Подписка
МЕНЮ
Подписка

Мероприятия для специалистов в области безопасности:  10 декабря. Комплексная безопасность объектов промышленности и ТЭК 11 декабря. Пожарная безопасность и минимизация ущерба от возгораний 12 декабря. Технологии защиты периметра для объектов промышленности Регистрируйтесь и участвуйте в обсуждении!

Защита персональных данных при использовании технологий СКУД

Сергей Бабин, 07/10/24

Законодательство и практика

В этой статье мы кратко расскажем непосредственно о технологии СКУД и более подробно затронем ее правовую сторону: в каких ситуациях возможен сбор персональных данных и биометрии, как обеспечить их безопасность и какие схемы защиты применяются на данный момент.

Многие даже не задумываются, ежедневно прикладывая карточку к турникету, что они являются пользователями одной из самых распространенных систем обработки персональных данных – системы контроля и управления доступом (СКУД).

Возможности СКУД и виды идентификаций

Система контроля и управления доступом представляет собой набор оборудования и программных решений, предназначенных для мониторинга и управления доступом на объект. Основной задачей системы является ограничение доступа в определенные помещения, здания и территории, а также контроль действий людей и перемещения транспортных средств.
Система идентифицирует человека по заранее настроенным политикам доступа и разрешает или запрещает вход-выход из охраняемой зоны.

СКУД интегрируется в общую систему безопасности объекта и может взаимодействовать с другими системами, такими как видеонаблюдение, охранная и пожарная сигнализация. Это обеспечивает слаженную работу комплексной системы безопасности, позволяет осуществлять мониторинг ситуации и управлять всеми устройствами в интерфейсе программного обеспечения СКУД.

Часто работодатели внедряют учет рабочего времени сотрудников, используя данные о проходах из системы для регистрации отсутствия специалиста на рабочем месте.

Сама идентификация бывает разной. Самый распространенный вариант – привычные всем пластиковые карты, которые мы прикладываем к турникетам. Более продвинутые системы аутентификации пользователей основаны на биометрических данных и используют технологии распознавания лиц или отпечатков пальцев. Кроме того, существуют системы, позволяющие идентифицировать человека по сетчатке глаза. Конечно, это не все варианты, но, пожалуй, самые узнаваемые.

СКУД обеспечивает аутентификацию, а значит, содержит не только информацию о карте или цифровой слепок биометрических данных, но и фамилию, имя, отчество, должность, фотографию и другие сведения, позволяющие более точно идентифицировать пользователя, в том числе паспортные данные.

С точки зрения законодательства система контроля и управления доступом, которая идентифицирует человека, попадает под требования федеральных законов "О персональных данных" от 27.07.2006 г. № 152-ФЗ (далее по тексту 152-ФЗ) и "Об информации, информационных технологиях и о защите информации" от 27.07.2006 г. № 149-ФЗ и является информационной системой персональных данных (ИСПДн). Соответственно, эти данные необходимо защищать.

СКУД для бизнеса. ОБЗОР решений >>

Согласие на обработку персональных данных

Существуют СКУД, не обрабатывающие персональные данные (ПДн) и не требующие точной аутентификации человека, для прохода достаточно предъявить первичный идентификатор. К такому примеру можно отнести домофон, к которому достаточно приложить ключ-таблетку и аутентифицироваться как лицо, имеющее доступ в подъезд, а не как конкретный житель. Такие системы составляют малую часть СКУД и в настоящее время практически не применяются на предприятиях.

Если же система контроля и управления доступом обрабатывает персональные данные, то необходимо обеспечить их защиту. Во-первых, сбор ПДн возможен только с согласия человека, которого по ним можно определить. Для этого с пользователем подписывается согласие на обработку персональных данных, где указана цель сбора информации, срок ее обработки и события, при которых она будет удалена.

До сих пор встречаются ситуации, когда для прохода в здание охрана просто записывает паспортные данные гостя для выдачи временного пропуска. При этом согласие на обработку ПДн не подписывается, что является прямым нарушением. Несоблюдение установленных норм сбора согласия, а также вероятность оставления журнала учета без присмотра указывают на серьезные и даже грубые нарушения требований законодательства. Подобная работа с персональными данными недопустима, и о таких случаях нужно сообщать в Роскомнадзор.

Обеспечение защиты персональных данных в СКУД

Как и любая ИСПДн, система контроля и управления доступом должна соответствовать требованиям по защите персональных данных. Для их выполнения в общем случае необходимо создать систему защиты персональных данных (СЗПДн).

СЗПДн – это совокупность организационных мер и комплекса программно-аппаратных средств, выполняющих функцию защиты персональных данных, описанных в 152-ФЗ. Основные функции системы защиты описаны в приказе ФСТЭК России от 18 февраля 2013 г. № 21.

Для того чтобы обеспечить безопасность, важно защищать все компоненты системы: считыватели или устройства, проводящие аутентификацию; каналы передачи данных, от считывателей до контроллеров и далее до сервера; хранилища данных, а также рабочие места операторов, связанные с обработкой и хранением информации. В зависимости от типа обрабатываемой информации система контроля и управления доступом классифицируется по уровню защищенности. Чаще всего она считается информационной системой, обрабатывающей специальные ПДн.

СКУД бывает распределенной или локальной, что определяется структурой. Обычно она предназначена для нескольких пользователей с наличием или отсутствием разграничения доступа.

Во время проектирования СКУД необходимо провести классификацию информационной системы. На этой стадии производится сбор и анализ исходных данных о ней, присвоение соответствующего класса и его документальное оформление.

При проведении классификации учитываются:

  • категория обрабатываемых персональных данных;
  • отношение субъекта ПДн к оператору;
  • количество ПДн;
  • типы актуальных угроз.

После анализа особенностей ИСПДн конкретизируется список ее актуальных угроз и разрабатывается частная модель угроз, с учетом которой формируется система защиты. Методы и способы должны обеспечивать нейтрализацию предполагаемых угроз безопасности и учитывать такие параметры, как:

  • объем обрабатываемой информации (количество субъектов ПДн, список персональных данных каждого субъекта);
  • требуемые характеристики безопасности ПДн;
  • структура;
  • наличие подключений к сетям связи общего пользования;
  • режимы обработки персональных данных;
  • режим разграничения прав доступа пользователей;
  • местонахождение технических средств системы;
  • другие параметры, имеющие значимость для построения системы защиты.

Идентификация и аутентификация с использованием биометрии

Одним из самых популярных форматом смарт-карт доступа в России является карта, которая никак не защищена от копирования. Сделать ее дубликат можно простыми инструментами, в некоторых случаях по номеру на карте. Чтобы избежать такой ситуации, нужно использовать стандарты, которые обеспечивают безопасность размещенной на карте информации с помощью шифрования. Тем не менее даже защищенную от копирования смарт-карту может украсть злоумышленник или же сотрудники могут передать ее неавторизованному лицу. Избежать неприятных последствий позволяют идентификация и аутентификация с использованием биометрии.

Свежие редакции закона "О персональных данных" № 152-ФЗ от 01.09.2022 г. и закона № 572-ФЗ от 29.12.2022 г. устанавливают новые требования к биометрическим данным, а 572-ФЗ определил особый правовой режим идентификации и аутентификации граждан с использованием биометрических данных, не распространяющийся на неавтоматизированную, если в ней участвует уполномоченный сотрудник. Требования 572-ФЗ не касаются автоматической обработки биометрических данных для следующих целей:

  • оперативно-разыскной, контрразведывательной или разведывательной деятельности;
  • обороны страны, обеспечения безопасности государства и охраны правопорядка, реализации внешней политики;
  • функционирования государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность;
  • обеспечения санитарно-эпидемиологического благополучия.

572-ФЗ регулирует автоматическую идентификацию и аутентификацию граждан с использованием биометрических данных через государственную информационную систему "Единая система идентификации и аутентификации физических лиц с использованием биометрических данных" (ЕБС), оператором которой является АО "Центр Биометрических Технологий" (ЦБТ).
Нормы 572-ФЗ запрещают обработку биометрических данных для идентификации и аутентификации граждан в других информационных системах, включая принадлежащие коммерческим и некоммерческим организациям (коммерческие биометрические системы – КБС).

Единственное исключение для организаций – возможность получения из ЕБС и хранения в КБС биометрических векторов, которые формально не являются биометрическими данными и формируются в ЕБС путем их математического преобразования согласно законодательству. То есть если у вас в СКУД есть фотография сотрудника, а проверку соответствия изображения человеку с пропуском осуществляет сотрудник охраны, то такая аутентификация не попадает под автоматическую – обрабатывать данные с использованием ЕБС не нужно. Если же СКУД самостоятельно принимает решение о том, тот ли человек находится перед биометрическим считывателем, то это уже автоматическая обработка – нужно выполнять требования 572-ФЗ, хотя сама фотография на пропуске согласно ст. 11 152-ФЗ относится к биометрическим персональным данным, что подтверждается Определением Верховного Суда РФ от 05.03.2018 г. № 307-КГ18-101 по делу № А42-342/2017.

Прямая работа с ЕБС на текущий момент достаточно непростая в реализации, так как выполнить все требования регламента подключения сложно и практически невозможно для сегментов малого и среднего бизнеса. Намного проще подключиться к КБС, которая фактически не хранит биометрию, но обеспечивает возможность биометрической аутентификации.

Несмотря на то что использование автоматической биометрической аутентификации в СКУД усложняет схему защиты и вносит дополнительные сложности при реализации, современные решения аутентификации уже способны полностью выполнить требования 572-ФЗ. Развитие систем биометрической аутентификации активно продолжается.

Опубликовано в журнале "Системы безопасности" № 4/2024

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

Изображение от rawpixel.com на Freepik

All-over-IP 2024 14 ноября  – 6 декабря | онлайн

Темы:Персональные данныеСКУДЖурнал "Системы безопасности" №4/2024
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ РЕКЛАМОДАТЕЛЕМ
Комментарии

More...

More...