Правила пропускного режима на предприятии: Организация пропускного режима ⋆ ГардИнфо

Содержание

Организация пропускного режима ⋆ ГардИнфо

Пропускной режим – это комплекс организационно-правовых ограничений и правил, устанавливающих порядок пропуска через контрольно-пропускные пункты в отдельные здания (помещения) фирмы сотрудников объекта, посетителей, транспорта и материальных средств, при котором исключается возможность бесконтрольного прохода (проезда), вноса (выноса) материальных ценностей. пропускной режим регламентирует:

  • установку и оборудование определенных мест (КПП) для прохода (проезда) на территорию (с территории) охраняемого объекта;
  • порядок допуска на территорию объекта рабочих и служащих данного объекта и посетителей;
  • контроль за вывозом (выносом), ввозом (вывозом) продукции и материальных ценностей;
  • перечень должностных лиц, имеющих право выдачи и подписи всех видов пропусков для прохода (въезда-выезда) на территорию охраняемого объекта;
  • порядок оформления материальных пропусков;
  • порядок допуска на охраняемый объект в выходные и праздничные дни;
  • оборудование камер хранения личных вещей и площадок для личного автотранспорта.

Вся ответственность за организацию пропускного режима в фирме возлагается на руководство службы охраны. Практическое осуществление пропускного режима возлагается на сотрудников охраны, которые должны знать установленные на объекте правила пропускного режима, действующие документы по порядку пропуска на объект (с объекта) сотрудников и посетителей, ввоза (вывоза) товарно-материальных ценностей. Пропускной режим может быть установлен как в целом по объекту, так и в отдельных корпусах, зданиях, отделах, хранилищах и других специальных помещениях.

В целях осуществления пропускного режима на территории объекта и в его структурных подразделениях приказом директора предприятия утверждается перечень категорированных подразделений (помещений). В этих помещениях устанавливаются специальный режим и повышенная ответственность за его соблюдение работниками этих подразделений. Допуск в эти помещения осуществляется строго по списку, согласованному со службой охраны. Прием посетителей сторонних организаций и предприятий, как правило, максимально ограничивается.

Во всех помещениях категорированных подразделений должны быть вывешены списки работников, имеющих доступ в эти помещения. Все помещения по окончании работ осматриваются дежурными по подразделениям и лицами, ответственными за их противопожарную безопасность.

По окончании рабочего дня категорированные помещения запираются на замок, опечатываются и сдаются под охрану. представитель охраны поверяет сигнализацию в присутствии работников, сдающих помещение.
Ключи от этих помещений в опечатанных пеналах сдаются под расписку начальнику караула.

Получение ключей, вскрытие помещений, оборудованных охранной сигнализацией, производят лица, имеющие право вскрытия этих помещений с предъявлением постоянного пропуска. Списки лиц, имеющих право вскрывать (закрывать) указанные помещения, с указанием номеров печатей, которыми опечатываются помещения, и номеров служебных телефонов подписываются начальником подразделения и утверждаются начальником службы безопасности.

Все лица, пытающиеся пройти через КПП без предъявления пропуска, по чужому или неправильно оформленному пропуску, пронести на объект (с объекта) запрещенные предметы, задерживаются сотрудниками охраны.


По каждому факту задержания начальник караула или дежурный по объекту составляет служебную записку о нарушении пропускного режима.
Пропускные документы

При разработке инструкции о контрольно-пропускном режиме определяются виды и группы пропусков, которые будут действовать на данной фирме (предприятии). В настоящее время на предприятиях помимо картонных пропусков широко используются пластиковые электронные пропуска.

На крупных предприятиях, как правило, устанавливаются несколько видов пропусков, дающих право прохода сотрудников и посетителей на территорию фирмы, вноса (выноса), ввоза (вывоза) товарно-материальных ценностей – удостоверения личности, пропуска.

Пропуска могут быть постоянные, временные и разовые для сотрудников и посетителей, а также материальные для ввоза (вывоза) материальных ценностей.

Постоянные пропуска выдаются сотрудникам объекта, принятым на постоянную работу, а также работникам других организаций, которые постоянно обслуживают объект. Постоянные пропуска могут делиться на группы, их количество и назначение определяется инструкцией о пропускном режиме. Постоянные пропуска могут храниться как на руках у сотрудников объекта, так и в кабинах на КПП.

Постоянные пропуска лиц, убывающих с объекта на длительное время (отпуск, болезнь, командировка и пр.) сдаются на хранение в бюро пропусков (отдел кадров), а при хранении таких пропусков в кабине КПП на ячейке (где хранится пропуск) делается соответствующая отметка.

В случае утраты постоянного или временного пропусков, лицо, утратившее пропуск, обязано сообщить об этом руководителю объекта или начальнику охраны, который принимает срочные меры к недопущению проникновения посторонних лиц на охраняемый объект по чужому документу. В целях укрепления дисциплины виновные в утрате пропуска могут подвергаться дисциплинарному или общественному воздействию.
У лиц, уволенных с работы, при расчете с ними пропуска отбираются, о чем делается отметка в журнале учета и выдачи пропусков, и уничтожаются в установленном порядке.

На удостоверениях и пропусках проставляются печати, предусмотренные правилами режима, и цифровые знаки, определяющие зону доступности, период их действия, право проноса на территорию портфелей (кейсов, папок и пр.). Период пребывания сотрудников на территории фирмы в рабочее и внерабочее время определяется руководством с проставлением цифрового знака на удостоверении или пропуске. Образцы удостоверений личности и пропусков разрабатываются службой охраны и утверждаются руководством фирмы.

Полная замена удостоверений личности и постоянных пропусков производится, как правило, через 3-5 лет. Через 2-3 года производится перерегистрация с проставлением соответствующей отметки.

Образцы бланков пропусков разрабатываются администрацией объекта, по своему внешнему виду и содержанию пропуска должны отличаться друг от друга и обладать некоторыми степенями защиты. Все виды пропусков, за исключением материальных, оформляются и выдаются бюро пропусков (или иным подразделением) по письменным заявкам. Виды пропусков определяются в зависимости от специфики предприятия.

Утвержденные образцы удостоверений личности, пропусков, оттисков цифровых знаков, печатей (штампов), проставляемых на удостоверениях и пропусках, списки с образцами подписей руководства или уполномоченных лиц, имеющих право подписывать удостоверения и припуска, передаются начальнику отдела режима и охраны под расписку.

Для перерегистрации, замены или изменения пропускных документов ежегодно по состоянию на 1 января в службу охраны направляются отделом кадров списки сотрудников с указанием должности, фамилии, имени, отчества и наименования документа с соответствующими пометками (круглосуточно, рабочее время с ___ по ___, с портфелем, в какую зону и т.п.).

Удостоверения личности и постоянные пропуска могут выдаваться лицам, не работающим на данной фирме, по отдельному утвержденному руководством списку с указанием учреждения, должности, фамилии, имени, отчества и сопроводительных пометок. Эти документы должны постоянно храниться в бюро пропусков (или у уполномоченного лица) и выдаваться посетителю в момент его прибытия. После завершения работы эти лица сдают документы в бюро пропусков.

Удостоверения и постоянные пропуска выдаются указанным лицам на основании письменных ходатайств руководителей учреждений, где они состоят в штате.

Временные пропуска с фотографиями на срок до трех месяцев выдаются лицам, работающим временно, или прикомандированным. Временные пропуска без фотографии на срок до одного месяца действуют при предъявлении паспорта (удостоверения личности).

Продление действия временных пропусков допускается на срок не более двух месяцев.

Удостоверения или постоянные пропуска выдаются сотрудникам при поступлении на работу на основании приказа о зачислении в штат.

Разовые и материальные пропуска.

Разовые пропуска (для посетителей и клиентов) выдаются на одно лицо и только для разового посещения предприятия и его подразделений. Разовые пропуска выписываются в бюро пропусков при наличии у посетителя документа, удостоверяющего личность. Разовые пропуска изымаются из обращения сотрудником охраны на КПП при выходе с территории объекта.

При проходе на территорию объекта группы лиц разовый пропуск выписывается на руководителя группы с указанием в пропуске количества лиц, следующих с ним.

Иностранные делегации могут пропускаться на территорию с разрешения руководителя объекта без пропусков, но в сопровождении ответственного лица.

Разовые пропуска следует периодически менять по цвету бланков и другим признакам.

Разовый пропуск, выданный водителю транспортного средства, может служить одновременно и разовым пропуском для транспорта.

Разовый пропуск действителен для входа на территорию объекта или его подразделение в течение определенного времени. Так он действителен в течение 30 минут с момента выдачи до входа в здание, а также в течение 15 минут после отметки на пропуске о времени ухода посетителя из фирмы.

Контроль за посетившими предприятие по разовому пропуску осуществляется с помощью отметки на оборотной стороне пропуска, где указывается время посещения, заверенное подписью лица, принявшего посетителя.

Разовый пропуск изымается на КПП контролером при выходе посетителя с объекта и сдается в бюро пропусков. О лицах, не вышедших с объекта по истечении срока действия пропуска, охранник докладывает начальнику караула (дежурному по КПП) для принятия мер по выяснению причин задержки. Фамилии лиц, посетивших объект по разовому попуску, могут записываться в специальную книгу учета.

Материальные пропуска для вывоза (выноса) товарно-материальных ценностей выдаются лицом, ответственным за сохранность материальных средств. Срок действия пропуска определяется инструкцией о пропускном режиме. в документе на право вывоза (выноса) материальных ценностей должно быть указано наименование вывозимых предметов, их количество, вес, метраж, род упаковки и количество мест (прописью).

Пропуск лиц и транспорта с территории объекта с материальными ценностями по устным распоряжениям, запискам и иным непредусмотренным документам категорически запрещен.

Материальные пропуска не дают право на проход (проезд) через КПП и действительны только при наличии постоянного, временного или разового пропуска. Материальные пропуска следует изымать на КПП и сдавать в бюро пропусков.

Станислав Федоткин

 psj.ru 

Поделиться ссылкой:

Похожее

Положение о пропускном и внутриобъектовом режиме 2021

[организационно-правовая форма,
наименование организации, предприятия]

Утверждаю

[подпись, Ф. И. О., должность руководителя]

[число, месяц, год]

М. П.

1. Общие положения

1.1. Настоящее Положение является внутренним правовым актом, разработанным в целях обеспечения сохранности материальных ценностей, защиты коммерческой тайны, обеспечения личной безопасности сотрудников и посетителей [наименование организации] (далее - Объект) с использованием контроля и разграничения доступа лиц на территорию и в служебные помещения Объекта, а также контроля за перемещением материальных ценностей.

1.2. Пропускной и внутриобъектовый режимы на Объекте устанавливаются в целях:

- защиты жизни и здоровья сотрудников и посетителей Объекта;

- защиты конфиденциальной информации Объекта;

- предотвращения фактов хищений материальных ценностей Объекта;

- исключения возможности несанкционированного доступа на Объект;

- установления порядка допуска сотрудников и посетителей в помещения Объекта;

- исключения возможности бесконтрольного передвижения посетителей по территории Объекта.

1.3. Ответственность за общую организацию и контроль за состоянием пропускного и внутриобъектового режима на Объекте возлагается на [например, отдел безопасности].

1.4. Ответственность за осуществление внутриобъектового режима возлагается на [например, руководителей структурных подразделений].

1.5. Практическое осуществление пропускного режима возлагается на [например, сотрудников частного охранного предприятия].

1.6. Требования Положения обязательны для выполнения всеми сотрудниками и посетителями Объекта.

1.7. Лица, нарушающие требования пропускного и внутриобъектового режима, привлекаются к дисциплинарной и административной ответственности, если совершенное ими нарушение не влечет за собой уголовной или иной ответственности.

1.8. Сотрудники охраны при соблюдении пропускного и внутриобъектового режима руководствуются действующим законодательством, настоящим Положением, а также приказами и распоряжениями руководства Объекта.

2. Пропускной режим

2.1. Пропускной режим - это совокупность мероприятий и правил, определяющих порядок входа (выхода) людей, вноса (выноса) материальных ценностей на территорию (с территории) Объекта.

