Статьи

К списку статей

Некоторые аспекты проектирования и внедрения СКУД в свете закона РФ "О персональных данных"

В настоящее время системы контроля и управления доступом (СКУД) являются неотъемлемым элементом комплексной системы безопасности предприятий и организаций.

Субъект доступа (сотрудник, посетитель) при доступе на объект (охраняемую территорию, помещение) для идентификации должен предъявить какой-либо идентификатор доступа. СКУД на основе установленных администратором политики безопасности и прав субъекта принимает решение о доступе субъекта на объект. При этом в качестве уникальных данных, присущих субъекту доступа, СКУД оперирует сведениями о фамилии, имени, отчестве субъекта, его должности, служебном телефоне, адресе регистрации. В ряде случаев в СКУД фиксируются паспортные данные субъекта и иные сведения.

Системы контроля и управления доступом, не учитывающие (не обрабатывающие) персональные данные (ПДн) 1 , составляют малую часть множества различных СКУД и в настоящее время практически не применяются на предприятиях (примером такой системы является домофон ).

Таким образом, сведения, обрабатываемые СКУД, в подавляющем большинстве случаев содержат персональные данные. Следовательно, СКУД (за редким исключением) являются информационными системами персональных данных (ИСПДн) 2 .

Каждая ИСПДн должна соответствовать ряду требований 3 по защите персональных данных. Для выполнения этих требований в общем случае необходимо создать систему защиты персональных данных (СЗПДн).

СКУД не является системой защиты информации и к ней не предъявляются требования наличия встроенных средств защиты информации (СЗИ). Однако, с момента начала обработки персональных данных, СКУД приобретает статус ИСПДн определенного класса и уже в этом качестве должна быть дополнена адекватной системой защиты персональных данных.

Ввод в строй и эксплуатация СКУД, обрабатывающей персональные данные, но не оснащенной СЗПДн, будет являться нарушением оператором (владельцем СКУД) действующего законодательства 4 .

Таким образом, СЗПДн (как для СКУД, так и вообще для любой информационной системы) следует рассматривать как некую надстройку, являющуюся совокупностью организационных мер и комплекса программно-аппаратных средств, выполняющих функцию защиты информации (персональных данных).

СЗПДн должна [5] обеспечивать функции:

  • управления доступом (к ИСПДн);
  • регистрации и учета;
  • обеспечения целостности;
  • обеспечения безопасного межсетевого взаимодействия;
  • антивирусной защиты;
  • обнаружения вторжений;
  • анализа защищенности.

Методы и способы защиты ПДн определяются оператором 5 в соответствии с рекомендуемыми ФСТЭК России [7]. В каждом случае конкретный набор необходимых средств и методов защиты зависит от класса ИСПДН [4], а также от особенностей построения СКУД и локальной сети.

В зависимости от характера обрабатываемых сведений, СКУД может быть отнесена ко второму или третьему классу. В большинстве случаев СКУД следует относить к специальной 6 информационной системе. В зависимости от построения, СКУД можно отнести либо к распределенным 7 , либо к локальным информационным системам 8 . СКУД может быть системой, имеющей или не имеющей подключения к сетям связи общего пользования, обычно многопользовательской с разграничением или без разграничения прав доступа.

На основе анализа особенностей ИСПДн конкретизируется перечень актуальных именно для данной ИСПДн угроз (частная модель угроз), и система защиты разрабатывается с учетом этой модели. Выбранные методы и способы защиты должны обеспечивать нейтрализацию предполагаемых угроз безопасности.

Проектирование СЗПДн должно осуществляться на этапе проектирования 9 СКУД или системы безопасности в целом.

Оператор ограничен в своих возможностях по созданию и вводу в эксплуатацию СЗПДн, так как деятельность по технической защите конфиденциальной информации подлежит обязательному лицензированию 10 , что приводит к необходимости 11 привлечения для выполнения таких работ специализированной организации (лицензиата).

ООО "НИЦ "ФОРС" - разработчик и инсталлятор комплексных систем безопасности - является также и лицензиатом ФСТЭК в сфере технической защиты конфиденциальной информации. Наш значительный практический опыт работы в сфере информационной безопасности позволяет рекомендовать следующие шаги для выполнения требований законодательства по защите персональных данных применительно к СКУД:

  • для разработчиков СКУД - реализовать необходимые функции по защите персональных данных либо путем внедрения соответствующих средств защиты в состав ПО СКУД (при наличии возможности самостоятельной разработки СЗИ), либо тестировать на совместимость со своим продуктом сертифицированные СЗИ сторонних разработчиков;
  • для инсталляторов СКУД - в проектных решениях, а также при внедрении учитывать необходимость соответствия СКУД требованиям по безопасности персональных данных при их обработке в ИСПДн. Качественно и в полном объеме эти требования может реализовать только организация, имеющая соответствующие лицензии ФСТЭК России и ФСБ России;
  • для организаций, осуществляющих поставку программно-аппаратных компонентов СКУД - рекомендовать заказчику обратить внимание на необходимость дооснащения СКУД системой защиты персональных данных;
  • для заказчиков СКУД - при подготовке технических заданий на создание СКУД в обязательном порядке вносить раздел с требованиями к системе защиты персональных данных. Среди результатов работ предусмотреть представление исполнителем работ аттестата соответствия требованиям по безопасности информации. При проведении торгов к исполнителю работ предъявлять требование о наличии соответствующих лицензий ФСТЭК России и ФСБ России.

