Systemy kontroli dostępu muszą pracować w zgodzie z szeregiem norm i przepisów, odnoszących się zarówno do ich budowy, warunków stosowania i funkcjonalności, jak i zasad związanych z ustawą o RODO. W artykule przedstawiamy wybrane aspekty dotyczące prawa obowiązującego w tym właśnie zakresie.

11 09Najnowsze normy europejskie
Zastosowanie w elektronicznych systemach kontroli dostępu i komponentów stosowanych w zabezpieczeniach w celu przyznawania dostępu znajduje europejska norma PN-EN 60839-111:2014-01. Pierwsza jej część, dotycząca budowy tego rodzaju systemów została już przetłumaczona na język polski. Przetłumaczenie drugiej, związanej z warunkami stosowania, nastąpić powinno jeszcze w tym roku. W dokumentach tych znajdziemy m.in. wymagania funkcjonalne powiązane z urządzeniami kontroli dostępu, podzielone na cztery stopnie zabezpieczenia, odpowiadające poziomom ryzyka. Klasyfikacja sporządzona została m.in. w oparciu o wartość zasobów a także przewidywane doświadczenie, dostępne narzędzia i umiejętności osób, które mogłyby próbować przełamać zabezpieczenie (włamywaczy, hakerów itp.), i obejmuje:

  • 1 stopień – który znajduje zastosowanie do zabezpieczenia zasobów o niskiej wartości i ma charakter organizacyjny (dotyczy zatem m.in. dostępu do pokojów hotelowych).
  • 2 stopień – ma również charakter organizacyjny, jednak stosowany jest do zabezpieczenia zasobów od niskiej do średniej wartości (dotyczy np. małych przedsiębiorstw czy biur).
  • 3 stopień – przypisany jest do kontroli dostępu do zasobów o średniej lub wysokiej wartości (dotyczy sektora finansów, administracji i przemysłu).
  • 4 stopień – może zostać wykorzystany do ochrony zasobów o bardzo dużej wartości lub tych, które przypisane są infrastrukturze krytycznej (są to zatem obiekty wojskowe i rządowe, laboratoria o szczególnie niebezpiecznych profilach czy przedsiębiorstwa zajmujące się produkcją krytyczną).

Jeśli w systemach 3. i 4. stopnia zabezpieczenia wykorzystywana jest sieć współdzielona z innymi użytkownikami (Internet, intranet i inne), niezbędne jest szyfrowanie sygnałów między poszczególnymi elementami systemu. W takich przypadkach informacja przechowywana w identyfikatorze powinna być również zabezpieczona przed nieautoryzowaną modyfikacją lub kopiowaniem.

W opisywanej, pierwszej części normy, znaleźć można także szczegółowe wymagania funkcjonalne dotyczące działania czytników, w tym wskaźników sygnalizujących alarmy i stany przejść, utratę łączności czy awarię zasilania.

Ponadto norma w sposób szczegółowy odnosi się do procedur badań, które powinny być przeprowadzone dla potwierdzenia funkcjonalności systemu w aspekcie przyporządkowanego funkcjonalnościom stopnia zabezpieczenia.

Europejska norma – wytyczne stosowania
W nadal nieprzetłumaczonej części 2, zawarte są wytyczne stosowania, w których znaleźć można m.in. zasady toku postępowania włączonego w cykl życia systemu, obejmujące etapy: planowania, projektowania, instalowania, uruchamiania, przekazania, działania systemu i jego konserwacji.
Czytamy tu m.in. o tym, że w tym samym systemie mogą być stosowane przejścia kontrolowane o różnych stopniach zabezpieczenia, które powinny być określone osobno dla każdego przejścia. Należy przy tym wziąć pod uwagę wymagania dotyczące kontroli wejścia i wyjścia, ale kolejno współpracujące ze sobą elementy systemu powinny spełniać wymagania najwyższego stopnia. Chodzi m.in. o to, żeby np. czytnik realizujący funkcjonalności 4. stopnia zabezpieczenia był zintegrowany z centralą oraz konsolą obsługi o funkcjonalności tego samego stopnia. Dopuszcza się przy tym dołączenie czytnika dostępu niższego stopnia do centrali wyższego stopnia, ale nie odwrotnie. Pozwala to na optymalizację kosztów systemu dostępu i zastosowanie tańszych urządzeń w miejscach, w których szacowany poziom ryzyka jest niższy.

Biometryczna kontrola dostępu
Systemy biometrycznej kontroli dostępu są już na stałe obecne w wielu dziedzinach życia, począwszy od komputerów czy smartfonów, których pracę inicjuje odczyt linii papilarnych użytkownika przypisanych do urządzenia, po głosowe otwieranie drzwi. Nieco rzadziej stosowane są systemy oparte o skan tęczówki oka, kształt twarzy, kształt ucha czy układ żył na dłoni, ale i takie spotkać możemy na swojej drodze. Ze względu na swoją prostotę, biometria wyko-rzystywana jest coraz powszechniej. Warto przy tym pamiętać, że urządzenia posługujące się tego typu zabezpieczeniem przetwarzają dane, które już w 2018 roku unijne przepisy RODO zakwali fikowały do szczególnych danych osobowych. Co to oznacza w praktyce?

