Современные системы контроля и управления
доступом (СКУД) хранят и обрабатывают сведения,
которые можно отнести к персональным данным
пользователей. Тем более что все большее распространение получают системы с использованием
биометрических идентификаторов.
Обработка персональных данных в системах контроля и
управления доступом вызывает целый ряд вопросов из-за
неоднозначности формулировок Федерального закона от
27 июля 2006 года №152-ФЗ «О персональных данных»
и некоторых подзаконных нормативных документов [1,
3, 5, 6]. Расхождения в трактовке терминов порождают
риски получения предписаний контролирующих органов и
соответствующих штрафов [2, 6, 8].
В частности возникает несколько вопросов:
- что конкретно следует относить к персональным данным;
- надо ли получать согласие субъекта персональных данных на обработку его персональных данных в СКУД;
- необходимо ли уведомлять уполномоченный орган об
обработке персональных данных в системе;
- какие меры защиты необходимо реализовать в СКУД
при обработке в них персональных данных.
При использовании различных идентификаторов в СКУД хранятся и
обрабатываются данные, которые используются службой безопасности
предприятия для идентификации сотрудников и посетителей.
Наиболее часто используется фотография сотрудника (посетителя) для
предотвращения передачи им своего личного идентификатора постороннему
лицу. С одной стороны фотография в СКУД используется для установления
личности субъекта персональных данных и, следовательно, является биометрическими персональными данными [1, 16]. С другой стороны фотография
относится к биометрическим персональным данным, если она сделана в
соответствии с требованиями ГОСТ Р ИСО/ МЭК 19794-5-2013 к условиям
получения изображения лица (освещение, положение головы, расположение камеры, разрешение изображения и т.д.) и отнесена к биометрическим
персональным данным нормативно-правовым актом.
В соответствии с требованиями закона [1] биометрические персональные
данные, которые используются оператором для установления личности
субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Что и
требует регулятор от оператора персональных данных, которым является
собственник СКУД.
С другой стороны СКУД совместно с другими системами безопасности обеспечивает антитеррористическую защищенность объекта. А в соответствии с
нормами статьи 11 п. 2 закона [1], обработка биометрических персональных
данных может осуществляться без согласия субъекта персональных данных
в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму. На любом достаточно крупном объекте, как правило, уже есть утвержденный и согласованный
паспорт антитеррористической защищенности объекта, где в качестве мер
защиты прописана и СКУД.
Кроме того, оператор вправе осуществлять обработку персональных данных
без уведомления уполномоченного органа по защите прав субъектов персональных данных [1] при соблюдении одного из следующих условий:
- персональные данные обрабатываются в соответствии с трудовым законодательством;
- персональные данные получены оператором в связи с заключением договора, стороной которого является субъект персональных данных, если
персональные данные не распространяются (не предоставляются третьим
лицам) без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения
договоров с субъектом персональных данных;
В случае если трудовое соглашение (контракт) предусматривает соблюдение
действующего пропускного режима на предприятие, его можно рассматривать как соответствующий договор. При этом, конечно, на предприятии
должно быть утвержденное Положение (инструкция) о пропускном режиме,
регламентирующее процедуры допуска на предприятие и в его структурные
подразделения.
Собственник объекта может обеспечить управление системами безопасности
объекта, в том числе СКУД, своими силами, либо с привлечением обслуживающей организации. В любом случае он становится оператором информационной системы, обрабатывающей персональные данные и у него появляются
обязанности, определяемые действующими нормативными актами.
Оператор самостоятельно должен определить состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных статьей 18.1 Федерального закона [1]. При этом оператор обязан
принимать необходимые правовые, организационные и технические меры для
защиты персональных данных от неправомерного или случайного доступа к
ним, уничтожения, изменения, блокирования, копирования, распространения
персональных данных, а также от иных неправомерных действий в отношении
персональных данных.
То есть на предприятии должны быть разработаны и введены в действие
организационно-распорядительные документы, определяющие цели, порядок
обработки персональных данных и меры их защиты.
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к
защите персональных данных [1]. Разработанный внутренний нормативный
документ, описывающий перечень используемых персональных данных,
цели их обработки и меры, применяемые для их защиты должен быть доступен субъектам персональных данных, то есть работникам предприятия.
Оператор, являющийся юридическим лицом, обязан определить должностное
лицо, ответственное за организацию обработки персональных данных [1]. Это
должно быть отражено в организационно-распорядительной документации
организации.
При выполнении требований по идентификации личности систему контроля и
управления доступом необходимо строить как автоматизированную систему
в защищенном исполнении в соответствии с требованиями соответствующих
нормативных документов [1, 3, 4, 6, 9-13].
Определение необходимых мер защиты персональных данных начинается с
определения класса информационной системы.
Классификация информационных систем проводится на этапе создания
информационных систем или в ходе их эксплуатации (для ранее введенных
в эксплуатацию или модернизируемых информационных
систем) с целью установления методов и способов защиты
информации, необходимых для обеспечения безопасности
персональных данных [6, 9].
Проведение классификации информационных систем
включает в себя следующие этапы:
- сбор и анализ исходных данных по информационной
системе;
a присвоение информационной системе соответствующего класса и его документальное оформление.
При проведении классификации информационной системы
учитываются следующие исходные данные:
- категория обрабатываемых персональных данных;
- объем обрабатываемых персональных данных (количество субъектов персональных данных, перечень
персональных данных каждого субъекта);
- требуемые характеристики безопасности персональных
данных;
- структура информационной системы;
- наличие подключений информационной системы к
сетям связи общего пользования;
- режимы обработки персональных данных;
- режим разграничения прав доступа пользователей
информационной системы;
- местонахождение технических средств информационной системы.
Результаты классификации оформляются соответствующим внутренним актом оператора. В процессе эксплуатации
системы присвоенный класс может быть пересмотрен в
следующих случаях:
- по решению оператора на основе проведенной оценки
угроз безопасности персональных данных с учетом особенностей или изменений конкретной информационной
системы;
- по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке.
Состав минимально необходимых мер по обеспечению
безопасности персональных данных, реализуемых в рамках
системы защиты персональных данных с учетом актуальных
угроз безопасности и применяемых информационных технологий, определен нормативными документами [10-13] и
представлен в таблице 1.
|