Информация – ценный актив, и его стоимость в современном мире растет постоянно. Хакеры объединяются в группировки, нацеленные на поиск новых способов обхода мер безопасности с целью хищения данных.

Параллельно совершенствуются методы контроля доступа к информации. Они обеспечивают физическое ограничение прохода в помещения, аппаратную защиту от неправомерного доступа к данным, программную защиту от несанкционированных проникновений в ИТ-систему.

Физический контроль допуска к оборудованию

Безопасность помещений предполагает ограничение доступа в них людей, не имеющих права знакомиться с информацией ограниченного пользования, которая там хранится. Классическая система с оформлением бумажных пропусков постепенно уступает место технологичным программным продуктам – СКУД (система контроля и управления доступом), в которых электронные пропуска одновременно решают задачи обеспечения безопасности и кадрового учета. Дальнейшее развитие технологий расширило применение биометрической идентификации (снимок сетчатки глаза, очертания лица, голос, отпечаток пальца) при входе на охраняемый объект. 

Электронные механизмы управления проходом помогают повысить уровень безопасности и снизить расходы на персонал. Сотрудников охраны заменяют электронные замки-считыватели, которые собирают информацию о посещениях (ФИО и должность посетителя, дата, время). В базе данных фиксируются и неудачные попытки проникновения с фиксацией причин отказа во входе. При этом на пульт охраны поступает сигнал о нештатной ситуации (дверь открыта без помощи электронного ключа, с использованием физической силы; дверь открыта более чем на установленный период времени, за который в помещение могли пройти несколько человек). 

Такая модель удобна, но не лишена недостатков. Сотрудники, имеющие доступ к базам данных, в которых содержатся сведения о перемещениях по объекту, могут внести изменения в журнал учета, скрыв факт несанкционированного проникновения. Этот риск нивелируется параллельным использованием систем видеозаписи, с тем ограничением, что записи с видеокамер просматривает отдельная служба.

Разработка СКУД включает следующие задачи:

• определение помещений, доступ в которые разрешается только ограниченному кругу лиц;
• выбор точек для размещения электронных замков. Среди объектов наблюдения – шлагбаумы и ворота, КПП, двери в помещения, лифты. Перечень зависит от принятой на предприятии политики безопасности. Обязательно нужно защитить вход в здание и помещения серверной. В банках и организациях, чья деятельность связана с использованием сведений, содержащих государственную тайну, электронные замки устанавливают практически во всех помещениях и кабинетах;
• определение процедуры идентификации – электронные пропуска или биометрия;
• утверждение порядка выдачи электронных пропусков; 
• выбор специализированного оборудования с учетом бюджета;
• разработка систем допуска лиц в помещения с ограниченными возможностями для входа – серверную, кассу, хранилище. Эта классификация зависит не от ранга пользователя в ИС и уровня допуска к объектам ИС, а от выполняемых им функциональных обязанностей;
• определение мест хранения информации о перемещениях, собираемой СКУД – сервер, облако, компьютер конкретного сотрудника;
• ранжирование пользователей по должностям и уровню доступа к данным;
• распределение прав доступа к информации между сотрудниками, подразделениями, ролями.

При разработке бюджета на оборудование нужно принять за основу мощность контроллера – операционного сердца системы, управляющего удаленными терминалами, собирающего и анализирующего данные, а также определить количество и тип считывателей. Чем больше карт или объектов, тем выше должна быть мощность контроллера.

Для запуска модели электронных пропусков необходимы считыватели смарт-карт. Они бывают бесконтактными и контактными. Первые работают по принципу радиопередатчика, настроенного на определенные частоты. Расстояние, на котором происходит считывание, зависит от характеристик чипа. Контактные считыватели требуют соприкосновения незащищенных контактов карты и считывателя, сейчас они используются реже. 

Биометрическая модель ограничения доступа к данным сложнее. Для ее работы нужны считывающие устройства с мощным чипом памяти. Объем памяти в этом случае должен быть больше, чем для считывания обычного цифрового кода. 

В биометрической модели в зависимости от типа конструкции идентификационные данные пользователя принимает:

• видеокамера – при распознавании по сетчатке глаза или контурам лица;
• микрофон – при распознавании по голосу;
• считыватель (сканер) – при обеспечении доступа по отпечатку пальцев.

Голос является самым ненадежным способом распознавания, так как может быть предварительно записан и предъявлен не носителем. 

При разработке алгоритмов биометрической идентификации нужно помнить, что идентификационные данные пользователей относятся к категории персональных и подлежат охране по закону.

Интеграция СКУД с другими системами учета и контроля

СКУД должна быть связана с системой пожарной и охранной сигнализации и иметь механизм отключения при подаче сигнала тревоги. Если системы безопасности сработали – все блокировки выходов должны быть сняты. Также ее часто интегрируют с системами учета рабочего времени и кадров, видеонаблюдением. 

В случае тесной интеграции с другими системами для обработки данных нужен мощный и надежный процессор. Поскольку выход СКУД из строя может парализовать работу предприятия, привести к несчастным случаям на производстве. 

Для профилактики сбоев нужно также разработать систему документации и стандартов качества управления СКУД. Требуется подробно описать регламенты хранения, резервирования, анализа и использования информации, дать определения инцидента безопасности, рассмотреть нештатные ситуации отказа в допуске или проникновения на объект посторонних лиц из-за халатности при программировании.

Некоторые компании расширяют функционал СКУД, подключая к ней датчики измерения температуры тела посетителей для санитарного контроля в период эпидемий. Встроенный инфракрасный измеритель температуры действует бесконтактно и с минимальной погрешностью. Результат выводится на дисплей. При повышенной температуре тела терминал откажет посетителю в доступе на объект. 

Такие системы устанавливают на крупных производственных предприятиях, в медицинских учреждениях, на военных объектах. Так, «Ростех» на ряде предприятий внедрил комплекс «Зоркий», обеспечивающий распознавание лиц и контроль температуры. Сотрудника не попадет на объект не только в случае, если он имеет повышенную температуру тела, но и тогда, когда он не надел защитную маску. 

Проблемы компаний с разветвленной структурой

Несложно создать систему передачи данных СКУД в рамках одного здания или производственной территории, где защищаемые объекты и инструменты считывания находятся в одной локальной сети. Сложнее, когда у организации множество филиалов и зданий в разных городах, а единый центр обработки информации расположен в главном офисе.

Каналы связи между удаленными объектами могут быть как оптоволоконными, так и спутниковыми, например, когда точка контроля доступа расположена на буровой вышке в море. В таких случаях сигнал по линиям связи часто распространяется с задержкой или с перебоями, может теряться. Возникает необходимость в распределенной системе, где центры контроля располагаются на большинстве объектов, а обмен данными между ними происходит по определенному регламенту. 

Стандарты качества СКУД

Качественно созданная и внедренная система обладает следующими функциями:

• контроль доступа с возможностью его отключения в случае чрезвычайной ситуации;
• контроль рабочего времени и передвижений сотрудников;
• повышение общего уровня безопасности на объекте;
• контроль доступа на удаленные, автономно расположенные объекты;
• обеспечение безопасности конфиденциальных данных и имущества организации;
• учет событий и инцидентов в журнале с защитой от неправомерного изменения информации;
• интеграция с ИТ-инфраструктурой, другими системами безопасности;
• внедрение различных уровней контроля для сотрудников разных рангов;
• масштабирование для организаций с разветвленной филиальной системой.

Каких ошибки важно избежать при проектировании системы контроля доступа к информации: 

• применение баз данных, не адаптированных или не совместимых с действующими информационными системами. Они имеют уязвимости, хорошо известные хакерам, и не соответствуют требованиями законодательства о персональных данных;
• не выстроенное или недостаточно выстроенное взаимодействие с базами данных кадрового учета. Информация в обеих системах не должна быть противоречивой и должна обновляться синхронно. Например, смена фамилии сотрудницы после замужества только в одной из систем может привести к ошибкам в учете рабочего времени;
• невозможность масштабирования на все филиалы из-за того, что на них установлено различное оборудование или программное обеспечение;
• отказ от организации единой системы управления, наличие нескольких разрозненных центров ответственности, что приводит к ее размытию.

Для устранения недостатков проектирования и их возможных последствий необходимо учесть следующие требования:

• архитектура системы должна быть открытой. Это позволит легко интегрировать в нее новые компоненты – оборудование, программные продукты;
• система должна легко мультиплицироваться на каждый филиал компании, а для этого требуется изначально устанавливать в филиалах единые программы и базы данных;
• система должна обеспечивать поддержку удаленных автономных объектов по тонким каналам TCP/IP (56 кбит/с);
• база для хранения данных должна быть на основе Oracle или MS SQL.

Некоторые компании подключают дополнительные опции для своей модели ограничения доступа к конфиденциальным данным. Они совмещают использование электронных карт на проходе в здание и при авторизации в информационной системе предприятия (как элемент двухфакторной идентификации пользователей). 

На рынке есть готовые СКУД. Одной из качественных считается OnGuard Enterprise от Lenel Systems. Но с учетом последних требований и рекомендаций по использованию российского ПО можно выбрать отечественные аналоги, например, от компании Rus Guard.  

Технические средства 

Защиту данных на серверах и рабочих станциях обеспечивают и технические средства. Сотруднику могут быть недоступны определенные опции оборудования, например, запись данных на съемное устройство. И наоборот, уровень его привилегий подчеркивается дополнительными возможностями (подключенный к его ПК принтер).

Среди наиболее часто используемых аппаратных средств для обеспечения безопасности секретных сведений электронные замки и устройства ввода идентификационных признаков (УВИП). Вместе с аппаратными средствами поставляется обеспечивающее их работу ПО. Если сервер или компьютер пользователя одновременно обеспечены обоими типами устройств, то желающий получить коммерческую тайну инсайдер не сможет этого сделать. Преодолеть две линии обороны сложнее, чем похитить логин и пароль.

