Требования к производственным помещениям (HSZ) БП
Производственными помещениями называются участки БП, в которых осуществляются следующие виды деятельности с картами МПС и связанными с ними материалами и компонентами:
1)изготовление (для сертифицированных заводов-производителей) заготовок карт;
2)персонализация карт: эмбоссирование и кодирование магнитной полосы;
3)сортировка и раскладка карт и ПИН-конвертов (компоновка продукции);
4)хранение заготовок и персонализированных карт банков — клиентов БП;
5)передача карт и ПИН-конвертов клиентам;
6)внедрение микропроцессоров;
7)любая комбинация вышеперечисленных видов деятельности.
К этим помещениям МПС предъявляют повышенные требования в части безопасности. В них ни при каких условиях не разрешен несанкционированный доступ. Необходимо, чтобы все карточные продукты и их компоненты, хранящиеся в таких помещениях, были постоянно защищены посредством известных устройств безопасности, контролем доступа и применением строгих мер двойного контроля и процедур аудирования. МПС сертифицируют БП или здание на производство карт (для производителей-заводов) при условии, что контролирующие устройства доступа позволяют однозначно отслеживать перемещения персонала, анализировать протоколы доступа к компонентам карточных продуктов, постоянное разделение обязанностей сотрудников, независимость заданий и физическое разделение между несколькими зонами повышенной безопасности.
Базовые принципы доступа в производственные помещения БП:
•доступ в помещения зоны повышенной безопасности (HSZ) должен быть разрешен только для лиц, которым это действительно нужно с целью выполнения производственных задач;
•доступ и проведение работ во всех помещениях зоны возможны только как минимум двумя сотрудниками (dual control).
Особо следует отметить, что в составе БП имеется еще одно помещение, не являющееся производственным,— это комната охраны, или так называемая мониторная, которую мы уже упоминали выше.
К помещению мониторной МПС предъявляет жесткие требования по безопасности, не менее строгие, чем к хранилищу БП (об этих требованиях будет рассказано ниже).МПС рекомендуют БП иметь следующий минимальный набор производственных помещений в зоне повышенной безопасности HSZ:
1)хранилище (Vault);
2)серверная (Server room);
3)эмбоссерная (Embossing room);
4)комната генерации ключей (Keys room)[105];
5)комната распечатки ПИН-конвертов (PIN-mailer room);
6)комната уничтожения (Destruction room);
7)помещение подготовки к приему/передаче: раскладка и упаковка (package room).
Все глухие окна в зоне должны быть из небьющегося стекла либо оборудованы стальными решетками; все открывающиеся окна в Зоне должны быть оборудованы контактными датчиками и металлической сеткой, препятствующей передаче материалов из зоны за пределы здания.
Каждое помещение зоны должно быть оборудовано датчиком движения, соединенным с системой сигнализации. Все двери помещений зоны должны быть оснащены датчиками и оборудованы доводчиками, звуковыми сигналами, активизирующимися автоматически при открывании двери более чем на 30 с.
Доступ к помещениям зоны должен быть только через шлюз или турникет либо другие устройства, уверенно гарантирующие строгое исполнение требования функциональности «проход по одному человеку» (one-by-one) и управляемые посредством логического подхода, биометрии или иными устройствами, обеспечивающими адекватный уровень безопасности.
Генерацию ключей можно осуществлять в серверной.
Активация входных/выходных дверей датчика СКД должна осуществляться картридером совокупно с работой ПО СКД, гарантирующим невозможность повторного прохода (anti pass-back)— если карта СКД зарегистрирована внутри помещения, невозможно по этой же карте еще раз войти туда же, сначала необходимо выйти.
Картридерыдолжны быть постоянно соединены с сервером, регистрирующим и протоколирующим все события с картами. Факты прохода через устройства контроля доступа и соответствующие им события ПО могут быть зарегистрированы сервером СКД только в конце цикла доступа входа/выхода. Цикл доступа в производственные помещения должен состоять по меньшей мере из следующих действий:
1)активация внешнего картридера;
2)открытие и закрытие первой двери шлюза или входа к турникету;
3)регистрация присутствия человека в шлюзе или помещении с управляемым турникетом;
4)открытие и закрытие второй двери шлюза/помещения с турникетом;
5)регистрация отсутствия человека в шлюзе или помещении с управляемым турникетом;
6)регистрация на сервере факта прохода человека и генерация события, гарантирующего невозможность повторного прохода (anti pass-back).