Система контроля управления доступом (СКУД). Назначение, виды и состав технических средств СКУД

Что такое СКУД

Система контроля управления доступом – совокупность программных, технических и организационных средств, направленных на обеспечение безопасности объектов.

В России действует государственный стандарт на СКУД: ГОСТ Р 51241-20081.

Назначение СКУД

Назначение СКУД:

• Ограничение доступа сотрудников и посетителей объекта в охраняемые помещения
• Временной контроль перемещений сотрудников и посетителей по объекту
• Контроль за действиями охраны во время дежурства
• Табельный учет рабочего времени каждого сотрудника
• Фиксацию времени прихода и ухода посетителей
• Временной и персональный контроль открытия внутренних помещений (когда и кем открыты)
• Совместную работу с системами охранно-пожарной сигнализации и телевизионного видеоконтроля (при срабатывании извещателей блокируются или наоборот, например, при пожаре разблокируются двери
• Охраняемого помещения или включается видеокамера)
• Регистрацию и выдачу информации о попытках несанкционированного проникновения в охраняемое помещение

Состав СКУД

СКУД обычно состоит из следующих основных компонентов:

1. Устройства идентификации (идентификаторы и считыватели)
2. Устройства контроля и управления доступом (контроллеры)
3. Устройства центрального управления (компьютеры)
4. Преграждающие устройства (замки, шлагбаумы, турникеты и т.д.)

В зависимости от применяемой СКУД на объекте, отдельные её устройства могут быть объединены в один блок (контроллер со считывателем) или вообще отсутствовать (персональный компьютер).

В состав СКУД могут входить также аппаратно-программные средства - СВТ2 общего назначения:

• Компьютерное оборудование
• Оборудование для компьютерных сетей
• Общее программное обеспечение
• И т.д.

Классификация СКУД

СКУД классифицируют по:

1. Способу управления:
   
   • автономные
   • централизованные
   • универсальные
2. Числу контролируемых точек доступа:
   
   • малой емкости (не более 84 точек)
   • средней емкости (от 84 до 256 точек)
   • большой емкости (более 256 точек)
3. Функциональным характеристикам:
   
   • системы с ограниченными функциями
   • системы с расширенными функциями
   • многофункциональные системы
4. Уровню защищенности системы от НСД 3 (основана на устойчивости к разрушающим и неразрушающим воздействиям по уровням устойчивости):
   
   • нормальный
   • повышенный
   • высокий

---

1. ГОСТ Р 51241-2008: Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний ↩
2. СВТ - средства вычислительной техники ↩
3. НСД - несанкционированный доступ к информации ↩

Цели и задачи структурных подразделений защиты информации на предприятии (в организации)

Структурное подразделение защиты информации

Структурное подразделение ЗИ – это подразделение, отвечающее за соблюдение требований по обеспечению информационной безопасности на предприятии (в организации).

Наличие специализированного подразделения по защите информации объясняется необходимостью защиты конфиденциальной информации или информации, содержащей сведения составляющие государственную тайну, обрабатываемой на предприятии.

Цель структурных подразделений защиты информации

Цель структурных подразделений ЗИ – обеспечение заданного уровня защищенности информации, обрабатываемой на предприятии.

Подразделение по защите информации является самостоятельным структурным подразделением. Штатная численность подразделения по защите информации и его структура определяются руководителем предприятия. Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю.

Виды структурных подразделений защиты информации

Существуют следующие виды структурных подразделений ЗИ:

1. Режимно-секретные - выполняют задачи по обеспечению установленного режима секретности и (или) ведению секретного делопроизводства
2. Шифровальные - выполняют задачи по организации, обеспечению функционирования и безопасности шифрованной связи
3. Подразделения по противодействию ИТР1 и ТЗИ2 - выполняют задачи по недопущению либо существенному затруднению неправомерных (в том числе непреднамеренных) технических, программных и иных воздействий и процессов, направленных на считывание (хищение) информации, разрушение, искажение или блокирование в процессе её обработки на объектах информатизации
4. Подразделения, в установленном порядке осуществляющие проведение специальных экспертиз организаций на право работы со сведениями, составляющими государственную тайну
5. Библиотеки секретных изданий и секретных технических документов, машинописные, чертежные, множительные и копировальные бюро, иные подразделения, основной функцией которых является обеспечение защиты государственной тайны

Задачи структурных подразделений защиты информации:

Выделяют следующие задачи структурных подразделений ЗИ:

1. Планирование и организация работ по ЗИ
   
   • Разработка специальных требований по ЗИ на предприятии
   • Установка средств защиты информации
   • Разработка организационно-распорядительной документации
   • Выдача пользователям учетных данных для входа в ОС
2. Контроль выполнения требований по ЗИ сотрудниками предприятия
   
   • Проверка рабочих мест на предмет использования неразрешенного ПО
   • Отключение (неправильная эксплуатация) средств защиты
   • Выявление нарушений организационного, правового режима
3. Расследование инцидентов по информационной безопасности и принятие мер по их устранению

---

1. ИТР - иностранные технические разведки ↩
2. ТЗИ - техническая защита информации ↩

Защита данных на сетевом уровне. Протоколы защиты данных на сетевом уровне

Для обеспечения безопасности данных при их передаче по публичным сетям, используются различные технологии защищенного канала.