Процесс частичного приведения разрабатываемых СКУД в соответствие с законом можно проиллюстрировать следующим фактом. Аппаратно-программный комплекс "Бастион" является одним из продуктов ООО "НИЦ "ФОРС". С 2009 г. в состав АПК "Бастион" входит программный модуль "Бастион - Персональные данные", который реализует требования к ИСПДн в части протоколирования операций над персональными данными (обычно в СУБД, используемых в информационных системах, в т.ч. и в СКУД, не протоколируются факты ознакомления с данными, содержащимися в базе, что в настоящее время уже не соответствует требованиям нормативных документов 12 ).

Модуль "Бастион - Персональные данные" реализует следующие задачи:

  • Протоколирование в полном объеме операций по доступу и модификации ПД. В терминологии АПК "Бастион" модуль выполняет протоколирование всех операций с персональными данными сотрудников, которым выданы карты доступа в СКУД (включая как модификацию, так и просмотр личных карт).
  • Просмотр, сохранение и печать отчетов по доступу и модификации ПД. В терминологии АПК "Бастион" модуль дает возможность построения и печати отчетов обо всех операциях, выполненных над персональными данными сотрудников (включая как модификацию, так и просмотр личных карт).
  • Печать формы информированного согласия на использование персональных данных. В терминологии АПК "Бастион" модуль дает возможность распечатать информированное согласие сотрудника об использовании своих персональных данных в СКУД.

Подчеркиваем, что наличие такого модуля не является достаточным решением проблемы защиты персональных данных в СКУД.

Несмотря на то, что системы контроля и управления доступом, как правило, не являются сложными ИСПД 1 и 2 классов, во избежание нарушений прав граждан и претензий надзорных и контрольных органов (прежде всего, Роскомнадзора РФ) они должны быть оснащены СЗПДн. Методы оптимизации затрат при оснащении СКУД средствами защиты информации будут рассмотрены в следующих статьях.


Сноски по теме:

1 Понятие персональных данных установлено Федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" (далее закон "О персональных данных").

2 Определение ИСПДн установлено п.9 ст.3 закона "О персональных данных" [1].

3 Требования установлены нормативно-правовыми актами РФ [1-7].

4 Предусмотрена административно-правовая ответственность за нарушение установленного законом "О персональных данных" порядка сбора, обработки, хранения и распространения ПД; а также за нарушение требований, предъявляемых к технической составляющей защиты персональных данных.
Предусмотрена уголовно-правовая ответственность за разглашение информации, содержащей ПД [8-10].

5 Обязанности по принятию необходимых организационных и технических мер защиты ПДн возложены на оператора [1].

6 Если вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий) [4].

7 Комплекс автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа [4].

8 Комплекс автоматизированных рабочих мест, объединенных в единую информационную систему без использования технологии удаленного доступа [4].

9 Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем [2].

10 Следует из положений ФЗ-128 "О лицензировании отдельных видов деятельности" [11]. Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

11 Незаконная деятельность в сфере защиты информации влечет ответственность согласно ст. 13.13 [8].

12 Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в обязательном порядке должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений п. 15 [2].

Законодательно-нормативная база по персональным данным

1. Федеральный закон Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных";

2. Постановление Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";

3. Постановление Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

4. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных";

5. Приказ ФСТЭК РФ от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"

6. Методический документ ФСТЭК России от 15 февраля 2008 года "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных";

7. Методический документ ФСТЭК России от 15 февраля 2008 года "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных";

8. Кодекс об административных правонарушениях от 30.12.2001 г. № 195-ФЗ;

9. Уголовный кодекс РФ от 13.06.1996 г. № 63-ФЗ;

10. Трудовой Кодекс РФ от 30.12.2001 г. № 197-ФЗ;

11. Федеральный закон РФ от 08.08.2001 г. "О лицензировании отдельных видов деятельности" № 128-ФЗ.


Шмелев П.В. директор по развитию ООО "НИЦ "ФОРС",

Скрыпка А.А. специалист по защите информации ООО "НИЦ "ФОРС"


Системы контроля и управления доступом

Внешний вид E-602D бр Внешний вид E-602D бр
E-602D бр
945

Производитель Oubao
Внешний вид E-603D бр Внешний вид E-603D бр
E-603D бр
1 143

Производитель Oubao
Внешний вид CTM-КР Внешний вид CTM-КР
Считыватель ключей TouchMemory врезной
165

Производитель Техносистемы
Внешний вид Z-5R Внешний вид Z-5R
Z-5R
429

Производитель IronLogic
Внешний вид Z-5R Case Внешний вид Z-5R Case
Z-5R Case
616

Производитель IronLogic
Внешний вид Matrix-III карман Внешний вид Matrix-III карман
Matrix-III карман
630

Производитель IronLogic
Внешний вид BR-180ZL Внешний вид BR-180ZL
BR-180ZL
805

Производитель Soca
Внешний вид AXP-REM Внешний вид AXP-REM
AXP-REM Считыватель
820

Производитель Центр-СБ
Внешний вид E-602 с Внешний вид E-602 с
E-602 с
887

Производитель Oubao
Внешний вид E-602 бр Внешний вид E-602 бр
E-602 бр
887

Производитель Oubao
Найдено товаров: 1420
1 2 3 4 5

Возврат к списку

Создание проекта системы видеонаблюдения всего за несколько минут;
Все РЕАЛЬНО: в т.ч. сектора наблюдения, параметры кабельных трасс;
Загрузка готовых планов и их масштабирование;
Спецификация обрудования и смета создается автоматически;
Дружелюбный интерфейс;
Индивидуальные настройки программы и оборудования.
Техподдержка встроена непосредственно в программу.
Регистрация занимает одну минуту.

ОТ ЗАПРОСА ДО ОФОРМЛЕННОГО ПРЕДЛОЖЕНИЯ - 15 МИНУТ