Obecnie rynek ochrony się zmienia i centra monitoringu będą odgrywać coraz większą rolę. Dlatego bezpieczeństwo centrów monitorowania będzie miało coraz większe znaczenie z punktu widzenia klientów, którzy korzystają z usług monitorowania.
Bezpieczeństwo CMA składa się z trzech zasadniczych obszarów.
Obszary bezpieczeństwa CMA zostały wskazane są w normie PN-EN 50518. Wiele wymogów jest również zawartych w innych normach: PN-EN 50131 Systemy alarmowe, PN-EN 50136 Systemy transmisji alarmu, czy ISO 27001.
Idąc za normą PN-EN 50518, wyróżniamy trzy zasadnicze obszary bezpieczeństwa:
Część 1: Wymagania dotyczące lokalizacji i konstrukcji
Bezpieczeństwo centrum monitorowania w dużej mierze zależy od jego lokalizacji i konstrukcji budowlanej. W tej części normy określono minimalne wymagania dotyczące lokalizacji, projektowania, budowy i funkcjonowania pomieszczeń stacji monitorowania. Zaliczają się do nich pomieszczenia w których odbywa się monitorowanie, odbieranie i przetwarzanie sygnałów alarmowych oraz pomieszczeń technicznych.
Część 2: Wymagania techniczne
Wymagania techniczne dotyczące CMA dotyczą funkcjonowania całego centrum monitorowania i określają najważniejsze kryteria, jakimi są wydajność i dostępność CMA. Trochę mało uwagi poświęcono kwestiom IT, które są w obecnym czasie podstawą funkcjonowania CMA. Jak to robić dobrze trzeba wiedzieć już z innych źródeł. O rozwiązaniach IT, które należy stosować w CMA, oraz o bezpieczeństwie tych rozwiązań napiszemy w innym materiale.
Część 3: Procedury i wymagania operacyjne
W tej części określono minimalne procedury i wymagania dotyczące personelu centrum monitoringu i odbioru alarmu. Dokładnie rzecz ujmując procedury, zgodnie z którymi obsługa centrum monitorowania wykonuje swoje obowiązki.
Warto zaznaczyć, że zgodnie z nomenklaturą powinno się używać określenia Alarmowe Centrum Odbiorcze (ACO) lub Alarm Receiving Center (ARC). W Polsce są to jednak nazwy relatywnie mało popularne, tak więc będziemy posługiwać się określeniem Centrum Monitorowania Alarmów (CMA).
Zobacz webinarium poświęcone tematyce bezpieczeństwa Centrów Monitorowania.
Odpowiednia lokalizacja
Lokalizacja powinna brać pod uwagę ryzyko pożaru, wybuchu, zalania, wandalizmu i zagrożenia z innych lokalizacji – np. z sąsiednich budynków, czy innego typu obiektów. W najczęściej spotykanym przypadku CMA nie zajmuje całego budynku. Wówczas należy oddzielić je od reszty budynku granicą fizyczną, złożoną ze ścian, podłóg, sufitów i niezbędnych otworów wg wytycznych normy. Dostęp do CMA oraz do tej części budynku, w której CMA jest zlokalizowane, należy ograniczyć wyłącznie dla pracowników firmy obsługującej CMA.
Pierwszym krokiem przy określaniu lokalizacji dla CMA powinno być szacowanie ryzyka związanego z daną lokalizacją. Przykłady zagrożeń, które należy wziąć pod uwagę podczas procesu szacowania ryzyka:
- kryminalny atak, groźby bombowe lub inne sytuacje;
- dostępność i ewentualne uszkodzenie linii zasilających;
- dostępność i ewentualne uszkodzenie łączy telekomunikacyjnych;
- pożar, w tym eksplozja, w sąsiadujących nieruchomościach;
- powódź lub inne wtargnięcie wody;
- uszkodzenia burzowe i wyładowania atmosferyczne,
- zagrożenia komunikacyjne, możliwość wtargnięcia pojazdu, samolotu, itp.
