Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2
RSS
[ Закрыто ] ИСПДн СКУД
Цитата
Gosha пишет:
Цитата
Рустам пишет:
Если есть фото человека СКУД необходимо рассматривать, как ИСПДн обрабатывающую
биометрические данные?
Согласно недавним разъяснениям ФСТЭК - да. Т.к. фотография в СКУД используется для идентификации человека. Необходимо письменное согласие. В то же время, та же самая фотография может не являться биометрическими ПДн если она не служит для идентификации, а используется для иных целей. Например вы сфотографировались на пропуск. Охранник вас сличает с фото на пропуске, не используя для этого какой-либо сканер или по фото в мониторе, т.е. сравнивая вас с вашим фото извлечённым из базы. Я это к тому, что при желании можно фотографии в ваших базах данных подвести под изображение гражданина, т.е. на классификацию ИС они уже влиять не будут. Согласие всё равно нужно, но отпадает опасность попасть под 1-й уровень защиты.
Что-то не совсем понятно выразили свои мысли ...
Какую еще цель может преследовать фотография в СКУДе, кроме как идентификация ???
Идентификация это - "сравнение одного со многими". Т.е. проще говоря сравнение фашего фото со многими в базе. В реальности на проходной происходит сравнение вашего фото в пропуске с вашим лицом это - верификация ("сравнение одного с одним"). Главный признак биометрии - именно идентификация. Нет идентификации - нет биометрии.
Например у вас работает негр. Он вклеет в пропуск любое фото своего соплеменника и контролёр из Рязани с вероятностью в 99% не отличит их. Но если бы тоже самое фото сравнивалось автоматизированно в СКУД по базе данных по определённым признакам и меткам фото, то оно 100% показало бы правильный результат. В этом и смысл биометрии. Кстати это реальные факты из практики правосудия, когда белые не могут опознать преступников азиатов или негров хотя и видели их вплотную в момент совершения преступления.
Изменено: Gosha - 23.10.2013 11:04:29
Цитата
Gosha пишет:
Например у вас работает негр. Он вклеет в пропуск любое фото своего соплеменника и контролёр из Рязани с вероятностью в 99% не отличит их. Но если бы тоже самое фото сравнивалось автоматизированно в СКУД по базе данных по определённым признакам и меткам фото, то оно 100% показало бы правильный результат. В этом и смысл биометрии. Кстати это реальные факты из практики правосудия, когда белые не могут опознать преступников азиатов или негров хотя и видели их вплотную в момент совершения преступления.
Цитата
Gosha пишет:
Идентификация это - "сравнение одного со многими". Т.е. проще говоря сравнение фашего фото со многими в базе. В реальности на проходной происходит сравнение вашего фото в пропуске с вашим лицом это - верификация ("сравнение одного с одним" ;) . Главный признак биометрии - именно идентификация. Нет идентификации - нет биометрии.
Gosha, ну если у охранника, в момент прохода работника (не считая негра), на мониторе выпадает только фотография одного человека, мы чем занимаемся верификацией или все же это идентификация (СКУД не ищет работника по фотографии, а определяет его данные, в том числе и фото, по уникальному номеру СМАРТ-карточки) ...???
Вы сами и ответили. По чему ищет? По номеру карточки. Номер карточки разве "физиологическая или биологическая особенность человека"? Нет? Значит не биометрия.
Сравнивается номер карточки с номером в базе. А не фото с фото. Но поспешу Вас обрадовать - ФСТЭК и особенно РКН всё равно ститает это обычно биометрией.
Цитата
Gosha пишет:
Сравнивается номер карточки с номером в базе. А не фото с фото. Но поспешу Вас обрадовать - ФСТЭК и особенно РКН всё равно ститает это обычно биометрией.
Да знаю ...
В итоге все наши предположения и рассуждения разбиваются об логику Регулятора ...
Представьте, что вы решили отнести фото в СКУД к биометрии. Далее вы попадаете под действие ПП512 о биометрических носителях. Прочтите его и обалдейте от того сколько проблем, скорее всего неразрешимых, вы приобрели. Теперь плюньте на это и пишите что у вас обрабатываются изображениея гражданина на фото, собираете согласие и спите спокойно.
Исходя из определения, установленного Федеральным законом «О персональных данных» к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.
.....Аналогичная ситуация с фотографическими изображениями сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащимися в системе контроля управления доступа (СКУД), которые являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.
Ну и в общем почитайте разъяснения "Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций разъясняет вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки"
А, кстати, в чем вопрос, там прямым текстом написано:
"Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным. "
Я про то и говорю, что РКН, со своей дремучей некомпетентностью, считает обычное фото биометрией. Хотя это не так. Не человек должен определять по фото идентичность, а автоматизированная система. Для этого фото должно соответсвовать ГОСТ Р ИСО/МЭК 19794-5-2006 - Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица».
Человек не может по фото однозначно идентифицировать человека, он можен только аутентифицировать, т.е. - похож, не похож.
Изменено: Gosha - 25.10.2013 09:01:37
А если охранник личность не устанавливает? Он проводит аутентификацию (не идентификацию), то есть сверяет лицо на мониторе и лицо проходящего. Он не устанавливает личность проходящего.

Кстати, как Вы передаете ПДн охранной организации? Что написано в договоре (соглашении)?
Вот на тьме предприятий и организаций был с пропускным режимом, причём достаточно серьёзных, режимных. Но ни на одном не видел чтобы контролёр сверял фото в пропуске с фото в мониторе. В кино только видел, американском, фантастическом. Да и одурели бы контролёры тысячи человек, идущих потоком, сверять с монитором :) Так что для большинства такая экзотика даже не интересна.
В договоре на 99,9% в лучшем случае написано требование о конфиденциальности. А что должно быть написано указано в статье 6 152-ФЗ.
У нас вот тоже СКУД, но пока думаю фото не считать биометрией, отпинываться вышеуказанным ГОСТом и отсутствием аутентификации по фото. Охрана не сличает фото сотрудников при проходе на территорию предприятия. Сотрудник для этого использует электронный пропуск, т.к. система ориентирована на учет рабочего времени. Да и фото в СКУД даже близко не подходят под ГОСТ.
Даже больше, охрана никак не влияет на факт прохода сотрудника (никаких кнопок "Запретить/Разрешить проход" нет). Т.е. я идентификации думаю тут нет.
Николай,советую почитать разъяснения РКН по вопросам отнесения фото к биометрии, чего из пустого в порожнее переливать
Читал, передо мной сейчас лежит, там тоже воды много налито. Тем более "разъяснения" это не нормативный документ.
Согласен, но это всё же официальная позиция регулятора
Страницы: Пред. 1 2
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)