Контакты
Подписка
МЕНЮ
Контакты
Подписка

Защита СБ от преднамеренного силового электромагнитного воздействия

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Защита СБ от преднамеренного силового электромагнитного воздействия

Н.Б. Сафронов
Начальник отдела Санкт-Петербургского филиала ФГУП "НТЦ "Атлас"

Преднамеренное силовое электромагнитное воздействие (ЭМВ) необходимо рассматривать как новую угрозу системам безопасности и СКУД. Требования устойчивости СКУД к такому воздействию должны быть заданы в соответствующих национальных стандартах.

Угроза ЭМВ для систем комплексной безопасности

Общие тенденции развития рынка безопасности заставляют рассматриватьСКУД как один из основных элементов систем комплексной безопасности. Требования к СКУД должны предъявляться, исходя из комплекса базовых показателей и технических характеристик систем комплексной безопасности, формируемых на основе анализа возможных угроз.

Новой угрозой системам безопасности является преднамеренное силовое электромагнитное воздействие, осуществляемое в террористических или криминальных целях. В системе стандартов Международной электротехнической ко¬миссии (МЭК) в области электромагнитной совместимости введен в действие стандарт МЭК 61000-2-13; готовится еще ряд стандартов по защите технических средств от преднамеренного силового электромагнитного воздействия. В России с 2007 г. защита от преднамеренных силовых электромагнитных воздействий регламентирована основополагающими стандартами в системе защиты информации. Подготовлен к введению с 2008 г. национальный стандарт "ГОСТ Р Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования". В соответствии с планом национальной стандартизации на 2008-2010 гг. по линии ТК 362 предусматривается подготовка комплекса стандартов, определяющих организацию и содержание работ по защите автоматизированных систем от преднамеренных силовых электромагнитных воздействий, а также требования к средствам защиты и средствам обнаружения таких воздействий.

Согласно ГОСТ Р 50922-2007, преднамеренное силовое электромагнитное воздействие на информацию (ПД ЭМВ) является "несанкционированным воздействием на информацию, осуществляемым путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем".

От традиционных угроз преднамеренное силовое электромагнитное воздействие отличают:

  • дистанционность воздействия - позволяет совершать акцию на некотором удалении от объекта воздействия, в том числе из-за пределов зоны его защиты от традиционных средств;
  • "прозрачность" для ПД ЭМВ стандартных материалов строительных конструкций (железобетон, кирпич), являющихся границами охраняемых зон и помещений;
  • компактность исполнения, отсутствие явных демаскирующих признаков средств ПД ЭМВ;
  • возможность дистанционного управления (втом числе из-за пределов объекта) - позволяет распределять между разными исполнителями функции доставки средства воздействия и его проведение, выбирать наиболее критический с точки зрения последствий момент для совершения акции;
  • отсутствие признаков совершения акции с помощью ПД ЭМВ, позволяющих оперативно определить причину возникновения нештатной ситуации и принять адекватные меры по недопущению (уменьшению) неконтролируемых и нежелательных последствий;
  • возможность достижения цели акции путем ПД ЭМВ только при ее скрытном совершении.

Опасность преднамеренного силового электромагнитного воздействия для систем безопасности подтверждается в частности результатами исследований действующей СКУД, представленными в таблице. СКУД подвергалась облучению сверхкороткими импульсами электромагнитного поля длительностью импульса 150 пс, длительностью фронта 100 пс при частоте следования импульсов 1 кГц.

Анализ эффектов преднамеренного силового электромагнитного воздействия на СКУД позволяет сделать следующие выводы:

  1. Восприимчивость СКУД к ПД ЭМВ в виде сверхкоротких импульсов электромагнитного поля при уровнях поля, которые могут быть созданы малогабаритными излучателями.
  2. Полученный эффект блокировки (запирания) дверей при развитии ряда аварийных ситуаций (включая пожар) может привести к существенному ущербу и человеческим жертвам.
  3. Вывод из строя интерфейсов RS-485, служащих для связи с ПК, опасно потерей контроля над системой, непоступлением сигнала тревоги в службу охраны при дальнейших действиях нарушителей.

