Критерии выбора средств обеспечения информационной безопасности персональных данных

Анализ основных задач оценивания программно-аппаратных средств защиты персональных данных в информационных системах. Разработка системы оценочных критериев, для которых построены измерительные шкалы, ориентированные на применении экспертных оценок.

Рубрика Программирование, компьютеры и кибернетика
Вид статья
Язык русский
Дата добавления 30.04.2018
Размер файла 18,1 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Белгородский университет кооперации, экономики и права

Критерии выбора средств обеспечения информационной безопасности персональных данных

Ломазов В.А.1, Прокушев Я.Е.2

1Доктор, физико-математических наук, 2Кандидат технических наук,

Аннотация

программный персональный информационный экспертный

Исследуется задача оценивания программно-аппаратных средств защиты персональных данных в информационных системах. Разработана система оценочных критериев, для которых построены измерительные шкалы, ориентированные на применении экспертных оценок. Приведены примеры использования разработанных критериев для оценивания наиболее распространенных на российском рынке средств защиты информации. Разработанные критерии могут быть использованы для поддержки решений по выбору средств информационной безопасности.

Ключевые слова: информационная безопасность, критерии.

Abstract

Lomazov V.A.1, Prokushev Ya.E.2

1PhD in Physics and Mathematics, 2PhD in Engineering, Belgorod University of Cooperation, Economics and Law

Selection criteria means of information security of personal data

The problem of estimating software and hardware protection of personal data in information systems is considered. It is constructed the system of estimation criteria, for which the measuring scales, oriented on the use of expert judgments, are established. Examples of use of the developed criteria for the estimation of the most widespread in the Russian market of information security are considered. The developed criteria can be used to support decisions on the selection of information security solutions.

Keywords: information security, criteria.

Обеспечение защиты персональных данных (ПД) является актуальной проблемой практически для всех организаций. Прежде всего, статья 19 Федерального Закона № 152 «О персональных данных» требует от оператора принятия «…необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, а также от иных неправомерных действий…». Кроме того, выполнение мер по обеспечению защиты ПД от несанкционированного доступа (НСД) достаточно часто бывает продиктована потребностями самой организации - утечка сведений о клиентах и сотрудниках организации может привести к весьма серьезным имиджевым и материальным потерям. При этом требования нормативных документов оставляют организациям возможность самостоятельного выбора применяемых программно-аппаратных средств защиты информации (ПАСЗИ). Целью настоящей работы является выработка (и апробация на конкретных примерах) критериев такого выбора.

Критерии оценки возможностей средств защиты ПД

На российском рынке сертифицированных ПАСЗИ наиболее широкое распространение получили продукты (фирмы производители: КОД БЕЗОПАСНОСТИ, КОНФИДЕНТ, РУБИНТЕХ, ОКБ САПР), которые предлагается оценивать по следующим основным критериям:

1. Использование средств аппаратной поддержки.

Наличие специализированных плат, являющееся обязательным условием функционирования для СЗИ от НСД (ПО Аккорд) выпускаемых ОКБ САПР, и желательным для продуктов семейства Secret Net, позволяет, в частности, проводить аутентификацию пользователей до загрузки операционной системы и предотвращать загрузки с внешних носителей - одной из самых распространенных и легко реализуемых атак. При этом плата Secret Net предотвращает только альтернативную загрузку, однако аутентификацию самостоятельно не выполняет. Существенным недостатком отдельных продуктов этих производителей является завершение их работы после загрузки операционной системы (ОС), после чего защита информационной среды производится только средствами ОС.

СЗИ от НСД Dallas Lock и Страж NT не используют аппаратные платы и требуют специальной настройки BIOS, блокируя возможность альтернативной загрузки.

2. Шифрование пользовательской информации.

Возможность шифрования системных областей жестких дисков предусмотрена в СЗИ от НСД Страж NT 3.0, а также в Secret Net 7 в случае покупки модуля Trusted Boot Loader. Однако такого рода защита преодолима с помощью ряда утилит восстановления данных, а, следовательно, не обеспечивает гарантированной стойкости. СЗИ Dallas Lock 8К позволяет создавать криптографически защищенные файловые контейнеры, а Dallas Lock 8С дополнительно имеет возможность полного шифрования жестких дисков, что обеспечивает значительно более высокую защищенность, чем Страж NT 3.0. Также возможность шифрования данных появилась в качестве дополнительной опции в программном продукте Secret Net Studio.

Продукты ОКБ САПР, а также Secret Net 7 и ПАК Соболь шифрование пользовательской информации не поддерживают.

Следует учитывать, что шифрование обеспечивает защиту от ознакомления, но не от уничтожения данных. Если нарушитель успешно осуществит загрузку с альтернативного источника, то он сможет удалить информацию.

3. Осуществление аудита событий.

Эта опция на наш взгляд лучше всего реализована в DallasLock 8К или 8С, где есть несколько журналов, ведущих учет событий, сгруппированных по разным категориям. Изделия ОКБ САПР ведут журналы для каждой отдельно взятой сессии пользователя, записывая туда все события. В Страж NT 3.0 предусмотрено два журнала - печати и остальных событий. Для этих трех СЗИ от НСД характерно резервирование учтенных событий. При достижении определенного размера, журналы архивируются и очищаются. Ведение журнала событий в СЗИ Secret Net организовано несколько хуже, поскольку он автоматически не резервируется, как в СЗИ Dallas Lock, Аккорд или Страж NT, а перезаписывается. Создать резервную копию журнала в СЗИ Secret Net можно только вручную.

