Аспекты проектирования и внедрения систем контроля и управления доступом СКУД

Аспекты проектирования и внедрения систем контроля и управления доступом СКУД

Аспекты проектирования и внедрения систем контроля и управления доступом СКУД

Защита информации \\ 09.06.2010 12:25 \\ ООО "НИЦ "ФОРС" (Отдел защиты информации) \\ Самара

СКУД не является системой защиты информации и к ней не предъявляются требования наличия встроенных средств защиты информации (СЗИ). Однако, с момента начала обработки персональных данных, СКУД приобретает статус ИСПДн определенного класса и уже в этом качестве должна быть дополнена адекватной системой защиты персональных данных.

В настоящее время системы контроля и управления доступом (СКУД) являются неотъемлемым элементом комплексной системы безопасности предприятий и организаций.

Субъект доступа (сотрудник, посетитель) при доступе на объект (охраняемую территорию, помещение) для идентификации должен предъявить какой-либо идентификатор доступа. СКУД, на основе установленных администратором данных и прав субъекта, принимает решение о его доступе на объект. При этом в качестве уникальных данных, присущих субъекту доступа, система оперирует сведениями о его фамилии, имени, отчестве, должности, служебном телефоне и адресе регистрации. В ряде случаев в СКУД фиксируются паспортные данные субъекта и иные сведения.

Системы контроля и управления доступом, не учитывающие (не обрабатывающие) персональные данные (ПДн), составляют малую часть множества различных СКУД и в настоящее время практически не применяются на предприятиях (примером такой системы является домофон). Таким образом, сведения, обрабатываемые системой, в подавляющем большинстве случаев содержат персональные данные. Следовательно, СКУД (за редким исключением) являются информационными системами персональных данных (ИСПДн).

Каждая ИСПДн должна соответствовать ряду требований по защите персональных данных. Для выполнения этих требований в общем случае необходимо создать систему защиты персональных данных (СЗПДн).

Система контроля и управления доступом не является системой защиты информации и к ней не предъявляются требования наличия встроенных средств защиты информации (СЗИ). Однако, с момента начала обработки персональных данных, СКУД приобретает статус ИСПДн определенного класса и уже в этом качестве должна быть дополнена адекватной системой защиты персональных данных.

Ввод в строй и эксплуатация СКУД, обрабатывающей персональные данные, но не оснащенной СЗПДн, будет являться нарушением оператором (владельцем СКУД) действующего законодательства. Таким образом, СЗПДн (как для СКУД, так и вообще для любой информационной системы) следует рассматривать как некую надстройку, являющуюся совокупностью организационных мер и комплекса программно-аппаратных средств, выполняющих функцию защиты информации (персональных данных).

СЗПДн должна обеспечивать функции:

  • управления доступом (к ИСПДн);
  • регистрации и учета;
  • обеспечения целостности;
  • обеспечения безопасного межсетевого взаимодействия;
  • антивирусной защиты;
  • обнаружения вторжений;
  • анализа защищенности.

Методы и способы защиты ПДн определяются оператором в соответствии с рекомендуемыми ФСТЭК России. В каждом случае конкретный набор необходимых средств и методов защиты зависит от класса ИСПДН, а также от особенностей построения СКУД и локальной сети.

В зависимости от характера обрабатываемых сведений, система контроля и управления доступом может быть отнесена ко второму или третьему классу. В большинстве случаев такую систему следует относить к специальной информационной системе. В зависимости от построения, СКУД можно отнести либо к распределенным, либо к локальным информационным системам. СКУД может быть системой, имеющей или не имеющей подключения к сетям связи общего пользования, обычно многопользовательской с разграничением или без разграничения прав доступа.

На основе анализа особенностей ИСПДн конкретизируется перечень актуальных именно для данной ИСПДн угроз (частная модель угроз), и система защиты разрабатывается с учетом этой модели. Выбранные методы и способы защиты должны обеспечивать нейтрализацию предполагаемых угроз безопасности.

Проектирование СЗПДн должно осуществляться на этапе проектирования СКУД или системы безопасности в целом

Оператор ограничен в своих возможностях по созданию и вводу в эксплуатацию СЗПДн, так как деятельность по технической защите конфиденциальной информации подлежит обязательному лицензированию , что приводит к необходимости привлечения для выполнения таких работ специализированной организации (лицензиата).