Na administratorze danych spoczywa obo wiązek dokonania oceny zasadności stosowania zabezpieczeń biometrycznych. Ocena ta powin na opierać się na odpowiedzi na pytania: czy cel zastosowania takiego zabezpieczenia jest istot ny, a biometria jest niezbędna do osiągnięcia tego celu, czy możliwe jest użycie innych, mniej inwazyjnych rozwiązań oraz czy można dać oso bie, która ma posłużyć się biometrią wybór in nego rozwiązania. Ten ostatni aspekt ma szcze gólne znaczenie m.in. ze względu na nie zawsze wysokiej jakości technologię, która obsługuje biometryczną kontrolę dostępu lub w przypad ku, gdy chcemy udostępnić możliwość wejścia do systemu (a także np. pomieszczenia lub na zabezpieczony teren) osobom trzecim.

W związku z zakwalifikowaniem biometrii do szczególnych danych osobowych, tego typu za bezpieczenie podlega pod art. 9 ustawy o RODO, który zabrania przetwarzania danych osobo wych, w tym danych biometrycznych, w celu jednoznacznego zidentyfikowania osoby fizycznej. Od tej zasady są wyjątki, np. te, dla których muszą być spełnione nastę pujące warunki:

  • osoba, której dane dotyczą, wy raziła wyraźną zgodę na przetwa rzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
  • przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywa nia szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa człon kowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpiecze nia praw podstawowych i interesów osoby, której dane dotyczą; przetwarzanie jest niezbędne do ochrony ży wotnych interesów osoby, której dane doty czą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie nie zdolna do wyrażenia zgody; przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z za chowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny nie zarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz, że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
  • przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
  • przetwarzanie jest niezbędne ze względów związanych zważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

12 09Biometryczna kontrola dostępu w praktyce
Biometryczna kontrola dostępu bardzo często znajduje zastosowanie w sektorze finansowym i ubezpieczeniowym (w tym przypadku konieczne jest uzyskanie wyraźnej zgody klienta na tego typu identyfikację), a także we wspomnianych urządzeniach osobistych, takich jak komputery czy smartfony. Takie zabezpieczenie coraz częściej oferują także producenci zamków do drzwi, stosowanych zarówno w instytucjach publicznych jak i prywatnych.

Jeśli mamy do czynienia z przetwarzaniem danych biometrycznych pracowników przez pracodawców, ci drudzy muszą uzyskać dobrowolną zgodę w oświadczeniu w formie papierowej lub elektronicznej, przy czym brak takiej zgody nie może być podstawą złego traktowania pracownika.

Oczywiście, szczególną kategorię pracodawców stanowią np. banki, bowiem one takiej zgody nie będą potrzebować, jeżeli podanie danych biometrycznych będzie konieczne ze względu na kontrolę dostępu do informacji przetwarzanych przez bank i kontrolę dostępu do pomieszczeń. Jednak instytucje te będą mogły przetwarzać te dane jedynie przez okres zatrudnienia.

W odniesieniu do opisanej wcześniej normy, dla biometrycznej kontroli dostępu wskazany został m.in. wskaźnik fałszywych akceptacji FAR, który nie powinien tu przekraczać:

  • 1% (przejście 1. stopnia),
  • 0,3% (przejścia 2. i 3. stopnia)
  • 0,1% (przejście 4. stopnia).

Dodatkowo, w systemie 4. stopnia powinna być realizowana sygnalizacja przymusu, a monitorowanie łączności powinno następować odpowiednio co 2 minuty. Czasy podtrzymania zasilania powinny wynosić przy systemach 3. i 4. stopnia odpowiednio: 2 i 4 godz.

Podsumowanie
Zgodnie z europejskimi standardami, niezwykle ważnym etapem procesu budowy systemów kontroli dostępu jest szacowanie ryzyka, które powinno nastąpić podczas planowania systemu, dla każdego przejścia oddzielnie. Dzięki temu możliwe jest wyznaczenie stopnia zabezpieczenia, a co za tym idzie – wyboru urządzenia i jego parametrów, spełniających szereg zawartych w normie wymagań szczegółowych. Ze względu na to, że norma wskazuje aż 140 funkcjonalności i 25 dopuszczalnych wyjątków, proces planowania systemu kontroli dostępu wymaga precyzyjnej znajomości wymagań zawartych w dokumencie.

Bez wątpienia, systemy kontroli dostępu wkraczają w coraz to nowsze dziedziny życia, chroniąc nasze mienie lub dostęp do szczególnie poufnych danych. Potrzeby stosowania tego typu zabezpieczeń inicjują powstawanie technologii, które są narzędziami do osiągnięcia celu. Ich zastosowanie powinno być jednak adekwatne do istniejącego zagrożenia a także wartości chronionych zasobów. W przypadku zastosowania systemów pozwalających na identyfikację użytkownika, w większości przypadków niezbędne jest uzyskanie stosownej zgody, o czym informuje nas ustawa o RODO.


Damian Żabicki
Dziennikarz, analityk specjalizujący sie w tematyce technicznej i przemysłowej

Pin It

 

bg
pi