Физическая безопасность бюро персонализации
Физическая безопасность бюро персонализации
Прежде всего следует оговорить такой существенный вопрос, как разделение понятия «услуги процессинга операций по картам» (маршрутизация, авторизация и клиринг) и собственно «персонализация карт». Как правило, все независимые процессоры (в терминологии международных платежных систем MSP, member service provider) предлагают целый пакет услуг, включающий как процессинг, так и персонализацию. Однако требования международных платежных систем (МПС) в части физической безопасности относятся именно к бюро персонализации (БП).
Немаловажно отметить, что если банк-спонсор оказывает своим банкам-агентам (аффилиатам) спонсорские услуги, включающие персонализацию карт, к помещениям персонализации банка спонсора МПС предъявляют требования, аналогичные требованиям к независимым бюро персонализации, сертифицированным МПС.
Напомним, что всех вендоров, предоставляющих услуги, связанные с банковскими (пластиковыми) картами, можно разделить на следующие большие группы:
1) изготовители карт (Manufacturers);
2) бюро персонализации (БП или third-party personalizers, TPP);
3) провайдеры авторизации и клиринга или независимые процессоры (MSP, member service provider);
4) провайдеры хранения, маршрутизации и обработки данных (DSE, Data Storage Entity, PG — Payment Gateways,) и пр.
Определение внешнего периметра
Прежде всего следует оговорить, что МПС осуществляют реальную проверку помещений бюро персонализации (БП), высылая специально обученных сотрудников для инспекции на месте. Обычно процедура занимает 2–3 рабочих дня, все расходы оплачивает само БП. Перед тем как вызывать проверяющих, необходимо направить в МПС план расположения БП и заполненный вопросник на английском языке. Вопросник включает такие сведения, как адрес БП, удаленность постов милиции (полиции) и пожарных, к нему прилагается план расположения (можно нарисованный от руки).
Согласно концепции МПС физическая безопасность БП разделяется на условные уровни, которые реализованы по принципу «матрешки»: для проникновения в святая святых БП — хранилище — необходимо последовательно пройти через все уровни. Это следующие объекты:
1) внешний периметр (забор или ограда);
2) вход в здание внутри внешнего периметра;
3) вход в помещения БП внутри здания;
4) вход в зону повышенной безопасности (high security area/zone, HSA/HSZ) в пределах БП;
5) вход в хранилище внутри HSZ/HSA.
Под внешним периметром обычно подразумевается забор, который должен быть внешней границей БП. Это требование особенно важно для вендоров, являющихся заводами — изготовителями пластика, имеющими у себя соответствующее оборудование и технологические линии именно по производству неэмбоссированного пластика. Поскольку заводы — изготовители пластика производят его в больших количествах, необходимо продумать логистику ввоза/вывоза готовых тиражей пластиковых карт (в том числе, неэмбоссированных) грузовыми автомобилями. В таких случаях необходимо наличие ворот, проходной, бюро пропусков именно на уровне внешнего периметра, а также зоны для загрузки и выгрузки крупногабаритных грузов (GTT, goods/tools trap).
Допускается, что внешним периметром БП является само здание. В таких случаях количество уровней безопасности сокращается с 5 до 4 (отсутствует первый, внешняя ограда).
Забор или стена внешнего периметра должны быть минимум 2 м высотой. Ворота, ведущие внутрь территории БП, должны контролироваться и управляться из помещения управления безопасностью (SCR, security control room, далее — Мониторная).
Ворота внешнего периметра должны быть постоянно закрыты полностью, исключая время впуска/выпуска автомобилей. Внешняя стена здания может считаться периметром, если она препятствует несанкционированному проникновению внутрь.
Необходимо вести письменную регистрацию событий, связанных с отключением сигнализации, отражая дату, время, сотрудников, которым необходим доступ, и цели получения доступа к оборудованию.
Контейнеры, находящиеся на территории БП и содержащие отходы (включая уничтоженные пластиковые карты), должны располагаться на охраняемой и защищенной от посторонних территории, гарантируя невозможность несанкционированного доступа к их содержимому.
Все точки входа на территорию БП должны быть обрудованы:
• системой контроля доступа (кард-ридер или биометрия), автоматически активирующей запирающий механизм дверей
• системой прохода mantrap («ловушка») со взаимно блокирующимися дверьми, обеспечивающей проход строго по принципу «один за одним» (one by one) для посетителей.
Требования к зданию БП
Здание БП должно располагаться в районе, обслуживаемом органами общественной и пожарной безопасности, причем время реагирования должно быть практически мгновенным. БП должно быть также оборудовано системой обнаружения вторжения. Система обнаружения вторжения должна быть оборудована резервным источником питания, гарантирующим работу минимум 48 часов в случае отказа основного питания.
