Artículos

Aspectos de diseño e implementación de sistemas de control de acceso y control de acceso.

aspekti proektirovaniya i vnedreniya sistem kontrolya i u

Aspectos de diseño e implementación de monitoreo y sistemas de control de acceso ACS.

Actualmente, los sistemas de gestión y control de acceso (ACS) son un elemento integral de un sistema de seguridad integral para empresas y organizaciones.

El sujeto de acceso (empleado, visitante) al acceder a un objeto (área protegida, local) debe presentar algún tipo de identificador de acceso para su identificación.

El sistema de control de acceso, en base a los datos y derechos del sujeto establecido por el administrador, toma una decisión sobre su acceso al objeto.

Al mismo tiempo, como dato único inherente al sujeto de acceso, el sistema opera con información sobre su apellido, nombre , patronímico, cargo, número de teléfono de la oficina y dirección de registro.

En algunos casos, la ACS registra los datos del pasaporte del sujeto y otra información.

Los sistemas de gestión y control de acceso que no tienen en cuenta (procesan) datos personales (PD) constituyen una pequeña parte de los muchos sistemas de control de acceso diferentes y actualmente prácticamente no se utilizan en las empresas (un ejemplo de un sistema de este tipo es un intercom).

Así, la información procesada por el sistema en la gran mayoría de los casos contiene datos personales.

En consecuencia, los ACS (salvo raras excepciones) son sistemas de información de datos personales (PDIS). ).

Cada ISPD debe cumplir una serie de requisitos para la protección de datos personales. Para cumplir con estos requisitos, en el caso general, es necesario crear un sistema de protección de datos personales (PDS).

El sistema de gestión y control de acceso no es un sistema de seguridad de la información y no está sujeto al requisito. de tener herramientas de seguridad de la información (IPS) integradas.

Sin embargo, desde el momento en que se inicia el tratamiento de datos personales, el sistema de control de acceso adquiere la condición de ISPD de una determinada clase y, como tal, debe complementarse con un sistema adecuado de protección de datos personales.

La puesta en funcionamiento y funcionamiento de un sistema de control de acceso que procese datos personales, pero que no esté equipado con SZPDn, constituirá una violación por parte del operador (propietario del sistema de control de acceso) de la legislación vigente.

Así, el SPDn (tanto para sistemas de control de acceso como en general para cualquier sistema de información) debe considerarse como una especie de superestructura, que es un conjunto de medidas organizativas y un conjunto de software y hardware que cumplen la función de proteger la información (datos personales). ).

PDSD debe proporcionar las siguientes funciones:

  • control de acceso (a ISPD);
  • registro y contabilidad;
  • garantía de integridad;
  • garantizar una conexión segura en Internet;
  • protección antivirus;
  • detección de intrusiones;
  • análisis de seguridad.

Los métodos y métodos de protección PD son determinados por el operador de acuerdo con las recomendaciones del FSTEC de Rusia.

En cada caso, el conjunto específico de medios y métodos de protección necesarios depende de la clase de RDSI, así como de las características de diseño del sistema de control de acceso y de la red local.

Dependiendo de la naturaleza de la información que se procesa, el sistema de gestión y control de acceso se puede clasificar como de segunda o tercera clase.

En la mayoría de los casos, dicho sistema debe clasificarse como un sistema de información especial.

Dependiendo Según el diseño, los ACS se pueden clasificar como sistemas de información distribuidos o locales.

Un sistema de control de acceso puede ser un sistema que tiene o no conexión a redes públicas de comunicación, normalmente multiusuario con o sin diferenciación de derechos de acceso.

Basado en un análisis de las características del ISPD , se especifica una lista de amenazas relevantes específicamente para este ISPD (modelo de amenazas privadas) y el sistema de protección se desarrolla teniendo en cuenta este modelo.

Los métodos y métodos de protección seleccionados deben garantizar la neutralización de las amenazas percibidas. amenazas a la seguridad.

El diseño del SPDn debe llevarse a cabo en la etapa de diseño del sistema de control de acceso o del sistema de seguridad en su conjunto

El operador tiene una capacidad limitada para crear y poner en funcionamiento el SPDn, ya que las actividades para el La protección técnica de la información confidencial está sujeta a una licencia obligatoria, lo que lleva a la necesidad de atraer para realizar dicho trabajo a una organización especializada (licenciatario).

«SRC «FORS» — desarrollador e instalador de sistemas de seguridad complejos — también es licenciatario de FSTEC en el campo de la protección técnica de información confidencial.