СКУД и защита информации от ПД ЭМВ

В требованиях нормативных документов угроза преднамеренного силового электромагнитного воздействия для систем комплексной безопасности ранее не рассматривалась, поэтому необходимо обратить внимание на положения ГОСТ Р 51 241-98 с целью его гармонизации с требованиями устойчивости к ПД ЭМВ автоматизированных систем в системе стандартов по защите информации. Это позволяет подойти к формиро-ванию комплекса базовых показателей и технических характеристик СКУД с позиции взаимной увязки различных видов и характеристик угроз.

СКУД - автоматизированная система, входящая в состав объекта информатизации, определяемого по ГОСТ Р 51 275-2007 как "совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров".

Защита информации на объекте информатизации основана на выявлении и учете факторов, которые воздействуют или могут воздействовать на защищаемую информацию в конкретных условиях. Преднамеренное силовое электромагнитное воздействие согласно ГОСТ Р 51275-2007 классифицируется как субъективный внешний фактор, направленный на "искажение, уничтожение или блокирование инфор¬мации с применением технических средств".

Исходя из характеристики и особенностей угрозы преднамеренного силового электромагнитного воздействия, его результат может быть охарактеризован через существующие понятия ГОСТ Р 51241 -98 "Вскрытие" и "Манипулирование" с распространением этих понятий не только на средства, но и на системы контроля и управления доступом.

МНЕНИЕ ЭКСПЕРТА

О.Ю. Никулин
Исполнительный директор компании KABA Gallenschuetz

"Пропасть слишком велика"

Существующий ГОСТ на СКУД, по сути, является неудачной попыткой объять необъятное. СКУД - это конгломерат большого количества разнообразных, собранных в единый комплекс, устройств - от преграждающих конструкций до программного обеспечения. Грамотно и всеобъемлюще описать этот "зоопарк" в одном стандарте практически невозможно, что, в общем-то, и подтвердил данный ГОСТ.

С чем приходится сталкиваться в реальной жизни? К примеру, крупный отечественный заказчик готовит техническое задание и пытается сформулировать свои требования к системе и те задачи, которые она должна решить.При этом он пытается использовать термины и требования, прописанные в стандарте. Что в результате? Заказчик сам путается в терминах и формулировках, путает интеграторов, которые предлагают в итоге не то, что заказчику нужно, а то, что они сами считают правильным. Результат - вместо внесения ясности и стандартизации ГОСТ вносит еще большую путаницу.

Для примера упомяну о таком важном требовании, как устойчивость к НСД. Средства СКУД, к которым формально относятся и турникеты, и шлюзовые кабины, и считыватели, и программные продукты, делятся на 3 класса устойчивости к НСД - нормальный, повышенный и высокий (п. 4.3.1). Однако далее оказывается, что средства СКУД делятся на 3 класса по устойчивости от НСД к информации (Приложение А), а еще есть показатели защищенности средств вычислительной техники от НСД к информации по классам защищенности (приложение Б). Более того, в ГОСТе идет ссылка на руководящий документ по защите информации, выпущенный Госкомиссией. Но руководящий документ - это не закон, это трактовка законов. Такая неразбериха приводит к тому, что интеграторы, представляющие рынок защиты информации, "пляшут" от софта, интеграторы, работающие на рынке физической защиты, "пляшут" от бронеконструкций, а в результате имеют разное понимание этой проблемы и оперируют разными терминами и классами. Крайне некорректно дается в ГОСТе классификация устройств преграждающих управляемых (УПУ) по устойчивости к разрушающим действиям. Что такое "защищенность от взлома одиночными ударами"? Где конкретные методы испытаний? Как регламентируется защищенность информации, содержащаяся на пластиковой карточке? Ответ по ГОСТу будет таким: идентификационный номер не должен быть написан на поверхности карточки: номер должен быть уникальным и не повторяться, код должен сохраняться в течение всего срока службы карточки. Проблема в том, что разработчики, к сожалению, едва ли слышали о карточках, на которые можно записывать информацию. Кроме ЕМ-marine и других примитивнейших технологий, где код записывается один раз на заводе, российские производители СКУД никаких карт не используют. Примитивная СКУД требует и примитивных компонентов.

