Статьи рынка безопасности

События

  • Выставка 12/04/2022 11:00:00

    Москва, МВЦ «Крокус Экспо», павильон 2.

  • Выставка 17/11/2021

    SFITEX 2021 Санкт-Петербург

  • Вебинар 28/10/2021 11:00:00

    Вебинар Hikvision, Macroscop, и Parsec

Особенности обработки персональных данных в системах контроля и управления доступом

  • 03.04.2021
  • 522

Современные системы контроля и управления доступом (СКУД) хранят и обрабатывают сведения, которые можно отнести к персональным данным пользователей. Тем более что все большее распространение получают системы с использованием биометрических идентификаторов. 

Обработка персональных данных в системах контроля и управления доступом вызывает целый ряд вопросов из-за неоднозначности формулировок Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» и некоторых подзаконных нормативных документов [1, 3, 5, 6]. Расхождения в трактовке терминов порождают риски получения предписаний контролирующих органов и соответствующих штрафов [2, 6, 8]. В частности возникает несколько вопросов: 

  •  что конкретно следует относить к персональным данным; 
  • надо ли получать согласие субъекта персональных данных на обработку его персональных данных в СКУД; 
  • необходимо ли уведомлять уполномоченный орган об обработке персональных данных в системе; 
  • какие меры защиты необходимо реализовать в СКУД при обработке в них персональных данных.

При использовании различных идентификаторов в СКУД хранятся и обрабатываются данные, которые используются службой безопасности предприятия для идентификации сотрудников и посетителей. 

Наиболее часто используется фотография сотрудника (посетителя) для предотвращения передачи им своего личного идентификатора постороннему лицу. С одной стороны фотография в СКУД используется для установления личности субъекта персональных данных и, следовательно, является биометрическими персональными данными [1, 16]. С другой стороны фотография относится к биометрическим персональным данным, если она сделана в соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к условиям получения изображения лица (освещение, положение головы, расположение камеры, разрешение изображения и т.д.) и отнесена к биометрическим персональным данным нормативно-правовым актом. 

В соответствии с требованиями закона [1] биометрические персональные данные, которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Что и требует регулятор от оператора персональных данных, которым является собственник СКУД. 

С другой стороны СКУД совместно с другими системами безопасности обеспечивает антитеррористическую защищенность объекта. А в соответствии с нормами статьи 11 п. 2 закона [1], обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму. На любом достаточно крупном объекте, как правило, уже есть утвержденный и согласованный паспорт антитеррористической защищенности объекта, где в качестве мер защиты прописана и СКУД. 

Кроме того, оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных [1] при соблюдении одного из следующих условий: 

  • персональные данные обрабатываются в соответствии с трудовым законодательством; 
  • персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются (не предоставляются третьим лицам) без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных

В случае если трудовое соглашение (контракт) предусматривает соблюдение действующего пропускного режима на предприятие, его можно рассматривать как соответствующий договор. При этом, конечно, на предприятии должно быть утвержденное Положение (инструкция) о пропускном режиме, регламентирующее процедуры допуска на предприятие и в его структурные подразделения.

Собственник объекта может обеспечить управление системами безопасности объекта, в том числе СКУД, своими силами, либо с привлечением обслуживающей организации. В любом случае он становится оператором информационной системы, обрабатывающей персональные данные и у него появляются обязанности, определяемые действующими нормативными актами. 

Оператор самостоятельно должен определить состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных статьей 18.1 Федерального закона [1]. При этом оператор обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 

То есть на предприятии должны быть разработаны и введены в действие организационно-распорядительные документы, определяющие цели, порядок обработки персональных данных и меры их защиты. 

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных [1]. Разработанный внутренний нормативный документ, описывающий перечень используемых персональных данных, цели их обработки и меры, применяемые для их защиты должен быть доступен субъектам персональных данных, то есть работникам предприятия. 

Оператор, являющийся юридическим лицом, обязан определить должностное лицо, ответственное за организацию обработки персональных данных [1]. Это должно быть отражено в организационно-распорядительной документации организации. 

При выполнении требований по идентификации личности систему контроля и управления доступом необходимо строить как автоматизированную систему в защищенном исполнении в соответствии с требованиями соответствующих нормативных документов [1, 3, 4, 6, 9-13]. 

Определение необходимых мер защиты персональных данных начинается с определения класса информационной системы. 

Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию или модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных [6, 9]. 

