Защита персональных данных при использовании технологий СКУД
Сергей Бабин, 07/10/24
Законодательство и практика
В этой статье мы кратко расскажем непосредственно о технологии СКУД и более подробно затронем ее правовую сторону: в каких ситуациях возможен сбор персональных данных и биометрии, как обеспечить их безопасность и какие схемы защиты применяются на данный момент.
Многие даже не задумываются, ежедневно прикладывая карточку к турникету, что они являются пользователями одной из самых распространенных систем обработки персональных данных – системы контроля и управления доступом (СКУД).
Возможности СКУД и виды идентификаций
Система контроля и управления доступом представляет собой набор оборудования и программных решений, предназначенных для мониторинга и управления доступом на объект. Основной задачей системы является ограничение доступа в определенные помещения, здания и территории, а также контроль действий людей и перемещения транспортных средств.
Система идентифицирует человека по заранее настроенным политикам доступа и разрешает или запрещает вход-выход из охраняемой зоны.
СКУД интегрируется в общую систему безопасности объекта и может взаимодействовать с другими системами, такими как видеонаблюдение, охранная и пожарная сигнализация. Это обеспечивает слаженную работу комплексной системы безопасности, позволяет осуществлять мониторинг ситуации и управлять всеми устройствами в интерфейсе программного обеспечения СКУД.
Часто работодатели внедряют учет рабочего времени сотрудников, используя данные о проходах из системы для регистрации отсутствия специалиста на рабочем месте.
Сама идентификация бывает разной. Самый распространенный вариант – привычные всем пластиковые карты, которые мы прикладываем к турникетам. Более продвинутые системы аутентификации пользователей основаны на биометрических данных и используют технологии распознавания лиц или отпечатков пальцев. Кроме того, существуют системы, позволяющие идентифицировать человека по сетчатке глаза. Конечно, это не все варианты, но, пожалуй, самые узнаваемые.
СКУД обеспечивает аутентификацию, а значит, содержит не только информацию о карте или цифровой слепок биометрических данных, но и фамилию, имя, отчество, должность, фотографию и другие сведения, позволяющие более точно идентифицировать пользователя, в том числе паспортные данные.
С точки зрения законодательства система контроля и управления доступом, которая идентифицирует человека, попадает под требования федеральных законов "О персональных данных" от 27.07.2006 г. № 152-ФЗ (далее по тексту 152-ФЗ) и "Об информации, информационных технологиях и о защите информации" от 27.07.2006 г. № 149-ФЗ и является информационной системой персональных данных (ИСПДн). Соответственно, эти данные необходимо защищать.
Согласие на обработку персональных данных
Существуют СКУД, не обрабатывающие персональные данные (ПДн) и не требующие точной аутентификации человека, для прохода достаточно предъявить первичный идентификатор. К такому примеру можно отнести домофон, к которому достаточно приложить ключ-таблетку и аутентифицироваться как лицо, имеющее доступ в подъезд, а не как конкретный житель. Такие системы составляют малую часть СКУД и в настоящее время практически не применяются на предприятиях.
Если же система контроля и управления доступом обрабатывает персональные данные, то необходимо обеспечить их защиту. Во-первых, сбор ПДн возможен только с согласия человека, которого по ним можно определить. Для этого с пользователем подписывается согласие на обработку персональных данных, где указана цель сбора информации, срок ее обработки и события, при которых она будет удалена.
До сих пор встречаются ситуации, когда для прохода в здание охрана просто записывает паспортные данные гостя для выдачи временного пропуска. При этом согласие на обработку ПДн не подписывается, что является прямым нарушением. Несоблюдение установленных норм сбора согласия, а также вероятность оставления журнала учета без присмотра указывают на серьезные и даже грубые нарушения требований законодательства. Подобная работа с персональными данными недопустима, и о таких случаях нужно сообщать в Роскомнадзор.
Обеспечение защиты персональных данных в СКУД
Как и любая ИСПДн, система контроля и управления доступом должна соответствовать требованиям по защите персональных данных. Для их выполнения в общем случае необходимо создать систему защиты персональных данных (СЗПДн).
СЗПДн – это совокупность организационных мер и комплекса программно-аппаратных средств, выполняющих функцию защиты персональных данных, описанных в 152-ФЗ. Основные функции системы защиты описаны в приказе ФСТЭК России от 18 февраля 2013 г. № 21.
Для того чтобы обеспечить безопасность, важно защищать все компоненты системы: считыватели или устройства, проводящие аутентификацию; каналы передачи данных, от считывателей до контроллеров и далее до сервера; хранилища данных, а также рабочие места операторов, связанные с обработкой и хранением информации. В зависимости от типа обрабатываемой информации система контроля и управления доступом классифицируется по уровню защищенности. Чаще всего она считается информационной системой, обрабатывающей специальные ПДн.