Все внешние точки входа/выхода на территорию БП, включая грузовые и служебные, должны быть оборудованы смотровым глазком, бронированным стеклом или внешней камерой наблюдения, позволяющими сотрудникам охраны визуально контролировать прилегающие территории.
Все внешние входные и выходные двери здания БП, включая запасные, должны быть:
• оснащены системой датчиков, соединенных с сигнализацией;
• постоянно заперты или контролируемы электронным способом;
• усилены, где это возможно, для предотвращения вторжения (стальным листом или материалом эквивалентной прочности, в соответствии с местными требованиями по пожарной и гражданской безопасности).
Все точки доступа в здание с крыши должны быть закрыты на замок или иным образом и постоянно управляться изнутри, за исключением случаев проведения необходимых технических работ. Все точки входа/выхода c крыши должны быть оборудованы контактными датчиками с контролем доступа.
Любые окна (потолочный свет), люки, каналы вентиляции и системы охлаждения, имеющие выходы за пределы здания, должны быть заварены металлической решеткой, сеткой или металлическими перегородками, делающими невозможным несанкционированное проникновение внутрь.
Обозначения и вывески на здании не должны явно или скрытно обозначать, что в нем находится центр персонализации, а также что в нем обрабатываются конфиденциальные данные или есть иная связь с пластиковыми картами.
Процедуры доступа в помещения БП
Главный вход в БП должен приводить посетителей в тамбур (зона mantrap, которую мы уже упоминали выше) или зону приема, которые не допускают никакого физического контакта между посетителями и принимающим сотрудником или сотрудником охраны. В этой зоне посетители подлежат визуальной проверке; здесь же им выдаются бэджи и карты доступа для прохода на территорию БП.
Зона приема — пространство, предназначенное для ограниченного доступа посетителей во время их регистрации у принимающего сотрудника или в ожидании доступа для получения или передачи карт/заготовок.
Тамбур — помещение, оборудованное парой взаимно блокирующихся (interlocked) дверей. Любая из дверей тамбура может открыться только при условии закрытости другой двери. Допускается объединение помещений зоны приема и тамбура в одно.
Одновременное открытие обеих дверей тамбура возможно только при наступлении чрезвычайных событий (пожар, общая тревога, военные действия и прочее). Внешняя дверь тамбура должна находиться в зоне видимости камеры наблюдения. Эта дверь открывается либо по карте доступа системы контроля доступа (СКД) для прохода сотрудников, либо по команде из мониторной для посетителей/клиентов.
Попав в тамбур, посетитель или сотрудник оказывается в замкнутом помещении под наблюдением внутренней видеокамеры, все события регистрируются СКД. Сотрудники обычно сразу проходят на свои рабочие места, открывая вторую дверь тамбура своим пропуском (картой доступа СКД). Посетители же и клиенты оказываются в своеобразной ловушке, у них есть возможность общаться с сотрудником охраны, находящимся за зеркальным стеклом (или однонаправленной видимости) для уточнения цели визита, предъявления документов и получения карты гостя и бэджа посетителя.
Выйти из тамбура можно либо обратно (по карте для сотрудников или ожидаемых посетителей; по команде из мониторной — для нежелательных посетителей), либо пройти на территорию БП (по карте сотрудника или посетителя). Пока в тамбуре кто-то присутствует, двери не могут открываться по запросу снаружи (по сигналу с внешнего картридера СКД).
В помещения БП допускается проход посетителей, обслуживающего и технического персонала в производственные помещения при условии непрерывного сопровождения уполномоченным сотрудником в течение всего времени пребывания на территории бюро. Сотрудники БП могут проходить в производственные помещения через основной вход или через специальный проход только для сотрудников при условии, что проход в зону повышенной безопасности оборудован тамбуром или шлюзом, электронным методом регистрирующим и контролирующим доступ на индивидуальной основе.
Руководители БП должны разработать и обязать сотрудников использовать письменные инструкции по безопасности контроля доступа в служебные помещения. Положения этих инструкций должны четко разъясняться и комментироваться в ходе семинаров по безопасности (не реже чем раз в полгода). Каждые полгода эти инструкции должны анализироваться и обновляться с целью обеспечения их соответствия текущим требованиям и условиям ведения бизнеса.
Пройдя тамбур, посетители и сотрудники попадают в комнату ожидания. Сотрудники проходят на свои рабочие места, используя карты доступа СКД, посетители же ожидают своей очереди — передать заготовки карт, получить готовые, обменяться документами и др. Выход из комнаты ожидания возможен либо по карте доступа, либо по команде из мониторной; все события в этом помещении регистрируются камерами наблюдения.
Обычно комната ожидания (reception area) сообщается (имеет общие двери) с нижеследующими помещениями БП:
• тамбур/зона приема;
• помещение приема/передачи (goods/tools trap, GTT);
• шлюз для прохода в зону повышенной безопасности (HSA/HSZ);
• прочие помещения БП (например, кабинеты руководства, буфет, туалеты, комнаты сотрудников, не работающих в зоне повышенной безопасности).
Помещение приема/передачи (goods/tools trap, GTT)
GTT служит своеобразным интерфейсом для общения посетителей (клиентов, курьеров) с сотрудниками БП. Основное назначение этого помещения состоит в том, чтобы предотвратить физический контакт между сотрудниками БП и посетителями. Для этого используется уже известный механизм — взаимно блокирующиеся двери и СКД. Возможны два варианта построения GTT:
1) строгий — это два помещения, 3 двери, посетители и сотрудники БП могут находиться каждый только в своих помещениях GTT;
2) более мягкий — одно помещение, две двери (взаимно блокирующиеся), а также использование набора правил обработки событий, именуемого dead man logic:
• если в помещении никто не зарегистрирован (СКД), но от датчиков поступил сигнал о движении, должна сработать тревожная сигнализация;
• если в помещении зарегистрирована хотя бы одна карта, но нет движения в течение некоторого наперед заданного промежутка времени, также должна сработать сигнализация.
Все двери на участке приема/передачи, включая внешнюю, среднюю и внутреннюю двери, должны управляться электронным способом, взаимодействуя друг с другом, т. е. во время открытия любой двери две остальные должны быть надежно закрыты и контролируемы посредством СКД.
Необходимо установить систему переговоров («интерком») в обеспечение возможности отождествления прибывающих клиентов. Стена, отделяющая этот участок от HSZ, должна содержать бронированное окно для обмена документацией.
Сотрудники охраны или уполномоченные сотрудники БП могут управлять только внешней дверью GTT — после успешной идентификации прибывшего клиента и уведомления соответствующих сотрудников БП о предстоящей операции приема/передачи карт.
Две другие двери помещения, средняя и внутренняя, должны контролироваться либо только сотрудниками HSZ, либо ими же совместно с сотрудниками охраны (мониторной) посредством удаленного управления. Особенно важно, чтобы сотрудники охраны не имели возможности единолично управлять работой дверей GTT.
С целью предотвращения несанкционированного доступа в зоны повышенной безопасности через помещения участка приема/передачи зона раскладки и упаковки должна быть оборудована внутренним датчиком движения, блокирующим возможность открытия внутренней и средних дверей в случае обнаружения движения в пределах этого помещения.
Согласно требованиям МПС в GTT должны быть установлены камеры:
1) внешняя, покрывающая зоны внешней двери участка и разгрузки/ погрузки и прилегающей к ней территории;
2) две камеры внутри зоны упаковки, охватывающие переднюю и заднюю части прибывшего транспорта (для GTT заводов — производителей пластика);
3) одна камера внутри зоны упаковки, передающая изображения операций загрузки/разгрузки;
4) изображения, захваченные камерами, должны передаваться в мониторную, давая возможность сотрудникам охраны контролировать процессы разгрузки/погрузки и надлежащее поведение сотрудников БП;
5) эти же изображения также должны передаваться на монитор, расположенный возле бронированного окна в зоне упаковки, предоставляя сотрудникам HSZ возможность просматривать операции загрузки/погрузки.
Описание процедуры приема/передачи карт
Лицо, получающее карты, должно быть надлежащим образом идентифицировано сотрудниками охраны в процессе получения доступа на территорию БП. Для того чтобы осуществить передачу или прием материалов, необходимо письменное распоряжение руководителя БП.
Клиент (курьер, осуществляющий транспортировку карт и ПИН-конвертов) заранее уведомляет контактное лицо в БП о своем планируемом визите с указанием ФИО и даты/времени визита. Сотрудники охраны БП уведомляют уполномоченного сотрудника HSZ о необходимости произвести прием/передачу груза.
Курьер проходит через тамбур в помещение ожидания и в порядке очереди проходит в помещение приема/передачи (GTT). Сотрудники охраны разблокируют внешнюю дверь GTT, предоставляя клиенту возможность открыть ее и пройти в помещение.
