Контакты
Подписка
МЕНЮ
Контакты
Подписка

СКУД + ИТ: интеграция неизбежна

В рубрику "Комплексные решения. Интегрированные системы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

СКУД + ИТ: интеграция неизбежна

Насколько актуальна интеграция физического и логического доступа в настоящий момент? Какие преимущества такой интеграции могут уже сегодня получить заказчики? На эти и другие вопросы отвечают представители компаний рынка ИТ и систем безопасности
А.А. Гинце
Директор по связям с обществен-ностью компании "ААМ Системз"

Интегрированные системы безопасности давно и прочно обосновались на рынке и перестали быть экзотикой или прихотью отдельных "продвинутых" заказчиков. Об этом мы писали на страницах журнала еще в 2008 г. Спустя два года профессионалы от СБ и ИТ сходятся во мнении о том, что конвергенция необходима, а традиционные проблемы в области взаимодействия департаментов ИТ и СБ заказчика решаются объединением на уровне топ-менеджмента.

1. Является ли интеграция СКУД и систем информационной безопасности насущной необходимостью или это неактуально в настоящее время?

2. Допустимо ли использование для СКУД существующих на предприятии каналов коммуникации? Или для систем безопасности необходимо прокладывать отдельные каналы связи?

3. Какие функции, связанные с взаимодействием СКУД и ИБ, поставщики могут предложить потребителям уже сейчас и в ближайшем будущем? Какие функции наиболее важны?

4. Существуют ли проблемы в области эксплуатации таких интегрированных систем, связанные с разделением сфер ответственности между ИТ-отделом и службой безопасности компании? 5. Единый идентификатор для СКУД и информационных систем безопасности — насколько это актуально? Если да, то какая технология является для этого наиболее подходящей?

СКУД + ИБ: актуально?

Ярослав Бартон
Региональный менеджер по продажам компании HID Global (Центральная, Восточная и Южная Европа)

Интеграция физической и информационной безопасности уже происходит. Сегодня заказчики понимают, что сильно рискуют, защищая свою ИТ-инфраструктуру с помощью одних лишь паролей, и поэтому все чаще прибегают к использованию двойной аутентификации.

Единый идентификатор может содержать фотографию пользователя и применяться как карта доступа, ключ для открывания дверей и второй фактор аутентификации для подключения к корпоративной ИТ-сети. Эффективность такого интегрированного решения очень велика. Постоянно носить с собой множество карт доступа крайне неудобно. А когда для множества приложений сотрудник использует единую карту, то и обращается с ней более ответственно.

Какие каналы связи использовать?

Наиболее распространенным видом коммуникации между дверями и контроллерами СКУД продолжает оставаться отдельный канал, по которому в одном направлении осуществляется передача данных от считывателя с интерфейсом Wiegand и мониторинг состояния двери, а в обратном — сигнал от запирающего устройства. Для организации более защищенного соединения по одной витой паре используется последовательная передача сигнала.

Многие контрольные панели и считыватели поддерживают открытый протокол OSDP, который во многих случаях является более предпочтительным (по сравнению с Wiegand). Использование протокола TCP/IP приносит дополнительные преимущества, например возможность передачи сигнала СКУД и видеонаблюдения по единой ИТ-сети. Некоторые считывали СКУД могут не только подключаться к серверу по IP, но и запитываться по технологии PoE.

Какие функции важны?

Интеграция физического и логического контроля доступа уже сейчас обеспечивает снижение издержек благодаря использованию единого идентификатора и повышению уровня безопасности данных, сотрудников и активов компании. ИТ-департаменты получают дополнительное преимущество — возможность доступа пользователей к корпоративной ИТ-сети только после успешного прохождения пункта физического контроля доступа (Location Based Authentication). Такое решение гарантирует, что пользователь находится перед своим компьютером, и позволяет предотвращать несанкционированный доступ к ИТ-ресурсам компании через Интернет.

Службы ИТ и СБ: есть проблемы?

Технологии обеспечения безопасности физических и ИТ-активов развиваются параллельно, независимо друг от друга, и обычно являются средствами различных департаментов компании-заказчика. Подобная разобщенность увеличивает риски. Единственным правильным путем организации системы безопасности компании является объединение ИТ- и физической безопасности в рамках единой стратегии управления рисками, которая предполагает тесное сотрудничество служб ИТ и СБ. Уже сейчас многие компании содержат единую службу, обеспечивающую безопасность по обоим направлениям.

Востребован ли единый идентификатор?