Защищенный канал подразумевает выполнение 3 основных функций:

• взаимная аутентификация при установлении соединения;
• защита передаваемых данных (шифрование);
• подтверждение целостности поступающих сообщений.

На сетевом уровне эта технология реализуется набором протоколов IPSec.

Ядро IPSec составляют три протокола:

• AH (Authentication Header – Аутентификация заголовка) – гарантирует целостность и аутентичность данных;
• ESP (Encapsulating Security Payload – инкапсуляция зашифрованных данных) – шифрует передаваемые данные, обеспечивая конфиденциальность, может также поддерживать аутентификацию и целостность данных);
• IKE (Internet Key Exchange – обмен ключами Интернета) – решает вспомогательную задачу автоматического предоставления конечным точкам защищенного канала секретных ключей).

Перед началом передачи устанавливается логическое соединение (протоколом IKE), которое носит название SA (Security Association) – безопасной ассоциации (содержит ключи аутентификации и шифрования, информацию о согласованных алгоритмах, срок жизни ключа, IP-адрес отправителя).

Протоколы AH и ESP могут защищать данные в 2-х режимах:

• транспортном;
• туннельном.

В транспортном режиме шифруются только данные IP-пакета, исходный заголовок сохраняется. Транспортный режим, как правило, используется для установления соединения между хостами. Он может также использоваться между шлюзами, для защиты туннелей, организованных каким-нибудь другим способом (например, L2TP).

В туннельном режиме шифруется весь исходный IP-пакет: данные, заголовок, маршрутная информация, а затем он вставляется в поле данных нового пакета, то есть происходит инкапсуляция. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети.

Что такое спецпроверка, специсследование и спецобследование

Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров (ГОСТ Р51275-2006).

Спецпроверка (Специальная проверка) - проверка объекта информатизации (технического средства) в целях выявления и изъятия возможно внедренных закладочных устройств. (ГОСТ Р50922-2006).

Специальная проверка состоит из следующих этапов:

• прием-передача технического средства, формирование исходных данных для составления программы проведения специальной проверки;
• разработка программы проведения специальной проверки технического средства;
• проведение технических проверок;
• анализ результатов и оформление отчетных документов.

Специсследование (Специальное исследование объекта защиты информации) - исследование, проводимое в целях выявления технических каналов утечки защищаемой информации и оценки соответствия защиты информации (на объекте защиты) требованиям нормативных и правовых документов в области безопасности информации. (ГОСТ Р50922-2006).

При специальных исследованиях проводятся следующие виды работ:

• специальные исследования побочных электромагнитных излучений и наводок;
• дозиметрический контроль с помощью стационарного рентгенографического оборудования;
• специальные исследования линий электропередач;
• специальные исследования акустических и виброакустических каналов.

Спецобследование (Специальное обследование) – это комплекс инженерно-технических мероприятий, проводимых с использованием специализированных технических средств, с целью выявления возможно внедренных электронных средств съема информации в ограждающих конструкциях, мебели и предметах интерьера защищаемого помещения. (Бузов Г.А., Калинин С.В., Кондратьев А.В. Защита от утечки информации по техническим каналам)

Основные этапы специального обследования:

• Визуальный осмотр помещения;
• Технические мероприятия по выявлению "подозрительных" сигналов;
• Локализация возможных точек расположения закладных устройств;
• Непосредственно поиск закладных устройств;
• Формирование заключения о проведении СО.

Мандатное разграничение доступа

Механизмы управления доступом являются основой защиты ресурсов, обеспечивая решение задачи разграничения доступа субъектов к защищаемым информационным и техническим ресурсам - объектам. В качестве субъектов в простейшем случае понимается пользователь.

На практике наличие механизмов управления доступом необходимо, даже если в системе может находиться только один прикладной пользователь. Это вызвано тем, что, как правило, в системе должен быть также заведен пользователь с правами администратора, который настраивает параметры системы защиты и права доступа к ресурсам защищаемого объекта. При этом у администратора принципиально иные права, чем у прикладного пользователя.