Когда посетитель (курьер) проходит внешнюю дверь GTT, сотрудники охраны из мониторной блокируют внешнюю дверь. Далее сотрудники БП разблокируют среднюю дверь, предоставляя курьеру доступ к участку упаковки, в котором размещен груз, готовый к передаче (отгрузке). Сотрудники БП через бронированное окно передают курьеру необходимые сопутствующие документы и забирают подписанную им копию, подтверждающую факт получения груза. Посетитель под наблюдением камеры пересчитывает полученные карты и ПИН-конверты и забирает их вместе с сопроводительными документами. Далее посетитель покидает помещение GTT, сотрудник БП блокирует среднюю дверь, а сотрудник охраны разблокирует внешнюю дверь, позволяя посетителю покинуть участок приема/передачи и выйти в помещение ожидания. Все вышеописанные действия должны регистрироваться системами видеозаписи посредством камер слежения.
Требования к производственным помещениям (HSZ) БП
Производственными помещениями называются участки БП, в которых осуществляются следующие виды деятельности с картами МПС и связанными с ними материалами и компонентами:
1) изготовление (для сертифицированных заводов-производителей) заготовок карт;
2) персонализация карт: эмбоссирование и кодирование магнитной полосы;
3) сортировка и раскладка карт и ПИН-конвертов (компоновка продукции);
4) хранение заготовок и персонализированных карт банков — клиентов БП;
5) передача карт и ПИН-конвертов клиентам;
6) внедрение микропроцессоров;
7) любая комбинация вышеперечисленных видов деятельности.
К этим помещениям МПС предъявляют повышенные требования в части безопасности. В них ни при каких условиях не разрешен несанкционированный доступ. Необходимо, чтобы все карточные продукты и их компоненты, хранящиеся в таких помещениях, были постоянно защищены посредством известных устройств безопасности, контролем доступа и применением строгих мер двойного контроля и процедур аудирования. МПС сертифицируют БП или здание на производство карт (для производителей-заводов) при условии, что контролирующие устройства доступа позволяют однозначно отслеживать перемещения персонала, анализировать протоколы доступа к компонентам карточных продуктов, постоянное разделение обязанностей сотрудников, независимость заданий и физическое разделение между несколькими зонами повышенной безопасности.
Базовые принципы доступа в производственные помещения БП:
• доступ в помещения зоны повышенной безопасности (HSZ) должен быть разрешен только для лиц, которым это действительно нужно с целью выполнения производственных задач;
• доступ и проведение работ во всех помещениях зоны возможны только как минимум двумя сотрудниками (dual control).
Особо следует отметить, что в составе БП имеется еще одно помещение, не являющееся производственным, — это комната охраны, или так называемая мониторная, которую мы уже упоминали выше. К помещению мониторной МПС предъявляет жесткие требования по безопасности, не менее строгие, чем к хранилищу БП (об этих требованиях будет рассказано ниже).
МПС рекомендуют БП иметь следующий минимальный набор производственных помещений в зоне повышенной безопасности HSZ:
1) хранилище (Vault);
2) серверная (Server room);
3) эмбоссерная (Embossing room);
4) комната генерации ключей (Keys room)[105];
5) комната распечатки ПИН-конвертов (PIN-mailer room);
6) комната уничтожения (Destruction room);
7) помещение подготовки к приему/передаче: раскладка и упаковка (package room).
Все глухие окна в зоне должны быть из небьющегося стекла либо оборудованы стальными решетками; все открывающиеся окна в Зоне должны быть оборудованы контактными датчиками и металлической сеткой, препятствующей передаче материалов из зоны за пределы здания.
Каждое помещение зоны должно быть оборудовано датчиком движения, соединенным с системой сигнализации. Все двери помещений зоны должны быть оснащены датчиками и оборудованы доводчиками, звуковыми сигналами, активизирующимися автоматически при открывании двери более чем на 30 с.
Доступ к помещениям зоны должен быть только через шлюз или турникет либо другие устройства, уверенно гарантирующие строгое исполнение требования функциональности «проход по одному человеку» (one-by-one) и управляемые посредством логического подхода, биометрии или иными устройствами, обеспечивающими адекватный уровень безопасности.
Генерацию ключей можно осуществлять в серверной.
Активация входных/выходных дверей датчика СКД должна осуществляться картридером совокупно с работой ПО СКД, гарантирующим невозможность повторного прохода (anti pass-back) — если карта СКД зарегистрирована внутри помещения, невозможно по этой же карте еще раз войти туда же, сначала необходимо выйти.