В настоящее время единый идентификатор представляется наиболее оптимальным решением. Он позволяет упростить процесс управления доступом и одновременно повысить безопасность ресурсов компании. При наличии единого идентификатора пользователь должен всегда иметь его при себе для открытия дверей, поэтому он не может оставить его в каком-либо считывателе или USB-устройстве. В отличие от паролей, которые многие пользователи вопреки рекомендациям записывают на бумаге.


СКУД + ИБ: актуально?

А.В. Шаповалов
Руководитель проекта компании "ААМ Системз"

Интеграция СКУД и систем информационной безопасности в настоящее время, как правило, не востребована. Но постепенно ситуация изменяется, и заказчик все чаще требует такую интеграцию.

Какие каналы связи использовать?

В общем случае допустимо, при достаточном уровне информационной защиты существующих каналов связи. Другое дело, что добиться этого "достаточного уровня" порой бывает сложнее, чем проложить отдельные каналы. Обычно это связано с отсутствием квалифицированных кадров в службе безопасности для обеспечения приемлемого уровня информационной безопасности. Не стоит также забывать о том, что "невозможно проникнуть снаружи в сеть СКУД, если она физически не подключена к каналам предприятия" (и любым другим тоже). На ситуацию влияет и наличие ряда государственных требований к построению СКУД, которые четко определяют, что каналы СКУД должны быть отдельными от каналов предприятия. Тем не менее, думаю, существующие каналы предприятия будут использоваться все чаще. Не в последнюю очередь на это повлияет и тенденция создания территориально распределенных СКУД в крупных компаниях.

Какие функции важны?

Данный спектр решений будет развиваться, на мой взгляд, в сторону дополнительной защиты доступа пользователей к компьютерам. В общем, рано или поздно это станет нормой в крупных компаниях, которые беспокоятся о своей информационной безопасности.

Службы ИТ и СБ: есть проблемы?

Проблема в области эксплуатации интегрированных систем, вне всякого сомнения, есть и, к сожалению, она довольно распространена. Как правило, это связано с отсутствием в службе безопасности компании грамотных ИТ-специалистов.

Востребован ли единый идентификатор?

Единый идентификатор для СКУД и ИБ сейчас практически не востребован, но в связи с общей тенденцией к интеграции интерес к таким решениям скорее всего будет расти.


СКУД + ИБ: актуально?

Е.С. Кин
Менеджер по развитию бизнеса компании Nedap Security Management

Безусловно, грамотная интеграция СКУД с информационной системой безопасности на объекте заказчика дает неоспоримое преимущество комбинированного решения, которое позволяет использовать информацию о физическом местонахождении пользователя, предоставляемую системой контроля доступа в качестве условия доступа в информационную сеть компании. Актуальность этой задачи не вызывает сомнений, поскольку простейшие решения на основе считывателя бесконтактных карт, ограничивающего доступ к ПК сотрудников компаний-клиентов, успешно предлагаются на рынке безопасности уже более десяти лет. На данный момент ведущие производители систем безопасности предлагают качественно новые решения для совместной работы этих систем. Речь идет о конвергенции идентификации пользователей, сетевого доступа и физической/логической безопасности.

Какие каналы связи использовать?

На мой взгляд, нецелесообразность и опасность использования существующей сетевой инфраструктуры заказчика для внедрения в нее системы безопасности (в частности, СКУД) сильно преувеличивается (за редким исключением, когда речь идет о специальных режимных объектах). Думаю, проблема заключается не только в том, что компаниям-инсталляторам очевидна явная выгода в получении от заказчика дополнительного подряда на прокладку сетей. Вопрос заключается в отсутствии на нашем рынке большого количества предложений полноценных сетевых решений СКУД, позволяющих решать эти задачи в рамках уже существующих на объектах сетей, не предлагая при этом компромиссов в вопросах защищенности всего решения в целом. Основным доводом для скептиков при обсуждении вопросов интеграции систем в существующей сети является мнение о недостаточной защищенности соединений по протоколу TCP/IP. Известным и проверенным в ИТ-индустрии решением данной проблемы является организация защиты обмена данными между компонентами IP-системы при помощи VPN-соединения по SSL-протоколу.

Безусловно, эта задача не является простой, но в любом случае при грамотной реализации сетевого протокола в контроллерах СКУД вам становятся доступны все имеющиеся на рынке ИТ-методы информационной защиты.

Какие функции важны?

Совместные решения, объединяющие контроль физического и логического доступа направлены прежде всего на обеспечение потребностей систем безопасности крупных предприятий во всесторонней и удобной аутентификации пользователей.

