Сегмент рынка
Товары
События
Современные системы контроля и управления доступом (СКУД) хранят и обрабатывают сведения, которые можно отнести к персональным данным пользователей. Тем более что все большее распространение получают системы с использованием биометрических идентификаторов.
Обработка персональных данных в системах контроля и управления доступом вызывает целый ряд вопросов из-за неоднозначности формулировок Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» и некоторых подзаконных нормативных документов [1, 3, 5, 6]. Расхождения в трактовке терминов порождают риски получения предписаний контролирующих органов и соответствующих штрафов [2, 6, 8]. В частности возникает несколько вопросов:
При использовании различных идентификаторов в СКУД хранятся и обрабатываются данные, которые используются службой безопасности предприятия для идентификации сотрудников и посетителей.
Наиболее часто используется фотография сотрудника (посетителя) для предотвращения передачи им своего личного идентификатора постороннему лицу. С одной стороны фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными [1, 16]. С другой стороны фотография относится к биометрическим персональным данным, если она сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к условиям получения изображения лица (освещение, положение головы, расположение камеры, разрешение изображения и т.д.) и отнесена к биометрическим персональным данным нормативно-правовым актом.
В соответствии с требованиями закона [1] биометрические персональные данные, которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Что и требует регулятор от оператора персональных данных, которым является собственник СКУД.
С другой стороны СКУД совместно с другими системами безопасности обеспечивает антитеррористическую защищенность объекта. А в соответствии с нормами статьи 11 п. 2 закона [1], обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму. На любом достаточно крупном объекте, как правило, уже есть утвержденный и согласованный паспорт антитеррористической защищенности объекта, где в качестве мер защиты прописана и СКУД.
Кроме того, оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных [1] при соблюдении одного из следующих условий:
В случае если трудовое соглашение (контракт) предусматривает соблюдение действующего пропускного режима на предприятие, его можно рассматривать как соответствующий договор. При этом, конечно, на предприятии должно быть утвержденное Положение (инструкция) о пропускном режиме, регламентирующее процедуры допуска на предприятие и в его структурные подразделения.
Собственник объекта может обеспечить управление системами безопасности объекта, в том числе СКУД, своими силами, либо с привлечением обслуживающей организации. В любом случае он становится оператором информационной системы, обрабатывающей персональные данные и у него появляются обязанности, определяемые действующими нормативными актами.
Оператор самостоятельно должен определить состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных статьей 18.1 Федерального закона [1]. При этом оператор обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
То есть на предприятии должны быть разработаны и введены в действие организационно-распорядительные документы, определяющие цели, порядок обработки персональных данных и меры их защиты.
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных [1]. Разработанный внутренний нормативный документ, описывающий перечень используемых персональных данных, цели их обработки и меры, применяемые для их защиты должен быть доступен субъектам персональных данных, то есть работникам предприятия.
Оператор, являющийся юридическим лицом, обязан определить должностное лицо, ответственное за организацию обработки персональных данных [1]. Это должно быть отражено в организационно-распорядительной документации организации.
При выполнении требований по идентификации личности систему контроля и управления доступом необходимо строить как автоматизированную систему в защищенном исполнении в соответствии с требованиями соответствующих нормативных документов [1, 3, 4, 6, 9-13].
Определение необходимых мер защиты персональных данных начинается с определения класса информационной системы.
Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию или модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных [6, 9].
Проведение классификации информационных систем включает в себя следующие этапы:
При проведении классификации информационной системы учитываются следующие исходные данные:
Результаты классификации оформляются соответствующим внутренним актом оператора. В процессе эксплуатации системы присвоенный класс может быть пересмотрен в следующих случаях:
Состав минимально необходимых мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности и применяемых информационных технологий, определен нормативными документами [10-13] и представлен в таблице 1.
Таблица 1
№ п/п |
Содержание мер по обеспечению безопасности персональных данных |
1 |
Идентификация и аутентификация пользователей, являющихся работниками оператора. |
2 |
Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов. |
3 |
Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации |
4 | Защита обратной связи при вводе аутентификационной информации |
5 | Идентификация и аутентификация внешних пользователей, не являющихся работниками оператора. |
6 |
Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей. |
7 | Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа |
8 | Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами. |
9 | Разделение полномочий пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы. |
10 | Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы. |
11 | Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе). |
12 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети. |
13 | Регламентация и контроль использования в информационной системе технологий беспроводного доступа и мобильных технических средств. |
14 | Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы). |
15 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения. Защита информации о событиях безопасности. |
16 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения. |
17 | Реализация антивирусной защиты. Обновление базы данных признаков вредоносных компьютерных программ (вирусов). |
18 | Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации. |
19 | Идентификация и аутентификация субъектов и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации. |
20 | Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин. |
21 | Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены. |
22 | Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр. |
23 | Обеспечение защиты персональных данных от раскрытия, модификации и ввода ложной информации при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи. |
Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в три года [10, 11].
Для пуско-наладки и обслуживания СКУД могут привлекаться сторонние организации. При привлечении сторонних организаций в договоре (контракте) необходимо прописывать ответственность подрядчика за обеспечение защиты персональных данных. Если обслуживающая организация использует удаленный доступ, канал передачи должен быть защищен в соответствии с требованиями нормативных документов.
Литература
Поделиться:
О проекте / Контакты / Политика конфиденциальности и защиты информации