Beléptető rendszer szabványosítás?

Szabványoknak való megfelelés bizonyos esetekben nem kérdés. De mi van akkor, ha egy szabvány önkéntesen alkalmazható? Milyen motivációk alapján és mikor választják a gyártók a minősítést, és milyen módon lehet igazolni egyáltalán a követelmények teljesítését? Erről osztja meg velünk gondolatait Papp Márton kolléga a Seawing Assa Abloy üzletfejlesztési igazgatója

Forrás: Niedax

Beléptető rendszerek esetében is léteznek szabványok, amelyek részletesen szabályozzák a funkcionalitási elvárásokat, de a használatuk önkéntes. Alapesetben tehát bárki fejleszthet egy beléptetési folyamatokat kezelő rendszert, annak minden hardver/szoftver elemével, és forgalomba is hozhatja anélkül, hogy az elektronikus készülékekre vonatkozó kötelező követelményeken felül bármilyen funkcionális elvárásnak eleget tenne. Hogyan juthat el egy cég mégis addig, hogy a termékét meg tudja feleltetni a szabványoknak is?

Tegyük fel, hogy megjelenik a piacon egy vevői igény, ami mondjuk jelen esetben egy objektumba történő beléptetés kontrollálása. Erre a felvetésre megjelenik egy fejlesztő cég, és gondos felmérés, tervezés után elkészíti a termékét, amit  piacra is visz. Olyan jogszabály vagy direktíva nincs ezen a területen, amely valamely szabvány használatát kötelezővé tenné, így ez rendben is van. Azonban az is előfordulhat, hogy a hosszú távú gondolkodás vagy valamilyen külső hatás esetén (például az objektum kritikus infrastruktúra mivolta miatt, ami alapos indok lehet), már a tervezéstől arra készül a cég, hogy a szabványnak megfelelő rendszere lesz. Így a fejlesztés teljes folyamata ennek a megfelelésnek a figyelembevételével zajlik, így nem csak a vevői igényeket tartják szem előtt. Adott esetben ez versenyelőny is lehet, de marketing szempontból mindenképpen egy jól kommunikálható bizonyítéka a minőségnek. Eljut tehát odáig a fejlesztő, hogy van egy szabványos rendszere. Itt még mindig lehet egy döntési pont, mely szerint megelégszik azzal, hogy kiállít egy saját nyilatkozatot rendszere megfelelősségéről. Természetesen ennek egy sokkal hitelesebb formája, amikor egy harmadik fél, egy akkreditált, külső minősítő cég igazolja az állítását, és ad ki egy tanúsítványt. Megjegyzem, hogy ezek azért az ideális esetek. De előfordulhat az is, hogy ugyan a szabvány előírásai mindig is a fejlesztők szemei előtt lebegnek, de amikor valamilyen indíttatásból mégis minősíteni szeretnék a rendszert, egy-két dolgot azért igazítani kell a száz százalékos megfeleléshez.  

A beléptető rendszerekre vonatkozó jelenleg hatályos szabványok:

  • MSZ EN 60839-11-1  Elektronikus beléptető rendszerek. A berendezésekre és készülékekre vonatkozó követelmények 
  • MSZ EN 60839-11-2 Elektronikus beléptető rendszerek. Alkalmazási irányelvek.

Valamint megemlíteném a kommunikációs protokollra vonatkozót is:

  • MSZ EN IEC 60839-11-5:2021 Riasztórendszerek és elektronikus biztonsági rendszerek. 11-5. rész: Elektronikus beléptetőrendszerek. Nyílt felügyelt eszközprotokoll (OSDP) (IEC 60839-11-5:2020).

A felsorolt szabványok alkalmazása tehát önkéntes, ha azonban valaki azt választja, hogy ennek megfelelő rendszert tervez és kivitelez, akkor az előírások betartása kötelező érvényű.

