Home » News » Attualità

Risk Assessment e Security Grading nella progettazione dei sistemi elettronici di controllo accessi in applicazioni di sicurezza, secondo la norma CEI 79-80

Risk Assessment e Security Grading nella progettazione dei sistemi elettronici di controllo accessi in applicazioni di sicurezza

La Norma CEI 79-80 specifica i requisiti minimi di funzionalità, prestazione ed i metodi di prova dei sistemi elettronici di controllo accessi di sicurezza utilizzati per l’accesso fisico (ingresso e uscita), ad edifici ed aree protette.

La Norma si applica a componenti e sistemi elettronici di controllo accessi utilizzati per applicazioni di sicurezza ed include i requisiti per l’accesso, l’identificazione ed il controllo delle informazioni.

Tale norma è stata pubblicata dal CT 79 del CEI – Comitato Elettrotecnico Italiano – “Sistemi di rilevamento e segnalazione per incendio, intrusione, furto, sabotaggio e aggressione” e sostituisce completamente la Norma CEI EN 50133-1:1997-09, che rimaneva applicabile fino all’11 giugno 2016.

La Norma Italiana fa parte della serie normativa IEC 60839 dell’International Electrotechnical Commission, che si compone delle seguenti parti:

Parte 11- 1 Sistemi elettronici di controllo dell’accesso – Requisiti dei sistemi e dei componenti;
Parte 11-2 Sistemi elettronici di controllo dell’accesso – Linee guida applicative.

La Norma in oggetto introduce elementi di Risk Management di assoluta novità rispetto alla precedente norma CEI EN 50133-1, in quanto  richiede di condurre preliminarmente due fasi che dichiara essere una ‘conditio sine qua non’  per la progettazione del sistema di accessi:

1. La conduzione di un’analisi di Risk Assessment per ogni singolo punto di accesso della struttura;
2. La definizione del Security Grading di ogni singolo varco e relativo del livello prestazionale  ed operativo di ogni singolo componente e parametro di sicurezza da implementare. 

La classificazione del Security Grading non si applica solo al riconoscimento degli utenti, al monitoraggio del punto di accesso ed ai segnali di coercizione ed auto-protezione del sistema, ma richiede la necessaria valutazione e definizione del grado di sicurezza di tutti gli attuatori e sensori (ovvero degli APAS – Access Point Actuators and Sensors) utilizzati su ogni singolo portale.

Struttura della Norma e Contenuti

La Norma CEI 79-80 si compone dei seguenti contenuti:

• Modello concettuale ed architettura del sistema.
• Criteri per la definizione di:
   Classificazione basata su prestazioni funzionali e capacità;
   Requisiti dell’interfaccia dei punti di accesso;
   Requisiti per indicazioni ed annunci (display, allarmi, registrazioni);
   Segnali di coercizione e overriding;
   Requisiti di riconoscimento;
   Requisiti di autoprotezione del sistema;
   Comunicazioni tra i componenti del sistema di controllo accessi con altri sistemi.
• Requisiti legati alle condizioni ambientali (utilizzo in ambienti indoor ed outdoor) ed alla compatibilità elettromagnetica (EMC).
• Metodi di prova.

Mappa concettuale e architettura del sistema

Di seguito riportiamo il modello concettuale necessario per la progettazione di un sistema di controllo accessi di sicurezza cui la Norma si riferisce:

Risk Assessment

Secondo tale modello concettuale, tutti gli elementi funzionali ed operativi del sistema sono determinati in funzione del Security Grading di ogni singolo varco da proteggere:

Security Grading

La determinazione delle prestazioni funzionali di ogni singolo punto d’accesso viene dunque eseguita tenendo conto dei seguenti parametri:

