1

Тема: проход на территорию оператора ПДн

Здравствуйте. Господа, подскажите, как можно организовать проход посетителей на территорию оператора? (Банк)? Ситуация такая - на проходной сидит сотрудник ЧОПа, понятно, что надо заключать договор, где прописываем основные моменты... Цель обработки - обеспечение безопасности при проходе на территорию оператора. Хотим идентифицировать приходящего субъекта ПДн, данные заносить в журнал посещений. На какой закон можно при этом ссылаться (идентификация)? Какие данные можно собирать, чтобы они не были избыточными, но достаточными? Сколько можно хранить такой журнал? ( хотелось бы 5 лет. но на каком основании?). Поделитесь опытом, как у вас организовано это дело?

2

Re: проход на территорию оператора ПДн

Хороший вопрос.
1. Цель обработки должны быть понятна проверяющим. Обычно это антитеррор и обеспечение режимности объекта. Для клиентов не очень, т.к. клиент быстрее сбежит к конкуренту. Работает только для представителей юрлиц.
2. Спрашивать можете данные документа удостоверяющего личность, но согласно ПП 687 вы должны определить, как клиент может попасть не показывая паспорт. Для представителя юрлица без паспорта (или иного документа) делать нечего, а вот клиент физик, который налоги хочет оплатить паспорт вам показывать не обязан - тут будут проблемы.
3. Срок хранения без права копирования информации от туда - не более года на основании режимности объекта (антитеррор)

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

3

Re: проход на территорию оператора ПДн

А почему не показывая паспорт? в 687 написано "без подтверждения подлинности ПДн". Это же не означает, что данные паспорта нельзя вносить в журнал, правильно?

4

Re: проход на территорию оператора ПДн

Без подтверждения подлинности - означает без предъявления паспорта или иного документа удостоверяющего личность.
Гражданин у нас не обязан ходить с паспортом.
Для приема платежей по ЖКХ, услуги связи и оплаты до 15 тыс рублей не требуют идентификации.
Это вопрос больше культуры обслуживания - хотите делайте все строго, но клиенты от вас не будут в восторге.
Главное, чтобы эти данные нигде не использовались кроме вашего журнала - а смысла в них никакого, по моему опыту.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

5

Re: проход на территорию оператора ПДн

подниму тему. Если ставить походную, идентификаторы выдавать постоянным клиентам (карты),и сотрудникам. ЧОП на входе. если у клиента нет пропуска, то паспорт переписывается в журнал посещений, все у кого карты есть проходят. База состоит из фотографии, которая высвечивается ЧОПу для сверки проходящего, ФИО под фотографией. вопрос: нужно ли в базе ФИО? или можно например организацию бить( дабы уменьшить кол во Пдн.) но фото - это уже биометрия получается... соответственно сервак с БД как то надо защитить? чем к примеру?

6

Re: проход на территорию оператора ПДн

Защита стандартная - НСД
со всех кто имеет пропуска - письменное согласие

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

7

Re: проход на территорию оператора ПДн

всем доброго времени суток. еще разок подниму тему, т.к. провел аудит СКУД и понял что не все так гладко.

первый вопрос который хотелось бы озвучить - какие средства защиты ПДН применить к связке: 1- сервер с базой СКУД+видео; свич в ДМЗ от локалки, компьютер у охраны (ЧОП) с запущенным клиентом, который конектится к серверу с базой. 

в базу вносятся ФИО, скан фото с любого документа.

база и СКУД - PERCO

в настоящий момент стоит - ФСБ\ФСТЕК сертифицированный антивирус - везде, логин пароль на сервере, логин пароль(ЧОП его не знает) на ПК проходной.

согласие на обработку ПДн в целях идентификации и контрольно- пропускного режима. в согласии ФИО+фото.

теперь вопрос 2: фото+ФИО мы обрабатываем - вносим, сверяем, храним, уничтожаем.

ФОТО!!!  - это у же биометрия. тут и класс защиты на сколько я понял никак не понизить. в плоть до ПЭМИН должен работать.

мое беспокойство вызвано обработкой биометрии, которую и сложнее защитить, и сложнее с РНК в итоге.

может быть проще отговорить безопасника от использования фото в СКУД? или поставить на сервер и ПК Даллас лок и описать полную защиту ИСПДн.

8

Re: проход на территорию оператора ПДн

Klimov Mihail пишет:

может быть проще отговорить безопасника от использования фото в СКУД?.

Да.

Поскольку видеонаблюдение в принципе есть, чтобы облегчить задачу безопаснику по расследоваанию проникновения кого не надо, проще просто фиксировать время прохода в журнале. Ну и правильно расположить камеры видеонаблюдения.
Если Вам будет нужно фото, сделаете его потом сами из видео.
Фотографию в паспорте при сканировании закрывайте стикером соответствующего размера.

С уважением,
Андрей Кирьянов

9

Re: проход на территорию оператора ПДн

а если упрется?
по защите биометрии внутри одного здания какая защита подойдет, чтоб удовлетворить РКН для этой ИСПДн?

10

Re: проход на территорию оператора ПДн

Klimov Mihail пишет:

всем доброго времени суток. еще разок подниму тему, т.к. провел аудит СКУД и понял что не все так гладко.
первый вопрос который хотелось бы озвучить - какие средства защиты ПДН применить к связке: 1- сервер с базой СКУД+видео; свич в ДМЗ от локалки, компьютер у охраны (ЧОП) с запущенным клиентом, который конектится к серверу с базой. 
в базу вносятся ФИО, скан фото с любого документа.
база и СКУД - PERCO
в настоящий момент стоит - ФСБ\ФСТЕК сертифицированный антивирус - везде, логин пароль на сервере, логин пароль(ЧОП его не знает) на ПК проходной.
согласие на обработку ПДн в целях идентификации и контрольно- пропускного режима. в согласии ФИО+фото.
теперь вопрос 2: фото+ФИО мы обрабатываем - вносим, сверяем, храним, уничтожаем.
ФОТО!!!  - это у же биометрия. тут и класс защиты на сколько я понял никак не понизить. в плоть до ПЭМИН должен работать.
мое беспокойство вызвано обработкой биометрии, которую и сложнее защитить, и сложнее с РНК в итоге.
может быть проще отговорить безопасника от использования фото в СКУД? или поставить на сервер и ПК Даллас лок и описать полную защиту ИСПДн.