A két szabvány közül a 60839-11-1 szól a rendszerelemek követelményeiről, összesen 11 területen több, mint 200 soron. Megadja többek között a rendszer tápellátásának kialakítására, az adatok feldolgozására, a rendszer önvédelmi funkcióira vonatkozó követelményeket. Pontosan meghatározásra kerül, hogy milyen funkciókat kell a belépési pontoknál megvalósítani, hogyan kell vezérelni és monitorozni. A felhasználókat milyen módon hogyan kell azonosítani. Események nyilvántartására, riasztásokra és logokra is vannak elősírások, valamint a külső rendszerekhez kapcsolódások, és általánosan a kommunikációs követelmények is részletesen előírtak. A szabvány közel egyharmadát teszik csak ki a tesztelési eljárások, le van írva egy adott követelmény esetén pontosan mit kell vizsgálni a teszteken. Ez jelentősen megkönnyíti egy belső minősítési eljárás lefolytatását vagy a külsős minősítő cég működését, mivel csak végig kell menni lépésről lépésre az előírásokon.

A 60839-11-2 az alkalmazási elveket taglalja, leírja a folyamatot, hogy mit kell figyelembe venni és betartani a rendszerek tervezésétől, a kivitelezésen át a dokumentálásáig. A tervezés során deklarált, hogy milyen elveket szükséges figyelembe venni a rendszer architektúrájának kialakítása során. Hogyan kell a veszélyeket értékelni, és ez alapján a rendszer mely részei milyen fokú védelmet kívánnak, és ehhez milyen eszközöket kell választani. Telepítéskor a tápellátás kialakítása, illetve a szükséges kommunikációs kábeleknek a megfelelősége is előírt. Az is meg van adva, hogy a rendszer átadásakor milyen lépések végrehajtása esetén tekinthető szabályosan átadottnak. Például belépési pontok üzemképesek, a megfelelő folyamatok működnek, jelzések helyesek, dokumentációk pontosak, tápelvétel esetén a rendszer tovább működik az előírtak szerint és így tovább. Üzemeltetés és karbantartás során például a személyzet megfelelően képzett kell legyen, az  utasítások rendben legyenek, az adatok és mentések rendelkezésre álljanak, a rendszerek karbantartási utasításai meglegyenek és a tevékenység rendben működjön. Dokumentációs követelmények közé tartoznak, hogy a területek, a belépési pontok, kábel útvonalak és kommunikációs vonalak pontosan leírásra kerüljenek.

A 60839-11-5 szabvány azt a kommunikációs protokollt (OSDP, Open Supervised Device Protocol) írja le, amely a magasabb biztonsági fokozatok esetén szükséges az olvasók és a vezérlő elemek közti titkosítási eljárás során.

Néhány esetben már szó volt a fokozatokról, melyek igazából a lényegét adják az említett szabványoknak. A szabvány négy szintet határoz meg, bármelyiket választva az abban előírt követelményeknek kell megfelelni. A fokozatokat angolul Grade-nek mondjuk (Tekintve, hogy a szakmán belül is így hivatkoznak rá a továbbiakban én is így teszek.) A beléptető rendszer tehát a szabvány szerint lehet Grade1, Grade2, Grade3 vagy Grade4 szerinti, ahol az 1-es a legenyhébb és a 4-es a legszigorúbb. A szintek azt adják meg, hogy egy rendszer milyen nehezen szabotálható, és ehhez határozza meg a teljesítendő követelményeket.

A közérthetőség kedvérét a szabvány példákat is ad, hogy mely felhasználási esetekben milyen típusú védelmet javasol. Természetesen ezek csak ajánlások, az saját döntés, hogy az adott területet milyen Grade-hez köti a felhasználó., Amennyiben viszont egy szintet előír, akkor az ahhoz tartozó követelményeket már be kell tartani. Tehát hiába az épület egy kritikus termelési egység, ha úgy gondolják, hogy a Grade3 szint is kielégíti az igényeiket a biztonság terén, akkor azt is választhatják.