Nuestra importante experiencia práctica en el campo de la información La seguridad nos permite recomendar los siguientes pasos para cumplir con los requisitos legales de protección de datos personales en relación con los sistemas de control de acceso:

  • para desarrolladores de ACS: implementar las funciones necesarias para la protección de datos personales, ya sea introduciendo medios de protección adecuados en el software de ACS (si es posible desarrollar de forma independiente un sistema de seguridad de la información) o probando sistemas de seguridad de la información certificados por terceros para compatibilidad con su producto;
  • para los instaladores de ACS: en las decisiones de diseño, así como durante la implementación, tener en cuenta la necesidad de cumplir con los requisitos de ACS para la seguridad de los datos personales cuando se procesan en ISPD. Estos requisitos solo pueden ser implementados cualitativamente y en su totalidad por una organización que tenga las licencias apropiadas del FSTEC de Rusia y el FSB de Rusia;
  • para organizaciones que suministran componentes de software y hardware de ACS: recomendamos que el cliente preste atención a la necesidad de actualizar el ACS con un sistema de protección de datos personales;
  • para clientes de ACS — al preparar las especificaciones técnicas para la creación de un ACS, es obligatorio incluir una sección con los requisitos para el sistema de protección de datos personales. Entre los resultados del trabajo, prever la presentación por parte del contratista del trabajo de un certificado de cumplimiento de los requisitos de seguridad de la información. Al licitar, se debe exigir al contratista que tenga las licencias apropiadas del FSTEC de Rusia y del FSB de Rusia.

El proceso de hacer que los sistemas de gestión y control de acceso desarrollados cumplan parcialmente con la ley se puede ilustrar con el siguiente hecho: hardware: el paquete de software Bastion es uno de los productos del Centro de Investigación FORS.

Desde 2009, el APK de Bastion incluye el módulo de software Bastion — Personal Data, que implementa los requisitos de ISPD en términos de operaciones de registro de datos personales (generalmente en DBMS utilizados en sistemas de información, incluidos los sistemas de control de acceso, los hechos de familiarización con el no se registran los datos contenidos en la base de datos, que actualmente ya no cumple con los requisitos de los documentos reglamentarios).

El módulo “Bastión — Datos personales” implementa las siguientes tareas inherentes a los sistemas de control de acceso:

  1. Registro completo de operaciones de acceso y modificación de datos personales. En la terminología de Bastion APK, el módulo registra todas las operaciones con datos personales de los empleados a quienes se les han emitido tarjetas de acceso al sistema de control de acceso (incluidas tanto la modificación como la visualización de tarjetas personales).
  2. Ver, guardar e impresión de informes sobre accesos y modificaciones de PD. En la terminología de Bastion APK, el módulo permite crear e imprimir informes sobre todas las operaciones realizadas con los datos personales de los empleados (incluidas tanto la modificación como la visualización de tarjetas personales).
  3. Impresión del formulario de consentimiento informado para el uso de datos personales. En la terminología del APK de Bastion, el módulo permite imprimir el consentimiento informado del empleado sobre el uso de sus datos personales en el sistema de control de acceso.
    Destacamos que la presencia de dicho módulo no es suficiente solución al problema de protección de datos personales en el sistema de control de acceso.

A pesar de que los sistemas de gestión y control de acceso, por regla general, no son ISPD complejos de clases 1 y 2, para evitar violaciones de los derechos de los ciudadanos y reclamaciones de las autoridades de supervisión y control (principalmente Roskomnadzor de la Federación de Rusia), debe estar equipado con SPPDn.

Los métodos para optimizar costos al equipar los sistemas de control de acceso con herramientas de seguridad de la información se discutirán en los siguientes artículos.

Marco legislativo y regulatorio para el control y la gestión de datos personales:
  1. Ley federal de la Federación de Rusia de 27 de julio de 2006 N 152-FZ “Sobre datos personales”;
  2. Decreto del Gobierno de la Federación de Rusia de 17 de noviembre de 2007 N 781 «Sobre la aprobación del Reglamento para garantizar la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales»;
  3. Resolución del Gobierno de Federación de Rusia del 15 de septiembre de 2008 N 687 “Sobre la aprobación del Reglamento sobre las peculiaridades del procesamiento de datos personales realizado sin el uso de herramientas de automatización»;
  4. Orden del FSTEC de Rusia, el FSB de Rusia, Ministerio de Información y Comunicaciones de Rusia de fecha 13 de febrero de 2008 N 55/86/20 «Sobre la aprobación del Procedimiento para clasificar los sistemas de información de datos personales»;
  5. Orden de la FSTEC de la Federación de Rusia de 05/02/2010 N 58 «Sobre la aprobación del Reglamento sobre métodos y medios para proteger la información en los sistemas de información de datos personales»;
  6. Documento metodológico de la FSTEC de Rusia de 15 de febrero de 2008 “Modelo básico de amenazas a la seguridad de los datos personales en su procesamiento en sistemas de información de datos personales»;
  7. Documento metodológico del FSTEC de Rusia de 15 de febrero de 2008 «Metodología para identificar las actuales amenazas a la seguridad de los datos personales durante su procesamiento en los sistemas de información de datos personales»;
  8. Código de Infracciones Administrativas de 30 de diciembre de 2001 No. 195-FZ;
  9. Código Penal de la Federación de Rusia de 13 de junio de 1996 No. 63-FZ;
  10. Código del Trabajo de la Federación de Rusia de 30 de diciembre de 2001 No. 197-FZ;
  11. Ley federal de la Federación de Rusia de 08.08.2001 “Sobre la concesión de licencias para ciertos tipos de actividades” No. 128-FZ.

Shmelev P.V. — Director de Desarrollo, Centro de Investigación FORS
Skrypka A.A. — especialista en seguridad de la información en el Centro de Investigación FORS
Asociación «Sistemas Electrónicos»

    Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
    Принять