Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Новая версия SIEM-системы КОМРАД: теперь с поддержкой масштабирования и без ограничений на производительность

22/11/2018

Группа компаний «Эшелон» представляет обновленную систему управления событиями информационной безопасности КОМРАД. Новая версия SIEM-системы поддерживает возможность масштабирования и включает ряд новых возможностей.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: Пред. 1 2
RSS
[ Закрыто ] ИСПДн СКУД
Цитата
Gosha пишет:
Цитата
Рустам пишет:
Если есть фото человека СКУД необходимо рассматривать, как ИСПДн обрабатывающую
биометрические данные?
Согласно недавним разъяснениям ФСТЭК - да. Т.к. фотография в СКУД используется для идентификации человека. Необходимо письменное согласие. В то же время, та же самая фотография может не являться биометрическими ПДн если она не служит для идентификации, а используется для иных целей. Например вы сфотографировались на пропуск. Охранник вас сличает с фото на пропуске, не используя для этого какой-либо сканер или по фото в мониторе, т.е. сравнивая вас с вашим фото извлечённым из базы. Я это к тому, что при желании можно фотографии в ваших базах данных подвести под изображение гражданина, т.е. на классификацию ИС они уже влиять не будут. Согласие всё равно нужно, но отпадает опасность попасть под 1-й уровень защиты.
Что-то не совсем понятно выразили свои мысли ...
Какую еще цель может преследовать фотография в СКУДе, кроме как идентификация ???
Идентификация это - "сравнение одного со многими". Т.е. проще говоря сравнение фашего фото со многими в базе. В реальности на проходной происходит сравнение вашего фото в пропуске с вашим лицом это - верификация ("сравнение одного с одним"). Главный признак биометрии - именно идентификация. Нет идентификации - нет биометрии.
Например у вас работает негр. Он вклеет в пропуск любое фото своего соплеменника и контролёр из Рязани с вероятностью в 99% не отличит их. Но если бы тоже самое фото сравнивалось автоматизированно в СКУД по базе данных по определённым признакам и меткам фото, то оно 100% показало бы правильный результат. В этом и смысл биометрии. Кстати это реальные факты из практики правосудия, когда белые не могут опознать преступников азиатов или негров хотя и видели их вплотную в момент совершения преступления.
Изменено: Gosha - 23.10.2013 11:04:29
Цитата
Gosha пишет:
Например у вас работает негр. Он вклеет в пропуск любое фото своего соплеменника и контролёр из Рязани с вероятностью в 99% не отличит их. Но если бы тоже самое фото сравнивалось автоматизированно в СКУД по базе данных по определённым признакам и меткам фото, то оно 100% показало бы правильный результат. В этом и смысл биометрии. Кстати это реальные факты из практики правосудия, когда белые не могут опознать преступников азиатов или негров хотя и видели их вплотную в момент совершения преступления.
Цитата
Gosha пишет:
Идентификация это - "сравнение одного со многими". Т.е. проще говоря сравнение фашего фото со многими в базе. В реальности на проходной происходит сравнение вашего фото в пропуске с вашим лицом это - верификация ("сравнение одного с одним" ;) . Главный признак биометрии - именно идентификация. Нет идентификации - нет биометрии.
Gosha, ну если у охранника, в момент прохода работника (не считая негра), на мониторе выпадает только фотография одного человека, мы чем занимаемся верификацией или все же это идентификация (СКУД не ищет работника по фотографии, а определяет его данные, в том числе и фото, по уникальному номеру СМАРТ-карточки) ...???
Вы сами и ответили. По чему ищет? По номеру карточки. Номер карточки разве "физиологическая или биологическая особенность человека"? Нет? Значит не биометрия.
Сравнивается номер карточки с номером в базе. А не фото с фото. Но поспешу Вас обрадовать - ФСТЭК и особенно РКН всё равно ститает это обычно биометрией.
Цитата
Gosha пишет:
Сравнивается номер карточки с номером в базе. А не фото с фото. Но поспешу Вас обрадовать - ФСТЭК и особенно РКН всё равно ститает это обычно биометрией.
Да знаю ...
В итоге все наши предположения и рассуждения разбиваются об логику Регулятора ...
Представьте, что вы решили отнести фото в СКУД к биометрии. Далее вы попадаете под действие ПП512 о биометрических носителях. Прочтите его и обалдейте от того сколько проблем, скорее всего неразрешимых, вы приобрели. Теперь плюньте на это и пишите что у вас обрабатываются изображениея гражданина на фото, собираете согласие и спите спокойно.
Исходя из определения, установленного Федеральным законом «О персональных данных» к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта.
.....Аналогичная ситуация с фотографическими изображениями сотрудников, посетителей государственных и муниципальных органов, предприятий (организации), содержащимися в системе контроля управления доступа (СКУД), которые являются биометрическими персональными данными, поскольку характеризуют физиологические и биологические особенности человека, позволяющие установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которых можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД, и эти данные используются оператором для установления личности субъекта персональных данных в случае сомнения в том, что пропуск предъявляется его действительным владельцем.
Ну и в общем почитайте разъяснения "Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций разъясняет вопросы отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки"
А, кстати, в чем вопрос, там прямым текстом написано:
"Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным. "
Я про то и говорю, что РКН, со своей дремучей некомпетентностью, считает обычное фото биометрией. Хотя это не так. Не человек должен определять по фото идентичность, а автоматизированная система. Для этого фото должно соответсвовать ГОСТ Р ИСО/МЭК 19794-5-2006 - Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица».
Человек не может по фото однозначно идентифицировать человека, он можен только аутентифицировать, т.е. - похож, не похож.
Изменено: Gosha - 25.10.2013 09:01:37
А если охранник личность не устанавливает? Он проводит аутентификацию (не идентификацию), то есть сверяет лицо на мониторе и лицо проходящего. Он не устанавливает личность проходящего.

Кстати, как Вы передаете ПДн охранной организации? Что написано в договоре (соглашении)?
Вот на тьме предприятий и организаций был с пропускным режимом, причём достаточно серьёзных, режимных. Но ни на одном не видел чтобы контролёр сверял фото в пропуске с фото в мониторе. В кино только видел, американском, фантастическом. Да и одурели бы контролёры тысячи человек, идущих потоком, сверять с монитором :) Так что для большинства такая экзотика даже не интересна.
В договоре на 99,9% в лучшем случае написано требование о конфиденциальности. А что должно быть написано указано в статье 6 152-ФЗ.
У нас вот тоже СКУД, но пока думаю фото не считать биометрией, отпинываться вышеуказанным ГОСТом и отсутствием аутентификации по фото. Охрана не сличает фото сотрудников при проходе на территорию предприятия. Сотрудник для этого использует электронный пропуск, т.к. система ориентирована на учет рабочего времени. Да и фото в СКУД даже близко не подходят под ГОСТ.
Даже больше, охрана никак не влияет на факт прохода сотрудника (никаких кнопок "Запретить/Разрешить проход" нет). Т.е. я идентификации думаю тут нет.
Николай,советую почитать разъяснения РКН по вопросам отнесения фото к биометрии, чего из пустого в порожнее переливать
Читал, передо мной сейчас лежит, там тоже воды много налито. Тем более "разъяснения" это не нормативный документ.
Согласен, но это всё же официальная позиция регулятора
Страницы: Пред. 1 2
Читают тему (гостей: 2, пользователей: 0, из них скрытых: 0)