Некоторые аспекты создания и эксплуатации СКУД в свете закона РФ «О персональных данных». ООО «НИЦ «ФОРС» 2010г.

СКУД – СИСТЕМА КОНТРОЛЯ И УПРАВЛЕНИЯ ДОСТУПОМ Почти во всех СКУД обрабатываются персональные данные субъектов: фамилия, имя, отчество должность служебный телефон адрес регистрации паспортные данные фотография другая информация А, значит, такие СКУД являются ИСПДн (см. ст. 3 ФЗ 152)

НЕОБХОДИМОСТЬ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Цель ФЗ РФ обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (ст.2 ФЗ РФ 152) Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных (ст.19 ФЗ РФ 152) Сфера действия ФЗ РФ отношения, связанные с обработкой персональных данных (ст.1 ФЗ РФ 152) Федеральный закон Российской Федерации от N 152-ФЗ "О персональных данных"

СКУД как ИСПДн СКУД – это НЕ система защиты информации, и не подлежит сертификации (аттестации) в качестве таковой системы СКУД не требует наличия встроенных средств защиты информации (СЗИ) Но с момента начала обработки персональных данных СКУД приобретает статус ИСПДн и должна быть дополнена системой защиты персональных данных (СЗПДн)

ОТВЕТСТВЕННОСТЬ ЗА НЕСОБЛЮДЕНИЕ ЗАКОНА уголовная (ст. 137, 183, 272 УК РФ) административная (ст , 13.14, 5.27, 5.39 КоАП РФ) гражданско - правовая дисциплинарная

СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СЗПДн должна обеспечивать функции: регистрации и учета; обеспечения безопасного межсетевого взаимодействия; управления доступом (к ИСПДн); обеспечения целостности; антивирусной защиты; обнаружения вторжений; анализа защищенности.

СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Проектирование СЗПДн должно осуществляться на этапе проектирования СКУД или системы безопасности в целом Методы и способы защиты персональных данных определяются оператором на основе частной модели угроз и в соответствии с классом ИСПДн

ЛИЦЕНЗИРОВАНИЕ ДЕЯТЕЛЬНОСТИ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «НИЦ «ФОРС» является лицензиатом Федеральной службы технического и экспортного контроля России (ФСТЭК) по технической защите конфиденциальной информации. Деятельность организации по технической защите конфиденциальной информации подлежит обязательному лицензированию (ПП РФ от «О лицензировании деятельности по технической защите конфиденциальной информации»).

ЛИЦЕНЗИИ ООО «НИЦ «ФОРС» В СФЕРЕ ЗАЩИТЫ ИНФОРМАЦИИ Лицензии ФСБ: Лицензии ФСБ РоссииЛицензии ФСТЭК России

РЕКОМЕНДАЦИИ ДЛЯ РАЗРАБОТЧИКОВ СКУД Реализовать необходимые функции по защите персональных данных: либо внедрением соответствующих средств защиты в состав ПО СКУД (при наличии соответствующих лицензий и возможности самостоятельной разработки СЗИ); либо тестировать на совместимость со своим продуктом сертифицированные СЗИ сторонних разработчиков.

РЕКОМЕНДАЦИИ ДЛЯ ИНСТАЛЛЯТОРОВ СКУД Предусматривать необходимость создания СЗПДн: в проектных решениях; при внедрении СКУД.

РЕКОМЕНДАЦИИ ДЛЯ ПОСТАВЩИКОВ КОМПОНЕНТОВ СКУД Обращать внимание заказчика на необходимость дооснащения СКУД системой защиты персональных данных.

РЕКОМЕНДАЦИИ ДЛЯ ЗАКАЗЧИКОВ СКУД В ТЗ на создание СКУД вносить раздел с требованиями к СЗПДн; запрашивать у исполнителя работ аттестат соответствия требованиям по безопасности информации. при проведении торгов к исполнителю работ предъявлять требования о наличии соответствующих лицензий ФСТЭК и ФСБ РФ.

МОДУЛЬ Бастион – Персональные данные Полностью соответствует требованиям п. 15 ПП 781 и обеспечивает: Протоколирование в полном объеме операций по доступу и модификации ПДн. Просмотр, сохранение и печать отчетов по доступу и модификации ПДн. Печать формы информированного согласия на использование ПДн.

Спасибо за внимание!