Тут главный вопрос - кто проводит потом идентификацию по фото.
Мы обычно отписывались про антитеррор - так проще обосновать СКУД и Видео. Да и Банку лучше в части общения с НАК/ФСБ/МВД.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

11

Re: проход на территорию оператора ПДн

Dmitry Leviev пишет:

Тут главный вопрос - кто проводит потом идентификацию по фото.
Мы обычно отписывались про антитеррор - так проще обосновать СКУД и Видео. Да и Банку лучше в части общения с НАК/ФСБ/МВД.

идентификацию на месте проводит охранник ЧОПа. сидит и смотрит на посетителя и на фото которое во время его прохода по пропуску отражается. что в этом случае?

12

Re: проход на территорию оператора ПДн

Klimov Mihail пишет:
Dmitry Leviev пишет:

Тут главный вопрос - кто проводит потом идентификацию по фото.
Мы обычно отписывались про антитеррор - так проще обосновать СКУД и Видео. Да и Банку лучше в части общения с НАК/ФСБ/МВД.

идентификацию на месте проводит охранник ЧОПа. сидит и смотрит на посетителя и на фото которое во время его прохода по пропуску отражается. что в этом случае?

Начнем искать выход из ситуации:
Система хранит все данные - ФИО, права доступа, фото только для постоянных посетителей
1. Если ЧОП проверяет не передан ли пропуск - то обработка получается с целью идентификации в неавтоматизированной системе (смотрите исключение в действующем ПП687) т.к. тоже самое можно делать смотря на пропуск и человека. Только на пропуске вся информация - и там есть идентификация полная.
2. ЧОП видит все данные из базы - тогда точно идентификация персоналии и ссылка на ПП687 не спасет.
P.S. Это очень хлипкая отмаза, но провернув ее через антитеррор - можно попробовать (инструкция о внутриобъектовом режиме с целью пресечения террористического акта проверяем что именно владелей постоянного пропуска прошел через турникет.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

13

Re: проход на территорию оператора ПДн

спасибо огромное за рекомендации. думаю попробуем отказаться от фото. печально все это

14

Re: проход на территорию оператора ПДн

Klimov Mihail пишет:

спасибо огромное за рекомендации. думаю попробуем отказаться от фото. печально все это

зачем отказываться?
Проще сходить к лейтенанту в местное МВД/УФСБ и получить бумажку для прикрытия *опы от РКН.
Заодно познакомится для проведения расследований в рамках НАК.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

15

Re: проход на территорию оператора ПДн

я же говорю, что если ИСПДН будет с биометрией, то её очень тяжело защитить по требованиям. или я ошибаюсь?
а учитывая, что она сетевая.....

я немного не понял, что необходимо от МВДшников. я им заявление - "прошу одобрить систему пропускного режима с биометрией для предотвращения антитерора? и они мне ответ?

16

Re: проход на территорию оператора ПДн

У вас офис проведен по паспорту антитеррора?
Если нет, то надо его делать. Если есть - вписываем туда вашу СКУД с фото контролем и согласовываем штатным образом.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

17

Re: проход на территорию оператора ПДн

то есть, если решить вопрос антитеррором - то СКУД даже с биометрией защищать не надо как ИСПДН? опять же возникает вопрос о согласии клиентов. при биометрии согласие обязательно. здесь получается что это не испдн и биометрии здесь нет? т.е. согласие не нужно?

18

Re: проход на территорию оператора ПДн

Dmitry Leviev пишет:

У вас офис проведен по паспорту антитеррора?
Если нет, то надо его делать. Если есть - вписываем туда вашу СКУД с фото контролем и согласовываем штатным образом.

Дима, как только идентификация по фото, то сразу биометрия и 1-ый уровень защиты и соотв требования...

С уважением,
Елена Петрова

19

Re: проход на территорию оператора ПДн

Основной вопрос - идентификация, т.е. цель обработки.
Если цель обработки - антитеррор, то согласия спрашивать не надо - смотри 152-ФЗ

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС

20

Re: проход на территорию оператора ПДн

Dmitry Leviev пишет:

Основной вопрос - идентификация, т.е. цель обработки.
Если цель обработки - антитеррор, то согласия спрашивать не надо - смотри 152-ФЗ

Я бы поспорила. Ибо чтобы применить 152-ФЗ и антитеррор надо сначала идентифицировать лицо...

С уважением,
Елена Петрова

21

Re: проход на территорию оператора ПДн

Petrova Elena пишет:
Dmitry Leviev пишет:

Основной вопрос - идентификация, т.е. цель обработки.
Если цель обработки - антитеррор, то согласия спрашивать не надо - смотри 152-ФЗ

Я бы поспорила. Ибо чтобы применить 152-ФЗ и антитеррор надо сначала идентифицировать лицо...

Спорный момент всегда в охраной. Особенно в этом плане.
Обычно отдаем на откуп ЧОПу - готовы отбиваться, тогда делаем, нет - значит будете проверять по старинке.

С Уважением
Дмитрий Левиев
НП ПСИБ Библиотека НПС