ООО «НИЦ «ФОРС» — разработчик и инсталлятор комплексных систем безопасности – является также и лицензиатом ФСТЭК в сфере технической защиты конфиденциальной информации. Наш значительный практический опыт работы в сфере информационной безопасности позволяет рекомендовать следующие шаги для выполнения требований законодательства по защите персональных данных применительно к СКУД:

  • для разработчиков СКУД — реализовать необходимые функции по защите персональных данных либо путем внедрения соответствующих средств защиты в состав ПО СКУД (при наличии возможности самостоятельной разработки СЗИ), либо тестировать на совместимость со своим продуктом сертифицированные СЗИ сторонних разработчиков;
  • для инсталляторов СКУД — в проектных решениях, а также при внедрении учитывать необходимость соответствия СКУД требованиям по безопасности персональных данных при их обработке в ИСПДн. Качественно и в полном объеме эти требования может реализовать только организация, имеющая соответствующие лицензии ФСТЭК России и ФСБ России;
  • для организаций, осуществляющих поставку программно-аппаратных компонентов СКУД — рекомендовать заказчику обратить внимание на необходимость дооснащения СКУД системой защиты персональных данных;
  • для заказчиков СКУД — при подготовке технических заданий на создание СКУД в обязательном порядке вносить раздел с требованиями к системе защиты персональных данных. Среди результатов работ предусмотреть представление исполнителем работ аттестата соответствия требованиям по безопасности информации. При проведении торгов к исполнителю работ предъявлять требование о наличии соответствующих лицензий ФСТЭК России и ФСБ России.

Процесс частичного приведения разрабатываемых систем контроля и управления доступом, в соответствие с законом, можно проиллюстрировать следующим фактом: аппаратно-программный комплекс «Бастион» является одним из продуктов ООО «НИЦ «ФОРС». С 2009 г. в состав АПК «Бастион» входит программный модуль «Бастион — персональные данные», который реализует требования к ИСПДн в части протоколирования операций над персональными данными (обычно в СУБД, используемых в информационных системах, в т.ч. и в СКУД, не протоколируются факты ознакомления с данными, содержащимися в базе, что в настоящее время уже не соответствует требованиям нормативных документов).

Модуль «Бастион — Персональные данные» реализует следующие задачи присущие СКУД:

  1. Протоколирование в полном объеме операций по доступу и модификации ПД. В терминологии АПК «Бастион» модуль выполняет протоколирование всех операций с персональными данными сотрудников, которым выданы карты доступа в СКУД (включая как модификацию, так и просмотр личных карт).
  2. Просмотр, сохранение и печать отчетов по доступу и модификации ПД. В терминологии АПК «Бастион» модуль дает возможность построения и печати отчетов обо всех операциях, выполненных над персональными данными сотрудников (включая как модификацию, так и просмотр личных карт).
  3. Печать формы информированного согласия на использование персональных данных. В терминологии АПК «Бастион» модуль дает возможность распечатать информированное согласие сотрудника об использовании своих персональных данных в СКУД.
    Подчеркиваем, что наличие такого модуля не является достаточным решением проблемы защиты персональных данных в СКУД.

Несмотря на то, что системы контроля и управления доступом, как правило, не являются сложными ИСПД 1 и 2 классов, во избежание нарушений прав граждан и претензий надзорных и контрольных органов (прежде всего, Роскомнадзора РФ) они должны быть оснащены СЗПДн. Методы оптимизации затрат при оснащении СКУД средствами защиты информации будут рассмотрены в следующих статьях.

Законодательно-нормативная база по контролю и управлению персональными данными:
  1. Федеральный закон Российской Федерации от 27.07.2006 N 152-ФЗ «О персональных данных»;
  2. Постановление Правительства Российской Федерации от 17.11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
  3. Постановление Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  4. Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
  5. Приказ ФСТЭК РФ от 05.02.2010 N 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;
  6. Методический документ ФСТЭК России от 15 февраля 2008 года «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
  7. Методический документ ФСТЭК России от 15 февраля 2008 года «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
  8. Кодекс об административных правонарушениях от 30.12.2001 г. № 195-ФЗ;
  9. Уголовный кодекс РФ от 13.06.1996 г. № 63-ФЗ;
  10. Трудовой Кодекс РФ от 30.12.2001 г. № 197-ФЗ;
  11. Федеральный закон РФ от 08.08.2001 г. «О лицензировании отдельных видов деятельности» № 128-ФЗ.