Проведение классификации информационных систем включает в себя следующие этапы: 

  • сбор и анализ исходных данных по информационной системе; 
  • присвоение информационной системе соответствующего класса и его документальное оформление. 

При проведении классификации информационной системы учитываются следующие исходные данные: 

  • категория обрабатываемых персональных данных; 
  • объем обрабатываемых персональных данных (количество субъектов персональных данных, перечень персональных данных каждого субъекта); 
  • требуемые характеристики безопасности персональных данных; 
  • структура информационной системы;
  • наличие подключений информационной системы к сетям связи общего пользования; 
  • режимы обработки персональных данных; a режим разграничения прав доступа пользователей информационной системы; 
  • местонахождение технических средств информационной системы. 

Результаты классификации оформляются соответствующим внутренним актом оператора. В процессе эксплуатации системы присвоенный класс может быть пересмотрен в следующих случаях: 

  • по решению оператора на основе проведенной оценки угроз безопасности персональных данных с учетом особенностей или изменений конкретной информационной системы; 
  • по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке.

Состав минимально необходимых мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности и применяемых информационных технологий, определен нормативными документами [10-13] и представлен в таблице 1. 

Таблица 1

 № п/п

Содержание мер по обеспечению безопасности персональных данных 

1

 Идентификация и аутентификация пользователей, являющихся работниками оператора.

2

 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов.
 3
 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
 4  Защита обратной связи при вводе аутентификационной информации
 5  Идентификация и аутентификация внешних пользователей, не являющихся работниками оператора.
 6  Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей. 
 7  Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа
 8  Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами.
 9  Разделение полномочий пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы.
10  Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы.
11  Ограничение неуспешных попыток входа в информационную систему (доступа к информационной системе).
12    Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети.
13   Регламентация и контроль использования в информационной системе технологий беспроводного доступа и мобильных технических средств.
14  Управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы).
15  Определение событий безопасности, подлежащих регистрации, и сроков их хранения. Защита информации о событиях безопасности.
16  Определение состава и содержания информации о событиях безопасности, подлежащих регистрации. Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения.
17  Реализация антивирусной защиты. Обновление базы данных признаков вредоносных компьютерных программ (вирусов).
18  Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации.
19  Идентификация и аутентификация субъектов и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации.
20  Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин.
21  Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены.
22  Размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр.
23  Обеспечение защиты персональных данных от раскрытия, модификации и ввода ложной информации при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи.

Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в три года [10, 11]. 

Для пуско-наладки и обслуживания СКУД могут привлекаться сторонние организации. При привлечении сторонних организаций в договоре (контракте) необходимо прописывать ответственность подрядчика за обеспечение защиты персональных данных. Если обслуживающая организация использует удаленный доступ, канал передачи должен быть защищен в соответствии с требованиями нормативных документов.

Литература 

  1. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных». 
  2. Постановление Правительства Российской Федерации от 13 февраля 2019 года № 146 «Об утверждении правил организации и осуществления государственного контроля и надзора за обработкой персональных данных». 
  3. Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». 
  4. Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». 
  5. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». 
  6. Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом “О персональных данных». 
  7. Распоряжение Правительства Российской Федерации от 15 августа 2007 г. № 1055-Р «О плане подготовки проектов нормативных актов, необходимых для реализации Федерального закона «О персональных данных». 
  8. Постановление Правительства от 19 августа 2015 г. № 857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных». 
  9. «Об утверждении порядка проведения классификации информационных систем персональных данных». Утвержден приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20. 
  10. «Положение о методах и способах защиты информации в информационных системах персональных данных», утверждено приказом ФСТЭК России от 05 февраля 2010 г. №58; 
  11. «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены приказом ФСТЭК России от 18 февраля 2013 г. №21. 
  12. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждена приказом ФСТЭК России от 14 февраля 2008 г. 
  13. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (выписка), утверждена приказом ФСТЭК России от 15 февраля 2008 г. 
  14. ГОСТ ISO/IEC 2382-37–2016 «Информационные технологии. Словарь. Часть 37. Биометрия».

Поделиться:

Все права защищены
© ООО АДВ Секьюрити,
2003—2021
Яндекс.Метрика
Метрика cайта: новости: 8069 (+16) | компании: 530 | бренды: 424 | статьи: 1105

О проекте / Контакты / Политика конфиденциальности и защиты информации

Techportal.ru в соц. сетях