ГОСТ отражает уровень развития отечественных технологий конца 1990-х и уровень "погружения" отечественных инженеров-разработчиков в общемировые знания о микропроцессорной технике.

Я не знаю ни одного случая, когда представитель иностранного производителя ссылался бы на данный ГОСТ. Дело в том, что ГОСТ и производители "говорят" на разных языках. Это все равно что профессора квантовой физики заставить вести лекцию в средней школе в терминах ньютоновской физики. Слишком была велика -да и остается по сей день - пропасть между отечественными СКУД и мировыми.

Каким же видится выход из сложившейся ситуации? Как говорит президент, надо сначала "отделить мух от котлет". Необходимо разделить ГОСТ на несколько документов. Нужен отдельный ГОСТ на карточки, на электронные компоненты, отдельный ГОСТ - на программное обеспечение, отдельный ГОСТ - на исполнительные и преграждающие устройства; необходим также единый документ, который описывает требования по совместимости.

По моему мнению, существующий ГОСТ Р 51 241-98 не просто устарел: он умер за 20 лет до своего рождения. Принимая во внимание зависимость Гостех-комиссии от государства, которое в свою очередь должно лоббировать развитие отечественных технологий, неправильно предлагать решать вопрос методом "хирургического вмешательства". Необходимо поднять уровень ГОСТа хотя бы до уровня технологий 15-20-летней давности. К примеру, если ГОСТ сделать под Apollo, мы получим реальное отображение сегодняшних требований 90% российских пользователей, которые и станут верхней планкой требований для российских разработчиков. А лет через пять можно будет и дальше двигаться.

Предложения по разработке нового ГОСТа по СКУД

Раздел 1 (область применения). В последнем абзаце к числу обязательных требований следует отнести требования устойчивости к преднамеренным силовым электромагнитным воздействиям.

Раздел 2 (нормативные ссылки). Дополнить: ГОСТ Р 50922-2007 "Защита информации. Термины и определения". ГОСТ Р 51275-2007 "Защита информации. Объекты информатизации. Факторы, воздействующие на информацию. Общие положения". ГОСТ Р "Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования".

Раздел 3 (Определения ...). Дополнить: Преднамеренное силовое электромагнитное воздействие - несанкционированное воздействие, осуществляемое путем применения источника электромагнитного поля, генераторов напряжения и тока, приводящее к наводкам в СКУД сигналов с амплитудой, длительностью и энергией, вызывающих нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем. Устойчивость СКУД к преднамеренному силовому электромагнитному воздействию - свойство СКУД в течение всего срока службы в заданных условиях эксплуатации выполнять свои функции и сохранять в пределах установленных норм свои параметры во время и после воздействия на нее. Изменить: "Вскрытие - действия, направленные на несанкционированное проникновение через СКУД, без его разрушения". "Манипулирование - действия, производимые с СКУД без их разрушения, целью которых является получение действующего кода или приведение в открытое состояние устройств СКУД. Системы контроля и управления доступа могут при этом продолжать правильно функционировать во время манипулирования и после него; следы такого действия не будут заметны. Манипулирование включает в себя также действия над программным обеспечением".