Шмелев П.В. - директор по развитию ООО «НИЦ «ФОРС»
Скрыпка А.А. - специалист по защите информации ООО «НИЦ «ФОРС»
Ассоциация «Электронные системы»

Статьи Защита информации

Программно-технические методы анонимизации в сети интернет

Программно-технические методы анонимизации в сети интернет

Защита информации \\ 01.04.2014 22:39 \\ itzashita.ru - Блог по информационной безопасности \\ Комментарии()

В последнее время наметилась тенденция по ограничению приватности в сети Интернет. Это связано с ограничениями, которое налагает на пользователя государственное регулирование сети Интернет. Государственное регулирование Интернет существует во многих странах (Китай, Россия, Беларусь).

Эксперты ассоциации RISSPA провели первую встречу в Санкт-Петербурге

Защита информации \\ 26.11.2013 20:42 \\ info@b2blogger.com \\ Комментарии()

22 ноября 2013 года в Санкт-Петербурге состоялась первая встреча экспертов ассоциации профессионалов в области информационной безопасности RISSPA.

Спасайте Ваши денежки, да и домены тоже. Китайцы идут. Мошенничество и аферы в Интернете.

Защита информации \\ 31.07.2012 19:54 \\ itzashita.ru - Блог по информационной безопасности \\ Комментарии()

Афера "Asia Domain Name Registration scam" в Рунете! Вы зарегистрировали или купили домен и создали на нем сайт. Годы идут, сайт развивается, становится популярным. Вот уже и доход с него "закапал". Вы получаете свой доход, оплачиваете домен, хостинг и другие расходы...

Съем информации через WIFI

Защита информации \\ 23.06.2012 03:05 \\ Егор Ершов \\ Комментарии()

Мы уже не раз на своем сайте ZhukovZdes.Net обсуждали тему прослушивания и подглядывания через стены. Детально рассказывали и о направленных микрофонах, работающих по прямой видимости и о радиостетоскопах, в народе называемых вибродатчиками, контактными приборами, касались и лазерных микрофонов, снимающих вибрацию со стекол.

Виброакустическая защита помещений

Виброакустическая защита помещений

Защита информации \\ 04.06.2012 17:18 \\ Комментарии()

В данной статье рассмотрены характерные особенности естественных каналов утечки информации и описаны методы виброакустической защиты помещений.

Прослушивающие устройства

Прослушивающие устройства

Защита информации \\ 03.05.2012 09:28 \\ Комментарии()

В повседневной жизни прослушивающие устройства могут быть чрезвычайно полезны. Нередко маленькое шпионское устройство позволяет предотвратить опасность или заранее узнать о недоброжелательных намерениях третьих лиц.

Межсетевой экран

Межсетевой экран

Защита информации \\ 06.04.2012 17:16 \\ Комментарии()

Межсетевой экран представляет собой комплекс задач по предотвращению несанкционированного доступа, повреждения или хищения данных, либо иного негативного воздействия, которое может повлиять на работоспособность сети.

НЕКОТОРЫЕ ПРИКЛАДНЫЕ АСПЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ

Защита информации \\ 29.03.2012 18:01 \\ Мир и безопасность \\ Комментарии()

При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать ее специфику, состоящую в том, что она является составной частью информационных технологий — области, развивающейся беспрецедентно высокими темпами.

Правила меняются во время игры

Защита информации \\ 03.08.2011 19:41 \\ ИнфоТехноПроект \\ Комментарии()

27 июля 2011 года Президент РФ Дмитрий Медведев подписал федеральный закон «О внесении изменений в Федеральный закон «О персональных данных» (Закон), принятый Госдумой 5 июля 2011 года и одобренный Советом Федерации 13 июля.

Книги

Системы охранной, пожарной и охранно-пожарной сигнализации

ISBN: 978-5-7695-6218-1
Год: 2010 (май)
Страниц: 512

 

 

Учебное пособие представляет собой 5-е издание, дополненное и переработанное. Книга незаменима при обучении специалистов по монтажу любых видов сигнализаций: пожарных, охранных и охранно-пожарных. Представлены также общие сведения об организации охраны на объекте.

Технические средства охраны

Системы охранной сигнализации: основы теории и принципы построения

ISBN: 978-5-9912-0025-7
Год: 2008
Страниц: 496

 

Учебное пособие поможет при прохождении теоретических курсов специалистами в области охраны. Здесь есть всё об эксплуатации технических средств охраны. Это второе, дополненное издание, созданное на основе лекций.

Технические средства охраны

Системы контроля и управления доступом

Год: 2010
Страниц: 272

 

Книга адресована широкому кругу лиц, занятых в области службы безопасности на различного уровня объектах. Прилагается перечень нормативных материалов.

 

Технические средства охраны

вверх