Konstrukcja zewnętrzna obiektu
Projektując architekturę CMA należy wziąć pod uwagę ściany zewnętrzne, podłogi, sufity, drzwi wejściowe i wyjściowe, wloty i wyloty wentylacyjne, punkty wejść kabli i rur, powierzchnie oszklone, śluzy oraz wyrzutnie podawcze. Obrys zewnętrzny (skorupa) CMA ma stanowić swoistą skorupę, o określonej odporności na włamanie (atak fizyczny), np. ściany:
- z cegły pełnej > 200 mm,
- betonu > 150 mm,
- lub innych materiałów o adekwatnej wytrzymałości.
Skorupa CMA musi posiadać także odpowiednią kuloodporność drzwi i przeszkleń (FB3 EN1522) i ognioodporność nie mniejszą niż 30 min. Ważne jest, aby przewidzieć również kwestie ochrony odgromowej i przepięciowej obiektu.
Norma dopuszcza w strukturze CMA jedynie konkretne typy otworów:
Do każdego z ww. typów otworów sprecyzowane są konkretne wymagania, jakie należy spełnić. Np. jakie mają być drzwi w śluzie, w którą stronę mają się otwierać i jakie mają być zamki mechaniczne. Norma dokładnie określa jak skonstruować i zabezpieczyć wyjście ewakuacyjne, wyrzutnia podawcza, wloty i wyloty instalacyjne. Wymagania precyzują również funkcjonowanie wentylacji, łącznie z tym, aby wloty powierza były zabezpieczone przed wrzuceniem pojemnika z gazem.
- wejście do/z przedsionka (popularnie określanym mianem śluzy);
- wyjście bezpieczeństwa;
- oszklenia;
- wloty i wyloty instalacyjne;
- wrzutnia podawcza;
- wentylacja.
Systemy zabezpieczeń elektronicznych
Bezpieczeństwo centrum monitorowania zależy również od zastosowanych tam. zabezpieczeń elektronicznych CMA należy wyposażyć praktycznie we wszystkie spotykane systemy zabezpieczeń elektronicznych: system sygnalizacji włamania i napadu, system monitoringu personelu, system sygnalizacji pożaru, kontroli dostępu, CCTV oraz detekcji gazu. Wszystkie te systemy powinno się zainstalować i konserwować zgodnie z odpowiednimi normami. Zabezpieczenie CMA za pomocą systemu alarmowego sygnalizacji włamania powinno być zgodne z EN 50131-1, stopień 3 (w tym podłoga i sufit).
Sygnały z systemów zabezpieczeń powinny być transmitowane do innego CMA przez system dwutorowy zgodnie z EN 50136-1, stopień 3.
Obowiązkowym elementem zabezpieczenia jest również dozór wizyjny. Powinien on zapewniać monitorowanie otoczenia budynku. Powinien także pozwalać obsłudze CMA na identyfikowanie osób uprawnionych, przed zezwoleniem im na wejście do holu wejściowego i na obserwację ich zachowania w tej strefie oraz zapewnić bezpieczne wejście. Dozór wizyjny powinien również dać obsłudze CMA możliwość do identyfikacji każdej z osób wykorzystujących śluzę/wrzutnię podawczą.
Zasilanie
Zasilanie CMA jest kluczowym elementem bezpieczeństwa. Jako podstawowe źródło energii elektrycznej powinno się wykorzystać klasyczną sieć zasilająca (ale można stosować alternatywne źródła energii). Sieć zasilająca powinna być zdolna do dostarczenia wystarczającej mocy przy normalnym obciążeniu CMA, z równoczesnym doładowywaniem urządzeń UPS magazynujących energię (akumulatorów) do wymaganej pojemności w ciągu 24 godzin. Zawsze trzeba wiedzieć, jak wygląda układ zasilający dla obiektu – ile jest linii zasilających? gdzie się je przełącza? jak są zabezpieczone rozdzielnice? itp. Trzeba ocenić jak awaryjny jest ten układ – bo jeżeli po każdej burzy następuje przerwa z zasilaniu, nie powinniśmy tam organizować CMA.
Obowiązkowe zasilanie rezerwowe powinno mieć wystarczającą pojemność szacowaną jako możliwość zapewnienia nieprzerwanego działania wszystkich urządzeń monitoringu, telekomunikacyjnych, sygnalizacyjnych, zapisu, wentylacji podstawowej i podstawowego oświetlenia przez okres min 24 godziny z zapotrzebowaniem 1,5 razy większym od średniego.