Картридеры должны быть постоянно соединены с сервером, регистрирующим и протоколирующим все события с картами. Факты прохода через устройства контроля доступа и соответствующие им события ПО могут быть зарегистрированы сервером СКД только в конце цикла доступа входа/выхода. Цикл доступа в производственные помещения должен состоять по меньшей мере из следующих действий:
1) активация внешнего картридера;
2) открытие и закрытие первой двери шлюза или входа к турникету;
3) регистрация присутствия человека в шлюзе или помещении с управляемым турникетом;
4) открытие и закрытие второй двери шлюза/помещения с турникетом;
5) регистрация отсутствия человека в шлюзе или помещении с управляемым турникетом;
6) регистрация на сервере факта прохода человека и генерация события, гарантирующего невозможность повторного прохода (anti pass-back).
Понятие и описание шлюза
Шлюз — это заводская конструкция (в просторечии — «стакан»), предназначенная для обеспечения прохода с соблюдением режимов:
1) проход по одному человеку (one-by-one);
2) невозможность повторного прохода (anti pass-back);
3) контроль веса и объема проходящих лиц (невозможность пронести одним человеком другого на закорках под одеждой) (anti piggy-backing).
Согласно действующим требованиям МПС в шлюзе должна быть реализована так называемая мультифакторная аутентификация (карта СКД + биометрия: отпечаток пальца, сканирование радужной оболочки глаза, взвешивание).
Требования к помещениям персонализации и распечатки ПИН-конвертов
Участки персонализации и рассылки предназначены исключительно для эмбоссирования, кодирования, персонализации карт, внедрения и персонализации микропроцессоров, а также для рассылки продуктов МПС. Для выполнения данных задач могут использоваться отдельные помещения; в этом случае к каждому из них предъявляются следующие требования безопасности.
Эти помещения или участки должны быть полностью изолированы и постоянно закрыты, за исключением только доступа и выхода уполномоченных сотрудников. Двери в эти помещениях не должны вести за пределы здания, за исключением пожарных выходов, оборудованных сигнализацией. Необходимо наличие видеокамер наблюдения во всех таких помещениях.
Помещение, в котором производится вычисление ПИНов, их генерация и вывод на печать (ПИН-мэйлерная), должно быть отдельным и располагаться в зоне повышенной безопасности. Дверь в это помещение должна быть оборудована СКД на вход и выход, наряду с системой обеспечения невозможности двойного прохода, управляемой сервером, регистрирующим все перемещения. Дверь должна быть оборудована доводчиком, автоматически ее закрывающим. В случае открытия двери более чем на 30 секунд автоматически должен срабатывать тревожный звуковой сигнал.
Программное обеспечение (ПО) СКД должно быть реализовано таким образом, чтобы гарантировать проход в помещение строго один за другим и только для уполномоченных сотрудников. Помещение должно быть оборудовано внутренним датчиком движения, который должен активировать систему сигнализации каждый раз, когда последний сотрудник покидает помещение. Программный счетчик, регистрирующий карты СКД на вход и выход, должен протоколировать события с картой по окончании каждого цикла доступа (активация по считыванию карты, открытие и закрытие двери).
Необходимо настроить логику ПО СКД в соответствии с набором правил dead man logic.
В обоих случаях тревожным оповещением должен быть местный звуковой сигнал. Дополнительно по окончании рабочего времени необходимо направлять сигнал во внешнее охранное подразделение. Необходимо наличие внутренней видеокамеры наблюдения, постоянно соединенной с системой видеозаписи.
Поле зрения камеры должно охватывать зону входа в помещение и общий вид производимых действий внутри его. Эта камера не должна иметь возможности изменения фокусировки и масштабирования во избежание попадания конфиденциальных данных, таких как номера и сроки действия карт, в поле зрения сотрудников охраны/SCR.
Сотрудники БП, вовлеченные в процедуры генерации, печати и раскладки ПИН-конвертов, не должны привлекаться к работам, связанным с персонализацией, кодированием и эмбоссированием соответствующих карт.
Серверная (комната генерации ключей)
Требования безопасности к серверной (комнате генерации ключей) аналогичны требованиям к помещению персонализации/распечатки ПИН-конвертов.
Хранилище БП
Главное хранилище является объектом высшей категории безопасности всего БП. Стены хранилища должны быть изготовлены из армированного бетона (минимум 15 см) или материалов, обеспечивающих аналогичные прочность и стойкость. Ни одна из стен хранилища не должна быть внешней стеной здания. Наличие окон не допускается.
Хранилище должно быть оборудовано внутренними датчиками движения и достаточным количеством вибродатчиков, способными обнаруживать и регистрировать сотрясения стен, пола и потолка. Необходимо наличие видеокамеры наблюдения. Хранилище должно быть оборудовано основной усиленной сталью дверью, оснащенной механизмом из двух механических или электронных замков, требующим физического одновременного присутствия минимум двух человек для получения доступа.