2.2. Для прохода людей на территорию объекта организуются и оборудуются контрольно-проходные пункты (КПП).

2.3. Проход на охраняемую территорию Объекта разрешается:

- сотрудникам по списку, утвержденному [должность руководителя организации], при предъявлении ими документа, удостоверяющего личность [или по постоянному пропуску];

- посетителям (клиентам) по личному распоряжению (письменному или устному) [должность руководителя организации или структурного подразделения] с записью в книгу посетителей и при предъявлении документа, удостоверяющего личность.

2.4. В случае наличия постоянно действующих договоров со сторонними организациями составляется одна служебная записка на весь срок действия договора.

2.5. При необходимости работы сотрудников в нерабочее время, в выходные и праздничные дни должностные лица, определенные приказом руководителя Объекта, заблаговременно представляют охране списки лиц, привлекаемых к работе, с указанием времени начала и окончания работы.

2.6. Отдельные рабочие группы и посетители могут пропускаться на охраняемую территорию в сопровождении [должность руководителя] без оформления пропусков.

2.7. Сотрудники полиции и Прокуратуры пропускаются на территорию Объекта беспрепятственно при предъявлении ими соответствующего удостоверения.

2.8. Сотрудники охраны обязаны записать в книгу учета посетителей следующие данные о сотрудниках полиции и прокуратуры: Ф. И. О., из какого ОВД/Прокуратуры прибыл, занимаемая должность, номер и дата выдачи служебного удостоверения, цель прибытия.

2.9. О прибытии на Объект сотрудников полиции и Прокуратуры сотрудники охраны обязаны доложить руководству Объекта и начальнику охраны.

2.10. Сотрудники охраны вправе воспрепятствовать проходу на Объект или нахождению на Объекте лиц, не выполняющих требования настоящего Положения.

2.11. При стихийных бедствиях, авариях и других чрезвычайных обстоятельствах сотрудники спецподразделений (ФСБ, МВД, МЧС), а также аварийные бригады пропускаются на охраняемую территорию беспрепятственно.

2.12. На случай пожара и иных стихийных бедствий сотрудниками охраны открываются дополнительные (запасные) проходы (выходы) для людей.

2.13. На охраняемую территорию не допускаются:

- лица, находящиеся в нетрезвом состоянии или состоянии наркотического опьянения;

- лица, имеющие при себе огнестрельное или холодное оружие, и не являющиеся сотрудниками правоохранительных органов;

- лица, не имеющие при себе документов, дающих право находиться на территории Объекта.

2.14. Документом, дающим право выноса (вноса) материальных ценностей, является накладная, наряд-приказание или материальный пропуск установленного образца.

2.15. Образцы пропусков, накладных, товарно-транспортных накладных с подписью лиц, которым предоставлено право подписи этих документов, должны находиться на КПП.

2.16. Вынос материальных ценностей по устным распоряжениям или по документам не установленной формы запрещается.

2.17. При выявлении расхождения наличия выносимых материальных ценностей с записями о них в сопроводительных документах лица, осуществляющие их вынос, задерживаются для проверки, о чем охранник на КПП докладывает начальнику охраны (старшему смены) для принятия необходимых мер.

2.18. На вынос различной документации (служебной, технической и т. д.) в полном объеме распространяются требования и правила, установленные для выноса материальных ценностей.

2.19. В исключительных случаях, когда имеются данные в отношении конкретного лица, причастного к хищению материальных ценностей или документов, охрана производит досмотр вещей и личный досмотр с оформлением протокола (акта).

2.20. Сотрудники охраны вправе производить осмотр въезжающих на Объект (выезжающих с Объекта) транспортных средств, за исключением транспортных средств оперативных служб государственных военизированных организаций, в случае возникновения подозрения, что указанные транспортные средства используются в противоправных целях.

2.21. Осмотр транспортных средств должен производиться в присутствии водителей и лиц, сопровождающих указанные транспортные средства.

3. Внутриобъектовый режим

3.1. Внутриобъектовый режим - это совокупность режимных мероприятий и правил внутреннего распорядка, а также требований документов, регламентирующих вопросы сохранности имущества и материальных ценностей от хищения и пожаров.

3.2. Все помещения Объекта делятся на категории по степени их доступности сотрудниками и посетителями.

3.3. Право доступа в конкретные помещения определяется приказами [должность руководителя] и осуществляется с помощью [например, карты доступа].

3.4. Запрещается бесконтрольное нахождение на Объекте или бесконтрольное перемещение по нему посетителей.

3.5. На территории Объекта запрещается:

- использовать дополнительные электрообогревательные приборы;

- курить в не установленных для этого местах;

- вскрывать объекты и помещения, находящиеся под охраной (стоящие на сигнализации), без разрешения (уведомления) охраны;

- находиться сверх времени, указанного в пропуске;

- находиться без документов и пропусков;

- распивать спиртные напитки;

- нарушать общественный порядок.

3.6. При убытии из служебных кабинетов (помещений) сотрудники обязаны проверить выключение всех электроприборов, убрать в сейфы служебные документы.

3.7. Сотрудник и охранник расписываются в книге приема и сдачи помещений в начале и по окончании рабочего дня.

3.8. Проходы к средствам пожаротушения, запасные выходы, внутренние переходы (коридоры, лестничные площадки, подвальные и чердачные помещения) должны быть свободными.

4. Правила производства досмотра

4.1. Досмотр вещей лиц, находящихся на охраняемой территории Объекта, а в исключительных случаях и личный досмотр производятся в целях пресечения хищения имущества, документов и материальных ценностей и изъятия похищенного, при наличии у администрации Объекта или у сотрудников охраны достаточных данных о совершении хищения.

4.2. Досмотр производится в случаях:

- когда лицо застигнуто в момент совершения хищения или непосредственно после его совершения;

- наличия признаков совершения хищения в виде следов на одежде и вещах;

- когда очевидцы прямо укажут на данное лицо, как совершившее хищение;

- нарушения пропускного режима с признаками совершенного хищения;

- когда имеются данные технических средств о факте совершения хищения.

4.3. Досмотр производится сотрудником охраны, а также лицами, специально уполномоченными на это руководством Объекта.

4.4. Досмотру должно предшествовать предложение лицу, в отношении которого имеются данные о совершении им хищения, добровольно предъявить предметы (материальные ценности), не подлежащие выносу с территории Объекта.

4.5. Личный досмотр производится лицом одного пола с досматриваемым, в присутствии понятых того же пола в отдельном помещении, исключающем доступ посторонних лиц и отвечающем требованиям санитарии и гигиены.

4.6. При обнаружении предметов, похищенных или не разрешенных к выносу с охраняемой территории, они изымаются.

4.7. Лицо, производящее досмотр, составляет акт в трех экземплярах: один остается у лица, совершившего хищение, второй - у охраны, третий передается руководству Объекта.

4.8. Акт подписывается лицом, производящим досмотр, и понятыми и регистрируется в книге приема и сдачи дежурства.

4.9. Изъятые предметы сдаются по накладной администрации Объекта.

4.10. Лица, производящие досмотр, не вправе разглашать сведения, связанные с производством досмотра.

4.11. Лица, подвергнутые досмотру, могут обжаловать действия лиц, производивших досмотр, в установленном законом порядке.

5. Порядок задержания правонарушителей

5. 1. Административному задержанию подлежат лица, совершившие правонарушения, связанные с посягательством на жизнь и здоровье сотрудников охраны и иных лиц, охраняемое имущество, общественный порядок; в целях установления личности нарушителей и составления акта о правонарушении.

5.2. Административное задержание лиц может производиться [указать должность лица, например, начальником охраны Объекта] и длиться не более трех часов.

5.3. О задержании лиц по согласованию с руководством организации немедленно ставится в известность дежурный ОВД по телефону [указать номер].

5.4. По просьбе задержанного лица о месте его нахождения уведомляются его родственники, администрация по месту работы, учебы; о задержании несовершеннолетнего уведомляются его родители или лица, их замещающие.

5.5. В каждом случае задержания составляется акт о задержании в трех экземплярах: первый экземпляр остается у охраны, второй передается администрации Объекта, третий остается у задержанного (передается прибывшему сотруднику полиции).

5.6. Сотрудникам охраны разрешается применение специальных средств и огнестрельного оружия только в случаях и в порядке, предусмотренных Законом РФ "О частной детективной и охранной деятельности в Российской Федерации", и в пределах предоставленных лицензией прав.

5.7. Действия сотрудника охраны до, во время и после применения специальных средств и огнестрельного оружия регламентированы инструкцией по охране объекта, а также должностной инструкцией частного охранника.

5. Организация пропускного режима / КонсультантПлюс

5.1. Пропускной режим устанавливается администрацией предприятий, учреждений и организаций и предусматривает порядок прохода лиц и проезда транспортных средств на территорию объекта и обратно, выноса (вноса), вывоза (ввоза) материальных ценностей.

Пропускной режим может быть установлен как в целом по объекту, так и по отдельным его корпусам, зданиям, цехам, отделам, лабораториям, хранилищам и другим помещениям.

Осуществление пропускного режима возлагается на работников охраны.

5.2. С учетом специфики производства и установленного внутреннего трудового распорядка администрацией объекта разрабатывается и утверждается по согласованию с начальником отдела охраны инструкция о пропускном режиме.

5.3. Документом, дающим право на вход (выход) рабочих, служащих и других лиц на территорию (с территории) объекта является пропуск, ввоз (вывоз) грузов - товарно - транспортная накладная, внос (вынос) грузов - накладная, а на вынос (вывоз) имущества и ценностей, не связанных с производством, - материальный пропуск.

Пропуска и накладные являются документами строгой отчетности. Их выдача, учет и списание производится в установленном порядке.

5.4. Пропуска на право входа (выхода) по срокам действия подразделяются на постоянные, временные и разовые. По внешнему виду они должны отличаться друг от друга.

Постоянные пропуска выдаются рабочим и служащим, принятым на постоянную работу. Временные - лицам, выполняющим на объекте временную работу. Срок их действия определяется администрацией объекта.

Разовый пропуск служит для однократного посещения объекта и действителен только при предъявлении посетителем документа, удостоверяющего личность. При групповом посещении разовый пропуск выписывается на руководителя группы с указанием количества следующих с ним лиц и приложением поименного списка.

При выходе с объекта разовые пропуска с подписью должностных лиц и заверенные штампом или печатью изымаются на контрольно - пропускном пункте и по окончании рабочего дня сдаются в бюро пропусков либо администрации объекта.

5.5. При проходе посетителя на объект (с объекта) работник охраны должен сверить соответствие пропуска образцу, а фотокарточку на нем - с личностью предъявителя.

5.6. В нерабочие дни (нерабочее время) допуск лиц на территорию объекта производится только по письменному разрешению его руководителя или уполномоченных им на это работников.

5.7. При стихийных бедствиях, пожарах и других чрезвычайных событиях специальный транспорт с персоналом, а также аварийные бригады пропускаются на территорию беспрепятственно. Контроль при выезде указанного транспорта и выходе персонала и аварийных бригад производится в порядке, установленном руководителем объекта по согласованию с отделом охраны.

5.8. На территорию охраняемого объекта без пропусков по предъявлении служебного удостоверения пропускаются лица, которым такое право предоставлено действующим законодательством и собственником.

5.9. Порядок прохода на территорию объекта рабочих и служащих с хозяйственными сумками, чемоданами, свертками, а также проезда транспортных средств личного пользования определяется руководителем объекта.

5.10. При пропуске транспортных средств через контрольно - пропускной пункт работники охраны проверяют соответствие вывозимых (ввозимых) грузов данным сопроводительных документов согласно условиям договоров (по наименованию, количеству, весу и т.п.) и тщательно осматривают транспортное средство на предмет выявления возможного укрытия похищенной продукции, а при пропуске опломбированных (опечатанных) грузов сверяют пломбы (печати) с указанными в накладных.

5.11. Товарно - транспортные накладные регистрируются в книге учета (отдельно на ввозимые и вывозимые грузы) в строгом соответствии с порядком их поступления.

5.12. Для прохождения контроля транспортное средство устанавливается напротив эстакады (смотровой площадки). При необходимости администрация представляет охране схемы размещения грузов.

