски, USBflash накопители и др.), электронные (АС).

 

Идея создания единой СКУД рассматривает только электронные носители, оставляя за бортом носители первых двух типов. А между тем бумажный документ никто не отменял, более того, он по-прежнему является основным. Никто не может назвать даже приблизительно дату окончания эры бумажного документа. Для конфиденциальных документов, в силу их особенного статуса и связанной с этим консервативности, этот этап может продлиться на неопределенный срок.

 

Итак, мы стоим перед дилеммой: либо ждать, пока эволюционным путем бумажный документ исчезнет, либо реализовать идею единого идентификатора в существующем бумажном документообороте, включая отчуждаемые носители. Другими словами, автоматизировать процедуры бумажного документооборота и передать их единой СКУД.

 

Постановка и решение такой задачи представляются целесообразными для конфиденциальных документов по следующим причинам:

 

  • автоматизация работы с бумажными документами приводит к ускорению управленческих процессов;
  • высвобождаются люди, обрабатывающие документы в ручном режиме, что экономически выгодно в связи с тем, что труд человека непрерывно дорожает;
  • сокращается количество людей на предприятии, имеющих реальный доступ практически ко всем конфиденциальным документам (это работники режимных отделов). Наличие таких людей сегодня в службах защищенного документооборота противоречит одному из основных принципов разрешительной системы: доступ к конфиденциальным документам должны иметь только те сотрудники, которым защищаемые сведения нужны для выполнения своих прямых должностных обязанностей.
  • объем конфиденциальных документов на предприятии, как правило, на порядок меньше, чем открытых, что упрощает решение задачи.

 

В работе [3, с.211] предложена идея создания автоматизированной библиотеки документов на бумажном носителе (АБД). Пусть имеется выделенное помещение для работы с конфиденциальной информацией (например, спецотдел). В помещении устанавливается АБД, физически представляющая из себя шкаф с ячейками для хранения документов, оснащенный электронной системой контроля  доступа, и организуются рабочие места для работы с документами. Отметим, что в АБД могут храниться не только традиционные документы на бумажном носителе, но и документы на других носителях. Санкционированный сотрудник получает у системного администратора (администратора безопасности сети, службы защиты информации) ключ-идентификатор, который позволяют открывать только те ячейки, доступ к которым разрешен данному сотруднику. При этом СКУД ведет 100% протокол событий и позволяет создавать отчеты по различным объектам (люди, документы) и временным интервалам. В данном случае используются традиционные компоненты СКУДм, так как ячейка представляет собой помещение для документов и никаких проблем конвергенции с традиционной СКУД не возникает.

 

            Практически эта идея может быть реализована  на основе существующих автоматизированных сейфов, например, для хранения ключей [4, с.71], путем изменения конструкции сейфа под размеры носителей информации.

 

Таким образом, объединение идей, изложенных в работах [1-3],  позволяет создать единую СКУД как для доступа на территорию, в здание, помещение, так и для доступа к защищаемой информации, хранящейся и обрабатываемой на всех видах её носителей.

 

Библиографический список

 

  1. Гинце А.А. СКУД и информационная безопасность: перспективы интеграции // Системы безопасности. 2008. № 3. С.204.
  2. Гинце А.А. СКУД и информационная безопасность: перспективы интеграции //Системы безопасности. 2010. № 5. С.150.
  3. Фадеев Ю.И. Единая система контроля доступа к защищаемой информации // Состояние и перспективы развития юридической науки: Материалы междунар. науч.- прак.кон.,посвящ. 75-летиюУдм.гос.ун-та Ижевск: Детектив-информ, 2006, Ч 3. С. 211.
  4. Секционное электронное устройство СК-24 для хранения и учета ключей (ЭЛЕКТРОННЫЙ СЕЙФ) // Каталог "СКУД. Антитерроризм"-2009. С.71. 

 

Конференция: 
Современные экономические информационные системы: актуальные вопросы организации, методы и технологии защиты информации