Компании стремятся объединить возможности всех компонентов своей системы безопасности и других приложений, работающих в корпоративной сети, с целью получения полной картины положения дел на объекте. Интеграция между СКУД и системой защиты информации значительно упрощает для организаций задачу создания и внедрения в жизнь общей политики безопасности своего имущества и активов компании, предлагая оптимальное решение для доступа и аутентификации пользователей.

Наша компания рассматривает вопрос такой интеграции более широко, включая в него и аспекты защиты информации на бумажных и прочих носителях, которые подразумевают контроль за личными ячейками/шкафами/ящиками столов сотрудников компаний-клиентов.

Службы ИТ и СБ: есть проблемы? Уверен, что проблем при эксплуатации таких решений возникнет не больше, чем обычно. В любом случае от современных менеджеров по безопасности с каждым днем требуется все больше и больше знаний современных ИТ-техноло-гий. Сам же по себе этап согласования использования сетевой инфраструктуры объекта между службами ИТ и ИБ обычно зависит от множества внешних факторов, зачастую совершенно не связанных с предметом согласования напрямую…

Востребован ли единый идентификатор?

С позиций СКУД, именно с попыток разнообразных внедрений единого идентификатора для доступа к ПК и прохода в офисные помещения и началась интеграция СКУД и информационных систем безопасности. Наиболее популярными для этих целей сейчас являются Smart-карты с разнообразными алгоритмами шифрования имеющейся на них информации. Зачастую идентификация в таких интегрированных решениях (как и в обычных СКУД) дополняется верификацией персонального PIN-кода пользователя или аутентификацией его биометрических признаков.


СКУД + ИБ: актуально?

А.В. Крячков
Директор по продуктам компании "Аладдин Р.Д."

Интеграция систем СКУД и ИБ позволяет достичь перехода количества
в качество, поднять безопасность предприятия на новый уровень. От подобной интеграции в первую очередь выигрывает система ИБ. Например, при использовании единой карты доступа сотрудника (RFID-метка и Smart-карта в одном пластике) можно задавать новые правила, согласно которым сотрудник не сможет получить доступ к информационным ресурсам с компьютера/терминала, находящегося в помещении, в которое он вначале не прошел по RFID-метке.

Интеграция систем ИБ на уровне единого идентификатора позволит повысить эффективность управления правами сотрудников. Это предоставит следующие возможности:

  • ограничить или запретить доступ к информационным ресурсам предприятия, если пользователь вошел в корпоративную сеть вне помещения предприятия, не отметившись на электронной проходной;
  • автоматически блокировать ПК при выходе сотрудника из кабинета;
  • запретить выход из помещения в случае невыполнения правил компьютерной безопасности (например, если, покидая рабочее место, сотрудник не закрыл конфиденциальные документы, не завершил работу в приложениях и т.п.);
  • блокировать доступ к информационным ресурсам при срабатывании режима СКУД "доступ под принуждением";
  • запретить или ограничить доступ к информационным ресурсам при нарушении режима Antipassback во время пропускания человека в зону доступа (это "мягкий" режим контроля повторного входа, когда нарушение фиксируется, но человек пропускается, или режим "ловушка", когда человек пропускается в помещение и блокируется в нем);
  • централизованно управлять правами физического и информационного доступа для выделенных групп сотрудников;
  • создавать консолидированную отчетность по фактам физического и информационного доступов и вести комплексный учет рабочего времени сотрудников.

Интеграция СКУД и систем ИБ — следующий уровень взаимодействия этих подсистем, повышающий эффективность каждой из них.

Какие каналы связи использовать?

Прокладывать новые физические коммуникационные каналы — дорого да и не всегда возможно. Целесообразно по максимуму использовать уже имеющиеся каналы, но трафик СКУД должен быть изолирован от остального трафика (например, за счет VPN-туннелирования). Для трафика СКУД должны быть обеспечены как минимум целостность, аутентификация источника, гарантированная доставка сообщений прикладного уровня. Каналы должны быть физически защищены. Если данные условия не выполняются, то необходимо прокладывать отдельные коммуникационные каналы.

Какие функции важны?

В первую очередь — решения по усилению контроля логического доступа к информационным ресурсам (см. вопрос 1). Современные системы ИБ предоставляют возможность одновременно использовать различные устройства как биометрической, так и двух-факторной аутентификации (карты доступа + код) в рамках единого защитного комплекса. Это позволяет добиться максимального уровня защищенности там, где это необходимо, и сохранить "бюджетные" карты СКУД для рядовых сотрудников: каждой группе сотрудников может быть предоставлено соответствующее устройство, оптимально сочетающее затраты на организацию одного рабочего места и требуемые на данном месте меры безопасности.

Службы ИТ и СБ: есть проблемы?