Grade1234
Kockázati szintalacsonyAlacsony vagy közepesKözepes vagy magasMagas
Alkalmazás területSzervezet értékeinek, kis értékű eszközök védelmeSzervezet értékeinek, kis és közepes értékű eszközök védelmeKis mértékben a szervezet értékeinek, közepes vagy magas értékű kereskedelmi eszközök védelmeFőként nagy értékű kereskedelmi vagy kritikus infrastruktúrák védelme
Támadók tudása/képességKevés tudás és képesség a beléptető, azonosítás és IT technológiákban. Alacsonyszintű gazdaság érdek a támadás mögött.Közepes tudás és képesség a beléptető, azonosítás és IT technológiákban. Alacsony vagy közepesszintű gazdaság érdek a támadás mögött.Magas szintű tudás és képesség a beléptető, azonosítás és IT technológiákban. Közepes szintű gazdasági érdek a támadás mögött.Nagyon magas szintű tudás és képesség a beléptető, azonosítás és IT technológiákban. Magas szintű  gazdasági érdek a támadás mögött.
Tipikus példákHotelKereskedelmi irodák, kis cégekGyártó, irodai, pénzügyi cégekMagas érzékeny területek (katonai, kormányzat, fejlesztés, kritikus termelés)

A fejlesztőknek tehát nem könnyű választás, hogy szabványosítás esetén melyik szint követelményeinek szeretnének megfelelni, hiszen itt komoly fejlesztési időkről, és ezáltal magas költségekről kell dönteni. Lehet, hogy valaki pénzt és időt nem sajnálva eléri a Grade4 szintet, de ha nem fog találni elég vevőt a rendszerre, akkor nem térül meg a befektetés. Mondom ezt azért is, mert a magasabb szinteken már megjelennek új követelmények, amelyek ugyan be tudnak kerülni a rendszerekbe, de a mindennapos működés során nem könnyű a szigorú elveket betartani.

A megfelelés tehát nem könnyű feladat, de ha megvan a rendszer, és nem elégszik meg a gyártó a saját igazolás kiállítással mely valljuk be nem is feltétlen jelent sokat -kell keresni egy minősítő szervezetet. A független tanúsító cég megtalálása esetén megkezdődhet a folyamat. Ez azt jelenti, hogy egy vagy esetenként több teszt rendszert kell biztosítani számukra a rendszer teljes dokumentálásával. A tesztek egy része a rendszer funkcióit ellenőrzi, de mivel az elektromos működésre vonatkozó szabályok is vannak, fizikai teszteknek is alávetik a terméket. A bevizsgálás 3-6 hónapos időszakot is felemészthet, tehát az időt mindenképpen rá kell szánni, amely eredménye ideális esetben természetesen egy tanúsítvány és a hozzá tartozó teszt jegyzőkönyvek átadása.

Rendelkezésre áll tehát a szabvány valamelyik szintjének megfelelő rendszer, amely immár értékesíthetővé válik. Tapasztalatom szerint a beléptető rendszerek esetében még a kritikus infrastruktúrába tartozó cégek esetén sem sűrűn jelennek meg a követelményekben a Grade minősítési igények. Magyarországon kívülre tekintve viszont, akár a kelet európai régióban is már találkozhatunk nagyobb számban ilyen kiírásokkal. Véleményem szerint pedig fontos lenne ezzel a területtel foglalkozni, hiszen bizonyos szempontból sokkal jobban összehasonlíthatóvá teszi a rendszereket. Ha előírásra kerül például a Grade3 szint, akkor már csak a funkciók megvalósításának módjában lehet különbség, de a megrendelő biztos lehet abban, hogy a szabványban előírt, nem kevés funkció rendelkezésre fog állni. Elkerülhető lenne számos olyan helyzet, amikor az üzemeltetés során jönnek elő azok a problémák, hogy az ügyfél nem pont erre gondolt, nem így szeretné igazából használni, és egy végeláthatatlan vita kezdődik arról hogy ki mit értett az adott dolgon. Egy további megjegyzés azért ide kívánkozik, attól, hogy egy szabvány szerinti rendszert vásárol egy megrendelő, azt még úgy is kell üzemeltetni, ahogy az elő van írva, vonatkozik ez a kiépítésre, beállításra és a karbantartásra is, csak abban az esetben teljesül az adott telepített rendszerre is a megfelelőség.

Papp Márton

www.seawing.eu

You might also like

Az Uniview új kétlencsés PTZ kamerái

A kriptobefektetők kiberkockázatai

Bosch kamerák a kiberbiztonságért

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük