Телефон: | +7 (846) 243-90-90, +7 (846) 231-10-11 |
E-mail: | info@forsltd.ru |
В настоящее время системы контроля и управления доступом (СКУД) являются неотъемлемым элементом комплексной системы безопасности предприятий и организаций.
Субъект доступа (сотрудник, посетитель) при доступе на объект (охраняемую территорию, помещение) для идентификации должен предъявить какой-либо идентификатор доступа. СКУД на основе установленных администратором политик безопасности и прав субъекта принимает решение о доступе субъекта на объект. При этом в качестве уникальных данных, присущих субъекту доступа, СКУД оперирует сведениями о фамилии, имени, отчестве субъекта, его должности, служебном телефоне, адресе регистрации. В ряде случаев в СКУД фиксируются паспортные данные субъекта и иные сведения.
Системы контроля и управления доступом, не учитывающие (не обрабатывающие) персональные данные (ПДн)1, составляют малую часть множества различных СКУД и в настоящее время практически не применяются на предприятиях (примером такой системы является домофон).
Таким образом, сведения, обрабатываемые СКУД, в подавляющем большинстве случаев содержат персональные данные. Следовательно, СКУД (за редким исключением) являются информационными системами персональных данных (ИСПДн)2.
Каждая ИСПДн должна соответствовать ряду требований3 по защите персональных данных. Для выполнения этих требований в общем случае необходимо создать систему защиты персональных данных (СЗПДн).
СКУД не является системой защиты информации и к ней не предъявляются требования наличия встроенных средств защиты информации (СЗИ). Однако, с момента начала обработки персональных данных, СКУД приобретает статус ИСПДн определенного класса и уже в этом качестве должна быть дополнена адекватной системой защиты персональных данных.
Ввод в строй и эксплуатация СКУД, обрабатывающей персональные данные, но не оснащенной СЗПДн, будет являться нарушением оператором (владельцем СКУД) действующего законодательства4.
Таким образом, СЗПДн (как для СКУД, так и вообще для любой информационной системы) следует рассматривать как некую надстройку, являющуюся совокупностью организационных мер и комплекса программно-аппаратных средств, выполняющих функцию защиты информации (персональных данных).
СЗПДн должна [5] обеспечивать функции:
Методы и способы защиты ПДн определяются оператором5 в соответствии с рекомендуемыми ФСТЭК России [7]. В каждом случае конкретный набор необходимых средств и методов защиты зависит от класса ИСПДН [4], а также от особенностей построения СКУД и локальной сети.
В зависимости от характера обрабатываемых сведений, СКУД может быть отнесена ко второму или третьему классу. В большинстве случаев СКУД следует относить к специальной6информационной системе. В зависимости от построения, СКУД можно отнести либо к распределенным7, либо к локальным информационным системам 8. СКУД может быть системой, имеющей или не имеющей подключения к сетям связи общего пользования, обычно многопользовательской с разграничением или без разграничения прав доступа.
На основе анализа особенностей ИСПДн конкретизируется перечень актуальных именно для данной ИСПДн угроз (частная модель угроз), и система защиты разрабатывается с учетом этой модели. Выбранные методы и способы защиты должны обеспечивать нейтрализацию предполагаемых угроз безопасности.
Проектирование СЗПДн должно осуществляться на этапе проектирования9 СКУД или системы безопасности в целом.
Оператор ограничен в своих возможностях по созданию и вводу в эксплуатацию СЗПДн, так как деятельность по технической защите конфиденциальной информации подлежит обязательному лицензированию10 , что приводит к необходимости11 привлечения для выполнения таких работ специализированной организации (лицензиата).
ООО НИЦ ФОРС - разработчик и инсталлятор комплексных систем безопасности – является также и лицензиатом ФСТЭК в сфере технической защиты конфиденциальной информации. Наш значительный практический опыт работы в сфере информационной безопасности позволяет рекомендовать следующие шаги для выполнения требований законодательства по защите персональных данных применительно к СКУД:
Процесс частичного приведения разрабатываемых СКУД в соответствие с законом можно проиллюстрировать следующим фактом. Аппаратно-программный комплекс Бастион является одним из продуктов ООО НИЦ ФОРС. С 2009 г. в состав АПК Бастион входит программный модуль Бастион - Персональные данные, который реализует требования к ИСПДн в части протоколирования операций над персональными данными (обычно в СУБД, используемых в информационных системах, в т.ч. и в СКУД, не протоколируются факты ознакомления с данными, содержащимися в базе, что в настоящее время уже не соответствует требованиям нормативных документов12).
Модуль Бастион - Персональные данные реализует следующие задачи:
Подчеркиваем, что наличие такого модуля не является достаточным решением проблемы защиты персональных данных в СКУД.
Несмотря на то, что системы контроля и управления доступом, как правило, не являются сложными ИСПД 1 и 2 классов, во избежание нарушений прав граждан и претензий надзорных и контрольных органов (прежде всего, Роскомнадзора РФ) они должны быть оснащены СЗПДн. Методы оптимизации затрат при оснащении СКУД средствами защиты информации будут рассмотрены в следующих статьях.
1 Понятие персональных данных установлено Федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" (далее закон «О персональных данных»).
2 Определение ИСПДн установленоп.9 ст.3 закона «О персональных данных» [1].
3 Требования установлены нормативно-правовыми актами РФ [1-7].
4 Предусмотрена административно-правовая ответственность за нарушение установленного законом «О персональных данных» порядка сбора, обработки, хранения и распространения ПД; а также за нарушение требований, предъявляемых к технической составляющей защиты персональных данных. Предусмотрена уголовно-правовая ответственность за разглашение информации, содержащей ПД [8-10].
5 Обязанности по принятию необходимых организационных и технических мер защиты ПДн возложены на оператора [1].
6 Если вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий) [4].
7 Комплекс автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа [4].
8 Комплекс автоматизированных рабочих мест, объединенных в единую информационную систему без использования технологии удаленного доступа [4].
9 Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем [2].
10 Следует из положений ФЗ-128 «О лицензировании отдельных видов деятельности» 11. Лицензия - специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.
11 Незаконная деятельность в сфере защиты информации влечет ответственность согласно ст. 13.13 [8].
12 Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в обязательном порядке должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений п. 15 [2].
Законодательно-нормативная база по персональным данным
1. Федеральный закон Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных";
2. Постановление Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
3. Постановление Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
4. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных";
5. Приказ ФСТЭК РФ от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"
6. Методический документ ФСТЭК России от 15 февраля 2008 года "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных";
7. Методический документ ФСТЭК России от 15 февраля 2008 года "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных";
8. Кодекс об административных правонарушениях от 30.12.2001 г. № 195-ФЗ;
9. Уголовный кодекс РФ от 13.06.1996 г. № 63-ФЗ;
10. Трудовой Кодекс РФ от 30.12.2001 г. № 197-ФЗ;
11. Федеральный закон РФ от 08.08.2001 г. О лицензировании отдельных видов деятельности № 128-ФЗ.