Журнал "Системы Безопасности" № 4‘2024

С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 65 сти. Чаще всего она считается информационной системой, обрабатывающей специальные ПДн. СКУД бывает распределенной или локальной, что определяется структурой. Обычно она пред- назначена для нескольких пользователей с наличием или отсутствием разграничения доступа. Во время проектирования СКУД необходимо провести классификацию информационной системы. На этой стадии производится сбор и анализ исходных данных о ней, присвоение соответствующего класса и его документальное оформление. При проведении классификации учитываются: l категория обрабатываемых персональных данных; l отношение субъекта ПДн к оператору; l количество ПДн; l типы актуальных угроз. После анализа особенностей ИСПДн конкрети- зируется список ее актуальных угроз и разраба- тывается частная модель угроз, с учетом кото- рой формируется система защиты. Методы и способы должны обеспечивать нейтрализа- цию предполагаемых угроз безопасности и учи- тывать такие параметры, как: l объем обрабатываемой информации (коли- чество субъектов ПДн, список персональных данных каждого субъекта); l требуемые характеристики безопасности ПДн; l структура; l наличие подключений к сетям связи общего пользования; l режимы обработки персональных данных; l режим разграничения прав доступа пользова- телей; l местонахождение технических средств систе- мы; l другие параметры, имеющие значимость для построения системы защиты. Идентификация и аутентификация с использованием биометрии Одним из самых популярных форматом смарт- карт доступа в России является карта, которая никак не защищена от копирования. Сделать ее дубликат можно простыми инструментами, в некоторых случаях по номеру на карте. Чтобы избежать такой ситуации, нужно использовать стандарты, которые обеспечивают безопас- ность размещенной на карте информации с помощью шифрования. Тем не менее даже защищенную от копирования смарт-карту может украсть злоумышленник или же сотруд- ники могут передать ее неавторизованному лицу. Избежать неприятных последствий поз- воляют идентификация и аутентификация с использованием биометрии. Свежие редакции закона "О персональных дан- ных" № 152-ФЗ от 01.09.2022 г. и закона № 572-ФЗ от 29.12.2022 г. устанавливают новые требования к биометрическим данным, а 572-ФЗ определил особый правовой режим идентификации и аутентификации граждан с использованием биометрических данных, не распространяющийся на неавтоматизирован- ную, если в ней участвует уполномоченный сотрудник. Требования 572-ФЗ не касаются автоматической обработки биометрических данных для следующих целей: l оперативно-разыскной, контрразведыватель- ной или разведывательной деятельности; l обороны страны, обеспечения безопасности государства и охраны правопорядка, реали- зации внешней политики; l функционирования государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контро- ля обращения документов, удостоверяющих личность; l обеспечения санитарно-эпидемиологическо- го благополучия. 572-ФЗ регулирует автоматическую идентифи- кацию и аутентификацию граждан с использова- нием биометрических данных через государст- венную информационную систему "Единая система идентификации и аутентификации физических лиц с использованием биометриче- ских данных" (ЕБС), оператором которой являет- ся АО "Центр Биометрических Технологий" (ЦБТ). Нормы 572-ФЗ запрещают обработку биомет- рических данных для идентификации и аутен- тификации граждан в других информационных системах, включая принадлежащие коммерче- ским и некоммерческим организациям (ком- мерческие биометрические системы – КБС). Единственное исключение для организаций – возможность получения из ЕБС и хранения в КБС биометрических векторов, которые фор- мально не являются биометрическими данными и формируются в ЕБС путем их математического преобразования согласно законодательству. То есть если у вас в СКУД есть фотография сотруд- ника, а проверку соответствия изображения человеку с пропуском осуществляет сотрудник охраны, то такая аутентификация не попадает под автоматическую – обрабатывать данные с использованием ЕБС не нужно. Если же СКУД самостоятельно принимает решение о том, тот ли человек находится перед биометрическим считывателем, то это уже автоматическая обра- ботка – нужно выполнять требования 572-ФЗ, хотя сама фотография на пропуске согласно ст. 11 152-ФЗ относится к биометрическим пер- сональным данным, что подтверждается Опре- делением Верховного Суда РФ от 05.03.2018 г. № 307-КГ18-101 по делу № А42-342/2017. Прямая работа с ЕБС на текущий момент доста- точно непростая в реализации, так как выпол- нить все требования регламента подключения сложно и практически невозможно для сегмен- тов малого и среднего бизнеса. Намного проще подключиться к КБС, которая фактически не хранит биометрию, но обеспечивает возмож- ность биометрической аутентификации. Несмотря на то что использование автоматиче- ской биометрической аутентификации в СКУД усложняет схему защиты и вносит дополнитель- ные сложности при реализации, современные решения аутентификации уже способны пол- ностью выполнить требования 572-ФЗ. Разви- тие систем биометрической аутентификации активно продолжается. n Иллюстрация предоставлена автором. www.secuteck.ru август – сентябрь 2024 Ваше мнение и вопросы по статье направляйте на ss @groteck.ru КОЛОНКА РЕДАКТОРА Биометрия, защита инфор- мации, нейронные сети С реди широкого спектра тем, касающихся СКУД, можно выделить три, которые часто упоминаются при обсуждении теку- щей ситуации в отрасли и обмене опытом. Это био- метрическая иден- тификация и прежде всего технологии распо- знавания по лицу на основе современных ней- росетевых алгоритмов, а также защита инфор- мации. Последнее обычно связано с правовы- ми аспектами данной темы, которые стали актуальными в связи с введением целого ряда законодательных актов, относящихся к био- метрии и защите персональных данных. Это ФЗ-152, ФЗ-149 и ФЗ-572. Данное трио зако- нов существенно повлияло на развитие отече- ственного рынка биометрии в самом, пожа- луй, перспективном и бурно развивающемся направлении – идентификации по лицу. Масса компаний, использующих такое оборудование и решения, вдруг оказалась вне правового поля с перспективой попасть под штрафные санкции со стороны государственных органов. Одним из ключевых моментов является "авто- матизированная обработка данных". ФЗ-572 запрещает автоматически обрабатывать био- метрические данные для идентификации и аутентификации граждан в информационных системах, не относящихся к Единой системе идентификации и аутентификации физиче- ских лиц с использованием биометрических данных (ЕБС). Оператором ЕБС является АО "Центр Биометрических Технологий" (ЦБТ). Вариантов для компаний пользователей оста- ется два: либо работать напрямую с ЦБТ, что для подавляющего числа нереально в силу необходимости соблюдения требований жесткого регламента, либо работать через коммерческие биометрические системы (КБС), взаимодействующие с ЕБС и использующие "биометрические векторы", которые формаль- но не являются биометрическими данными. Следует отметить, что соблюдение требова- ний ФЗ-572 не касается спецслужб, мигра- ционных служб, Минобороны, и пр. Если коротко, то использование коммерческой компанией биометрической идентификации в СКУД возможно, но подразумевает сильную правовую и организационную подготовку вопроса, а также внимательный мониторинг меняющегося законодательства. Алексей Гинце Редактор раздела "Системы контроля и управления доступом", директор по связям с общественностью компании "ААМ Системз"