Информационная безопасность
Цель:
Организация и внедрение комплекс мер и системы по обеспечению информационной защиты и подготовки к выполнению требований по защите персональных данных.
Компания имеет более 1500 сотрудников, как и во всех компаниях среднего размера, имеет большое количество зданий и помещений разного уровня безопасности. Для решения задачи фиксации входа сотрудников в помещение на тот момент использовалась стандартная система контроля доступа с ключами RFID меткой.
Так же в компании использовались системы видеонаблюдения с аналоговыми камерами без всяких систем анализа.
Система контроля доступа в целом уже фиксировала приход сотрудников на работу, но контроль только картами доступа, имеет слабые места. К примеру карточкой сотрудника мог войти любой другой человек, если на это точке не присутствует физически сотрудник отдела внутренней безопасности, то пройти может любой человек с картой.
План работ по реализации поставленной цели:
-
Введение универсальной карты для использования в системе контроля доступа и системы авторизации в доменной сети(смарт-карта)
-
Регистрация сотрудников при входе через турникет по картам доступа и по системе видеосистемы, с распознаванием лиц и сопоставление с номер карты владельца
-
Собственная разработка системы опросов СКУД и сопоставление с учетной записью сотрудника при попытке авторизации в доменном каталоге
-
Вход в доменную систему используя смарт-карту, с автоматической блокировки при уходе сотрудника с рабочего место
-
Многоуровневый контроль доступа к документам(использование модуля MS AD RMS)
-
Внедрение Смарт-Карт
По работе с смарт-картами была выбрана компания Интеллектуальные системы управления бизнесом.
Для начало тестирования системы были выбраны следующие считыватели и карты с нанесением порядкового номера и логотипом компании.
ACR38U-l1 Смарт карта ESMART Token CS64k + RFID-метка
Так же стартовый комплект ESMART для Windows
Таким образом, решен вопрос по пункту 1. Единая карта для СКУД и для авторизации в доменной сети
-
Регистрация сотрудников по системе СКУД и видеосистемы с сопоставлением между двумя базами
ИТ Департаментом было решено объединить систему контроля доступа и систему видеонаблюдения. Аналоговые камеры и регистраторы были заменены на цифровые камеры RVi с высоким разрешением, чтобы система могла распознавать лица сотрудников с максимальной вероятностью.
Для распознавания лиц и интеграции с системой СКУД, было принято решение использовать систему «Интелект», с интеллектуальным модулем «Распознавание лиц». Система очень проста в применении и имеет приятный интерфейс.
Далее требовалась привести в актуальное состояние разные базы данных с ФИО, должность сотрудников, номера карт, фотографии и сопоставлять их межу собой. Эта задача для нас стала самой трудозатратой.
В режиме верификации лицо человека, воспользовавшегося карточкой-пропуском или каким-либо другим идентификатором личности для прохода через турникет или дверь с электронным замком, сравнивается с фотографией владельца пропуска, хранящейся в базе данных. Таким образом, можно выяснить является ли человек пытающий получить доступ, тем, за кого он себя выдает.
-
Разработка системы опросов СКУД и сопоставление с учетной записью сотрудника при попытке авторизации в доменном каталоге
Так как мы сопоставили базы данных СКУД с учетными записями в Active Directory. То у нас появляется возможность опросить базу СКУД и тем самым понять, присутствует ли сотрудник на рабочем месте. И наша система может при авторизации в AD отправлять запрос в базу СКУД, в случаи отсутствия там информации о сотруднике на «сегодня» отправлять на почту сотруднику систему внутренней безопасности оповещение об инциденте.
-
Вход в доменную систему используя смарт-карту, с автоматической блокировки при уходе сотрудника с рабочего место
Эта задача самая простая, так как здесь нужно только настройки групповой политики AD и ничего более, кроме как знаний системного администратор.
-
Многоуровневый контроль доступа к документам(использование модуля MS AD RMS)
Для организации защиты документов было решено использовать стандартный функционал серверной операционной системы MS Windows Server 2008 R2 с модулем
Какие задачи решаются:
Защита секретных данных. Для более эффективной защиты секретных данных используется AD RMS в приложениях типа текстовых процессоров, клиентах электронной почты и бизнес-приложениях. Пользователи и администратор могут определять, кому разрешены открытие, изменение, печатать, пересылка и другие действия с данными. Администраторы могут создавать настраиваемые шаблоны политик использования типа «Конфиденциально - только для чтения», которые можно напрямую применять к данным.
Постоянная защита. AD RMS усиливает существующие средства периметровой защиты, такие как брандмауэры и списки управления доступом (ACL), для более эффективной защиты информации путем блокирования прав использования в пределах самого документа, контролируя использование данных даже после открытия документа получателями, для которых он предназначен.
Таким образом ИТ департамент решил установленные задачи собственными силами не привлекая консалтинговых компаний и вполне доступными и недорогими системами и оборудованием.
|