Постановление Правительства №1119 и видеоархив с персональных видеорегистраторов: как определить уровень защищённости персональных данных

Персональные видеорегистраторы становятся неотъемлемой частью работы множества организаций, особенно когда речь идет о безопасности сотрудников, контроля доступа и мониторинга событий. Однако, несмотря на их очевидную полезность, важно правильно подходить к вопросу безопасности данных, которые они генерируют. В этой статье мы обсудим, как Постановление Правительства №1119 регулирует защиту персональных данных в видеархивах с использованием персональных видеорегистраторов и как правильно определить уровень их защищённости.

Почему видеоархив — это персональные данные, даже если вы не собираете анкеты

Многие ошибочно считают персональными данными только текстовые анкеты или базы клиентов. Однако видеоархив с персональных видеорегистраторов часто содержит информацию, позволяющую установить личность человека. Даже если ваша основная цель — обеспечение безопасности, разбор конфликтов или контроль работы, записи могут быть квалифицированы как персональные данные, если на видео видны следующие элементы:

• Лицо человека (особенно если оно крупным планом или четко видно).
• Голос и характерные признаки речи.
• Бейджи, пропуска, табельные номера, наклейки на форме.
• Документы, такие как накладные, задания, пропускные документы.
• Адреса, номера помещений, таблички на дверях.
• Номера автомобилей, особенно если запись привязана к определенному времени, месту или событию.

Если на видеозаписях можно идентифицировать человека, значит, вы обрабатываете персональные данные, и ваше предприятие обязано обеспечить их защиту.

Что именно регулирует Постановление №1119

Постановление №1119 регулирует защиту персональных данных в информационных системах. Важно понимать, что для обеспечения безопасности данных необходимо сначала определить уровень защищённости, а затем принять соответствующие меры защиты. В постановлении предусмотрены четыре уровня защищённости данных, от 1 до 4. Чем выше уровень, тем жестче требования к защите.

Уровень защищённости определяется не типом видеорегистратора или мощностью сервера, а сочетанием нескольких факторов:

• Какие персональные данные попадают в архив.
• Сколько людей затрагивает обработка данных.
• Кто и откуда получает доступ к записям.
• Какие угрозы реальны для вашей организации (утечки, несанкционированный просмотр, подмена записей и другие риски).

Система «видеорегистратор — станция выгрузки — сервер/облако»: что в ней считается информационной системой

Ошибка, которую часто совершают, — считать объектом защиты только место хранения данных (например, сервер). На самом деле объектом защиты является вся цепочка:

1. Персональный видеорегистратор — место, где данные (видео, звук, время) собираются.
2. Станция выгрузки и программное обеспечение — узел передачи данных, где происходят действия по копированию и доступу.
3. Сервер или облачное хранилище — архив данных, поиск, просмотр, экспорт.
4. Рабочие места пользователей — места, где записи просматриваются, выгружаются или пересылаются.
5. Сеть и каналы связи — особенно если доступ удаленный.
6. Резервные копии и носители — они могут стать источником утечек, если их неправильно управлять.

Как правильно определить уровень защищённости: алгоритм

1. Определите, можно ли идентифицировать человека по видео
   Если видеозапись позволяет установить личность, значит, это персональные данные.
2. Опишите, чьи данные попадают в архив
   Чаще всего это сотрудники организации, клиенты, посетители, водители, представители подрядчиков.
3. Оцените масштаб обработки и доступ к записям
   Задайте вопросы:
   Сколько видеорегистраторов и записей?
   Кто имеет доступ к просмотру и выгрузке данных?
   Есть ли удалённый доступ?
   Каковы сроки хранения записей?
4. Определите реальные угрозы
   Учитывайте типовые угрозы, такие как несанкционированный просмотр, утечка данных, подмена записей и ошибки в резервном копировании.
5. Выберите уровень защищённости
   На основе описанных данных, угроз и масштаба работы выберите соответствующий уровень защищённости.

Какие меры защиты обычно нужны для видеоархива персональных регистраторов

1. Разграничение доступа
Роли для разных пользователей: кто может смотреть, кто — выгружать, кто — администрировать.

2. Персональные учётные записи и запрет общих логинов
Общие логины создают проблемы с ответственностью и контролем.

3. Учёт действий пользователей
Необходимо фиксировать, кто смотрел записи, кто их выгружал, кто менял настройки.

4. Защита передачи данных
Для выгрузки данных должны быть защищённые каналы связи.

5. Защита хранения данных
Важно установить порядок хранения и исключить несанкционированное копирование.

6. Защита от подмены и удаления
Меры контроля целостности данных и ограничения на удаление записей.

7. Регламент выдачи записей
Порядок согласования и передачи данных, а также фиксация факта передачи.

Особенности облачного хранения

Облачное хранилище добавляет дополнительные вопросы, такие как:

• Кто обеспечивает физическое хранение и доступ?
• Как подтверждаются меры защиты?
• Как настроены сроки хранения и удаление данных?
• Как ведется учёт действий пользователей?

Персональные видеорегистраторы не являются решением, которое автоматически гарантирует безопасность данных. Всё зависит от того, как организованы доступ к архиву, выгрузка данных, сроки хранения, учёт действий пользователей и реакция на инциденты. Если все эти моменты учтены, видеоархив становится эффективным инструментом для обеспечения безопасности сотрудников и организации, а не источником риска.