Открытие двери хранилища должно всегда осуществляться только двумя сотрудниками; необходимо наличие минимум двух замков и хранителей ключа от двери хранилища. Хранилище должно быть постоянно закрыто на дверь и на замок — либо на основную дверь, либо на облегченный дневной вариант («day gate»), за исключением случаев, когда сотрудникам необходимо получить туда доступ по служебной необходимости. Дверь должна быть оборудована автоматически закрывающим ее доводчиком, и в случае ее открытия более чем на 60 с должен автоматически срабатывать тревожный звуковой сигнал — локальный и в мониторной.
Каждый факт доступа в хранилище и работа с хранящимися в нем материалами должны регистрироваться в журнале посещений хранилища и подтверждаться минимум двумя сотрудниками. Записи журнала посещения хранилища должны периодически подвергаться ревизии.
Если хранилище оборудовано основной стальной дверью и облегченным дневным вариантом, МПС настоятельно рекомендует установить два картридера СКД (на вход и на выход) или комбинацию картридера и кодового замка, работающих согласованно и на расстоянии минимум двух метров друг от друга (слева и справа от дневной двери хранилища). Цель установки такого варианта контроля доступа — возможность активации дневной двери с одновременным блокированием возможности сотрудникам миновать необходимую процедуру доступа только вдвоем.
Ключи от двери хранилища должны постоянно храниться в портативном сейфе (secure box) в мониторной под надзором сотрудников охраны или выделенного ответственного сотрудника БП. Ключи доступа к хранилищу или ключи доступа к любой части помещений зоны должны храниться под двойным контролем, это означает, что любые действия по передаче ответственности должны регистрироваться в особом журнале регистрации передачи ключей с указанием необходимых сведений и заверяться подписями двух сотрудников — передающего ключ и принимающего его. Хранители ключей производственных помещений не могут иметь доступа в помещения зоны.
При использовании хранилища для хранения нефинансовых карточных продуктов необходимо разделить его на части в обеспечение физического отделения конфиденциальных банковских материалов и данных (таких, как готовые карты, дискеты, ПИН-конверты, технические спецификации и задания на персонализацию карт) от прочих. МПС настоятельно рекомендует разделить хранилище на блоки для отдельного хранения различных продуктов, незаконченных пакетов работ, карт, ожидающих передачи. Также настоятельно рекомендуется примененять тележки-контейнеры («trolley containers») для хранения незаконченных дневных объемов карт.
Все коробки с картами должны быть опечатаны, на ящиках необходимо размещать наклейки с указанием типа продукта, уникального идентификатора, количества карт, а также даты последующей необходимой проверки (пересчета карт). Содержимое наклеек должно быть видимым через опечатывающую ящики прозрачную клейкую ленту.
Помещение для уничтожения карт и прочих материалов
Операции по уничтожению карт должны производиться под двойным контролем в отдельном выделенном помещении, расположенном в зоне. Дверь в это помещение должна быть оборудована датчиками входа/выхода, СКД должна обеспечивать невозможность повторного входа и регистрировать все события на центральном сервере. Дверь должна быть оборудована доводчиком. В случае открытия двери более чем на 30 с должен автоматически включаться звуковой сигнал.
СКД должна гарантировать возможность прохода в помещение только уполномоченных сотрудников; помещение следует оборудовать датчиками объема и движения, автоматически включающимися при выходе последнего сотрудника.
Обязательно наличие видеокамеры, регистрирующей вход в комнату и обзор процесса уничтожения карт.
Запасный выход, датчики, освещение, контроль периметра
В рабочее время сигнал от запасных выходов должен поступать либо в мониторную, либо на пульты пункта обслуживания централизованного мониторинга. В нерабочее время срабатывание сигнала датчика запасного выхода должно вызывать дежурный наряд милиции либо сотрудника пункта централизованного мониторинга или мониторной.
Датчики внешних дверей БП должны проверяться ежемесячно с регистрацией результатов таких проверок и хранением отчетов минимум в течение года. Тестирование батарей, используемых в генераторах местных звуковых сигналов, должно осуществляться еженедельно. Замена батарей должна осуществляться ежегодно или в соответствии с техническими спецификациями производителя.
Источники освещения должны освещать прилегающее к БП пространство, а также входы, зоны парковки и участки загрузки/разгрузки автомобилей. Осмотр источников освещения должен проводиться ежемесячно, результаты подлежат регистрации и хранению. Все внешние стены, окна, двери, прочие точки, через которые возможно попадание внутрь здания, должны быть оборудованы датчиками, позволяющими обнаружить факт вторжения: разбитие стекла, движения и др.