Раздел 4 (Классификация). Дополнить п. "4.2 Классификация систем КУД":

4.2.1 Системы КУД классифицируют по уровню защищенности системы от преднамеренного силового электромагнитного воздействия. Ввести дополнительно: классификацию систем КУД по защищенности от преднамеренного силового электромагнитного воздействия проводят в соответствии с условиями эксплуатации СКУД, перечисленными в Приложении к данной статье. Дополнить п. 4.4.2: класс защищенности системы от преднамеренного силового электромагнитного воздействия.

Раздел 5 (Общие технические требования). Ввести дополнительный подпункт: Требования устойчивости средств и систем КУД к преднамеренным силовым электромагнитным воздействиям. 1. Требования устойчивости к преднамеренным силовым электромагнитным воздействиям устанавливают к средствам и системам КУД в соответствии с ГОСТ Р ХХХХ-200Х". Требования включают: устойчивость к преднамеренным силовым воздействиям по сети электропитания на порты электропитания постоянного и переменного тока; - устойчивость к преднамеренным силовым воздействиям по проводным линиям связи на порты ввода-вывода сигналов и порты связи; - устойчивость к преднамеренным силовым воздействиям по металлоконструкциям на порты заземления и порты корпуса; - устойчивость к преднамеренным силовым воздействиям электромагнитным полем на порты корпуса, порты ввода-вывода сигналов и порты связи. 2. Требования, предъявляемые к средствам и системам КУД по устойчивости к преднамеренным силовым электромагнитным воздействиям определяют исходя из конкретных условий их эксплуатации на основе анализа модели воздействия и предварительных расчетно-экспериментальных оценок устойчивости средств и систем КУД к преднамеренным силовым электромагнитным воздействиям. 3. При формировании требований к средствам и системам КУД учитываются значения типовых параметров преднамеренных силовых электромагнитных воздействий, установленных в ГОСТ Р ХХХХ-200Х.

Качественные признаки классификации условий эксплуатации СКУД

Рассмотрим качественные признаки классификации условий эксплуатации СКУД применительно к возможности использования технических средств с целью преднамеренных силовых электромагнитных воздействий.

Класс 0. СКУД имеет контролируемую зону в нерабочее время. Электропитание СКУД осуществляется от общепромышленной низковольтной системы электроснабжения. В качестве коммуникационных каналов используются проводные линии. СКУД размещается в общем с другими организациями здании либо в разных с ними зданиях, объединенных кабельными сетями. В рабочее время доступ на объект для посторонних лиц не ограничен.

Класс 1. Технические средства и локальные системы СКУД размещены в помещениях, расположенных внутри контролируемой зоны. Электропитание СКУД осуществляется от общепромышленной низковольтной системы электроснабжения. В качестве коммуникационных каналов используются проводные линии. СКУД размещается в общем с другими организациями здании либо в разных с ними зданиях, объединенных кабельными сетями. Помещения оборудованы техническими средствами охранной сигнализации.

Класс 2. Защищенная СКУД, технические средства и локальные системы СКУД размещены внутри специально оборудованных помещений, которые расположены внутри контролируемой зоны. Электропитание СКУД осуществляется от общепромышленной низковольтной системы электроснабжения через трансформаторную подстанцию, размещенную вне контролируемой зоны. Коммуникационные каналы выполнены проводными линиями. СКУД размещается в общем с другими организациями здании либо в разных с ними зданиях, объединенных кабельными сетями. Помещения оборудованы техническими средствами охранной сигнализации.

Класс 3. Защищенная СКУД, технические средства и локальные системы СКУД размещены внутри специально оборудованных помещений, которые расположены внутри контролируемой зоны. Ограждающие конструкции помещений выполнены с учетом требований по снижению мощности внешних электромагнитных излучений. Электропитание СКУД осуществляется от общепромышленной низковольтной системы электроснабжения через трансформаторную подстанцию, размещенную в контролируемой зоне. В качестве коммуникационных каналов используются проводные линии. СКУД размещается в общем с другими организациями здании либо в разных с ними зданиях, объединенных кабельными сетями. Ограждающие конструкции защищаемых помещений соответствуют требованиям по устойчивости к взлому в соответствии с ГОСТ Р 51113-97. Помещения оборудованы техническими средствами охранной сигнализации. Все технические средства защиты сертифицированы в соответствии с установленным порядком.

