В настоящее время системы контроля и управления доступом (СКУД) являются неотъемлемым элементом комплексной системы безопасности предприятий и организаций.

Субъект доступа (сотрудник, посетитель) при доступе на объект (охраняемую территорию, помещение) для идентификации должен предъявить какой-либо идентификатор доступа. СКУД, на основе установленных администратором данных и прав субъекта, принимает решение о его доступе на объект. При этом в качестве уникальных данных, присущих субъекту доступа, система оперирует сведениями о его фамилии, имени, отчестве, должности, служебном телефоне и адресе регистрации. В ряде случаев в СКУД фиксируются паспортные данные субъекта и иные сведения.

Системы контроля и управления доступом, не учитывающие (не обрабатывающие) персональные данные (ПДн), составляют малую часть множества различных СКУД и в настоящее время практически не применяются на предприятиях (примером такой системы является домофон). Таким образом, сведения, обрабатываемые системой, в подавляющем большинстве случаев содержат персональные данные. Следовательно, СКУД (за редким исключением) являются информационными системами персональных данных (ИСПДн).

Каждая ИСПДн должна соответствовать ряду требований по защите персональных данных. Для выполнения этих требований в общем случае необходимо создать систему защиты персональных данных (СЗПДн).

Система контроля и управления доступом не является системой защиты информации и к ней не предъявляются требования наличия встроенных средств защиты информации (СЗИ). Однако, с момента начала обработки персональных данных, СКУД приобретает статус ИСПДн определенного класса и уже в этом качестве должна быть дополнена адекватной системой защиты персональных данных.

Ввод в строй и эксплуатация СКУД, обрабатывающей персональные данные, но не оснащенной СЗПДн, будет являться нарушением оператором (владельцем СКУД) действующего законодательства. Таким образом, СЗПДн (как для СКУД, так и вообще для любой информационной системы) следует рассматривать как некую надстройку, являющуюся совокупностью организационных мер и комплекса программно-аппаратных средств, выполняющих функцию защиты информации (персональных данных).

СЗПДн должна обеспечивать функции:

• управления доступом (к ИСПДн);
• регистрации и учета;
• обеспечения целостности;
• обеспечения безопасного межсетевого взаимодействия;
• антивирусной защиты;
• обнаружения вторжений;
• анализа защищенности.

Методы и способы защиты ПДн определяются оператором в соответствии с рекомендуемыми ФСТЭК России. В каждом случае конкретный набор необходимых средств и методов защиты зависит от класса ИСПДН, а также от особенностей построения СКУД и локальной сети.

В зависимости от характера обрабатываемых сведений, система контроля и управления доступом может быть отнесена ко второму или третьему классу. В большинстве случаев такую систему следует относить к специальной информационной системе. В зависимости от построения, СКУД можно отнести либо к распределенным, либо к локальным информационным системам. СКУД может быть системой, имеющей или не имеющей подключения к сетям связи общего пользования, обычно многопользовательской с разграничением или без разграничения прав доступа.

На основе анализа особенностей ИСПДн конкретизируется перечень актуальных именно для данной ИСПДн угроз (частная модель угроз), и система защиты разрабатывается с учетом этой модели. Выбранные методы и способы защиты должны обеспечивать нейтрализацию предполагаемых угроз безопасности.

Проектирование СЗПДн должно осуществляться на этапе проектирования СКУД или системы безопасности в целом

Оператор ограничен в своих возможностях по созданию и вводу в эксплуатацию СЗПДн, так как деятельность по технической защите конфиденциальной информации подлежит обязательному лицензированию , что приводит к необходимости привлечения для выполнения таких работ специализированной организации (лицензиата).

