Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
RSS
[ Закрыто ] ИСПДн СКУД
Уважаемые коллеги! Пытаюсь защитить ИСПДн СКУД которая состоит из сервера и четырех проходных. В базе данных ФИО, должность, табельный номер и фотография. Данные как своих работников, так и субъектов сторонних организаций. Проблема в том, что на проходных висящие на стенах мониторы отображают все вышеперечисленные ПДн (кроме табельного номера) при проходе работника через турникет, и соответственно, видны не только охране но и всем кто находится в этот момент рядом. Как защищать? Что писать в модели угроз? Прошу поделиться опытом кто описывал свои системы СКУД и каким образом защищал?
Снимите мониторы со стен и поставьте их перед мордой лица охранника :) . Защищать как биометрию, обязательно согласие.
Дело в том, что конструктивно их никуда не убрать. В центре большого холла стоят два турникета, рядом на столбе висит монитор. Охрана стоит рядом с турникетами, с металлодетекторами, так же проверяет сумки входящих и выходящих. На счет биометрии не согласен. Несмотря на заявления Роскомнадзора, разделяю следующее мнение ссылка. Мы в согласие на обработку включили фотографию по ст.152.1 ГК РФ. А в СКУД мы по фотографии личность не устанавливаем, а используем ее для аутентификации владельца пропуска.
Тогда уберите ФИО (да и остальные данные) из информации на мониторе, оставьте только фото: сам факт что фото выскочило = можно пропускать.
Спасибо! Видимо так и сделаем, к тому же софт это позволяет.
Цитата
Олег пишет:
Спасибо! Видимо так и сделаем, к тому же софт это позволяет.
тогда можно просто выключить монитор и не париться
либо вывести картинку на маленький монитор перед охранником
Изменено: Сергей - 30.05.2013 08:49:06
А если при заключении трудового договора заключать с работником согласие на общедоступность таких сведений, как фотография, Ф.И.О. и должность?
Цитата
Владимир пишет:
А если при заключении трудового договора заключать с работником согласие на общедоступность таких сведений, как фотография, Ф.И.О. и должность?
Тоже вариант.
Тем более, в организации наверняка есть официальный сайт с теми же фотками и фамилиями, либо телефонный справочник по организации.
Цитата
Владимир пишет:
А если при заключении трудового договора заключать с работником согласие на общедоступность таких сведений, как фотография, Ф.И.О. и должность?
Согласие действует только до момента его отзыва. Сразу после отзыва согласия возникает необходимость защиты ПДн. К тому же, в базе СКУД не только работники, но и представители сторонних организаций. Их принудить дать согласие нет никакой возможности.
Цитата
Олег пишет:
Согласие действует только до момента его отзыва.
Ну, своим сотрудникам, я считаю, можно разъяснить, что при отзыве согласия - их данные будут удалены из СКУД.
По поводу сторонних организаций сложнее, но все же, можно как было предложено выше для вывода на монитор оставить только фото, либо, если пропуски СКУД выдаются централизованно и по заявлению, в данное заявление включить согласие на общедоступность.
Цитата
Владимир пишет:
включить согласие на общедоступность
Обосновать необходимость сделать ПДн общедоступными достаточно сложно, все таки вариант с фото без остальных данных гораздо проще.
Цитата
Сергей С. пишет:
достаточно сложно
Возможно, но в таком случае необходимо ограничить не только выводимую информацию, но и хранимую в БД, иначе возникает необходимость защиты ИСПДн по всем правилам...
Защищать "по всем правилам" нужно и общедоступную информацию :) И разница не велика - ограничение круга лиц, имеющих доступ хотя бы на чтение.
Сергей С., есть несколько вопросов:
1. АИС с общедоступными ПД необходимо оформлять по всем правилам ?
2. Имеет ли смысл утвердить список с АИС обрабатывающими общедоступные ПД и сформировать для них один пакет документов или придется делать для всех по отдельному пакету документов?
Для ИСПДн с общедоступными данными необходимо обеспечить целостность (достоверность) и доступность информации. С доступностью проще, а вот целостность предполагает практически те же меры, что и для обеспечения конфиденциальности: разграничение и защита от НСД и т.д. и т.п. А пакет документов лучше делать один.
Сергей С.,
Если есть фото человека СКУД необходимо рассматривать, как ИСПДн обрабатывающую биометрические данные?
Сергей С.,
Если в АИС присутствуют только Фамилия, Имя, Отчество, нужно ее относить к ИСПДн?
Нужно
Сергей С.,
Трындец работы !!!
Цитата
Рустам пишет:
Если есть фото человека СКУД необходимо рассматривать, как ИСПДн обрабатывающую
биометрические данные?
Согласно недавним разъяснениям ФСТЭК - да. Т.к. фотография в СКУД используется для идентификации человека. Необходимо письменное согласие. В то же время, та же самая фотография может не являться биометрическими ПДн если она не служит для идентификации, а используется для иных целей. Например вы сфотографировались на пропуск. Охранник вас сличает с фото на пропуске, не используя для этого какой-либо сканер или по фото в мониторе, т.е. сравнивая вас с вашим фото извлечённым из базы. Я это к тому, что при желании можно фотографии в ваших базах данных подвести под изображение гражданина, т.е. на классификацию ИС они уже влиять не будут. Согласие всё равно нужно, но отпадает опасность попасть под 1-й уровень защиты.
Изменено: Gosha - 21.10.2013 17:09:46
Страницы: 1 2 След.
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)