Класс 4. Защищенная СКУД, технические средства и локальные системы СКУД размещены внутри специально оборудованных помещений, которые расположены внутри контролируемой зоны. Ограждающие конструкции помещений выполнены с учетом требований по снижению мощности внешних электромагнитных излучений. Электропитание СКУД осуществляется от общепромышленной высоковольтной системы электроснабжения через собственную трансформаторную подстанцию, размещенную в контролируемой зоне. В качестве коммуникационных каналов используются проводные линии. Вокруг помещений, в которых размещается СКУД, имеется охраняемая зона. Ограждающие конструкции защищаемых помещений соответствуют требованиям по устойчивости к взлому в соответствии с ГОСТ Р 51113-97. Помещения оборудованы техническими средствами охранной сигнализации. Все технические средства защиты сертифицированы в соответствии с установленным порядком.

Класс 5. Защищенная СКУД, технические средства и локальные системы СКУД размещены внутри специально оборудованных помещений, которые расположены внутри контролируемой зоны, снабжены системой экранирования, автономными источниками питания или электромашинными преобразователями, внешние линии связи выполнены оптоволоконными кабелями, подходящие извне к помещениям трубопроводы на вводе в них снабжены изолирующими вставками. Вокруг помещений, в которых размещается СКУД, имеется охраняемая зона. СКУД оснащена системой извещения о преднамеренном силовом электромагнитном нападении. Ограждающие конструкции защищаемых помещений соответствуют требованиям по устойчивости к взлому в соответствии с ГОСТ Р 51 113-97. Помещения оборудованы техническими средствами охранной сигнализации. Все технические средства защиты сертифицированы в соответствии с установленным порядком.

Класс Х. СКУД соответствует одному из основных классов, однако особыми условиями эксплуатации, устанавливаемыми специальными требованиями к этим системам, регламентируется необходимость защиты от ПД ЭМВ.

МНЕНИЕ ЭКСПЕРТА

В.В.Волхонский
Директор представительства ADI International

Советы разработчикам

Прежде всего, необходимо вспомнить о том, что давать советы - это дело неблагодарное. Как показывает жизненный опыт, многие воспринимают их как покушение на свои права, способности, знания и т.д., и, зачастую, даже осознавая свою неправоту, поступают вопреки всем советам. Поэтому подчеркну, что, во-первых, высказанные здесь предложения разработчикам новой версии ГОСТа, безусловно, являются моим личным мнением и носят характер обсуждения, а, во-вторых, все советы аргументированы.

Итак, какие недостатки имеет существующий стандарт? (Замечу сразу, что привожу лишь часть предложений).

Начнем с раздела 3 "Определения, обозначения и сокращения".

Любое определение некоего термина должно соответствовать следующим требованиям:

  • быть однозначным;
  • не содержать избыточности, лишних слов и лишней информации;
  • не содержать неоправданных ограничений;
  • не должно быть неоправданно привязанным к существующему уровню технической реализации.

В существующем стандарте только в первых 8 абзацах этого раздела одно и то же называется тремя разными терминами: "люди, транспорт и другие объекты", "люди или объекты", "субъект или объект". Позже появляются и другие термины - "лицо или группа лиц", например. Наверное, термин "субъект или объект доступа" (СОД) является наиболее общим и точным, который и разумно использовать везде в стандарте. В этом случае термин будет охватывать все возможные варианты СОД: людей, живых существ и разнообразные предметы.

Термин "доступ" имеет смысл несколько изменить, дополнить и определить как "перемещение СОД в некоторую зону или получение возможности взаимодействия с некоторым материальным или информационным ресурсом". Поскольку кроме перемещения "в некоторую зону" объекта или субъекта возможен, к примеру, еще и доступ к носителям информации, каналу связи и т.п. В этом случае определение будет более полным.