СКУД бывает распределенной или локальной, что определяется структурой. Обычно она предназначена для нескольких пользователей с наличием или отсутствием разграничения доступа.
Во время проектирования СКУД необходимо провести классификацию информационной системы. На этой стадии производится сбор и анализ исходных данных о ней, присвоение соответствующего класса и его документальное оформление.
При проведении классификации учитываются:
- категория обрабатываемых персональных данных;
- отношение субъекта ПДн к оператору;
- количество ПДн;
- типы актуальных угроз.
После анализа особенностей ИСПДн конкретизируется список ее актуальных угроз и разрабатывается частная модель угроз, с учетом которой формируется система защиты. Методы и способы должны обеспечивать нейтрализацию предполагаемых угроз безопасности и учитывать такие параметры, как:
- объем обрабатываемой информации (количество субъектов ПДн, список персональных данных каждого субъекта);
- требуемые характеристики безопасности ПДн;
- структура;
- наличие подключений к сетям связи общего пользования;
- режимы обработки персональных данных;
- режим разграничения прав доступа пользователей;
- местонахождение технических средств системы;
- другие параметры, имеющие значимость для построения системы защиты.
Идентификация и аутентификация с использованием биометрии
Одним из самых популярных форматом смарт-карт доступа в России является карта, которая никак не защищена от копирования. Сделать ее дубликат можно простыми инструментами, в некоторых случаях по номеру на карте. Чтобы избежать такой ситуации, нужно использовать стандарты, которые обеспечивают безопасность размещенной на карте информации с помощью шифрования. Тем не менее даже защищенную от копирования смарт-карту может украсть злоумышленник или же сотрудники могут передать ее неавторизованному лицу. Избежать неприятных последствий позволяют идентификация и аутентификация с использованием биометрии.
Свежие редакции закона "О персональных данных" № 152-ФЗ от 01.09.2022 г. и закона № 572-ФЗ от 29.12.2022 г. устанавливают новые требования к биометрическим данным, а 572-ФЗ определил особый правовой режим идентификации и аутентификации граждан с использованием биометрических данных, не распространяющийся на неавтоматизированную, если в ней участвует уполномоченный сотрудник. Требования 572-ФЗ не касаются автоматической обработки биометрических данных для следующих целей:
- оперативно-разыскной, контрразведывательной или разведывательной деятельности;
- обороны страны, обеспечения безопасности государства и охраны правопорядка, реализации внешней политики;
- функционирования государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность;
- обеспечения санитарно-эпидемиологического благополучия.
572-ФЗ регулирует автоматическую идентификацию и аутентификацию граждан с использованием биометрических данных через государственную информационную систему "Единая система идентификации и аутентификации физических лиц с использованием биометрических данных" (ЕБС), оператором которой является АО "Центр Биометрических Технологий" (ЦБТ).
Нормы 572-ФЗ запрещают обработку биометрических данных для идентификации и аутентификации граждан в других информационных системах, включая принадлежащие коммерческим и некоммерческим организациям (коммерческие биометрические системы – КБС).
Единственное исключение для организаций – возможность получения из ЕБС и хранения в КБС биометрических векторов, которые формально не являются биометрическими данными и формируются в ЕБС путем их математического преобразования согласно законодательству. То есть если у вас в СКУД есть фотография сотрудника, а проверку соответствия изображения человеку с пропуском осуществляет сотрудник охраны, то такая аутентификация не попадает под автоматическую – обрабатывать данные с использованием ЕБС не нужно. Если же СКУД самостоятельно принимает решение о том, тот ли человек находится перед биометрическим считывателем, то это уже автоматическая обработка – нужно выполнять требования 572-ФЗ, хотя сама фотография на пропуске согласно ст. 11 152-ФЗ относится к биометрическим персональным данным, что подтверждается Определением Верховного Суда РФ от 05.03.2018 г. № 307-КГ18-101 по делу № А42-342/2017.
Прямая работа с ЕБС на текущий момент достаточно непростая в реализации, так как выполнить все требования регламента подключения сложно и практически невозможно для сегментов малого и среднего бизнеса. Намного проще подключиться к КБС, которая фактически не хранит биометрию, но обеспечивает возможность биометрической аутентификации.
Несмотря на то что использование автоматической биометрической аутентификации в СКУД усложняет схему защиты и вносит дополнительные сложности при реализации, современные решения аутентификации уже способны полностью выполнить требования 572-ФЗ. Развитие систем биометрической аутентификации активно продолжается.
Опубликовано в журнале "Системы безопасности" № 4/2024
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>