Аспекты проектирования и внедрения систем контроля и управления доступом СКУДАспекты проектирования и внедрения систем контроля и управления доступом СКУД
В настоящее время системы контроля и управления доступом (СКУД) являются неотъемлемым элементом комплексной системы безопасности предприятий и организаций. Субъект доступа (сотрудник, посетитель) при доступе на объект (охраняемую территорию, помещение) для идентификации должен предъявить какой-либо идентификатор доступа. СКУД, на основе установленных администратором данных и прав субъекта, принимает решение о его доступе на объект. При этом в качестве уникальных данных, присущих субъекту доступа, система оперирует сведениями о его фамилии, имени, отчестве, должности, служебном телефоне и адресе регистрации. В ряде случаев в СКУД фиксируются паспортные данные субъекта и иные сведения. Системы контроля и управления доступом, не учитывающие (не обрабатывающие) персональные данные (ПДн), составляют малую часть множества различных СКУД и в настоящее время практически не применяются на предприятиях (примером такой системы является домофон). Таким образом, сведения, обрабатываемые системой, в подавляющем большинстве случаев содержат персональные данные. Следовательно, СКУД (за редким исключением) являются информационными системами персональных данных (ИСПДн). Каждая ИСПДн должна соответствовать ряду требований по защите персональных данных. Для выполнения этих требований в общем случае необходимо создать систему защиты персональных данных (СЗПДн). Система контроля и управления доступом не является системой защиты информации и к ней не предъявляются требования наличия встроенных средств защиты информации (СЗИ). Однако, с момента начала обработки персональных данных, СКУД приобретает статус ИСПДн определенного класса и уже в этом качестве должна быть дополнена адекватной системой защиты персональных данных. Ввод в строй и эксплуатация СКУД, обрабатывающей персональные данные, но не оснащенной СЗПДн, будет являться нарушением оператором (владельцем СКУД) действующего законодательства. Таким образом, СЗПДн (как для СКУД, так и вообще для любой информационной системы) следует рассматривать как некую надстройку, являющуюся совокупностью организационных мер и комплекса программно-аппаратных средств, выполняющих функцию защиты информации (персональных данных). СЗПДн должна обеспечивать функции:
Методы и способы защиты ПДн определяются оператором в соответствии с рекомендуемыми ФСТЭК России. В каждом случае конкретный набор необходимых средств и методов защиты зависит от класса ИСПДН, а также от особенностей построения СКУД и локальной сети. В зависимости от характера обрабатываемых сведений, система контроля и управления доступом может быть отнесена ко второму или третьему классу. В большинстве случаев такую систему следует относить к специальной информационной системе. В зависимости от построения, СКУД можно отнести либо к распределенным, либо к локальным информационным системам. СКУД может быть системой, имеющей или не имеющей подключения к сетям связи общего пользования, обычно многопользовательской с разграничением или без разграничения прав доступа. На основе анализа особенностей ИСПДн конкретизируется перечень актуальных именно для данной ИСПДн угроз (частная модель угроз), и система защиты разрабатывается с учетом этой модели. Выбранные методы и способы защиты должны обеспечивать нейтрализацию предполагаемых угроз безопасности. Проектирование СЗПДн должно осуществляться на этапе проектирования СКУД или системы безопасности в целомОператор ограничен в своих возможностях по созданию и вводу в эксплуатацию СЗПДн, так как деятельность по технической защите конфиденциальной информации подлежит обязательному лицензированию , что приводит к необходимости привлечения для выполнения таких работ специализированной организации (лицензиата). «НИЦ «ФОРС» — разработчик и инсталлятор комплексных систем безопасности – является также и лицензиатом ФСТЭК в сфере технической защиты конфиденциальной информации. Наш значительный практический опыт работы в сфере информационной безопасности позволяет рекомендовать следующие шаги для выполнения требований законодательства по защите персональных данных применительно к СКУД:
Процесс частичного приведения разрабатываемых систем контроля и управления доступом, в соответствие с законом, можно проиллюстрировать следующим фактом: аппаратно-программный комплекс «Бастион» является одним из продуктов «НИЦ «ФОРС». С 2009 г. в состав АПК «Бастион» входит программный модуль «Бастион — персональные данные», который реализует требования к ИСПДн в части протоколирования операций над персональными данными (обычно в СУБД, используемых в информационных системах, в т.ч. и в СКУД, не протоколируются факты ознакомления с данными, содержащимися в базе, что в настоящее время уже не соответствует требованиям нормативных документов). Модуль «Бастион — Персональные данные» реализует следующие задачи присущие СКУД:
Несмотря на то, что системы контроля и управления доступом, как правило, не являются сложными ИСПД 1 и 2 классов, во избежание нарушений прав граждан и претензий надзорных и контрольных органов (прежде всего, Роскомнадзора РФ) они должны быть оснащены СЗПДн. Методы оптимизации затрат при оснащении СКУД средствами защиты информации будут рассмотрены в следующих статьях. Законодательно-нормативная база по контролю и управлению персональными данными:
Шмелев П.В. - директор по развитию «НИЦ «ФОРС» |