Не стоит в определениях конкретизировать то, куда осуществляется доступ - "помещения, здания и территории" - это частные случаи. Все это можно объединить общим понятием зоны доступа как части контролируемого объекта (помещение, территория, канал связи, область на носителе информации и т.д.).

Определение СКУД имеет смысл изменить следующим образом: "СКУД - это совокупность методов и средств контроля и управления доступом, функционирующих и взаимодействующих по определенным правилам". Методы -это то, как работает, а средства - это то, что работает (технические, программные, организационные и др.). Вводить понятие совместимости нет необходимости, потому что все равно не перечислить всех возможных совмести-мостей в каждом конкретном случае (например, может быть сигнальная или параметрическая совместимость, которые не учитываются в существующем стандарте). Если средства взаимодействуют, значит они обладают всеми необходимыми совместимостями.

Понятие "идентификатор" не совсем удачно -по смыслу слова это вещь, предмет, поэтому стоит выделить два понятия:

"Идентификационный признак (ИП) - набор характеристик и (или) параметров, содержащих информацию, достаточную для решения задач идентификации и аутентификации".

Идентификационный признак наносится на неко¬торый носитель информации - идентификатор.

"Идентификатор - носитель идентификационного признака. Это субъект или объект, чьи определенные характеристики или параметры служат признаками, по которым осуществляется идентификация и аутентификация".

То есть идентификатором - носителем идентификационных признаков - может быть либо сам субъект или объект доступа, либо специальный предмет, на котором тем или иным образом нанесены идентификационные признаки. Понятия вещественного и запоминаемого кодов стоит удалить. Код - это информация. "Вещественная" информация - что это такое? "Запоминаемый" - а если он записан? Это то же самое или нет?

Кроме термина "идентификация" имеет смысл ввести понятие "аутентификация", которому можно было бы дать следующее определение:

"Аутентификация - это процедура проверки правомочности владения субъектом или объектом предъявленным идентификационным признаком (ИП) на соответствующем носителе, идентификаторе".

"Устройство управляемое преграждающее" - этот термин не совсем удачный. Слово "управляемое" кажется лишним. Неуправляемого, наверное, не может быть в СКУД - это разве что забитая наглухо дверь. Может, имеет смысл ввести термин "устройство управления доступом"?

В понятии "Устройства ввода идентификацион¬ных признаков" сплошная конкретика, ограничивающая понятие - "... электронные устройства, предназначенные для ввода запоминаемого кода, ввода биометрической информации, считывания кодовой информации с идентификаторов". Разве не может быть, например, механических устройств ввода кода, которые встречаются, скажем, в домофонных СКУД? Или оптического считывателя? Проще и более общими словами определить его как "это устройство для ввода идентификационных признаков". И, возможно, следовало бы исключить из него сами идентификаторы, поскольку они представляют собой носители идентификационных признаков, а не часть устройства ввода.

Точка доступа в стандарте - "место, где ... осуществляется контроль доступа (например, турникет, кабина...)". Но "место" не может быть устройством (то есть турникетом, ..). Может, лучше сформулировать так:

"Точка доступа (ТД) - часть объекта, оборудованная соответствующими средствами, в которой осуществляется контроль и управление доступом".

Зона доступа - это, все-таки, наверное, не "совокупность точек доступа", а часть объекта? Так как разные точки доступа могут контролировать доступ в разные зоны (разные части) одного и того же объекта.

Понятие "уровень доступа" имеет смысл дополнить "календарными интервалами":

"Уровень доступа - совокупность разрешенных точек доступа и соответствующих временных и календарных интервалов".