Przełączanie na i z zasilania rezerwowego nie powinno mieć wpływu na normalne działanie urządzeń. Zasilanie rezerwowe powinno się realizować za pomocą agregatu lub agregatów wspomaganych przez UPS. Co istotne – UPS i urządzenie do przełączania automatycznego powinny być w miejscu o takim poziomie bezpieczeństwa, jak CMA.
Układ zasilania awaryjnego powinien załączać i wyłączać się automatycznie. Jeśli wykorzystywany jest agregat, to pojemność UPS powinna wystarczyć do zasilania urządzeń CMA przez co najmniej 10 min – do czasu uzyskania przez agregat pełnej mocy. Agregaty powinny mieć na miejscu zapewnione paliwo na działanie agregatu przez co najmniej 24 godziny. Działanie agregatów powinno się monitorować w CMA. Należy zapewnić odpowiednie warunków rozruchu agregatu, np. przewidzieć rodzaj paliwa w przypadku, kiedy agregat zostałby narażony na działanie bardzo niskich temperatur.
Wymagania techniczne
Cześć normy dotycząca wymagań technicznych, nie daje nam właściwie odpowiedzi jak wykonać systemy monitorujące (dokładniejszych wytycznych należałoby szukać w normie PN-EN 50136). Norma PN-EN 50518 precyzuje jednak dwa zasadnicze parametry ważne dla funkcjonowania centrum monitoringu, które łączą w sobie zarówno elementy związane z kwestiami technicznymi systemów transmisji alarmów, jak i funkcjonowanie centrum jako całości. Można je dość prosto obliczyć i porównać z wymaganiami normy.
Bezpieczne centrum monitorowania jest wydajne i dostępne. Co to oznacza w praktyce?
Wymagania dotyczące wydajności
Wydajność centrum monitorowania można określić poprzez maksymalny czas, w jakim należy obsłużyć dane zdarzenie. Czas ten liczony jest od chwili jego odbioru w odbiorniku (Receiving Centre Transceiver) do chwili podjęcia działań przez operatora.
Na ww. czas składają się dwa parametry:
- czas w jakim system przetworzy informacje i wyświetli je operatorowi;
- czas w jakim operator „kliknie” w pojawiający się na monitorze alarm.
Istotne jest, że należy mierzyć czas do obsługi każdego alarmu, tworzyć odpowiednie statystyki i archiwizować je przez okres 12 miesięcy.
Wymagania dotyczące dostępności
Dostępność jest określana jako procent czasu, w którym systemy transmitujące alarm oraz centrum monitorowania funkcjonują normalnie, bez zaburzeń. Omawiana norma PN-EN 50518 odnosi się w tym względzie do innej normy: PN-EN50136-1, gdzie takie dostępności są zdefiniowane.
W praktyce oznacza to, że każdą najdrobniejszą przerwę w pracy CMA rejestrować, aby móc określić, jaką faktycznie mamy dostępność. Tym samym należy mierzyć czas każdego restartu urządzeń odbiorczych, routerów, serwerów, komputerów, aktualizacji, itp. Ta sama zasada dotyczy każdej awarii.
Jednocześnie deklarując daną dostępność, powinniśmy zadbać o to, aby ona faktycznie taka była. Oznacza to, że jeżeli chcielibyśmy zadeklarować dostępność A4, to nasze systemy informatyczne muszą być dostosowane w taki sposób, aby czas odtworzenia po awarii mieścił się w kilku godzinach.
Procedury i wymagania operacyjne
Bezpieczeństwo Centrum Monitorowania alarmów jest w dużej mierze zależne od procedur i wymagań operacyjnych. CMA należy obsadzać co najmniej dwoma operatorami. Można obsadzić jednego operatora jeżeli CMA działa w połączeniu z innym, a metody operacyjne zapewniają, że wynik tej współpracy jest równoważny z CMA obsadzonym przez co najmniej dwóch operatorów. Norma określa, że należy weryfikować pracowników przed zatrudnieniem CMA przez okres co najmniej 5 lat wstecz.