5.13. При выявлении несоответствия наименования или количества транспортируемого груза данным сопроводительных документов, транспортное средство и сопровождающие груз лица задерживаются; с участием представителей администрации проводится контрольная проверка и составляется акт (произвольной формы), который регистрируется в книге учета досмотров и правонарушений. Акт вместе с товарно - транспортной накладной под роспись передается руководителю объекта для принятия мер.

5.14. В случае установления контрольной проверкой факта хищения материальных ценностей старшим в месте расположения охраняемого объекта должностным лицом охраны немедленно докладывается в отдел охраны, орган внутренних дел и в установленном порядке составляется протокол (Приложение 9) с регистрацией в книге учета досмотров и правонарушений. Похищенное изымается, сдается по накладной представителю администрации объекта и хранится до принятия в установленном порядке решения. Протокол с прилагаемыми сопроводительными документами на груз и накладной в течение суток направляется в территориальный орган внутренних дел для решения вопроса о привлечении виновных лиц к ответственности в соответствии с законодательством.

5.15. Обнаруженные охраной подготовленные к хищению материальные ценности на территории объекта регистрируются в книге учета досмотров и правонарушений и сдаются по накладной материально - ответственным лицам в порядке, установленном администрацией объекта.

5.16. Книги учета досмотров и правонарушений, вывозимых (ввозимых), выносимых (вносимых) товарно - материальных ценностей и протоколы являются документами строгой отчетности. Эти книги прошнуровываются, пронумеровываются и скрепляются печатью отдела охраны, по заполнении сдаются в архив и хранятся три года. Бланки протоколов пронумеровываются типографским способом.

5.17. Контрольно - пропускные пункты (КПП) должны быть удобными для прохода людей, проезда транспорта и осуществления охраной пропускного режима. Они оборудуются комнатами для досмотра, камерами хранения личных вещей рабочих и служащих, турникетами, эстакадами, смотровыми площадками (ямами), механизированными воротами, шлагбаумами, вышками, предупредительными дорожным знаками, оснащаются досмотровой техникой, средствами пожаротушения, связи, тревожной и охранной сигнализацией.

В помещении КПП должна быть необходимая служебная документация: инструкция по пропускному режиму, технике безопасности; образцы всех видов пропусков, накладных, подписей лиц, которым дано право их подписывать; оттиски печатей, пломб, штампов; книги учета досмотров и правонарушений, вывозимых (ввозимых), выносимых (вносимых) товарно - материальных ценностей; бланки протоколов, актов, образцы их заполнения; план - схема расположения охраняемых обособленных помещений на территории объекта с указанием маршрута безопасного движения работников охраны; список телефонов всех дежурных служб, центрального и соседнего постов, руководителей объекта и подразделения охраны.

5.18. На случай пожаров и стихийных бедствий на объектах определяются места для прохода людей и проезда транспортных средств, которые должны быть закрыты и опечатаны (опломбированы) администрацией объекта. Ключи от них хранятся в опечатанном виде в караульном помещении или на КПП и передаются по сменам охраны под расписку.

5.19. Для выполнения работ по учету, оформлению и выдаче пропусков на объекте может быть организовано бюро пропусков, а там, где оно отсутствует, эту работу выполняет лицо, назначаемое руководителем объекта.

5.20. Бюро пропусков размещается в изолированном от производственной территории помещении, состоит из рабочей комнаты и комнаты посетителей, оборудуется средствами связи, сигнализации, обеспечивается необходимым инвентарем и имуществом. Допуск в рабочую комнату строго ограничивается.

5.21. Бланки всех видов пропусков хранятся в металлических шкафах (сейфах), выдаются и учитываются с регистрацией в специальных книгах (Приложения 10, 11).

5.22. Изъятые из обращения, погашенные, утерянные, но найденные после выдачи дубликата пропуска, испорченные бланки, утратившие силу образцы пропусков хранятся в течение установленного руководителем объекта срока, после чего уничтожаются по акту.

В акте на списание пропусков указывается дата, состав комиссии, количество уничтоженных пропусков раздельно по каждому виду и их номера. Акт подписывается членами комиссии, скрепляется печатью и утверждается руководителем объекта.

5.23. Правильность учета, хранения бланков и выдачи пропусков проверяется начальником военизированного или сторожевого подразделения не реже одного раза в квартал, а инвентаризация проводится в сроки, установленные руководителем объекта.

5.24. Для оформления всех видов пропусков бюро пропусков обеспечивается круглой рельефной металлической печатью для скрепления постоянных и временных пропусков, круглой каучуковой или треугольной - для скрепления разовых пропусков, штампами - "погашен", "образец", "временный" и др.

На все имеющиеся в бюро пропусков печати и штампы составляется опись, в которой против оттиска каждого штампа и печати дается описание его содержания и назначения, опись утверждается руководителем объекта и находится на хранении у руководителя военизированного или сторожевого подразделения.

Что такое пропускной и внутриобъектовый режим на предприятии

Охрана целостности имущества предприятий включает в себя довольно много различных действий, совершаемых службой обеспечения безопасности фирмы или сторонней охранной организацией, привлечённой для осуществления охраны от преступных посягательств имущества компании.

 

Одна из важнейших задач – организация и обеспечение пропускного и внутриобъектового режима на предприятии.

 

 

Пропускной режим

 

Пропускной режим – правила доступа кого бы то ни было на территорию объектов, принадлежащих предприятию.

 

Руководством фирмы устанавливается круг лиц, который может беспрепятственно посещать охраняемые объекты: лица, граждане и представители организаций, на посещение которых требуется индивидуальное разрешение, лица, которым вход на предприятие категорически запрещён.

 

Для беспрепятственного посещения территории фирмы вводится пропускная система, организовываются охраняемые контрольно-пропускные пункты (КПП). Территория огораживается так, чтобы попасть внутрь огороженного периметра можно было только через КПП.

 

Теперь путём проверки наличия пропуска, сотрудники охраны могут контролировать всех лиц, входящих на предприятие и всех выходящих из него, весь транспорт, который въезжает и выезжает с территории, находящейся под охраной.

 

Лица, которые не имеют пропуска, не могут быть допущены на территорию компании до непосредственного распоряжения руководства компании или руководителя охранной службы.

 

Введение пропускного режима при соответствующем уровне квалификации сотрудников охраны снижает к минимуму возможность проникновения на предприятие посторонних лиц, не имеющих пропуска установленного образца без ведома руководства, снижает вероятность хищения с территории предприятия и совершения на площадях, принадлежащих фирме, террористических актов и иных общественно опасных действий.

 

 

Внутриобъектовый режим

 

Безопасность предприятия, помимо организации пропускного режима, требует и соблюдения определённых правил поведения и внутри самого предприятия.

 

Достигается это установлением правил и норм, которые требуется соблюдать при нахождении с какой-либо целью внутри самого предприятия – внутриобъектового режима.

 

Достигается соблюдение такого режима всё теми же сотрудниками охранной структуры, которые путём патрулирования территории предприятия (охраняемого объекта), предупреждают и выявляют факты нарушений правил поведения на территории охраняемого предприятия.

 

К нарушениям внутриобъектового режима по согласованию с руководством самого предприятия могут быть отнесены, например, нарушение скоростного режима транспортом, передвигающимся по предприятию, курение работников в неположенных местах, нахождение вне рабочего места в рабочее время сотрудниками и т.д.

 

О выявленных нарушениях сотрудниками охраны докладывается руководству предприятия, которое принимает решение о применении к нарушителю дисциплинарного взыскания.

Обеспечение внутриобъектового контрольно-пропускного режима | FEMIDA SECURITY COMPANY

Построение надежной системы безопасности предприятия, — сложный и многогранный процесс. Одним из немаловажных факторов обеспечения надежной защиты того или иного объекта является организация и поддержание внутриобъектового и пропускного режимов.

Обеспечение внутриобъектового и пропускного режимов получили статус самостоятельной охранной услуги после принятия Федерального закона № 272 от 22 декабря 2008 г. «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с совершенствованием государственного контроля в сфере частной охранной и детективной деятельности».

Внутриобъектовый режим – это установленный на предприятии(фирме) порядок выполнения правил внутреннего трудового распорядка, направленных на обеспечение экономической безопасности, сохранение материальных средств и защиту конфиденциальной информации.

Внутриобъектовый режим включает в себя:

— правила внутреннего распорядка;

— правила обеспечения сохранности государственной, коммерческой, служебной тайны;

— систему информационной безопасности и порядок допуска сотрудников к информационным ресурсам;

— порядок документооборота на предприятии;

— правила технологической безопасности и охраны труда;

— правила пожарной и экологической безопасности;

— пропускной режим.

Пропускной режим — это комплекс организационно-правовых ограничений и правил, устанавливающих порядок пропуска через контрольно-пропускные пункты в отдельные здания (помещения)предприятия(фирмы), сотрудников объекта, посетителей, транспорта и материальных средств, при котором исключается возможность бесконтрольного прохода (проезда), вноса (выноса) материальных ценностей.

Пропускной режим регламентирует:

— установку и оборудование определенных мест (постов, контрольно-пропускных пунктов) для прохода (проезда) на территорию (с территории) охраняемого объекта;

— порядок допуска на территорию объекта рабочих и служащих данного объекта и посетителей;

— контроль за вывозом (выносом), ввозом (вывозом) продукции и материальных ценностей;

— перечень должностных лиц, имеющих право выдачи и подписи всех видов пропусков для прохода (въезда-выезда) на территорию охраняемого объекта;

— порядок оформления материальных пропусков;

— порядок допуска на охраняемый объект в выходные и праздничные дни;

— оборудование камер хранения личных вещей и площадок для личного автотранспорта.

Вся ответственность за обеспечение пропускного режима в фирме возлагается на руководство службы охраны. Практическое осуществление пропускного режима возлагается на сотрудников охраны, которые должны знать установленные на объекте правила пропускного режима, действующие документы по порядку пропуска на объект (с объекта) сотрудников и посетителей, ввоза (вывоза) товарно-материальных ценностей.

Пропускной режим может быть установлен как в целом по объекту, так и в отдельных корпусах, зданиях, отделах, хранилищах и других специальных помещениях.

В целях осуществления пропускного режима на территории объекта и в его структурных подразделениях приказом директора предприятия утверждается перечень категорированных подразделений (помещений).

В этих помещениях устанавливаются специальный режим и повышенная ответственность за его соблюдение работниками этих подразделений. Допуск в эти помещения осуществляется строго по списку, согласованному со службой охраны. Прием посетителей сторонних организаций и предприятий, как правило, максимально ограничивается.

Во всех помещениях категорированных подразделений должны быть вывешены списки работников, имеющих доступ в эти помещения. Все помещения по окончании работ осматриваются дежурными по подразделениям и лицами, ответственными за их противопожарную безопасность.

По окончании рабочего дня категорированные помещения запираются на замок, опечатываются и сдаются под охрану.

Сотрудник нашей охранной компании поверяет сигнализацию в присутствии работников, сдающих помещение. Ключи от этих помещений в опечатанных пеналах сдаются под расписку.

Получение ключей, вскрытие помещений, оборудованных охранной сигнализацией, производят лица, имеющие право вскрытия этих помещений с предъявлением постоянного пропуска. Списки лиц, имеющих право вскрывать (закрывать) указанные помещения, с указанием номеров печатей, которыми опечатываются помещения, и номеров служебных телефонов подписываются начальником подразделения и утверждаются начальником службы безопасности.

Все лица, пытающиеся пройти через КПП без предъявления пропуска, по чужому или неправильно оформленному пропуску, пронести на объект (с объекта) запрещенные предметы, не допускаются на объект и задерживаются сотрудниками нашей охранной компании.

Охрана объекта и обеспечение пропускного режима

Главная |Охрана объекта и обеспечение пропускного режима

Охрана объекта недвижимости представляет собой комплекс мероприятий направленных на обеспечение непрерывности работы предприятия и его материальных ценностей.