При перечислении терминов, определяющих угрозы СКУД (взлом, вскрытие и т.д.), неудачным представляется термин "Наблюдение". Это только один из методов съема информации, он может осуществляться не только по визуальному, но и по акустическому, слаботочному, радио- и другим каналам. Поэтому лучше использовать термин "съем информации". Не учитывается в стандарте также такая серьезная угроза, как кража идентификатора.

Термин "устойчивость к взлому - способность конструкции противостоять разрушающему воздействию без использования инструментов, а также с помощью ручных и других типов инструментов". То есть без инструментов и с любыми инструментами. Вторая часть фразы не несет никакой дополнительной информации и может быть безболезненно удалена. Тогда:

"Устойчивость к взлому - способность конструкции противостоять разрушающему воздействию".

Может быть полезным и введение понятия "защищенность идентификатора" (или СКУД) -по аналогии с защищенностью радиоэлектронных систем, определив ее через скрытность использования идентификатора, устойчивость к несанкционированным действиям, сложность съема информации об идентификационных признаках и использования ее для НСД в СКУД.

Раздел 4. "Классификация". Вряд ли кто-то будет возражать, что классификация должна осуществляться по одному параметру в каждой группе, а не по нескольким одновременно. В ГОСТе имеется ряд таких недостатков.

Например, в п.4.1.4 (классификация по способу считывания идентификационных признаков) упоминаются "контактные - бесконтактные" способы, что понятно, но в том же пункте есть фраза "с ручным вводом", а это уже другой признак классификации. Ему должны соответствовать способы "с автоматическим и автоматизированным вводом".

Другой пример классификации в п. 4.2.5. "по виду объектов контроля". Во-первых, непонятно, что под этим подразумевается - объекты/субъекты доступа или то, к чему осуществляется доступ. Во-вторых, первый пункт классификации (для контроля доступа физических объектов) отвечает на вопрос, кто/что осуществляет доступ, а во втором пункте (для контроля доступа к информации) - ответ, к чему этот доступ.

Имеет смысл ввести классификацию по методам идентификации, основанным на наличии:

  • у субъекта/объекта средств идентификации (карты, пропуска, брелока и др.);
  • знания у субъекта цифрового или иного пароля;
  • у субъекта или объекта уникальных индивидуальных признаков (к примеру, биометрических признаков у человека или идентификационного номера двигателя у автомашины и т.п.),
поскольку именно используемые методы главным образом определяют устойчивость СКУД к несанкционированным действиям.

Не очень понятно деление СКУД на классы (раздел 5). Например, СКУД 1-3 классов должны иметь 2, 8 и 16 уровней доступа, соответственно и столько же временных интервалов. Однако, по данному ранее определению, уровень доступа включает в себя временные интервалы. Тогда что понимается под уровнем доступа - количество точек доступа? Если так, то классификация СКУД, которая базируется на признаке количества точек доступа и других количественных параметров, неудачна. Ведь может быть СКУД с малым количеством точек доступа (например, на атомную станцию), которая является системой очень высокого класса, хотя и содержит одну-две точки доступа. То есть по классификации ГОСТа это система 1 класса. В то же время могут быть системы с большим количеством точек доступа и низкой, с точки зрения несанкционированных действий в системе, надежностью. А по классификации это будет СКУД более высокого класса.

Поэтому представляется целесообразным, во-первых, исключить привязку таких количественных параметров, как число точек доступа, и ввести классификацию по количеству методов идентификации, одновременно используемых в системе. Например, карта+пароль или карта+пароль+биометрия. То есть по тем параметрам и характеристикам, которые непосредственно влияют на надежность СКУД.

Опубликовано: Журнал "Системы безопасности" #5, 2007
Посещений: 13644

  Автор

Сафронов Н.Б.

Сафронов Н.Б.

Начальник отдела Санкт - Петербургского филиала ФГУП "НТЦ "Атлас"

Всего статей:  1

В рубрику "Системы контроля и управления доступом (СКУД)" | К списку рубрик  |  К списку авторов  |  К списку публикаций