«НИЦ «ФОРС» — разработчик и инсталлятор комплексных систем безопасности – является также и лицензиатом ФСТЭК в сфере технической защиты конфиденциальной информации. Наш значительный практический опыт работы в сфере информационной безопасности позволяет рекомендовать следующие шаги для выполнения требований законодательства по защите персональных данных применительно к СКУД:

• для разработчиков СКУД — реализовать необходимые функции по защите персональных данных либо путем внедрения соответствующих средств защиты в состав ПО СКУД (при наличии возможности самостоятельной разработки СЗИ), либо тестировать на совместимость со своим продуктом сертифицированные СЗИ сторонних разработчиков;
• для инсталляторов СКУД — в проектных решениях, а также при внедрении учитывать необходимость соответствия СКУД требованиям по безопасности персональных данных при их обработке в ИСПДн. Качественно и в полном объеме эти требования может реализовать только организация, имеющая соответствующие лицензии ФСТЭК России и ФСБ России;
• для организаций, осуществляющих поставку программно-аппаратных компонентов СКУД — рекомендовать заказчику обратить внимание на необходимость дооснащения СКУД системой защиты персональных данных;
• для заказчиков СКУД — при подготовке технических заданий на создание СКУД в обязательном порядке вносить раздел с требованиями к системе защиты персональных данных. Среди результатов работ предусмотреть представление исполнителем работ аттестата соответствия требованиям по безопасности информации. При проведении торгов к исполнителю работ предъявлять требование о наличии соответствующих лицензий ФСТЭК России и ФСБ России.

Процесс частичного приведения разрабатываемых систем контроля и управления доступом, в соответствие с законом, можно проиллюстрировать следующим фактом: аппаратно-программный комплекс «Бастион» является одним из продуктов «НИЦ «ФОРС». С 2009 г. в состав АПК «Бастион» входит программный модуль «Бастион — персональные данные», который реализует требования к ИСПДн в части протоколирования операций над персональными данными (обычно в СУБД, используемых в информационных системах, в т.ч. и в СКУД, не протоколируются факты ознакомления с данными, содержащимися в базе, что в настоящее время уже не соответствует требованиям нормативных документов).

Модуль «Бастион — Персональные данные» реализует следующие задачи присущие СКУД:

1. Протоколирование в полном объеме операций по доступу и модификации ПД. В терминологии АПК «Бастион» модуль выполняет протоколирование всех операций с персональными данными сотрудников, которым выданы карты доступа в СКУД (включая как модификацию, так и просмотр личных карт).
2. Просмотр, сохранение и печать отчетов по доступу и модификации ПД. В терминологии АПК «Бастион» модуль дает возможность построения и печати отчетов обо всех операциях, выполненных над персональными данными сотрудников (включая как модификацию, так и просмотр личных карт).
3. Печать формы информированного согласия на использование персональных данных. В терминологии АПК «Бастион» модуль дает возможность распечатать информированное согласие сотрудника об использовании своих персональных данных в СКУД.
   Подчеркиваем, что наличие такого модуля не является достаточным решением проблемы защиты персональных данных в СКУД.

Несмотря на то, что системы контроля и управления доступом, как правило, не являются сложными ИСПД 1 и 2 классов, во избежание нарушений прав граждан и претензий надзорных и контрольных органов (прежде всего, Роскомнадзора РФ) они должны быть оснащены СЗПДн. Методы оптимизации затрат при оснащении СКУД средствами защиты информации будут рассмотрены в следующих статьях.

Законодательно-нормативная база по контролю и управлению персональными данными:

1. Федеральный закон Российской Федерации от 27.07.2006 N 152-ФЗ «О персональных данных»;
2. Постановление Правительства Российской Федерации от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
3. Постановление Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
4. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
5. Приказ ФСТЭК РФ от 05.02.2010 N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;
6. Методический документ ФСТЭК России от 15 февраля 2008 года «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
7. Методический документ ФСТЭК России от 15 февраля 2008 года «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
8. Кодекс об административных правонарушениях от 30.12.2001 г. № 195-ФЗ;
9. Уголовный кодекс РФ от 13.06.1996 г. № 63-ФЗ;
10. Трудовой Кодекс РФ от 30.12.2001 г. № 197-ФЗ;
11. Федеральный закон РФ от 08.08.2001 г. «О лицензировании отдельных видов деятельности» № 128-ФЗ.

Шмелев П.В. - директор по развитию «НИЦ «ФОРС»
Скрыпка А.А. - специалист по защите информации «НИЦ «ФОРС»
Ассоциация «Электронные системы»