Деревья, телефонные мачты, заборы и прочие высокие предметы, расположенные вблизи границы, позволяющей получить доступ к крыше здания, должны быть удалены, перемещены или иным образом лишены возможности предоставить доступ к крыше БП.
Камеры наблюдения и видеозапись
Внешние камеры слежения должны быть наведены на все точки входа/выхода здания и позволять получать различимые изображения всех лиц, входящих или выходящих из БП. Сотрудники охраны должны визуально контролировать передаваемые камерами изображения в течение рабочего времени. Видеоматериалы (кассеты или файлы) должны храниться в течение минимум 90 календарных суток.
Внешние запасные выходы должны быть оборудованы местными звуковыми сигналами и находиться под электронным наблюдением 24 часа в сутки, передавая на мониторы охраны изображение с надписью «Наблюдение за запасным выходом с сигнализацией». Эти двери могут использоваться только в чрезвычайных ситуациях.
Необходимо, чтобы видеокамеры контролировали все помещения зоны. Камеры должны быть установлены во всех помещениях зоны. Все работы, выполняемые в зоне, должны регистрироваться посредством камер. Сотрудники должны быть уведомлены, что все их действия регистрируются и ведется видеозапись всех событий. Все камеры, мониторы и видеомагнитофоны должны работать надлежащим образом и выдавать ясные и четкие изображения. Камеры должны быть способны регистрировать события в темноте или темное время суток (в инфракрасном режиме или посредством автоматической подачи освещения в случае тревоги).
Мониторы наблюдения и видеомагнитофоны должны располагаться в мониторной (security control room, SCR). Видеокамеры должны быть постоянно соединены с:
• мониторами изображения в мониторной;
• системой сигнализации;
• системой видеозаписи, работающей непрерывно (24 ? 7).
Данные цифровых видеокамер должны копироваться для резервного хранения еженедельно. Каждое поле зрение камеры должно охватывать все виды деятельности, необходимые для адекватного обеспечения безопасности, — рекомендуемое чередование кадров каждые 3 с; позволять непрерывно контролировать критические участки производства.
Все внутренние камеры видеозаписи, как и центральная система видеозаписи, должны быть оборудованы возможностью автоматического включения видеозаписи при наступлении тревожных событий.
Видеозаписи должны храниться не менее 90 суток для возможного расследования инцидентов.
Комната охраны (мониторная, SCR)
Мониторная должна централизовать всю информацию о безопасности здания и сотрудников и регистрировать по меньшей мере:
1) сигналы систем противодействия вторжению, систем безопасности и прочих аналогичных систем;
2) сигналы от камер наблюдения;
3) сигнал кнопки тревожной сигнализации;
4) сигналы компьютерного контроля центрального доступа в помещения БП, регистрируя все перемещения сотрудников и посетителей, товаров, материалов и автомобилей;
5) сигнал пожарной тревоги.
Основная роль сотрудников охраны — осуществление постоянного (по крайне мере в рабочие часы) контроля вышеперечисленных пунктов, функционирования систем безопасности, а также поведения людей с целью поддержания высокого уровня безопасности здания, оборудования и сотрудников, а также незамедлительного уведомления руководства о любых отклонениях от норм. Согласно требованиям МПС, SCR является вторым по значимости объектом БП после хранилища!
Сотрудник охраны или дежурный сотрудник мониторной должны присутствовать в часы осуществления производственных работ. Однако, в дополнение к функциям охраны, разрешается нагружать сотрудников мониторной такими задачами, как регистрация и первичный прием посетителей БП и ответы на телефонные звонки.
По окончании рабочего времени все устройства поддержания безопасности (включая включение/отключение тревожной сигнализации) должны контролироваться электронными средствами, либо собственной (внутренней) системой безопасности, либо внешним охранным предприятием. Это делается для получения уверенности в том, что в случаях выявления несанкционированного вторжения на территорию БП выполняются надлежащие процедуры наряду со своевременным уведомлением тревожного наряда милиции.
Необходимо разработать и исполнять четкое разделение обязанностей и разграничение между сотрудниками БП, занятыми на производстве, и сотрудниками охраны, находящимися на дежурстве. Сотрудники охраны не могут быть вовлечены ни в какие виды производственной деятельности БП и не могут иметь доступ в помещения, где хранятся, обрабатываются или используются карточные продукты и относящиеся к ним вспомогательные материалы.