Проблемы есть и будут. Насколько эти проблемы станут критическими и не помешают ли интеграции подсистем, зависит в первую очередь от того, какое место занимает служба ИБ в общей организационной структуре предприятия.

1. Имеется единая служба безопасности, а в ней подразделения ИБ и физической безопасности — проблем при интеграции СКУД и ИБ скорее всего не возникнет, так как есть единый руководитель.

2. Имеются служба физической безопасности и служба ИБ, возглавляемые различными руководителями, находящимися на примерно равных уровнях служебной иерархии и не подчиняющимися друг другу, — при этом очень высока вероятность возникновения конфликта. Возможны постоянные взаимные претензии ("Вы забили своим трафиком все каналы", "А вы купили не те карточки"), борьба за то, кто будет "рулить" системой и администрировать ее.

Востребован ли единый идентификатор?

Это интересное, актуальное и перспективное решение. В первую очередь нужно упомянуть Smart-карты или USB-ключи с интегрированными RFID-метками. Сотрудник не выйдет из помещения, не отсоединив Smart-карту/ключ от компьютера, что при грамотной настройке функций безопасности ОС вызовет блокировку рабочей станции. С другой стороны, сотрудник не сможет войти на рабочую станцию, предварительно не войдя в помещение, где она установлена, по радиометке. Но надо отчетливо понимать, что в ряде случаев подобная интеграция может привести к дополнительным расходам. Например, при использовании Smart-карт со встроенными радиометками и для визуального контроля доступа карту придется выводить из обращения при увольнении сотрудника. Точно так же при использовании USB-ключей со встроенными радиометками: при выходе из строя радиометки или ключа придется менять все устройство.


В.А. Нанобашвили
Заместитель директора департамента разработки программного обеспечения компании "АстроСофт"

СКУД + ИБ: актуально?

Да, она необходима.

Какие каналы связи использовать?

Можно использовать существующие каналы. Но нужно провести их аудит на соответствие современным стандартам безопасной передачи данных.

Какие функции важны?

Эффективное использование программно-аппаратного комплекса, оптимизация стоимости владения, централизованное администрирование, широкие возможности аналитики и отчетности.

Важно, чтобы решение было комплексным и позволяло выбрать оптимальный режим идентификации. А независимость от конкретных поставщиков оборудования и технологических платформ расширяет возможности для развития и интеграции.

Службы ИТ и СБ: есть проблемы?

Проблем можно избежать, если четко определить внутреннего заказчика данного проекта. Чаще всего это служба безопасности, а ИТ – исполнитель.

Востребован ли единый идентификатор? Наша практика показывает, что заказчики с помощью единого идентификатора могут решить сразу несколько задач: контроль безопасности доступа, учет рабочего времени, маршрутов пользователей по офису, производству, сетевым ресурсам.

По нашему мнению, будущее за биометрическими технологиями.


СКУД + ИБ: актуально?

Д.В. Казаков
Заместитель генерального директора ООО "ИТРИУМ СПб"

Конечно, интеграция является актуальной необходимостью, особенно для тех, кто уделяет внимание информационной безопасности. Интеграция СКУД объекта и систем ИБ может эффективно повысить уровень защищенности информационной системы и данных в ней, предотвращая несанкционированный доступ к информации и средствам.

Какие каналы связи использовать?

По старинке в большинстве систем безопасности и СКУД коммуникационные линии прокладывают в отдельной кабельной системе.

Причины: и привычка, и наработанные шаблоны проектирования, и квалификация. Но самой главной причиной является разделение проектов ИТ и СБ. Мне не известен ни один проект, который включал бы всю "слаботочку" — и телекоммуникационные системы, и системы автоматизации, и системы безопасности. А раз это разные проекты и разные проектировщики (кадры), то соответственно разные колодцы, каналы, шкафы и средства.

Какие функции важны?

Самая простая функция, которую уже могут предложить поставщики, — это использование одних и тех же карт и в качестве пропусков в СКУД, и "ключей" в системах ИБ. В первую очередь речь идет о картах двойного действия – бесконтактных и контактных Smart-картах, сдвоенных картах, сочетающих в себе функции бесконтактной идентификации и Smart-карту. Некоторые поставщики уже могут предложить взаимодействие системы СКУД с системой ИБ. В ближайшем будущем, возможно, появятся предложения по непосредственному взаимодействию сетевых контроллеров СКУД с системой ИБ.

Службы ИТ и СБ: есть проблемы?

