Некоторые аспекты создания и эксплуатации СКУД в свете закона РФ «О персональных данных». ООО «НИЦ «ФОРС» 2010г. - презентация

1 Некоторые аспекты создания и эксплуатации СКУД в свете закона РФ «О персональных данных». ООО «НИЦ «ФОРС» 2010г.

2 СКУД – СИСТЕМА КОНТРОЛЯ И УПРАВЛЕНИЯ ДОСТУПОМ Почти во всех СКУД обрабатываются персональные данные субъектов: фамилия, имя, отчество должность служебный телефон адрес регистрации паспортные данные фотография другая информация А, значит, такие СКУД являются ИСПДн (см. ст. 3 ФЗ 152)

3 НЕОБХОДИМОСТЬ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Цель ФЗ РФ обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну (ст.2 ФЗ РФ 152) Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных (ст.19 ФЗ РФ 152) Сфера действия ФЗ РФ отношения, связанные с обработкой персональных данных (ст.1 ФЗ РФ 152) Федеральный закон Российской Федерации от N 152-ФЗ "О персональных данных"

4 СКУД как ИСПДн СКУД – это НЕ система защиты информации, и не подлежит сертификации (аттестации) в качестве таковой системы СКУД не требует наличия встроенных средств защиты информации (СЗИ) Но с момента начала обработки персональных данных СКУД приобретает статус ИСПДн и должна быть дополнена системой защиты персональных данных (СЗПДн)

5 ОТВЕТСТВЕННОСТЬ ЗА НЕСОБЛЮДЕНИЕ ЗАКОНА уголовная (ст. 137, 183, 272 УК РФ) административная (ст , 13.14, 5.27, 5.39 КоАП РФ) гражданско - правовая дисциплинарная

6 СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СЗПДн должна обеспечивать функции: регистрации и учета; обеспечения безопасного межсетевого взаимодействия; управления доступом (к ИСПДн); обеспечения целостности; антивирусной защиты; обнаружения вторжений; анализа защищенности.

7 СИСТЕМА ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ Проектирование СЗПДн должно осуществляться на этапе проектирования СКУД или системы безопасности в целом Методы и способы защиты персональных данных определяются оператором на основе частной модели угроз и в соответствии с классом ИСПДн

8 ЛИЦЕНЗИРОВАНИЕ ДЕЯТЕЛЬНОСТИ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «НИЦ «ФОРС» является лицензиатом Федеральной службы технического и экспортного контроля России (ФСТЭК) по технической защите конфиденциальной информации. Деятельность организации по технической защите конфиденциальной информации подлежит обязательному лицензированию (ПП РФ от «О лицензировании деятельности по технической защите конфиденциальной информации»).

9 ЛИЦЕНЗИИ ООО «НИЦ «ФОРС» В СФЕРЕ ЗАЩИТЫ ИНФОРМАЦИИ Лицензии ФСБ: Лицензии ФСБ РоссииЛицензии ФСТЭК России

10 РЕКОМЕНДАЦИИ ДЛЯ РАЗРАБОТЧИКОВ СКУД Реализовать необходимые функции по защите персональных данных: либо внедрением соответствующих средств защиты в состав ПО СКУД (при наличии соответствующих лицензий и возможности самостоятельной разработки СЗИ); либо тестировать на совместимость со своим продуктом сертифицированные СЗИ сторонних разработчиков.

11 РЕКОМЕНДАЦИИ ДЛЯ ИНСТАЛЛЯТОРОВ СКУД Предусматривать необходимость создания СЗПДн: в проектных решениях; при внедрении СКУД.

12 РЕКОМЕНДАЦИИ ДЛЯ ПОСТАВЩИКОВ КОМПОНЕНТОВ СКУД Обращать внимание заказчика на необходимость дооснащения СКУД системой защиты персональных данных.

13 РЕКОМЕНДАЦИИ ДЛЯ ЗАКАЗЧИКОВ СКУД В ТЗ на создание СКУД вносить раздел с требованиями к СЗПДн; запрашивать у исполнителя работ аттестат соответствия требованиям по безопасности информации. при проведении торгов к исполнителю работ предъявлять требования о наличии соответствующих лицензий ФСТЭК и ФСБ РФ.

14 МОДУЛЬ Бастион – Персональные данные Полностью соответствует требованиям п. 15 ПП 781 и обеспечивает: Протоколирование в полном объеме операций по доступу и модификации ПДн. Просмотр, сохранение и печать отчетов по доступу и модификации ПДн. Печать формы информированного согласия на использование ПДн.

15 Спасибо за внимание!