A. Elaborazione: La continua comparazione tra le modifiche che si manifestano nel sistema rispetto alle regole pre-impostate e che producono azioni predefinite;
B. Comunicazione: La trasmissione dei segnali tra i componenti del sistema di controllo accessi per garantire il rispetto di regole predefinite;
C. Configurazione e programmazione: L’impostazione delle regole di elaborazione e di trattamento delle informazioni;
D. Requisiti di interfaccia con il punto di accesso, in termini di:
  • Attivazione del punto di accesso, ossia lo sblocco o la messa in sicurezza del portale, secondo regole  predeterminate;
   • Monitoraggio del punto di accesso, ovvero la continua sorveglianza dello stato di aperto/chiuso del portale,  e/o il rilascio o la messa in sicurezza dei dispositivi di blocco del portale;
  • Overriding del punto di accesso, e cioè  il rilascio o la messa in sicurezza dei dispositivi di blocco del portale,secondo regole predefinite.
E. Requisiti di Riconoscimento: il riconoscimento degli utenti autorizzati che richiedono l’accesso;
F. Requisiti di indicazione e segnalazione, ovvero:
   • Allerta: una sottofunzione di segnalazione, legata alla attivazione di un indicatore, che richiede tempestiva  valutazione umana;
    • Visualizzazione: una sottofunzione di annuncio, legata alla visualizzazione, acustica o visible, di modifiche    che si manifestano nel Sistema;
   • Registrazione: una sottofunzione di annuncio, legata alla registrazione ed al recupero di modifiche  che si    manifestano nel sistema.
G. Segnalazione di coercizione: un allarme silenzioso, lanciato da utenti del sistema, relativo ad una richiesta di accesso  sotto coercizione;
H. Interfaccia con altri sistemi:  lo scambio di funzionalità e/o modifiche che si verificano nell’ambito di sistemi diversi;
I. Autoprotezione del sistema: la prevenzione, la rilevazione e/o la segnalazione di manomissioni deliberate (sabotaggi) o accidentali e/o di interferenze nel funzionamento del sistema;
J. Alimentazione: modulo che alimenta  il Sistema di controllo accessi. I requisiti di alimentazione degli attuatori non sono compresi in questa norma.  Quando una parte di un EACS (Electronic Access Control System) fà anche parte di un sistema antintrusione, l’alimentazione di questa parte deve esser conforme ai requisiti applicabili della norma IEC 62642-6;
K. Interfaccia con l’utente: mezzi grazie ai quali l’utente richiede l’accesso (ad esempio tastiera o lettore) e riceve indicazioni circa le condizioni di accesso.

Per quanto riguarda il punto D, ovvero i requisiti di interfaccia del punto di accesso, occorre specificare anche i requisiti di overriding del sistema. Il sistema di controllo elettronico degli accessi dovrà infatti poter consentire un ‘comando manuale’ in grado di by-passare la modalità configurata di operatività del sistema (rilascio/sicurezza/blocco) in funzione dei seguenti principi:

• tutti i comandi di overriding dovranno essere registrati con indicazione di data ed ora dell’evento;
• le informazioni registrate dovranno includere la tipologia del comando di overriding e l’ID dell’operatore.

Risk Assessment

La Norma, benchè richieda l’adozione di un processo di analisi dei rischi, non si occupa però di fornire alcuna indicazione sugli standard del modello di Risk Management da seguire.

Il progettista incaricato della progettazione di un sistema di controllo accessi di sicurezza sarà quindi chiamato ad applicare i principi e le linee guida della Norma ISO 31000, asseverandone questa fase del processo di progettazione di secondo il seguente schema di riferimento:

Risk Management

Nella conduzione del processo di Risk Assessment, il progettista terrà quindi conto dell’applicazione della formula di calcolo del rischio:

R = P×D
R=Rischio, P=Probabilità di accadimento, D=Danno economico

in cui la Probabilità di accadimento è funzione di:

P = f×V
P=Probabilità, f=frequenza e V=Vulnerabilità

e dove, a sua volta, la Vulnerabilità  dipende da:

GAP: Grado Adeguatezza delle Procedure,
GET: Grado Adeguatezza delle Tecnologie,
GAHR: Grado Adeguatezza Risorse Umane.

Un tipico esempio del risultato del processo di Risk Assessment potrebbe essere dato dalla seguente matrice di calcolo del rischio:

Calcolo del Rischio

Security Grading

La norma CEI 79-80 richiede quindi sia al progettista che al security manager di classificare il grado di sicurezza correlata ad ogni singolo punto di accesso definendone le prestazioni funzionali da implementare in base a 4 differenti livelli di rischio, che a loro volta determinano 4 livelli di protezione necessari in funzione del valore degli asset da proteggere e dalle conoscenze, abilità e disponibilità dei mezzi di attacco delle persone che intendono violare il sistema di accesso, secondo la seguente classificazione del grado di rischio:

Grado di Rischio 1

Grado di Rischio 2

Grado di Rischio 3

Grado di Rischio 4

APAS (Access Point Actuators and Sensors)  e normazione tecnica di riferimento

L’architettura di un sistema di controllo accessi comprende tutti gli elementi costruttivi ed organizzativi assieme ai dispositivi richiesti per il controllo degli accessi.

La Norma CEI 79-80, in proposito,  specifica che gli APAS (Access Point Actuators and Sensors), ovvero gli attuatori ed i sensori di ogni singolo portale, come ad esempio gli incontri elettrici (‘apriporta elettrici’), le elettro-serrature, i tornelli e le barriere, andranno classificati in termini di Security Grading conformemente al livello di rischio identificato per ogni singolo punto di accesso, al fine di ridurre ogni potenziale rischio residuo che potrebbe essere legato alle vulnerabilità intrinseche di tali apparati, richiamando l’attenzione del professionista della sicurezza sulla necessità di fare riferimento, nella progettazione complessiva del sistema, alle tutte quelle specifiche norme tecniche che ne definiscono gli standard tecnici e prestazionali.

di Anna Villani, Direttivo AIPROS, AIAS Sicurezza, Security Manager Certificato UNI 10459:2015 e CT 79 CEI (Controllo Accessi, Antintrusione e Videosorveglianza)

Condividi questo articolo su:

Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.