Проблемы, вызванные разделением сфер ответственности и связанные с ним, существуют, и тем они жестче, чем сильнее дистанцированы эти службы. Такая ситуация наблюдается в компаниях с организационной структурой, в которой ИТ-подразделения и служба безопасности разделены на уровне топ-менеджмента. В противовес этому можно сказать, что в организациях, в которых направления информационной и физической безопасности находятся в компетенции одного топ-менеджера и согласованы с общей концепцией безопасности предприятия, проблем с созданием и эксплуатацией интегрированных систем почти нет.

Востребован ли единый идентификатор?

Конечно, единый идентификатор актуален, особенно для крупных предприятий или территориально распределенных организаций. Использование единого идентификатора помогает снизить издержки на издание, поддержание и управление пропусками персонала, управление физическим доступом, управление доступом к информации и в конечном итоге управление информационной безопасностью в инфраструктуре предприятия. На наш взгляд, наиболее подходящей является совмещенная технология контактных и бесконтактных Smart-карт.


При проведении опроса на тему интеграции СКУД и ИТ мы постарались представить мнения экспертов рынка безопасности, работающих в разных его сегментах. Это производители и разработчики готовых решений для интеграции, разработчики ПО для СКУД и ИСБ, а также представители ИТ-ин-дустрии, работающие по направлению информационной безопасности. Такой подбор экспертов связан прежде всего с желанием предоставить читателям широкий спектр мнений по данной проблеме и посмотреть на нее с различных сторон.

Анализируя ответы наших уважаемых экспертов, можно констатировать следующее. Фактически все эксперты, расходясь порой в оценках текущей ситуации, сошлись во мнении, что интеграция систем физического и логического доступа, безусловно, необходима и будет обязательно развиваться. Помимо очевидного удобства использования единого идентификатора, такое решение предоставляет пользователям новое качество – возможность логического взаимодействия подсистем безопасности и ИT-систем предприятия. Появляется возможность автоматизации действий и реакций за счет получения данных "от смежника" как в СКУД, так и в системе защиты доступа к корпоративной сети. Новый функционал получаемой системы повышает ее эффективность и, как следствие, безопасность. Простейший пример, который привел Ярослав Бартон, – "…доступ пользователей к корпоративной ИТ-сети только после успешного прохождения пункта физического контроля доступа (Location Based Authentication)". Возможно, интересной для пользователей будет и обратная функция – например, блокировка помещения в случае нарушения прав доступа к локальному компьютеру или серверу.

По каналам связи большинство экспертов сошлись во мнении, что вполне допустимо использовать уже существующие ИТ-сети. Представитель компании "Аладдин Р.Д." А.В. Крячков отдельно отметил, что "…трафик СКУД должен быть изолирован от остального трафика (например, за счет VPN-туннелирования)". При этом каналы должны быть физически защищены."Использо-вание протокола TCP/IP приносит дополнительные преимущества, – отметил Ярослав Бартон, – например, возможность передачи сигнала СКУД и видеонаблюдения по единой ИТ-сети". Евгений Кин акцентировал внимание на том, что проверенным решением в ИТ-сфере является защита обмена данными в IP-системе при помощи VPN-соединения по SSL-протоколу. Коротко говоря: не столь важно, какой канал связи использовать, важно, чтобы он был надежен и достаточно защищен.

Интеграция систем физического и логического доступа, безусловно, необходима и будет обязательно развиваться. Помимо очевидного удобства использования единого идентификатора, такое решение предоставляет пользователям новое качество – возможность логического взаимодействия подсистем безопасности и ИT-систем предприятия. Появляется возможность автоматизации действий и реакций за счет получения данных "от смежника" как в СКУД, так и в системе защиты доступа к корпоративной сети. Новый функционал получаемой системы повышает ее эффективность и, как следствие, безопасность

Вопрос о взаимодействии служб безопасности и ИТ-подразделений предприятий был не случаен, и многие эксперты отметили, что часто эти службы относятся к разным департаментам. В этом случае эффективность их взаимодействия обусловлена конкретной управленческой структурой компании. Многих проблем в этом случае можно избежать, объединив данные подразделения в единую службу с централизованным руководством, "обеспечивающую безопасность по обоим направлениям", как верно заметил Ярослав Бартон. По вопросу востребованности единого идентификатора все эксперты сошлись во мнении, что это перспективное решение, интерес к которому будет только расти.

Надеемся, что данный опрос позволит уважаемым читателям выработать свою позицию по вопросу интеграции систем безопасности и ИТ-систем.

Опубликовано: Журнал "Системы безопасности" #5, 2010
Посещений: 7464

В рубрику "Комплексные решения. Интегрированные системы" | К списку рубрик  |  К списку авторов  |  К списку публикаций