Szczególnie ważne jest bezpieczeństwo danych gromadzonych w bezpiecznym centrum monitorowania. Temu zagadnieniu poświęciliśmy poniższy artykuł: https://safestar.pl/ochrona-danych-i-ciaglosc-dzialania/
Ważne jest, aby pracownikom CMA zapewnić odpowiednie szkolenia. W szczególności zwraca się uwagę, aby bez odpowiedniego przygotowania i szkolenia początkujący operatorzy nie mogli obsługiwać alarmów samodzielnie. Szkolenia należy dokumentować.
Dla CMA powinno się przygotować procedury jego funkcjonowania. Procedury te powinny regulować następujące obszary:
Testowanie działania
Sprzęt używany w CMA powinno się testować w konkretnych zakresach codziennie i w okresach tygodniowych. W ramach tej procedury należy przewidzieć sprawdzanie i synchronizację zegarów elektronicznych, co najmniej co 24 godziny.
Wejście i wyjście z CMA
Wejście i wyjście z CMA podlega udokumentowanej procedurze dostępnej dla wszystkich operatorów. Procedura ta powinna określać metody stosowane do identyfikacji osób ubiegających się o wejście do CMA. Należy identyfikować osoby przed udzieleniem dostępu. Dostęp do CMA należy kontrolować przez działanie operatora wewnątrz CMA w momencie wejścia. Rejestr wszystkich odwiedzających CMA należy archiwizować.
Zarządzanie bazą danych
Norma zwraca uwagę na ochronę danych, dzieląc je na trzy obszary:
- dane klienta (osobowe);
- dane zewnętrznej komunikacji CMA;
- log (dziennika) akcji operatorskich.
Wszystkie dane powinny należy zabezpieczyć i przechowywać, zgodnie z przytoczonymi wyżej normami. Dane klientów należy przechowywać przez okres co najmniej dwóch lat. Nagrania z rozmów i maile przez co najmniej trzy miesiące, a rejestr działań operatora przez okres co najmniej dwóch lat. Teraz dochodzi do tego RODO, czyli rozporządzenie o ochronie danych osobowych, które zacznie obowiązywać od 25 maja br.
Dobrym przykładem dbania o bezpieczeństwo danych jest Safestar – możesz o tym przeczytać tutaj.
Ciągłość działania i sytuacje awaryjne
Bezpieczeństwo centrum monitorowania to również zapewnienie ciągłości działania i sprawnego postępowania w sytuacjach awaryjnych są kluczowymi zadaniami dla każdego szefa CMA. W tym zakresie należałoby opracować odpowiednie procedury. Procedury te powinny być również kompatybilne z procedurami funkcjonującymi u kooperantów oraz klientów CMA.
Procedury ewakuacyjne
W każdym CMA należy przygotować plan awaryjny, a procedury reagowania należy uzgodnić z odpowiednimi służbami. W przypadku unieruchomienia CMA plan awaryjny musi przewidywać działania jak najszybszego przywrócenia działania. Należy udokumentować szczegółowy plan działania obejmujący częściową i pełną ewakuację.
Obsługa sygnałów
Wszystkie odebrane sygnały alarmowe, a także działania podejmowane przez operatów centrum należy rejestrować automatycznie. Komunikacja zewnętrzna (głosowa i elektroniczna) powinna być automatycznie rejestrowana wraz z datą i godziną. Okres przechowywania powinien wynosić co najmniej 3 miesiące.
Podsumowanie
Według naszej wiedzy w Polsce nie ma centrum monitorowania, które rygorystycznie spełniałoby wszystkie wytyczne normy. Niestety, w naszych warunkach biznesowych wytyczne norm są na tyle abstrakcyjne, że mało która firma mogłaby im wszystkim sprostać. Jednak norma wyznaczana standardy, które firmy ochrony zajmujących się monitorowaniem alarmów powinny znać i spełniać. Wymagania przedstawione w normie gwarantują 100% bezpieczeństwa, w naszych polskich warunkach spełnijmy je na początek chociaż w 50%. Powinniśmy dążyć do doskonałości w zapewnianiu bezpieczeństwa.