Основные задачи

  • Предупреждение проникновения на территорию объектов и в служебные помещения посторонних лиц
  • Обеспечение порядка входа и выхода сотрудников и посетителей объекта недвижимости, а также вноса и выноса материальных ценностей

Управляющая компания ЮНИКОН оказывает полный спектр услуг по охране объектов недвижимости и обеспечению пропускного режима.

При принятии объекта под охрану специалисты проводят комплексное обследование и экспертизу объекта на предмет определения наиболее эффективной и целесообразной системы охраны. На основании экспертизы готовится индивидуальный план охраны объекта.

Индивидуальный план охраны объекта включает

  • Места установки контрольно-пропускных пунктов для персонала и транспортных средств
  • Выявляются помещения и/или подразделения, требующие усиленной охраны
  • Правила доступа на объект
    (инструкцию о пропускном режиме предприятия)

Инструкция о пропускном режиме предприятия — свод правил обязательных для сотрудника охранного предприятия.

Инструкция пропускного режима

  • Порядок пропуска сотрудников и посетителей
  • Виды пропусков, их статус, порядок выдачи временных разрешений на посещение объекта
  • Ответственность охранного подразделения, организующего пропускной режим на объекте
  • Разрешенные санкции в отношении лиц, нарушающих пропускной режим

УК ЮНИКОН предлагает клиентам индивидуальный режим охраны, с учетом таких фактов как

  • Площадь территории, на которой расположен объект
  • Численность штатных работников
  • Количество транспортных единиц, категория автомобилей и режим въезда транспорта на территорию
  • Характер и качество оградительных конструкций
    (забор каменный, металлический, деревянный, декоративный или отсутствие ограждения)
  • Архитектурные и конструктивные особенности здания
  • Вероятность несанкционированного проникновения на объект
    (риски определяются с учетом характера бизнеса, количества ценностей, находящихся в здании)
  • Расположение и состояние коммуникаций,
  • Уровень технической оснащенности здания
    (наличие или отсутствие разветвленных компьютерных сетей, систем пожарной сигнализации, видео-наблюдения и т.д.)

Управляющая компания ЮНИКОН имеет большой опыт организации эффективной системы охраны и пропускного режима на объектах недвижимости разного масштаба, сложности и характера деятельности с наименьшими затратами для собственника.

Подробнее узнать об услуге «Охрана объекта и обеспечение пропускного режима» можно по телефону +7 (495) 644-16-39 или заполнив форму.


Правила о пропускном и внутриобъектовом...

Правила о пропускном и внутриобъектовом режиме (примерные)

 


УТВЕРЖДАЮ
_____________________________________
(наименование должности руководителя,
наименование юридического лица)
________________________ ___________
(подпись)         (Ф.И.О.)
"___"__________ ____ г.

ПРАВИЛА  1
о пропускном и внутриобъектовом режиме
на _________________________________
(наименование объекта)

1. Общие положения
1.1. Правила о пропускном и внутриобъектовом режиме (далее - "Правила")
регламентируют   порядок    въезда (выезда)    транспорта, входа (выхода) и
пребывания на территории _________________________________,  расположенного
(наименование юридического лица)
по адресу: ___________ (далее - "Объект"), его работников и посетителей.
1.2. Настоящие Правила имеют цель обеспечить сохранность собственности Объекта, организацию и безопасные условия труда, полное и рациональное использование рабочего времени.
1.3. Обеспечение соблюдения требований Правил работниками Объекта возлагается на руководителей соответствующих структурных подразделений и охрану.
1.4. Деятельность работников охраны по обеспечению пропускного и внутреннего режимов регламентируется требованиями коллективного договора, Правилами внутреннего трудового распорядка, должностными инструкциями, настоящими Правилами, _______________________________________________________ и действующим законодательством Российской Федерации.

2. Пропускной режим
2.1. Пропускной режим - это совокупность мероприятий и правил, определяющих порядок входа (выхода) людей, вноса (выноса) материальных ценностей на территорию (с территории) Объекта.
2.2. Для прохода людей и проезда транспортных средств на территорию Объекта организуются и оборудуются контрольно-проходные пункты (далее - "КПП"). Их количество и расположение определяются характером производственной деятельности и решением руководства Объекта.
2.3. Образцы пропусков, накладных, товарно-транспортных накладных с подписью лиц, которым предоставлено право подписи этих документов, должны находиться на КПП.

3. Порядок пропуска граждан
3.1. Проход работников и посетителей Объекта на территорию осуществляется только по пропускам установленного образца через КПП.
3.2. При проходе через КПП Объекта работники и посетители предъявляют работнику охраны пропуска, по его требованию дают их ему в руки. При проходе по разовым пропускам, в которых нет фотографии, вместе с пропуском подают паспорт или другой документ, который удостоверяет личность владельца пропуска.
3.3. Постоянные и временные пропуска оформляются в _________________ Объекта (или уполномоченным представителем администрации Объекта).

4. Порядок выноса материальных ценностей
4.1. Документом, дающим право выноса (вноса) материальных ценностей, является накладная, наряд-приказание или материальный пропуск установленного образца, имеющим разрешающую надпись (печать, штамп), независимо от того, временно или безвозвратно выносятся материальные ценности. В документах четко записываются все данные выносимых материальных ценностей: наименование, количество (вес, метраж, род упаковки, количество мест) прописью по каждому наименованию.
4.2. Вынос материальных ценностей по устным распоряжениям или по документам неустановленной формы запрещается.
4.3. При стихийных бедствиях, авариях и других чрезвычайных обстоятельствах сотрудники спецподразделений (ФСБ, МВД, МЧС), а также аварийные бригады пропускаются на охраняемую территорию беспрепятственно. Порядок выхода с территории Объекта персонала и аварийных бригад определяется руководителем аварийных работ.
4.4. На случай пожара и иных стихийных бедствий устраиваются дополнительные (запасные) проходы (выходы) для людей. Открытие дополнительных проходов в случае необходимости возлагается на охрану Объекта.
4.5. На территорию Объекта не допускаются:
- лица, находящиеся в нетрезвом состоянии или состоянии наркотического опьянения;
- лица, имеющие при себе огнестрельное или холодное оружие и не являющиеся сотрудниками правоохранительных органов;
- лица, не имеющие при себе документов, дающих право находиться на территории Объекта.
4.6. При установлении контрольной проверкой факта хищения материальных ценностей работниками охраны с участием администрации Объекта составляется акт изъятия в трех экземплярах. Изъятые материальные ценности сдаются по накладной на склад, где хранятся до принятия соответствующего решения. Один экземпляр акта с приложением сопроводительных документов, по согласованию с руководством Объекта направляется в местные органы внутренних дел.
4.7. Обнаруженные работниками охраны материальные ценности, приготовленные к хищению, регистрируются в книге приема и сдачи дежурства (без указания конкретного лица, если установить его не удалось) и сдаются на склад.
4.8. В исключительных случаях для установления факта хищения ценностей работниками охраны может производиться досмотр вещей и личный досмотр задержанного правонарушителя.

5. Порядок проезда автотранспортных средств
5.1. Допуск автотранспортных средств на территорию Объекта осуществляется только с разрешения ____________________, на основании путевого листа, водительского удостоверения на право управления автомобилем.
5.2. Транспорт централизованных перевозок допускается на территорию Объекта на основании списков, заверенных ___________________________________.

6. Внутриобъектовый режим
6.1. Внутриобъектовый режим - это совокупность режимных мероприятий и правил внутреннего распорядка, а также требований документов, регламентирующих вопросы сохранности имущества и материальных ценностей от хищения и пожара. Внутриобъектовый режим обязателен для всех лиц, находящихся на территории Объекта или в помещениях на его территории.
6.2. На территории Объекта запрещается:
- использовать дополнительные электрообогревательные приборы;
- курить в не установленных для этого местах;
- вскрывать объекты и помещения, находящиеся под охраной (стоящие на сигнализации), без разрешения (уведомления) охраны;
- находиться дольше времени, указанного в пропуске;
- находиться без документов и пропусков;
- распивать спиртные напитки;
- нарушать общественный порядок;
6.3. При убытии из служебных помещений работники обязаны проверить выключение всех электроприборов, убрать в сейфы служебные документы. В книге приема и сдачи помещений работник расписывается за сданное помещение, а работник охраны - за прием его под охрану. Утром при прибытии работника на работу он в присутствии охранника должен проверить служебное помещение и расписаться за его прием.
6.4. Территория Объекта должна постоянно содержаться в чистоте. Проходы к средствам пожаротушения, запасные выходы, внутренние переходы (коридоры, лестничные площадки, подвальные и чердачные помещения) должны быть свободными.

7. Ответственность за нарушение требований Правил
7.1. Лица, виновные в нарушении настоящих Правил (попытка пройти на территорию в состоянии алкогольного (наркотического) опьянения, без пропуска, утрата, подделка пропуска, передача его другому лицу, попытка невыполнения законных требований сотрудников охраны, уклонение от осмотра, вывоз (вынос) материальных ценностей без документов или по поддельным документам, курение в неустановленных местах, а также нарушение других требований Правил внутреннего трудового распорядка), привлекаются к дисциплинарной ответственности в соответствии с действующим законодательством Российской Федерации, требований коллективного договора и Правил внутреннего трудового распорядка.
7.2. Лица, которые не согласны с правомерностью действий работников охраны и представителей администрации Объекта, при задержании, личном осмотре, осмотре вещей, изъятии вещей и документов, а также сотрудники предприятия, по отношению к которым такие действия были применены, имеют право обжаловать эти действия в установленном порядке.

1 Вопросы обеспечения внутриобъектового и пропускного режимов на объектах охраны урегулированы в ст. 12.1 Закона Российской Федерации от 11.03.1992 N 2487-1 "О частной детективной и охранной деятельности в Российской Федерации".
 

 

Что такое контроль доступа? Ключевой компонент безопасности данных

Кто должен иметь доступ к данным вашей компании? Как убедиться, что те, кто пытается получить доступ, действительно получили этот доступ? При каких обстоятельствах вы отказываетесь в доступе пользователю с правами доступа?

Для эффективной защиты ваших данных политика управления доступом вашей организации должна отвечать на эти (и другие) вопросы. Далее следует руководство по основам контроля доступа: что это такое, почему это важно, каким организациям он нужен больше всего, и с какими проблемами могут столкнуться профессионалы в области безопасности.

Что такое контроль доступа?

Контроль доступа - это метод гарантии того, что пользователи являются теми, кем они являются, и что у них есть соответствующий доступ к данным компании.

На высоком уровне контроль доступа - это выборочное ограничение доступа к данным. Он состоит из двух основных компонентов: аутентификации и авторизации, - говорит Дэниел Кроули, руководитель отдела исследований IBM X-Force Red, специализирующегося на безопасности данных.

Аутентификация - это метод, используемый для подтверждения того, что кто-то является тем, кем он себя называет.Кроули отмечает, что одной аутентификации недостаточно для защиты данных. Что необходимо, так это дополнительный уровень, авторизация, который определяет, должен ли пользователь получить доступ к данным или совершить транзакцию, которую он пытается выполнить.

По словам Кроули, без аутентификации и авторизации нет защиты данных. «При каждой утечке данных контроль доступа - одна из первых политик, которые исследуются», - отмечает Тед Вагнер, директор по информационной безопасности в SAP National Security Services, Inc. «Будь то непреднамеренное раскрытие конфиденциальных данных, ненадлежащим образом защищенных конечным пользователем, или нарушение Equifax, там, где конфиденциальные данные были раскрыты через общедоступный веб-сервер, работающий с уязвимостью программного обеспечения, контроль доступа является ключевым компонентом.Если не реализовывать и не поддерживать должным образом, результат может быть катастрофическим ».

Любая организация, сотрудники которой подключаются к Интернету - другими словами, каждая организация сегодня - нуждается в некотором уровне контроля доступа. «Это особенно верно в отношении компаний, в которых сотрудники работают вне офиса и которым требуется доступ к ресурсам и сервисам данных компании», - говорит Ави Чесла, генеральный директор компании empow, занимающейся кибербезопасностью.

Другими словами: если ваши данные могут иметь какую-либо ценность для кого-то без надлежащей авторизации для доступа к ним, то вашей организации нужен строгий контроль доступа, говорит Кроули.

Еще одна причина для строгого контроля доступа: анализ доступа

Сбор и продажа дескрипторов доступа в темной сети становится все более серьезной проблемой. Например, в новом отчете Carbon Black описывается, как один ботнет, занимающийся добычей криптовалют, Smominru, добывал не только криптовалюту, но и конфиденциальную информацию, включая внутренние IP-адреса, информацию о домене, имена пользователей и пароли. Исследователи Carbon Black считают «весьма вероятным» то, что этот злоумышленник продал эту информацию на «торговой площадке доступа» другим лицам, которые затем могли бы начать свои собственные атаки с помощью удаленного доступа.

Эти торговые площадки доступа «предоставляют киберпреступникам быстрый и простой способ приобрести доступ к системам и организациям ... Эти системы могут использоваться в качестве зомби в крупномасштабных атаках или в качестве точки входа в целевую атаку», - сказал он. авторы отчета. Единая торговая площадка доступа, Ultimate Anonymity Services (UAS), предлагает 35 000 учетных данных со средней продажной ценой 6,75 долларов США за учетные данные.

Исследователи Carbon Black полагают, что киберпреступники будут расширять использование торговых площадок доступа и доступа к майнингу, потому что они могут быть «очень прибыльными» для них.Риск для организации возрастает, если ее скомпрометированные учетные данные пользователя имеют более высокие привилегии, чем необходимо.

Политика контроля доступа: ключевые моменты

Большинство специалистов по безопасности понимают, насколько критичным является контроль доступа для их организации. Но не все согласны с тем, как обеспечить контроль доступа, говорит Чесла. «Контроль доступа требует применения устойчивых политик в динамичном мире без традиционных границ», - объясняет Чесла. Большинство из нас работают в гибридных средах, где данные перемещаются с локальных серверов или облака в офисы, дома, отели, автомобили и кафе с открытыми точками доступа Wi-Fi, что может затруднить контроль доступа.

«Риск усугубляется тем, что доступ становится все более широким спектром устройств», - говорит Чесла, включая ПК, ноутбуки, смартфоны, планшеты, интеллектуальные колонки и другие устройства Интернета вещей (IoT). «Такое разнообразие делает реальным вызовом создание и обеспечение постоянства политик доступа».

В прошлом методологии контроля доступа часто были статичными. «Сегодня сетевой доступ должен быть динамичным и гибким, поддерживая варианты использования на основе идентификации и приложений», - говорит Чесла.

Сложную политику контроля доступа можно динамически адаптировать для реагирования на меняющиеся факторы риска, что позволяет компании, в которой произошла утечка, «изолировать соответствующих сотрудников и ресурсы данных, чтобы минимизировать ущерб», - говорит он.

Предприятия должны гарантировать, что их технологии контроля доступа «постоянно поддерживаются через их облачные ресурсы и приложения, и что их можно беспрепятственно переносить в виртуальные среды, такие как частные облака», - советует Чесла. «Правила контроля доступа должны меняться в зависимости от фактора риска, а это означает, что организации должны развертывать уровни аналитики безопасности с использованием искусственного интеллекта и машинного обучения, которые находятся поверх существующей сети и конфигурации безопасности.Им также необходимо выявлять угрозы в режиме реального времени и соответствующим образом автоматизировать правила контроля доступа ».

4 Типы контроля доступа

Организации должны определить подходящую модель контроля доступа , которую следует принять, в зависимости от типа и конфиденциальности данных, которые они обрабатывают, - говорит Вагнер. Старые модели доступа включают дискреционный контроль доступа (DAC) и обязательный контроль доступа (MAC), управление доступом на основе ролей (RBAC) является сегодня наиболее распространенной моделью, а самая последняя модель известна как управление доступом на основе атрибутов (ABAC).

Дискреционный контроль доступа (DAC)

В моделях DAC владелец данных принимает решение о доступе. DAC - это средство назначения прав доступа на основе правил, которые задают пользователи.

Обязательный контроль доступа (MAC)

MAC был разработан с использованием недискреционной модели, в которой людям предоставляется доступ на основе разрешения информации. MAC - это политика, в которой права доступа назначаются на основе правил центрального органа.

Управление доступом на основе ролей (RBAC)

RBAC предоставляет доступ на основе роли пользователя и реализует ключевые принципы безопасности, такие как «наименьшие привилегии» и «разделение привилегий».Таким образом, кто-то, пытающийся получить доступ к информации, может получить доступ только к тем данным, которые считаются необходимыми для его роли.

Управление доступом на основе атрибутов (ABAC)

В ABAC каждому ресурсу и пользователю назначается ряд атрибутов, объясняет Вагнер. «В этом динамическом методе сравнительная оценка атрибутов пользователя, включая время дня, положение и местоположение, используется для принятия решения о доступе к ресурсу».

Организациям необходимо решить, какая модель наиболее подходит для них, исходя из конфиденциальности данных и операционных требований к доступу к данным.Вагнер советует.

Решения для контроля доступа

Ряд технологий может поддерживать различные модели контроля доступа. Вагнер говорит, что в некоторых случаях для достижения желаемого уровня контроля доступа может потребоваться совместная работа нескольких технологий.

«Реальность данных, распределенных между поставщиками облачных услуг и приложений SaaS и подключенных к традиционному периметру сети, диктует необходимость организовать безопасное решение», - отмечает он. «Есть несколько поставщиков, которые предоставляют решения для привилегированного доступа и управления идентификацией, которые могут быть интегрированы в традиционную конструкцию Active Directory от Microsoft. Многофакторная аутентификация может быть компонентом дальнейшего повышения безопасности ».

Почему авторизация остается проблемой

Сегодня большинство организаций стали экспертами в области аутентификации, говорит Кроули, особенно с растущим использованием многофакторной аутентификации и аутентификации на основе биометрических данных (например, распознавания лица или радужной оболочки глаза).Он добавляет, что в последние годы, когда громкие утечки данных привели к продаже украденных учетных данных паролей в темной сети, специалисты по безопасности более серьезно отнеслись к необходимости многофакторной аутентификации.

Авторизация по-прежнему остается областью, в которой профессионалы в области безопасности «чаще ошибаются», - говорит Кроули. Для начала может быть непросто определить и постоянно отслеживать, кто получает доступ к каким ресурсам данных, как они должны иметь к ним доступ и на каких условиях им предоставляется доступ.Но несогласованные или слабые протоколы авторизации могут создавать бреши в безопасности, которые необходимо идентифицировать и устранять как можно быстрее.

Кстати о мониторинге: Как бы ваша организация ни решила реализовать контроль доступа, он должен постоянно контролироваться, говорит Чесла, как с точки зрения соответствия вашей корпоративной политике безопасности, так и с точки зрения эксплуатации, чтобы выявлять любые потенциальные дыры в безопасности. «Вам следует периодически проводить обзор корпоративного управления, рисков и соответствия», - говорит он. «Вам необходимо периодически сканировать уязвимости любого приложения, в котором выполняются ваши функции контроля доступа, и вам следует собирать и отслеживать журналы при каждом доступе на предмет нарушений политики.»

В современных сложных ИТ-средах контроль доступа следует рассматривать как« живую технологическую инфраструктуру, которая использует самые сложные инструменты, отражает изменения в рабочей среде, такие как повышение мобильности, распознает изменения в используемых нами устройствах и присущие им риски. , и учитывает растущее движение к облаку », - говорит Чесла.

Copyright © 2019 IDG Communications, Inc.

Контроль доступа к данным - Satori

Три типа контроля доступа

Существует три типа контроля доступа:

Контроль доступа на основе ролей

Контроль доступа на основе ролей сосредоточен вокруг роли сущности.Например, пользователю, принимающему роль администратора, будет предоставлен доступ к функциям управления пользователями, но не к данным. Основное преимущество ролевого контроля доступа состоит в том, что он позволяет владельцам бизнеса и руководителям групп контролировать доступ в контексте соответствующих ролевых структур своих организаций. Основным недостатком управления доступом на основе ролей является то, что определение ролей может быть недостаточно детальным и может часто меняться.

Управление доступом, ориентированное на данные

Управление доступом, ориентированное на контент, сосредоточено на типе данных, к которым осуществляется доступ.Например, конфиденциальные данные не должны извлекаться никакими объектами, если они не используют конкретное приложение. Основное преимущество управления доступом, ориентированного на данные, заключается в том, что такие элементы управления обеспечивают простой способ удовлетворения требований к доступу к данным между пользователями и системами. Недостатком управления доступом, ориентированного на данные, является то, что он требует от организаций сопоставления и классификации всех своих данных в качестве предварительного условия для реализации таких элементов управления.

Контекстно-ориентированное управление доступом

Контекстно-ориентированное управление доступом сосредоточено вокруг характера доступа.Например, запретить доступ к большим объемам конфиденциальных данных в нерабочее время. Основное преимущество контекстно-ориентированного контроля доступа заключается в том, что он предотвращает известные угрозы простым и эффективным способом. Недостатком контекстно-ориентированного управления доступом является то, что он требует сопоставления всех возможных угроз и может оставлять пробелы в политиках управления доступом.

Satori сочетает в себе элементы управления доступом на основе ролей, данных и контекста, чтобы использовать преимущества каждого подхода, устраняя их соответствующие недостатки, обеспечивая наиболее комплексные средства управления доступом организации к данным на рынке.Подробнее о подходе Satori к контролю доступа к данным читайте здесь.

Авторизация доступа

Что такое контроль доступа?

Контроль доступа - это метод безопасности, который регулирует, кто или что может просматривать или использовать ресурсы в вычислительной среде. Это фундаментальная концепция безопасности, которая сводит к минимуму риск для бизнеса или организации.

Существует два типа контроля доступа: физический и логический. Контроль физического доступа ограничивает доступ к кампусам, зданиям, комнатам и физическим ИТ-активам.Логический контроль доступа ограничивает подключения к компьютерным сетям, системным файлам и данным.

Для защиты объекта организации используют электронные системы контроля доступа, которые полагаются на учетные данные пользователей, считыватели карт доступа, аудит и отчеты для отслеживания доступа сотрудников к закрытым местам бизнеса и частным областям, таким как центры обработки данных. Некоторые из этих систем включают панели управления доступом для ограничения доступа в комнаты и здания, а также средства сигнализации и блокировки для предотвращения несанкционированного доступа или операций.

Системы контроля доступа

выполняют идентификационную аутентификацию и авторизацию пользователей и объектов путем оценки необходимых учетных данных для входа, которые могут включать пароли, личные идентификационные номера (ПИН-коды), биометрическое сканирование, токены безопасности или другие факторы аутентификации. Многофакторная аутентификация ( MFA ), которая требует двух или более факторов аутентификации, часто является важной частью многоуровневой защиты для защиты систем контроля доступа.

Почему важен контроль доступа?

Цель контроля доступа - минимизировать риск несанкционированного доступа к физическим и логическим системам.Контроль доступа - это фундаментальный компонент программ обеспечения соответствия требованиям безопасности, обеспечивающий наличие технологий безопасности и политик контроля доступа для защиты конфиденциальной информации, например данных клиентов. У большинства организаций есть инфраструктура и процедуры, ограничивающие доступ к сетям, компьютерным системам, приложениям, файлам и конфиденциальным данным, таким как личная информация (PII) и интеллектуальная собственность.

Системы контроля доступа

сложны, и управление ими в динамических ИТ-средах, включающих локальные системы и облачные службы, может быть затруднено.После ряда громких нарушений поставщики технологий перешли от систем единого входа (SSO) к унифицированному управлению доступом, которое предлагает средства управления доступом для локальных и облачных сред.

Как работает контроль доступа

Эти меры безопасности работают, идентифицируя человека или объект, проверяя, что это лицо или приложение является тем или тем, кем оно себя называет, и авторизуя уровень доступа и набор действий, связанных с именем пользователя или адресом Интернет-протокола (IP).Службы и протоколы каталогов, включая облегченный протокол доступа к каталогам (LDAP) и язык разметки утверждений безопасности (SAML), обеспечивают средства управления доступом для аутентификации и авторизации пользователей и объектов и позволяют им подключаться к компьютерным ресурсам, таким как распределенные приложения и веб-серверы.

Организации используют разные модели управления доступом в зависимости от требований соответствия и уровней безопасности информационных технологий (ИТ), которые они пытаются защитить.

Виды СКУД

Основными моделями СКУД являются:

  • Обязательный контроль доступа (MAC). Это модель безопасности, в которой права доступа регулируются центральным органом на основе нескольких уровней безопасности. Часто используемые в правительственной и военной среде классификации присваиваются системным ресурсам и операционной системе (ОС) или ядру безопасности. Он предоставляет или запрещает доступ к этим ресурсным объектам на основании уровня доступа пользователя или устройства к информационной безопасности.Например, Security Enhanced Linux (SELinux) - это реализация MAC в ОС Linux.
  • Дискреционный контроль доступа (DAC). Это метод управления доступом, при котором владельцы или администраторы защищенной системы, данных или ресурса устанавливают политики, определяющие, кто или что имеет право доступа к ресурсу. Многие из этих систем позволяют администраторам ограничивать распространение прав доступа. Распространенная критика систем DAC - отсутствие централизованного управления.
  • Управление доступом на основе ролей (RBAC). Это широко используемый механизм контроля доступа, который ограничивает доступ к компьютерным ресурсам на основе отдельных лиц или групп с определенными бизнес-функциями - например, исполнительный уровень, уровень инженера 1 и т. Д. - а не личности отдельных пользователей. Модель безопасности на основе ролей основана на сложной структуре назначений ролей, авторизации ролей и разрешений ролей, разработанной с использованием ролевой инженерии для регулирования доступа сотрудников к системам. Системы RBAC могут использоваться для обеспечения соблюдения структур MAC и DAC.
  • Контроль доступа на основе правил. Это модель безопасности, в которой системный администратор определяет правила, регулирующие доступ к объектам ресурсов. Часто эти правила основаны на таких условиях, как время суток или местоположение. Нередко использование той или иной формы как управления доступом на основе правил, так и RBAC для обеспечения соблюдения политик и процедур доступа.
  • Управление доступом на основе атрибутов (ABAC). Это методология, которая управляет правами доступа путем оценки набора правил, политик и отношений с использованием атрибутов пользователей, систем и условий окружающей среды.

Осуществление контроля доступа

Контроль доступа - это процесс, интегрированный в ИТ-среду организации. Он может включать системы управления идентификацией и доступом. Эти системы предоставляют программное обеспечение для контроля доступа, базу данных пользователей и инструменты управления для политик контроля доступа, аудита и обеспечения соблюдения.

Когда пользователь добавляется в систему управления доступом, системные администраторы используют автоматизированную систему инициализации для настройки разрешений на основе структур управления доступом, должностных обязанностей и рабочих процессов.

Лучшая практика минимальных привилегий ограничивает доступ только к ресурсам, которые требуются сотрудникам для выполнения их непосредственных рабочих функций.

Проблемы контроля доступа

Многие проблемы контроля доступа связаны с высокой степенью распределенности современных ИТ. Трудно отслеживать постоянно развивающиеся активы, поскольку они распределены как физически, так и логически. Некоторые конкретные примеры включают следующее:

  • динамическое управление распределенными ИТ-средами;
  • усталость пароля;
  • Видимость соответствия
  • за счет последовательной отчетности;
  • централизация каталогов пользователей и предотвращение разрозненности приложений; и
  • управление данными и прозрачность за счет согласованной отчетности.

Современные стратегии контроля доступа должны быть динамичными. Традиционные стратегии контроля доступа более статичны, поскольку большая часть вычислительных ресурсов компании находится в помещениях. Современные ИТ-среды состоят из множества облачных и гибридных реализаций, в которых активы распределяются по физическим локациям и по множеству уникальных устройств. Единое защитное ограждение, защищающее локальные активы, становится менее полезным, поскольку активы становятся более распределенными.

Для обеспечения безопасности данных организации должны проверять личности людей, поскольку используемые ими активы более временны и распределены.Сам актив говорит об отдельном пользователе меньше, чем раньше.

Организации часто борются с авторизацией вместо аутентификации. Аутентификация - это процесс подтверждения того, что человек является тем, кем он является, с помощью биометрической идентификации и MFA. Распределенный характер активов дает организациям множество возможностей для аутентификации личности.

Процесс, с которым компании борются все чаще, - это авторизация, то есть процесс предоставления людям правильного доступа к данным на основе их аутентифицированной личности.Один из примеров того, где это может не получиться, - это если человек увольняется с работы, но все еще имеет доступ к активам этой компании. Это может создать бреши в безопасности, потому что актив, который человек использует для работы - например, смартфон с программным обеспечением компании, - все еще подключен к внутренней инфраструктуре компании, но больше не отслеживается, потому что человек больше не работает в компании. . Если этот параметр не отмечен, это может вызвать проблемы для организации.

Если устройство бывшего сотрудника будет взломано, хакер может получить доступ к конфиденциальным данным компании без ведома компании, поскольку устройство больше не отображается для компании во многих отношениях, но все еще подключено к инфраструктуре компании.Хакер может изменять пароли, просматривать конфиденциальную информацию или даже продавать учетные данные сотрудников или данные потребителей в темной сети для использования другими хакерами.

Одним из решений этой проблемы является строгий мониторинг и отчетность о том, у кого есть доступ к защищенным ресурсам, чтобы при возникновении изменения его можно было немедленно идентифицировать, а списки управления доступом (ACL) и разрешения можно было обновить, чтобы отразить это изменение.

Еще одна проблема контроля доступа, о которой часто забывают, - это дизайн технологий контроля доступа, связанный с пользовательским интерфейсом (UX).Если конкретную технологию управления доступом сложно использовать, сотрудник может использовать ее неправильно или полностью ее обойти, что создает бреши в безопасности и бреши в соблюдении нормативных требований. Если приложение для создания отчетов или мониторинга сложно использовать, то сами отчеты могут быть скомпрометированы из-за ошибки сотрудника, что может привести к брешь в безопасности, поскольку о важном изменении разрешений или уязвимости безопасности не сообщалось.

Программное обеспечение для контроля доступа

Существует много типов программного обеспечения и технологий для контроля доступа, и часто несколько компонентов используются вместе для обеспечения контроля доступа.Программные инструменты могут быть локальными, в облаке или их гибридом. Они могут сосредоточиться в первую очередь на управлении внутренним доступом компании или могут сосредоточиться внешне на управлении доступом для клиентов. Вот некоторые из типов программных инструментов управления доступом:

  • приложения для отчетности и мониторинга
  • инструменты управления паролями
  • средства обеспечения
  • хранилища личных данных
  • инструменты принудительного применения политик безопасности

Microsoft Active Directory (AD) - это один из примеров программного обеспечения, которое включает в себя большинство перечисленных выше инструментов в одном предложении.Среди других поставщиков популярных продуктов для управления идентификацией и доступом (IAM) - IBM, Idaptive и Okta.

Политика контроля доступа: Услуги в области информационных технологий: Университет Лойола, Чикаго,

Эта политика применяется к преподавателям, сотрудникам, студентам, подрядчикам и поставщикам Университета Лойола в Чикаго, которые подключаются к серверам, приложениям или сетевым устройствам, которые содержат или передают Защищенные данные Loyola, в соответствии с Политикой классификации данных. Все серверы, приложения или сетевые устройства, которые содержат, передают или обрабатывают данные, защищенные Loyola, считаются «системами высокой безопасности».

Средства контроля доступа предназначены для минимизации потенциального воздействия на Университет в результате несанкционированного использования ресурсов, а также для сохранения и защиты конфиденциальности, целостности и доступности сетей, систем и приложений Университета.

Разделение обязанностей

Доступ к системам высокой безопасности будет предоставляться пользователям только на основании бизнес-требований, должностных функций, обязанностей или служебной необходимости. Все добавления, изменения и удаления в доступе к индивидуальной системе должны быть одобрены соответствующим надзорным органом и UISO с действующим бизнес-обоснованием.Контроль доступа к системам повышенной безопасности осуществляется через автоматизированную систему контроля. Создание, удаление и изменение учетной записи, а также доступ к защищенным данным и сетевым ресурсам осуществляется группой «Операции сервера».

Ежегодно Управление информационной безопасности университета будет проверять доступ всех пользователей и администраторов к системам высокой безопасности. О несоответствиях в доступе будет сообщено соответствующему руководителю в ответственном подразделении, и они будут исправлены соответствующим образом.

Доступ к учетной записи пользователя

Все пользователи систем высокой безопасности будут соблюдать следующий набор правил:

  • Пользователи с доступом к Системам высокой безопасности будут использовать отдельную уникальную учетную запись, отличную от их обычной университетской учетной записи. Эта учетная запись будет соответствовать следующим стандартам:
    • Пароль должен соответствовать, как минимум, опубликованным Стандартам паролей ITS.
    • Неактивные учетные записи будут отключены через 90 дней бездействия.
    • Доступ будет разрешен только в течение необходимого периода времени и отключен, когда он не используется.
    • Доступ будет контролироваться, когда учетная запись используется.
    • Повторные попытки доступа будут ограничены блокировкой идентификатора пользователя не более чем после шести попыток.
    • Продолжительность блокировки должна быть установлена ​​минимум на 30 минут или до тех пор, пока администратор не включит идентификатор пользователя.
    • Если сеанс простаивал более 15 минут, пользователю необходимо повторно пройти аутентификацию, чтобы повторно активировать терминал или сеанс.
  • Пользователи не будут входить в систему с использованием общих, общих или служебных учетных записей.
  • Поставщики услуг с удаленным доступом к помещению клиента (например, для поддержки POS-систем или серверов) должны использовать уникальные учетные данные для аутентификации (например, пароль / фразу) для каждого клиента.

Пользователи могут получить доступ к среде RemoteApp, только если:

  • Менеджер пользователя должен отправить запрос.
  • Директор по управлению денежными средствами, помощник директора по управлению денежными средствами или старший финансовый аналитик по электронной коммерции должны одобрять все запросы.
  • Пользователи будут соблюдать приведенные выше правила доступа.
  • Пользователи должны проходить ежегодное обучение PCI через казначейство.
  • Запросы на изменение пароля должны быть отправлены в казначейство и согласованы с менеджером пользователя.
  • Администраторы будут соблюдать политику привилегированного доступа.
  • Пользователи будут соблюдать приведенные выше правила доступа.
  • Администраторы немедленно отменяют весь доступ пользователя к Системам высокой безопасности, когда изменение статуса занятости, должностных функций или обязанностей диктует, что пользователю больше не требуется такой доступ.
  • Все учетные записи служб должны использоваться не более чем одной службой, приложением или системой.
  • Администраторы не должны расширять права доступа группы пользователей таким образом, чтобы они предоставляли несоответствующий доступ любому пользователю в этой группе.
  • Все серверы, приложения и сетевые устройства должны содержать баннер для входа в систему, который отображает следующее содержимое:

«Этот компьютер и сеть предназначены для использования авторизованными членами сообщества Лойола. Использование этого компьютера и сети регулируется всеми применимыми политиками Loyola, включая политики служб информационных технологий (http: // www.luc.edu/its/aboutus/policies.shtml) и любых применимых справочников Loyola. Любое использование этого компьютера или сети означает признание того, что на пользователя распространяются все применимые политики. Любое другое использование запрещено. Пользователи любой сетевой системы, включая этот компьютер, должны знать, что из-за характера электронных коммуникаций любая информация, передаваемая через компьютер или сеть, не может быть частной. Конфиденциальные сообщения должны быть зашифрованы или переданы альтернативным методом.”

Все пользователи и администраторы, имеющие доступ к системам высокой безопасности, должны соблюдать следующие правила:

  • Использование модемов или точек беспроводного доступа в сетях с высоким уровнем безопасности или других неутвержденных технологиях удаленного доступа запрещено.
  • Весь удаленный доступ должен быть аутентифицирован и зашифрован через университетскую VPN, Loyola Secure Access (LSA).
  • Весь удаленный доступ будет осуществляться с использованием двухфакторной аутентификации; имя пользователя и пароль или комбинация ПИН-кода, а также второй метод, не основанный на учетных данных пользователя, таких как сертификат или токен, предоставленные пользователю.
  • На любом компьютере, используемом для удаленного доступа, должно быть установлено, запущено и включено антивирусное программное обеспечение и брандмауэр на базе хоста. Это требование обеспечивается компонентом проверки хоста в программном обеспечении VPN Университета, и удаленный доступ к сети с высоким уровнем безопасности возможен только после того, как машина прошла эти настроенные проверки.
  • Любая третья сторона, не являющаяся аффилированным лицом Loyola, которому требуется удаленный доступ к Системам высокой безопасности для поддержки, технического обслуживания или по административным причинам, должна назначить лицо в качестве контактного лица (POC) для своей организации.В случае изменения POC третья сторона должна назначить новый POC.
  • Любой доступ третьих лиц к Системам высокой безопасности должен быть одобрен сотрудником по информационной безопасности или его назначенным лицом.
  • Третьи стороны могут получить доступ только к системам, которые они поддерживают или обслуживают.
  • Все сторонние учетные записи в системах с высоким уровнем безопасности будут отключены и неактивны, если это не потребуется для поддержки или обслуживания. Запросы на разрешение доступа должны соответствовать процедуре, изложенной в Политике доступа поставщиков к внутренним системам Чикагского университета Лойолы.Запросы на доступ за пределами этой политики категорически отклоняются. Системный администратор сервера будет отвечать за включение / отключение учетных записей и мониторинг доступа поставщиков к указанным системам. Все третьи стороны, имеющие доступ к любым системам высокой безопасности, должны соблюдать все правила и стандарты управления, связанные с этими данными (например, требования безопасности PCI для данных о держателях карт, требования FERPA для записей учащихся, требования HIPAA для защищенной медицинской информации). Учетные записи третьих лиц должны быть немедленно отключены после завершения поддержки или обслуживания.
  • Запрещается копировать данные из систем с высоким уровнем безопасности на удаленную машину пользователя.
  • Доступ будет отключен автоматически через 24 часа.
  • Пользователи будут соблюдать приведенные выше правила доступа.

Все центры обработки данных ITS будут соответствовать следующим требованиям физической безопасности:

  • Будет установлено видеонаблюдение для контроля доступа в центры обработки данных ITS и из них.
  • Доступ к дата-центрам ITS будет осуществляться с использованием систем электронных пропусков.
    • Только технический отдел, директор по инфраструктурным службам ITS и группа сетевых служб будут иметь доступ к физическому ключу.
  • Физический доступ к центрам обработки данных ITS ограничен персоналом ITS, назначенными утвержденными сотрудниками Loyola или подрядчиками, чьи должностные обязанности или обязанности требуют такого физического доступа.
    • Эти люди будут соответствующим образом классифицированы в матрице ролей и обязанностей ITS.
  • Значок
  • Loyola будет отображаться на видном месте.
  • Посетители, получающие доступ к центрам обработки данных ITS, будут сопровождаться уполномоченным персоналом ITS, и весь доступ будет регистрироваться в журнале доступа посетителей центра обработки данных ITS.
    • Этот журнал будет храниться в каждом центре обработки данных ITS.
    • Каждый посетитель и сопровождающий его уполномоченный персонал ITS должны войти в центр обработки данных и выйти из него.
    • Журнал будет храниться не менее трех месяцев.
  • Модификация, добавление или удаление физического доступа к центрам обработки данных ITS будут выполняться с использованием формы авторизации с высокой степенью защиты ITS.
  • Доступ для всех уволенных сотрудников на объекте и просроченных идентификаторов посетителей (например, идентификационных бейджей) будет немедленно аннулирован.
  • Физический доступ требует одобрения директора служб инфраструктуры ITS.
  • Группа информационной безопасности и директор служб инфраструктуры ITS будут ежегодно проверять физический доступ к центрам обработки данных ITS.

Несоблюдение этой политики может привести к дисциплинарным взысканиям, предусмотренным в Справочнике для сотрудников, Руководстве по трудоустройству студентов и Справочнике для преподавателей.Дисциплинарные меры за несоблюдение этой политики могут включать увольнение, как указано в соответствующем справочнике или руководстве по трудоустройству.

Если у вас есть вопросы по поводу этой политики, обратитесь в группу информационной безопасности по адресу [email protected]

  • 19 сентября 2012 г .: Добавлен раздел соответствия PCI
  • 23 сентября 2012 г .: исправленные ссылки.
  • 25 сентября 2014 г .: добавлено утверждение, требующее немедленного отключения сторонних учетных записей
  • 22 июня 2015 г .: Годовой обзор соответствия PCI
  • 7 июля 2015 г .: добавлено заявление о тайм-ауте бездействия VPN
  • 5 августа 2015 г .: v1.3 Добавлены инструкции для PCI-DSS v3.1 Sec. 8,1
  • 1 октября 2015 г .: v1.4 Добавлены инструкции для PCI-DSS v3.1 Sec. 9,2
  • 15 апреля 2016 г .: измененный раздел «Физический доступ» версии 1.5, ежегодный обзор соответствия PCI
  • 4 мая 2016 г .: Дополнительные изменения в разделе «Удаленный доступ»
  • 4 октября 2016 г .: В раздел «Доступ пользователей» внесены изменения, в которых указаны уникальные учетные данные для аутентификации, необходимые для доступа к PCI-CDE
  • .
  • 5 июня 2017 г .: Годовой обзор соответствия PCI
  • , 7 июля 2017 г .: Обновления для утверждающих лиц RemoteApp Access и процедуры сброса пароля.
  • 19 апреля 2018 г .: Годовой обзор соответствия PCI
  • 6 мая 2019 г .: добавлено заявление о проверке хоста, ежегодный обзор соответствия PCI
  • 1 июля 2020 г .: Ежегодный обзор соответствия PCI

Шесть передовых методов контроля доступа

Правильный контроль доступа для вашей организации лучше всего выполнять поэтапно. Таким образом, вы сможете предвидеть расходы и действия, которые вам необходимо решить как в краткосрочной, так и в долгосрочной перспективе, и обеспечить постоянную безопасность своего персонала и бизнес-активов.

Рекомендации

по контролю доступа включают действия, при которых вам нужно обратить внимание на то, сколько вы потратите авансом на какой продукт, кто будет вашим предпочтительным поставщиком, как вы настроите контроль доступа в своей организации и как вы будете поддерживать доступ система управления по мере роста компании.

Обучаясь у пользователей, которые ранее тестировали воду, и заимствуя их передовой опыт, вы можете реализовать безболезненное решение для управления доступом. Чтобы упростить задачу, сделайте процесс пошаговым и организуйте контроль доступа в три этапа:

  • Планирование контроля доступа
  • Настройка решения для контроля доступа
  • Управление системой контроля доступа.

Давайте рассмотрим некоторые из лучших практик для каждого из вышеперечисленных этапов.

Планирование контроля доступа

Это самый важный этап организации контроля доступа, так как то, что вы здесь делаете, повлияет на следующие два этапа. Для начала обратите внимание на следующее:

Создание доступа на основе ролей - Ваша компания, вероятно, будет включать в себя несколько отделов с разными уровнями ответственности. Не всем нужен доступ ко всем областям.Поэтому лучше всего создать схему, в которой ваши сотрудники будут четко определены по ролям и получат соответствующие полномочия в зависимости от типа выполняемой ими работы. Примерами доступа на основе ролей являются сетевой администратор, который получает доступ к серверной, или бухгалтер, который может разблокировать сейф компании. При создании ролей обязательно проверьте правила соблюдения нормативных требований для каждой из этих ролей.

Реализация уровней безопасности - При планировании контроля доступа рассмотрите несколько вариантов доступа.Различные технологии позволяют сделать вашу компанию более или менее защищенной. Внедряйте каждую из этих технологий на соответствующем уровне, чтобы окружать определенные области строгими требованиями к доступу, оставляя другие более открытыми для более широкой аудитории. Установите двухфакторную или многофакторную аутентификацию, чтобы предотвратить мошенническое использование украденных паролей или PIN-кодов. Подумайте, какие инструменты вы установите для поддержки инфраструктуры контроля доступа - например, камеры, датчики, дверные замки, считыватели и беспроводные технологии, и убедитесь, что каждый уровень безопасности надлежащим образом поддерживается соответствующими средствами авторизации и контроля доступа.

Настройка решения для контроля доступа

Несмотря на тщательное планирование, все может пойти наперекосяк, если вы не настроите систему, как планировалось. Вот о чем важно позаботиться, когда вы перейдете ко второму этапу:

Применить контроль доступа с наименьшими привилегиями. - Большинство экспертов по безопасности посоветуют вам, что применение правила наименьших привилегий является одной из лучших практик при настройке контроля доступа. В общих чертах, наименьшие привилегии означают, что доступ должен предоставляться только лицам, которым он явно необходим.Права на управление доступом не должны предоставляться из соображений удобства. Кроме того, следует внимательно следить за любым ИТ-персоналом или персоналом службы безопасности, у которых есть специализированные роли с точки зрения принятия решений о привилегиях управления доступом, поскольку они могут нанести наибольший ущерб вашей организации.

Установите программное обеспечение для автоматизации процессов - инициализацию пользователей лучше всего выполнять с помощью автоматизированного решения. После того как вы определите роли и обязанности, будет сложно отслеживать все назначенные полномочия, особенно если вы нанимаете сотни или тысячи людей на крупном предприятии.Поэтому вместо того, чтобы полагаться на ручное отслеживание, разверните программное обеспечение для синхронизации пользователей, которое автоматизирует действия и будет вести учет всех изменений по мере их возникновения в режиме реального времени. Автоматизируйте ИТ-интеграцию, рабочие процессы, иерархии ролей, управление паролями и аудит, чтобы избежать дорогостоящих ошибок.

Управление системой контроля доступа

После того, как все настроено и выполнено с использованием лучших практик первых двух этапов, вам необходимо убедиться, что установленная система будет оставаться работоспособной в течение длительного времени.Вот несколько лучших практик, которые вам необходимо реализовать для поддержания эффективной системы контроля доступа и долгосрочного безопасного рабочего места.

Защищенные данные - Использование интегрированной системы контроля доступа может эффективно решить многие проблемы безопасности предприятия, но также может представлять больший риск, поскольку интеграция может создать дополнительные проблемы, такие как большее количество уязвимостей для хакерских атак. Наличие такого большого количества информации об учетной записи, сохраненных паролей, PIN-кодов и личных данных пользователя в одной и той же системе представляет собой риск, если она не защищена должным образом.Следовательно, защитите все данные, применяя меры защиты от логического и физического доступа.

Выполнение аудита системы - Один из самых простых способов аудита вашей системы контроля доступа - это использовать возможности программного обеспечения для создания отчетов, если они у вас есть. Изучив отчеты, вы сможете отслеживать, работает ли система должным образом и нужно ли вам вносить исправления, изменения или обновления. Сделайте процесс аудита обязательным мероприятием в политике безопасности вашего предприятия, чтобы вы не могли забыть о нем, поскольку он станет регулярной частью того, как вы управляете своим бизнесом.

7,7. Встроенный контроль доступа к системе - Starburst Enterprise Presto

Плагин контроля доступа к системе обеспечивает авторизацию на глобальном уровне, перед любой авторизацией на уровне коннектора. Вы можете использовать один из встроенных плагины в Presto, или предоставьте свои собственные, следуя рекомендациям в Контроль доступа к системе.

Одновременно можно настроить несколько реализаций управления доступом к системе используя свойство конфигурации access-control.config-files .Должно содержать разделенный запятыми список файлов свойств управления доступом для использования (а не по умолчанию etc / access-control.properties ).

Контроль доступа к системе по умолчанию

Разрешены все операции, кроме олицетворения пользователя. Этот плагин включен по умолчанию.

Разрешить весь контроль доступа к системе

В этом плагине разрешены все операции.

Контроль доступа к системе только для чтения

В рамках этого плагина вам разрешено выполнять любую операцию, которая читает данные или метаданные, например SELECT или SHOW .Установка уровня системы или уровня каталога свойства сеанса также разрешены. Однако любая операция, которая записывает данные или метаданные, такие как CREATE , INSERT или DELETE , запрещены. Чтобы использовать этот плагин, добавьте etc / access-control.properties файл со следующим содержанием:

 access-control.name = только для чтения
 

Контроль доступа к файловой системе

Этот плагин позволяет вам определять правила контроля доступа в файле. Чтобы использовать это плагин, добавьте etc / access-control.properties , содержащий два требуемых properties: access-control.name , который должен быть равен файлу , и security.config-file , который должен совпадать с расположением файла конфигурации. Например, если файл конфигурации с именем rules.json находится в etc , добавьте etc / access-control.properties со следующими содержание:

 access-control.name = файл
security.config-file = etc / rules.json
 

Конфигурационный файл указан в формате JSON.

  • Он содержит правила, определяющие, к какому каталогу может получить доступ какой пользователь (см. Правила каталога ниже).

  • Правила запросов, определяющие, какими запросами может управлять какой пользователь (см. Правила запросов ниже).

  • Правила олицетворения определяют, какое олицетворение пользователя разрешено (см. Правила олицетворения ниже).

  • Основные правила, определяющие, какие участники могут идентифицировать пользователей (см. Основные правила ниже).

  • Правила системной информации, определяющие, какие пользователи могут получать доступ к информации управления системой (см. Правила системной информации ниже).

Этот плагин в настоящее время поддерживает доступ к каталогу, запросы, олицетворение, принципала и системную информацию. правила. Если вы хотите каким-либо другим способом ограничить доступ на системном уровне, вы должен реализовать собственный плагин SystemAccessControl (см. Контроль доступа к системе).

Обновить

По умолчанию при изменении безопасности .config-файл , необходимо перезапустить Presto чтобы загрузить изменения. Существует необязательное свойство для обновления свойств без необходимости Престо перезапуск. Период обновления указан в файле etc / access-control.properties :

.
 security.refresh-period = 1 с
 

Правила каталога

Эти правила регулируют каталоги, к которым могут получить доступ определенные пользователи. Пользователь предоставлен доступ к каталогу на основе первого правила соответствия, прочитанного сверху вниз Нижний. Если ни одно правило не соответствует, доступ запрещен.Каждое правило состоит из следующие поля:

  • пользователь (необязательно): регулярное выражение для сопоставления с именем пользователя. По умолчанию . * .

  • группа (необязательно): регулярное выражение для сопоставления с именами групп. По умолчанию . * .

  • каталог (необязательно): регулярное выражение для сопоставления с именем каталога. По умолчанию . * .

  • allow (обязательно): строка, указывающая, есть ли у пользователя доступ к каталогу.Это значение может быть все , только для чтения или нет , по умолчанию нет . Установка этого значения на только для чтения ведет себя так же, как только для чтения плагин контроля доступа к системе.

Для применения правила имя пользователя должно соответствовать регулярному выражению указывается в пользовательском атрибуте .

Для имен групп может применяться правило, если хотя бы одно имя группы этого пользователя соответствует регулярному выражению группы .

Примечание

По умолчанию все пользователи имеют доступ к каталогу системы . Вы можете переопределить это поведение, добавив правило.

Boolean true и false также поддерживаются, поскольку устаревшие значения для позволяют , для поддержки обратной совместимости. true соответствует всем , а false соответствует none .

Например, если вы хотите разрешить только пользователю admin доступ к mysql и каталог system , позволяют пользователям из finance и admin группам доступ к каталогу postgres , разрешить всем пользователям получить доступ к каталогу улья и запретить любой другой доступ, вы можете использовать следующие правила:

 {
  "каталоги": [
    {
      "пользователь": "админ",
      "каталог": "(mysql | system)",
      "позволять все"
    },
    {
      "группа": "финансы | человеческие_ресурсы",
      "catalog": "postgres",
      "разрешить": правда
    },
    {
      "каталог": "улей",
      "позволять все"
    },
    {
      "пользователь": "алиса",
      "каталог": "postgresql",
      "разрешить": "только для чтения"
    },
    {
      "каталог": "система",
      "разрешить": "нет"
    }
  ]
}
 

Для соответствия групповым правилам пользователей необходимо распределять по группам с помощью Провайдер группы.

Правила запроса

Эти правила управляют возможностью пользователя выполнить, просмотреть или закрыть запрос. Пользователь предоставлен или запрещен доступ на основе первого правила сопоставления, прочитанного сверху вниз. Если нет правила указаны, всем пользователям разрешено выполнять запросы, а также просматривать или уничтожать запросы принадлежит любому пользователю. Если ни одно правило не соответствует, управление запросами отклоняется. Каждое правило составлено из следующих полей:

  • пользователь (необязательно): регулярное выражение для сопоставления с именем пользователя.По умолчанию . * .

  • владелец (необязательно): регулярное выражение для сопоставления с именем владельца запроса. По умолчанию . * .

  • разрешить (обязательно): набор разрешений на запросы, предоставленных пользователю. Значения: выполнить , просмотреть , убить

Примечание

У пользователей всегда есть разрешение на просмотр или удаление собственных запросов.

Например, если вы хотите разрешить пользователю admin полный доступ к запросам, разрешите пользователю alice для выполнения и уничтожения запросов, любого пользователя для выполнения запросов и запрета любого другого доступа вы можете использовать следующие правила:

 {
  "каталоги": [
    {
      "разрешить": правда
    }
  ],
  "запросы": [
    {
      "пользователь": "админ",
      "разрешить": ["выполнить", "убить", "просмотреть"]
    },
    {
      "пользователь": "алиса",
      «разрешить»: [«выполнить», «убить»]
    },
    {
      "разрешить": ["выполнить"]
    }
  ]
}
 

Правила выдачи себя за другое лицо

Эти правила управляют возможностью пользователя выдавать себя за другого пользователя.В в некоторых средах администратору (или управляемой системе) желательно запускать запросы от имени других пользователей. В этих случаях администратор аутентифицируется с использованием своих учетных данных, а затем отправляет запрос как другой Пользователь. При изменении пользовательского контекста Presto проверит администратора. имеет право выполнять запросы от имени целевого пользователя.

Когда присутствуют эти правила, авторизация основана на первом подходящем правиле, обрабатывается сверху вниз. Если правила не совпадают, в авторизации будет отказано.Если правила олицетворения отсутствуют, но указаны унаследованные основные правила, предполагается, что управление доступом с олицетворением осуществляется по основным правилам, поэтому выдача себя за другое лицо разрешено. Если ни выдача себя за другое лицо, ни основные правила не задано, выдача себя за другое лицо не допускается.

Каждое правило олицетворения состоит из следующих полей:

  • originalUser (обязательно): регулярное выражение для сопоставления с пользователем, запрашивающим олицетворение.

  • newUser (обязательно): регулярное выражение для сопоставления с пользователем, который будет олицетворен.

  • allow (необязательно): логическое значение, указывающее, должна ли быть разрешена аутентификация.

В следующем примере два администратора, alice и bob , могут выдавать себя за другое лицо. любой пользователь, за исключением того, что они не могут выдавать себя за другое лицо. Это также позволяет любому пользователю олицетворять тест пользователь:

 {
    "каталоги": [
        {
            "разрешить": правда
        }
    ],
    "олицетворение": [
        {
            "originalUser": "алиса",
            "newUser": "bob",
            "разрешить": ложь
        },
        {
            "originalUser": "bob",
            "newUser": "алиса",
            "разрешить": ложь
        },
        {
            "originalUser": "alice | bob",
            "новый пользователь": ".* "
        },
        {
            "originalUser": ". *",
            "newUser": "тест"
        }
    ]
}
 

Основные правила

Предупреждение

Основные правила устарели и будут удалены в следующем выпуске. Эти правила были заменены на сопоставление пользователей, которое определяет, как имя пользователя сложной аутентификации сопоставляется с простым имя пользователя для Presto и правила олицетворения, определенные выше.

Эти правила служат для обеспечения определенного соответствия между принципалом и указанное имя пользователя.Принципалу предоставляется авторизация в качестве пользователя на основании в первом правиле соответствия читать сверху вниз. Если правила не указаны, никаких проверок не производится. Если ни одно правило не соответствует, в авторизации пользователя отказывается. Каждое правило состоит из следующих полей:

  • принципал (обязательно): регулярное выражение для сопоставления и группировки против принципала.

  • пользователь (необязательно): регулярное выражение для сопоставления с именем пользователя. Если совпадают, это предоставит или отклонит авторизацию на основе значения , разрешит .

  • Principal_to_user (необязательно): строка замены для замены главный. Если результат подстановки совпадает с именем пользователя, он будет предоставить или отклонить разрешение на основе значения , разрешить .

  • разрешить (обязательно): логическое значение, указывающее, может ли быть авторизован принципал как пользователь.

Примечание

Вы должны указать хотя бы один критерий в основном правиле./**************************@example.net ", "Principal_to_user": "$ 1", "разрешить": правда }, { "принципал": "[email protected]", "пользователь": "алиса | боб", "разрешить": правда } ] }

Правила системной информации

Эти правила определяют, какие пользователи могут получить доступ к интерфейсу управления системной информацией. Пользователю предоставляется или запрещается доступ в зависимости от первого совпадающего правила, прочитанного сверху вниз. Нижний. Если правила не указаны, запрещается любой доступ к системной информации. Если правила не совпадают, доступ к системе запрещен.Каждое правило состоит из следующих полей:

  • пользователь (необязательно): регулярное выражение для сопоставления с именем пользователя. Если совпадают, это предоставит или отклонит авторизацию на основе значения , разрешит .

  • разрешить (обязательно): набор разрешений на доступ, предоставленных пользователю. Значения: чтение , запись

Например, если вы хотите разрешить только пользователю admin читать и писать системной информации, разрешите Алисе считывать системную информацию и запретите любой другой доступ, вы можно использовать следующие правила:

 {
  "каталоги": [
    {
      "разрешить": правда
    }
  ],
  "системная информация": [
    {
      "пользователь": "админ",
      "разрешить": ["читать", "писать"]
    },
    {
      "пользователь": "алиса",
      "разрешить": ["прочитать"]
    }
  ]
}
 

Фиксированного пользователя можно настроить для интерфейсов управления с помощью управления .пользователь конфигурационное свойство. Когда это настроено, правила системной информации все еще должны быть установлены чтобы разрешить этому пользователю читать или писать информацию управления. Пользователь с фиксированным управлением по умолчанию применяется только к HTTP. Чтобы включить фиксированного пользователя через HTTPS, установите Свойство конфигурации с поддержкой management.user.https.

Контроль доступа к системе - Starburst Enterprise

Контроль доступа к системе обеспечивает авторизацию на глобальном уровне, перед любой авторизацией на уровне коннектора.Вы можете использовать один из встроенных реализаций в Trino, или предоставьте свои собственные, следуя рекомендациям в Система контроля доступа.

Одновременно можно настроить несколько реализаций управления доступом к системе используя свойство конфигурации access-control.config-files . Должно содержать разделенный запятыми список файлов свойств управления доступом для использования (а не по умолчанию etc / access-control.properties ).

Trino предлагает следующие встроенные реализации:

Имя системы контроля доступа

Описание

по умолчанию

Разрешены все операции, кроме олицетворения пользователя.Это управление доступом по умолчанию, если оно не настроено.

разрешить все

Все операции разрешены.

только для чтения

Операции чтения данных или метаданных разрешены, но ни одна из операций записи данных или метаданных не разрешена.

файл

Правила авторизации указываются в файле конфигурации.См. Раздел Управление доступом к файловой системе.

Если вы хотите ограничить доступ на системном уровне любым другим способом, кроме тех перечисленных выше, необходимо реализовать настраиваемый контроль доступа к системе.

Контроль доступа к системе только для чтения

Этот контроль доступа разрешает любую операцию, которая читает данные или метаданные, например SELECT или SHOW . Установка уровня системы или уровня каталога свойства сеанса также разрешены. Однако любая операция, которая записывает данные или метаданные, такие как CREATE , INSERT или DELETE , запрещены.Чтобы использовать этот контроль доступа, добавьте etc / access-control.properties файл со следующим содержанием:

 access-control.name = только для чтения
 
.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *