Europejskie normy PN-EN 60839-11-1:2014 i PN-EN 60839-11-2:2015 określają znowelizowane wymagania, jakie muszą spełniać elektroniczne systemy kontroli dostępu na terenie państw UE. Poniższy artykuł przedstawia najważniejsze założenia normy, uwzględniając m.in. określenie potencjalnego zagrożenia, stopniowanie zabezpieczeń w zależności od rangi centrum danych (data center) oraz funkcje specjalne na przejściach kontrolowanych.
Ocena ryzyka
Norma kładzie duży nacisk na analizę zagrożenia, która poprzedza rozpoczęcie planowania systemów bezpieczeństwa. Szczegółowa ocena ryzyka dla każdego przejścia pozwala rzetelnie określić stopień zabezpieczenia (security grade) i dobrać urządzenia, spełniające parametry określone w normie.
Dokument wyodrębnia następujące stopnie:
- Stopień 1 (niskie zagrożenie) – dotyczy miejsc, gdzie systemy bezpieczeństwa służą organizacji ruchu osób upoważnionych oraz nieupoważnionych, a także ochronie mienia o niskiej wartości. Zabezpieczenia tego poziomu służą przeciwdziałaniu intruzów o niewielkiej wiedzy na temat działania systemów ochrony, którzy nie dysponują dużym zapleczem finansowym. Przykładową placówką pierwszego stopnia może być hotel, gdzie podstawowymi środkami kontroli dostępu są karty magnetyczne, które nie wymagają identyfikacji nosicieli.
- Stopień 2 (zagrożenie od niskiego do średniego) – dotyczy miejsc, gdzie systemy bezpieczeństwa są bardziej rozbudowane w celu ochrony mienia oraz informacje przed intruzami o podstawowej wiedzy na temat działania zabezpieczeń. Instalacje stopnia drugiego wciąż pełnią funkcję organizacyjną, ale w kluczowych miejscach mogą wykorzystywać bardziej złożone systemy identyfikacji. Przykładowymi placówkami stopnia drugiego mogą być niewielkie firmy, gdzie potencjalną zdobyczą dla intruza nie jest tylko mienie materialne, ale informacje.
- Stopień 3 (zagrożenie od średniego do wysokiego) – dotyczy miejsc, gdzie systemy spełniają minimalną funkcję organizacyjną i skupiają się na ochronie zasobów o wysokiej wartości. Stopień trzeci zakłada ingerencje ze strony zorganizowanych intruzów dysponujących nie tylko wiedzą, ale również zasobami finansowymi, które umożliwiają przeprowadzenie skutecznego ataku na placówkę. Przykładem obiektu trzeciego stopnia są zakłady wytwórcze, placówki administracyjne oraz finansowe, operujące poufnymi informacjami o dużej wartości.
- Stopień 4 (wysokie zagrożenie) – dotyczy ochrony placówek cywilnych o najwyższym znaczeniu, obiektów wojskowych oraz infrastruktury krytycznej. Ten poziom zagrożenia przewiduje atak ze strony profesjonalnych intruzów, dysponujących szczegółową wiedzą na temat systemów protokołów bezpieczeństwa oraz dużym zapleczem finansowym – np. organizacje wywiadowcze lub terrorystyczne. Przykładowymi placówkami czwartego stopnia są systemy zaopatrzenia w wodę, żywność, infrastruktura medyczna oraz wojskowa.
Powyższe stopnie determinują jak złożony i dokładny powinien być elektroniczny system kontroli dostępu. Przykładowo czytniki biometryczne muszą charakteryzować się wskaźnikiem fałszywych akceptacji (FAR) poniżej 1% dla przejść 1. stopnia, 0,3% dla przejść 2. i 3. stopnia oraz 0,1% dla przejść w systemach 4. stopnia. Wyższe stopnie zagrożenia determinują również wykorzystanie funkcji dodatkowych na przejściach, takich jak blokada użyczenia (anti-passback), uwierzytelnienie podwójne (dual credential albo escort access) lub podwójna obecność (dual occupancy lub custodian access).
Hierarchia planowania systemu bezpieczeństwa
Opisujące system kontroli dostępu normy prezentują schemat przygotowania planu instalacji na podstawie czterech kategorii:
- Zasób – określa, co ma chronić konkretny system. Zasobami mogą być wartościowe przedmioty, ale również osoby, informacje, możliwość dostępu, naruszenia integralności itp.
- Zagrożenie – opisuje potencjalny charakter intruza, jego doświadczenie, zasoby, sposób ingerencji, potencjalny czas ataku itp.
- Ryzyko – analiza ryzyka pozwala ocenić prawdopodobieństwo wykorzystania podatności systemu na rozmaite czynniki – brak dostępu do zasilania, utrata kluczy dostępu itp. – oraz potencjalne szkody, spowodowane przez wyłączenie jednego lub wielu elementów instalacji bezpieczeństwa.
- Co należy zrobić? – ostatnia kategoria planowania ma na celu odpowiedzieć na wszystkie poprzednie etapy ze szczególnym uwzględnieniem czynników ryzyka. Faza ta ma na celu wykrycie oraz zredukowanie wszelkich podatności i ograniczyć potencjalne szkody.
Norma zwraca szczególną uwagę na stopniowanie ryzyka w przypadku centrów danych ze względu na ogromną rolę, jaką spełniają poufne i tajne informacje w dzisiejszym świecie. Najniżej w hierarchii stoją przedsiębiorstwa działające na rynku horyzontalnym, które wykorzystują centra danych jako wsparcie dla swojej działalności. Najwyższym ryzykiem – a przez to wymagające najbardziej złożonych systemów bezpieczeństwa – obarczone są firmy działające na rynku wertykalnym, dla których centra danych stanowią kluczową infrastrukturę – na przykład przedsiębiorstwa udostępniające skrzynki e-mailowe, media społecznościowe oraz wyszukiwarki.
| PN-EN 60839-11-1 |
Jeśli jesteś zainteresowany montażem elektronicznych systemów kontroli dostępu, skontaktuj się z nami!
Zobacz również: Jak zabezpieczyć dom przed włamaniem?