В последних версиях Secret Net и Dallas Lock реализован механизм теневого копирования, позволяющий отслеживать информацию, которые была распечатана или перенесена на съемные носители.

4. Контроль целостности ресурсов.

Достаточно легко настраивается во всех СЗИ от НСД. Средства защиты осуществляют контроль во время загрузки операционной системы или входа пользователей. В Dallas Lock 8K и 8С присутствует возможность контроля макропараметров защищаемой системы - списка пользователей, каталогов общего доступа, сетевых адаптеров и т.п.

Отдельно следует отметить возможность контроля объектов файловой структуры, веток реестра и перечня устройств до запуска операционной системы с помощью АМДЗ Аккорд и ПАК Соболь. Это дает возможность полностью исключить влияние вредоносного программного обеспечения на проверку целостности автоматизированной системы.

5. Возможность настройки замкнутой программной среды.

Является важнейшим механизмом обеспечения защиты и целостности информационной среды: предотвращает запуск несанкционированного программного обеспечения, значительно повышает антивирусную безопасность системы. В сравнении с другими продуктами, настройка ЗПС в программном обеспечении СЗИ Аккорд выполняется несколько сложнее чем, в других защитных программах.

6. Стоимость средств защиты.

Самым дорогими являются использующие платы аппаратной поддержки СЗИ ОКБ САПР и Secret Net. Другие СЗИ значительно дешевле.

7. Личные предпочтения администраторов безопасности, которые будут устанавливать и настраивать средства защиты информации, также играют определенную роль при выборе средств.

8. Наличие механизма дискреционного контроля доступа к объектам файловой структуры и устройствам. Все средства защиты реализуют свой отличный от Windows механизм, кроме ПАК Соболь и АМДЗ Аккорд.

9. Затирание информации.

Реализовано во всех анализируемых ПАСЗИ на достаточном для обеспечения защиты ПД уровне.

10. Поддержка аутентификации.

Во всех рассмотренных ПАСЗИ предусмотрена поддержка используемых для аутентификаци устройств e-Token, ru-Token, I-Button.

Примеры использования разработанных критериев

Для формализации описания возможностей средств защиты информации и формирования условий выбора предпочтительней использовать усиленные порядковые шкалы, где вербальным терминам соответствует определенное балльное значение. Предлагается использовать шкалы, описываемые кортежами значений:

1) {отсутствует, 0; низкая, 1; средняя, 3; выше среднего, 4; высокая, 5};

2) {отсутствует, 0; слабая, 1; средняя, 3; сильная, 4; очень сильная, 5}.

Результаты оценивания (в соответствии с предложенными критериями) ПАСЗИ, основанные на опыте их использования, приведены в табл.1.

Таблица 1 - Оценки программно-аппаратных средств защиты информации

Средства защиты

Оценочные критерии

1

2

3

4

5

6

7

8

9

10

Secret Net (c платой Secret net touch memory)

4

0

3

4

5

4

5

5

4

5

Secret Net (без платы Secret net touch memory)

1

0

3

4

5

3

3

5

4

5

Secret Net (с платой Соболь)

5

0

3

5

5

5

5

5

4

5

ПАК Соболь

5

0

1

5

0

5

3

0

0

5

АМДЗ Аккорд

5

0

1

3

0

4

3

0

0

5

ПАК Аккорд

5

0

4

5

3

5

3

5

4

5

Dallas Lock 8K

1

3

5

5

5

3

5

4

4

5

Dallas Lock 8C

1

5

5

5

5

4

4

4

4

5

Страж NT

1

1

5

5

5

3

4

5

4

5

Заключение

Предложенный набор оценочных критериев (с учетом их относительной значимости) может служить основой для построения иерархии критериев, являющейся инструментом поддержки принятия многокритериальных решений [1] по выбору ПАСЗИ.

Список литературы / References

1. Петровский А.Б. Теория принятия решений.- М.: Академия, 2009.- 400 с.

Размещено на Allbest.ru


Подобные документы

  • Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.

    дипломная работа [5,3 M], добавлен 01.07.2011

  • Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.

    дипломная работа [3,2 M], добавлен 23.03.2018

  • Правовое регулирование защиты персональных данных. Общий принцип построения соответствующей системы. Разработка основных положений по охране личных документов. Подбор требований по обеспечению безопасности персональных данных в информационных системах.

    дипломная работа [1,3 M], добавлен 01.07.2011

  • Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.

    дипломная работа [2,6 M], добавлен 17.11.2012

  • Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.

    дипломная работа [2,5 M], добавлен 10.06.2011

  • Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.

    курсовая работа [319,1 K], добавлен 07.10.2016

  • Описание основных технических решений по оснащению информационной системы персональных данных, расположенной в помещении компьютерного класса. Подсистема антивирусной защиты. Мероприятия по подготовке к вводу в действие средств защиты информации.

    курсовая работа [63,4 K], добавлен 30.09.2013

  • Система контроля и управления доступом на предприятии. Анализ обрабатываемой информации и классификация ИСПДн. Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД ОАО "ММЗ".

    дипломная работа [84,7 K], добавлен 11.04.2012

  • Актуальность защиты информации и персональных данных. Постановка задачи на проектирование. Базовая модель угроз персональных данных, обрабатываемых в информационных системах. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.

    курсовая работа [449,5 K], добавлен 17.12.2015

  • Секретность и безопасность документированной информации. Виды персональных данных, используемые в деятельности организации. Развитие законодательства в области обеспечения их защиты. Методы обеспечения информационной безопасности Российской Федерации.

    презентация [2,1 M], добавлен 15.11.2016

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.