Мониторная — одно из наиболее важных помещений всего БП. Мониторная должна быть всегда расположена вне зон ограниченного доступа и повышенной безопасности помещений БП в обеспечение разделения обязанностей и взаимной независимости сотрудников охраны и сотрудников, работающих в зоне повышенной безопасности. Помещение мониторной должно быть сделано из бетонных блоков или иных материалов аналогичной прочности. Мониторная должна быть оборудована внутренним датчиком движения.
Дверь в мониторную должна быть оборудована СКД на вход и выход наряду с ПО, контролирующим невозможность двойного прохода (anti pass-back), управляемым ПК и регистрирующим все перемещения. Программный счетчик, регистрирующий карты СКД на вход и выход, должен протоколировать события с картой по окончании каждого цикла доступа (активация по считыванию карты, открытие и закрытие двери).
Необходимо настроить логику ПО таким образом, чтобы срабатывал сигнал тревоги при обнаружении движения внутри помещения, в котором никто не присутствует (счетчик карт равен нулю), а также генерировать тревожный сигнал в случаях, когда отсутствует движение в помещении, в котором находится кто-либо (счетчик карт больше или равен 1 — dead man logic).
В обоих случаях тревога должна быть в виде местного звукового сигнала с подачей параллельного сигнала в мониторную и внешнюю охранную фирму или ближайший участок милиции.
Дверь в помещение должна быть оборудована доводчиком. В случае открытия двери более чем на 30 с должен автоматически срабатывать звуковой сигнал. Система контроля доступа должна быть запрограммирована на доступ строго по схеме «один за одним». Доступ в мониторную должен быть разрешен только ограниченному кругу лиц. Каждый входящий должен полностью проходить цикл входа/выхода.
Мониторная должна быть оборудована двумя линиями телефонной связи (одна из которых должна быть сотовой). В помещении мониторной должен быть установлен принтер для обеспечения возможности вывода на печать информации и отчетов о перемещениях сотрудников из системы мониторинга и контроля доступа БП. Мониторы должны непрерывно и в реальном времени отображать сведения о событиях и перемещениях карт доступа.
Все камеры наблюдения должны регулярно тестироваться на предмет качества изображения, подаваемого на мониторы. В случае случайного или намеренного отключения камеры на соответствующем дисплее в мониторной должно появляться сообщение «Изображение потеряно», сопровождаемое звуковым сигналом. Следует вести запись таких тестирований и хранить их минимум в течение года. Система видеозаписи должна быть синхронизирована по времени с ПК, протоколирующим все перемещения, входы и выходы. Кроме этого, система видеозаписи должна иметь возможность просмотра записанного видеоматериала без остановки режима обычной записи. Это обеспечивается использованием либо цифрового, либо дополнительного кассетного видеомагнитофона.
Необходимо тренировать сотрудников охраны, работающих в мониторной, для выработки навыков эффективной и быстрой работы с СКД и системой хранения видеозаписей с камер слежения.
В стене мониторной, являющейся общей с зоной приема или тамбуром БП, должно быть установлено окно обмена, служащее для приема/передачи ключей, карт СКД и документов между сотрудниками охраны и посетителями или сотрудниками БП, работающими в зоне повышенной безопасности, с учетом необходимости минимизировать физический контакт между сотрудниками охраны и посетителями/сотрудниками БП.
Окно обмена должно быть заклеено односторонней зеркальной фольгой или иным материалом, не позволяющим видеть снаружи происходящее в мониторной.
Тревожные кнопки (duress buttons)
Тревожные кнопки должны быть расположены в следующих местах:
1) вход сотрудников/посетителей (mantrap);
2) рабочее место регистрации посетителей, мониторная (SCR);
3) участок обмена заготовками/выдачи карт и ПИН-конвертов (GTT);
4) хранилище (Vault);
5) серверная (Server room);
6) помещение распечатки ПИН-конвертов (Package area).
При нажатии тревожной кнопки сигнал должен поступать либо в мониторную, либо в пункт внешней охраны или полиции, либо одновременно в обе инстанции. Необходимо ежеквартально проверять работоспособность тревожных кнопок. Результаты проверок должны протоколироваться и храниться в течение отведенного времени.
* * *
Физическая безопасность бюро персонализации является одним из фундаментальных условий, гарантирующих состоятельность вендора и надежность хранения материалов и персональных данных клиентов банков. Требования по физической безопасности регулярно пересматриваются платежными системами, как правило в сторону ужесточения. Все сертифицированные БП подлежат ежегодному аудиту на соответствие текущим требованиям к физической безопасности со стороны МПС. Несоблюдение текущих требований влечет к отзыву сертификата соответствия и исключению из списка сертифицированных вендоров.