Особо следует отметить, что в составе БП имеется еще одно помещение, не являющееся производственным, — это комната охраны, или так называемая мониторная, которую мы уже упоминали выше. К помещению мониторной МПС предъявляет жесткие требования по безопасности, не менее строгие, чем к хранилищу БП (об этих требованиях будет рассказано ниже).
МПС рекомендуют БП иметь следующий минимальный набор производственных помещений в зоне повышенной безопасности HSZ:
1) хранилище (Vault);
2) серверная (Server room);
3) эмбоссерная (Embossing room);
4) комната генерации ключей (Keys room)[105];
5) комната распечатки ПИН-конвертов (PIN-mailer room);
6) комната уничтожения (Destruction room);
7) помещение подготовки к приему/передаче: раскладка и упаковка (package room).
Все глухие окна в зоне должны быть из небьющегося стекла либо оборудованы стальными решетками; все открывающиеся окна в Зоне должны быть оборудованы контактными датчиками и металлической сеткой, препятствующей передаче материалов из зоны за пределы здания.
Каждое помещение зоны должно быть оборудовано датчиком движения, соединенным с системой сигнализации. Все двери помещений зоны должны быть оснащены датчиками и оборудованы доводчиками, звуковыми сигналами, активизирующимися автоматически при открывании двери более чем на 30 с.
Доступ к помещениям зоны должен быть только через шлюз или турникет либо другие устройства, уверенно гарантирующие строгое исполнение требования функциональности «проход по одному человеку» (one-by-one) и управляемые посредством логического подхода, биометрии или иными устройствами, обеспечивающими адекватный уровень безопасности.
Генерацию ключей можно осуществлять в серверной.
Активация входных/выходных дверей датчика СКД должна осуществляться картридером совокупно с работой ПО СКД, гарантирующим невозможность повторного прохода (anti pass-back) — если карта СКД зарегистрирована внутри помещения, невозможно по этой же карте еще раз войти туда же, сначала необходимо выйти.
1) активация внешнего картридера;
2) открытие и закрытие первой двери шлюза или входа к турникету;
3) регистрация присутствия человека в шлюзе или помещении с управляемым турникетом;
4) открытие и закрытие второй двери шлюза/помещения с турникетом;
5) регистрация отсутствия человека в шлюзе или помещении с управляемым турникетом;
6) регистрация на сервере факта прохода человека и генерация события, гарантирующего невозможность повторного прохода (anti pass-back).
Шлюз — это заводская конструкция (в просторечии — «стакан»), предназначенная для обеспечения прохода с соблюдением режимов:
1) проход по одному человеку (one-by-one);
2) невозможность повторного прохода (anti pass-back);
3) контроль веса и объема проходящих лиц (невозможность пронести одним человеком другого на закорках под одеждой) (anti piggy-backing).
Согласно действующим требованиям МПС в шлюзе должна быть реализована так называемая мультифакторная аутентификация (карта СКД + биометрия: отпечаток пальца, сканирование радужной оболочки глаза, взвешивание).
Участки персонализации и рассылки предназначены исключительно для эмбоссирования, кодирования, персонализации карт, внедрения и персонализации микропроцессоров, а также для рассылки продуктов МПС. Для выполнения данных задач могут использоваться отдельные помещения; в этом случае к каждому из них предъявляются следующие требования безопасности.
Эти помещения или участки должны быть полностью изолированы и постоянно закрыты, за исключением только доступа и выхода уполномоченных сотрудников. Двери в эти помещениях не должны вести за пределы здания, за исключением пожарных выходов, оборудованных сигнализацией. Необходимо наличие видеокамер наблюдения во всех таких помещениях.
Помещение, в котором производится вычисление ПИНов, их генерация и вывод на печать (ПИН- мэйлерная), должно быть отдельным и располагаться в зоне повышенной безопасности. Дверь в это помещение должна быть оборудована СКД на вход и выход, наряду с системой обеспечения невозможности двойного прохода, управляемой сервером, регистрирующим все перемещения. Дверь должна быть оборудована доводчиком, автоматически ее закрывающим. В случае открытия двери более чем на 30 секунд автоматически должен срабатывать тревожный звуковой сигнал.
Программное обеспечение (ПО) СКД должно быть реализовано таким образом, чтобы гарантировать проход в помещение строго один за другим и только для уполномоченных сотрудников. Помещение должно быть оборудовано внутренним датчиком движения, который должен активировать систему сигнализации каждый раз, когда последний сотрудник покидает помещение. Программный счетчик, регистрирующий карты СКД на вход и выход, должен протоколировать события с картой по окончании каждого цикла доступа (активация по считыванию карты, открытие и закрытие двери).
Необходимо настроить логику ПО СКД в соответствии с набором правил dead man logic.
В обоих случаях тревожным оповещением должен быть местный звуковой сигнал. Дополнительно по окончании рабочего времени необходимо направлять сигнал во внешнее охранное подразделение. Необходимо наличие внутренней видеокамеры наблюдения, постоянно соединенной с системой видеозаписи.
Поле зрения камеры должно охватывать зону входа в помещение и общий вид производимых действий внутри его. Эта камера не должна иметь возможности изменения фокусировки и масштабирования во избежание попадания конфиденциальных данных, таких как номера и сроки действия карт, в поле зрения сотрудников охраны/SCR.
Сотрудники БП, вовлеченные в процедуры генерации, печати и раскладки ПИН-конвертов, не должны привлекаться к работам, связанным с персонализацией, кодированием и эмбоссированием соответствующих карт.
Требования безопасности к серверной (комнате генерации ключей) аналогичны требованиям к помещению персонализации/распечатки ПИН-конвертов.
Главное хранилище является объектом высшей категории безопасности всего БП. Стены хранилища должны быть изготовлены из армированного бетона (минимум 15 см) или материалов, обеспечивающих аналогичные прочность и стойкость. Ни одна из стен хранилища не должна быть внешней стеной здания. Наличие окон не допускается.
Хранилище должно быть оборудовано внутренними датчиками движения и достаточным количеством вибродатчиков, способными обнаруживать и регистрировать сотрясения стен, пола и потолка. Необходимо наличие видеокамеры наблюдения. Хранилище должно быть оборудовано основной усиленной сталью дверью, оснащенной механизмом из двух механических или электронных замков, требующим физического одновременного присутствия минимум двух человек для получения доступа.
Открытие двери хранилища должно всегда осуществляться только двумя сотрудниками; необходимо наличие минимум двух замков и хранителей ключа от двери хранилища. Хранилище должно быть