Для получения доступа к компьютеру лучше использовать тот же механизм идентификации, что и в СКУД. Часто авторизация происходит при помощи электронных карт, считыватель для которых монтируется в корпус компьютера. 

Существуют контактные, бесконтактные и комбинированные механизмы идентификации. Они подразделяются по типу идентификационных признаков на биометрические и электронные.

В первом случае устройство (сканер), подключенное к компьютеру, считывает отпечаток пальца, очертание лица или сетчатки глаза, принимает голос пользователя. После этого система решает – отказать или разрешить доступ. Если для распознавания используется отпечаток пальца, часто применяются биометрические мыши. Но из-за высокой стоимости биометрические механизмы идентификации для доступа к компьютеру используют редко. 

Электронная карта или ее аналог обеспечивает идентификацию и аутентификацию пользователя до начала загрузки операционной системы. Если идентификация осуществляется по логину и паролю, на карту записывается электронный код, который считывает встроенное в клавиатуру или корпус компьютера устройство. Некоторые устройства применяют в качестве «ключа» подпись.

В основном на рынке представлены зарубежные аппаратные средства контроля доступа к данным, но появляются и российские разработки. 

Среди широко применяемых способов идентификации:

• iButton. Контактное устройство для опознавания представлено в более чем 20 моделях разных производителей. Микросхема, содержащая данные, защищена стальным корпусом, крепится к любому удобному носителю – брелоку, карте. Модели различаются по объему памяти. Время контакта со считывающим устройством не превышает 5 мс;
• смарт-карты. Радиочастоты генерируются чипом на основе стандарта MIFARE 1 S50 IC, бесконтактные модели срабатывают на расстоянии 10-15 см. Карты обладают уникальным серийным номером, распознавание которого также, вместе с электронным кодом пароля и логина, входит в процедуру идентификации. Невозможно записать несанкционированно полученный электронный код доступа на случайную смарт-карту и получить доступ к данным. Считыватели смарт-карт встраиваются в различные элементы архитектуры компьютера – клавиатуру, дисковод, корпус. Минус устройства в его недолговечности – незащищенный чип легко повредить;
• Proximity. Бесконтактные электронные инструменты распознавания с RFID-метками (radio-frequency identification – радиочастотная идентификация). Они производятся в виде брелоков, браслетов. Их преимущество в непрерывном излучении радиосигнала и возможности его считывания на расстоянии нескольких десятков сантиметров. Считывающее устройство обычно размещается в корпусе компьютера. Эти ключи долговечны, некоторые производители предоставляют пожизненную гарантию, но относительно дороги и слабо защищены от воздействия электромагнитных излучений;
• устройства на базе USB-ключей – токены. Контактные приборы не требуют приобретения считывателей, соединяются с USB-портом компьютера непосредственно или через кабель. Обычно имеют вид брелоков.

Также в качестве отдельного средства защиты применяют электронные замки – платы, встроенные в архитектуру компьютера. Среди российских разработок эксперты рекомендуют модели «Соболь». 

Программные способы защиты 

Сотрудники, работающие за ПК, также должны быть ограничены в доступе к конфиденциальным сведениям. Для этого применяются программные продукты, позволяющие присвоить каждому пользователю определенный ранг и установить уровень его допуска к закрытой информации, например, к персональным данным. С задачей могут справиться штатные средства все большинства операционных систем, но иногда требуется более надёжная защита.

Утилиты для ограничения доступа к ресурсам позволят установить перечень разрешенных программ, определить возможное время их запуска, заблокировать попытки пользователя перенастроить операционную систему. Существуют программы, блокирующие подключение внешних носителей или отдельных периферийных устройств. Часто используют ПО, которое блокирует работу компьютера или операционной системы в случае неправомерного доступа к базе данных или ее несанкционированного изменения.

Контролировать операции пользователей с чувствительными документами и отслеживать выданные им права доступа можно с помощью «СёрчИнформ FileAuditor».   

Системы управления базами данных также ограничивают доступ пользователей к информации определенной категории. Каждому пользователю или группе присваивается ранг, согласно которому они используют определенные категории данных.

Существуют утилиты, позволяющие заблокировать доступ к управлению файловой системой, запретить копирование, перемещение или уничтожение файлов и папок. Это гарантирует доступность данных для пользователей и клиентов. Вместе с этими средствами часто используют программы для создания секретных файлов или папок, видимых только пользователям с определенным уровнем доступа. В них часто хранятся персональные данные или сведения, имеющие характер коммерческой тайны.

***

Комбинация аппаратных и программных средств контроля доступа к закрытым данным способна решить большинство задач безопасности. Вместе с внедрением СКУД это способно полностью обезопасить организацию от утечки коммерческой тайны или хищения персональных данных.

03.11.2020