Журнал "Системы Безопасности" № 4‘2024

С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 64 М ногие даже не задумываются, ежедневно прикладывая карточку к турникету, что они являются пользователями одной из самых распространенных систем обработки персо- нальных данных – системы контроля и управ- ления доступом (СКУД). Возможности СКУД и виды идентификаций Система контроля и управления доступом пред- ставляет собой набор оборудования и про- граммных решений, предназначенных для мониторинга и управления доступом на объект. Основной задачей системы является ограниче- ние доступа в определенные помещения, зда- ния и территории, а также контроль действий людей и перемещения транспортных средств. Система идентифицирует человека по заранее настроенным политикам доступа и разрешает или запрещает вход-выход из охраняемой зоны. СКУД интегрируется в общую систему безопас- ности объекта и может взаимодействовать с другими системами, такими как видеонаблю- дение, охранная и пожарная сигнализация. Это обеспечивает слаженную работу комплексной системы безопасности, позволяет осуществлять мониторинг ситуации и управлять всеми устройствами в интерфейсе программного обеспечения СКУД. Часто работодатели внедряют учет рабочего времени сотрудников, используя данные о про- ходах из системы для регистрации отсутствия специалиста на рабочем месте. Сама идентификация бывает разной. Самый распространенный вариант – привычные всем пластиковые карты, которые мы прикладываем к турникетам. Более продвинутые системы аутентификации пользователей основаны на биометрических данных и используют техноло- гии распознавания лиц или отпечатков пальцев. Кроме того, существуют системы, позволяющие идентифицировать человека по сетчатке глаза. Конечно, это не все варианты, но, пожалуй, самые узнаваемые. СКУД обеспечивает аутентификацию, а значит, содержит не только информацию о карте или цифровой слепок биометрических данных, но и фамилию, имя, отчество, должность, фото- графию и другие сведения, позволяющие более точно идентифицировать пользователя, в том числе паспортные данные. С точки зрения законодательства система конт- роля и управления доступом, которая иденти- фицирует человека, попадает под требования федеральных законов "О персональных данных" от 27.07.2006 г. № 152-ФЗ (далее по тексту 152-ФЗ) и "Об информации, информационных технологиях и о защите информации" от 27.07.2006 г. № 149-ФЗ и является информа- ционной системой персональных данных (ИСПДн). Соответственно, эти данные необхо- димо защищать. Согласие на обработку персональных данных Существуют СКУД, не обрабатывающие персо- нальные данные (ПДн) и не требующие точной аутентификации человека, для прохода доста- точно предъявить первичный идентификатор. К такому примеру можно отнести домофон, к которому достаточно приложить ключ-таблет- ку и аутентифицироваться как лицо, имеющее доступ в подъезд, а не как конкретный житель. Такие системы составляют малую часть СКУД и в настоящее время практически не приме- няются на предприятиях. Если же система контроля и управления досту- пом обрабатывает персональные данные, то необходимо обеспечить их защиту. Во-первых, сбор ПДн возможен только с согласия человека, которого по ним можно определить. Для этого с пользователем подписывается согласие на обработку персональных данных, где указана цель сбора информации, срок ее обработки и события, при которых она будет удалена. До сих пор встречаются ситуации, когда для прохода в здание охрана просто записывает паспортные данные гостя для выдачи времен- ного пропуска. При этом согласие на обработку ПДн не подписывается, что является прямым нарушением. Несоблюдение установленных норм сбора согласия, а также вероятность оставления журнала учета без присмотра ука- зывают на серьезные и даже грубые нарушения требований законодательства. Подобная работа с персональными данными недопустима, и о таких случаях нужно сообщать в Роскомнадзор. Обеспечение защиты персональных данных в СКУД Как и любая ИСПДн, система контроля и управ- ления доступом должна соответствовать требо- ваниям по защите персональных данных. Для их выполнения в общем случае необходимо создать систему защиты персональных данных (СЗПДн). СЗПДн – это совокупность организационных мер и комплекса программно-аппаратных средств, выполняющих функцию защиты персо- нальных данных, описанных в 152-ФЗ. Основ- ные функции системы защиты описаны в при- казе ФСТЭК России от 18 февраля 2013 г. № 21. Для того чтобы обеспечить безопасность, важно защищать все компоненты системы: считыватели или устройства, проводящие аутентификацию; каналы передачи данных, от считывателей до контроллеров и далее до сервера; хранилища данных, а также рабочие места операторов, свя- занные с обработкой и хранением информации. В зависимости от типа обрабатываемой инфор- мации система контроля и управления досту- пом классифицируется по уровню защищенно- август – сентябрь 2024 www.secuteck.ru Сергей Бабин Руководитель отдела архитектурных решений службы информационной безопасности компании "Онланта" (входит в группу "ЛАНИТ") Защита персональных данных при использовании технологий СКУД. Законодательство и практика В этой статье мы кратко расскажем непосредственно о технологии СКУД и более подробно затронем ее правовую сторону: в каких ситуациях возможен сбор персо- нальных данных и биометрии, как обеспечить их безопасность и какие схемы защиты применяются на данный момент