Математическое моделирование процесса выбора средств защиты персональных данных
Современные программные и технические средства обеспечения безопасности персональных данных. Блок-схема алгоритма определения уровня защищенности информационной системы. Построение табличной модели угроз, выявление и описание вероятных нарушителей.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 27.05.2018 |
Размер файла | 829,5 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://allbest.ru
6
УДК 519.8:004.056
Математическое моделирование процесса выбора средств защиты персональных данных
В.И. Аверченков, М.Ю. Рытов,
О.М. Голембиовская, В.В. Кобищанов,
Б.Г. Кеглин, А.П. Болдырев
Введение
Защита персональных данных в нашей стране до недавнего времени была не столь актуальным и значимым вопросом для организаций, обрабатывающих эти персональные данные (операторов ПДн), так как вступление в силу Федерального закона № 152 «О персональных данных», принятого в 2006 году, откладывалось до 2011 года.
Выполнение требований данного закона, а также ряда постановлений правительства и методических рекомендаций Федеральной службы технического и экспортного контроля и Федеральной службы безопасности в области защищенной обработки персональных данных представляет собой поэтапный процесс, который включает в себя как определение уровня защищенности информационной системы персональных данных (ИСПДн), так и защиту информационной системы различными организационными методами, программными и техническими средствами.
Самостоятельное приведение операторами ПДн информационной системы персональных данных к требованиям нормативно-правовых документов представляет собой трудоемкий и достаточно сложный процесс.
Альтернативой, позволяющей оператору персональных данных более полно и оперативно выполнять требования нормативно-правовых документов, могут стать автоматизированные системы мониторинга защиты персональных данных, которые способны автоматически выполнять все функции, определенные для оператора персональных данных: выявлять уровень защищенности ИСПДн, строить модель угроз и выдавать рекомендации по установке программных и технических средств защиты персональных данных.
Для решения указанных задач была разработана автоматизированная система выбора средств защиты информационных систем персональных данных, представляющая собой программно-аппаратный комплекс, обеспечивающий поэтапное выполнение требований нормативно-правовых документов в области защиты персональных данных (рис.1).
Данная система является вспомогательным и весьма полезным инструментом, так как ориентирована не только на опытных специалистов в области защиты персональных данных, но и на рядовых пользователей.
Определение уровня защищенности ИСПДн
На первом этапе пользователь вводит исходные данные, которыми являются перечень и типы угроз персональным данным, обрабатываемым в ИС. При этом ввод перечня персональных данных ограничивается выбором ПДн из ранее сформированного списка, предоставляемого БД перечня персональных данных.
Такой прием универсализации сделан для удобства при работе пользователей с системой. Результатом данного этапа является сформированный акт определения уровня защищенности персональных данных, обрабатываемых в ИС, в котором отражены тип ИС, типы угроз, а также характеристики ИСПДн.
Рис.1. Структурно-функциональная модель автоматизированной системы выбора средств защиты персональных данных, обрабатываемых в информационных системах
Для определения уровня защищенности ПДн, обрабатываемых в ИС, была разработана анкета, включающая следующий перечень вопросов:
1. В ИС обрабатываются ПДн субъектов, полученные только из общедоступных источников?
2. В ИС обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность?
3. В ИС обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн?
4. Обрабатываются ли в ИСПДн иные ПДн, не указанные в трёх предыдущих пунктах?
5. В ИС обрабатываются только ПДн сотрудников оператора?
6. В ИС обрабатываются ПДн субъектов, не являющихся сотрудниками оператора?
7. В ИС обрабатываются ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора?
8. Для ИС актуальны угрозы, не связанные с наличием недекларированных возможностей (НДВ) в системном и прикладном программном обеспечении (ПО)?
9. Для ИС актуальны угрозы, связанные с наличием НДВ в прикладном ПО?
10. Для ИС актуальны угрозы, связанные с наличием НДВ в системном ПО?
В результате ответов «да» или «нет» образуется алгоритм, блок-схема которого представлена на рис. 2.
Рис. 2. Блок-схема алгоритма определения уровня защищенности ПДн, обрабатываемых в ИС
1-й уровень защищенности = {3.а,11.а }; {4.а ,11.а}; { 5.а,11.а}; {4.а,8.а,10.а}.
2-й уровень защищенности = {2.а,3.б,4.б,5.б,11.а}; {2.а,3.б,4.б,5.б,11.а}; {2.а,3.б,4.б,5.б,11.а}; {2.а,3.б,4.б,5.б,11.а}; {2.а,3.б,4.б,5.б,11.а}; {2.а,3.б,4.б,5.б,11.а}; {2.а,3.б,4.б,5.б,11.а}; {2.а, 3.б, 4.б,5.б,11.а}.
3-й уровень защищенности = {2.а , 3.б , 4.б , 6.а , 8.б , 10.а , 11.б};{2.а , 3.б , 4.б , 7.а , 8.б, 10.а, 11.б};{3.б , 4.б, 5.а , 6.а, 8.б, 10.а , 11.б};{3.б , 4.б , 5.а, 7.а , 8.б , 10.а, 11.б}{4.а, 6.а, 8.б, 9.а, 10.б, 11.б};
4-й уровень защищенности ={2.а, 3.б, 4.б, 9.а, 10.б, 11.б};{3.б, 4.б, 5.а, 6.а, 8.б, 9.а, 10.б, 11.б};{3.б, 4.б, 5.а, 7.а, 8.б, 9.а, 10.б, 11.б}.
На основании выявленного уровня защищенности в автоматизированной системе происходит выбор средств, которые отвечают требованиям приказа № 21 от 18 февраля 2013 года «об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Формирование модели угроз
На втором этапе работы с системой формируется модель угроз ИСПДн. Формирование модели угроз состоит из нескольких этапов. Каждый этап представлен в виде анкеты, работа с которой заключается либо в заполнении граф, либо в выборе из уже готового списка ответов.
Все данные, полученные в результате опроса пользователя, передаются в формирующийся поэтапно документ «Модель угроз». Результатом заполнения анкет будет сформированная табличная модель угроз (таблица 1.). Табличный вид представления информации является достаточно простым и удобным. Пользователь, не обладая дополнительными навыками, может самостоятельно оценить вероятность и возможность реализации выявленных угроз.
Также в сформированной модели угроз определены вероятные нарушители и описаны (разъяснены) возможные угрозы для ИСПДн.
Таблица 1.Фрагмент табличной модели угроз
Угроза |
Вероятность реализации угрозы |
Возможность реализации угрозы |
Опасность угрозы |
Актуальность угрозы |
Меры по противодействию угрозе |
||
Технические |
Организационные |
||||||
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|
1. Угрозы утечки по техническим каналам |
|||||||
1.1.Угроза утечки акустической информации |
Низкая |
Низкая |
Низкая |
Неактуальная |
При проведении разговоров использовать виброгенераторы генераторы шумов, звукоизоляцию |
Утвердить инструкцию пользователя, инструкцию администратора |
|
Технологический процесс |
На основе анализа сформированной модели угроз принимается решение о соответствии анализируемой ИСПДн требованиям нормативных документов. Если система не соответствует требованиям, вырабатываются необходимые рекомендации.
Выработка рекомендаций по усовершенствованию системы защиты ПДн или внедрению новой СЗПДн
На данном этапе система выдает рекомендации по внедрению программных и технических средств:
1) для повышения уровня защиты в соответствии с определенным уровнем защищенности ИСПДн;
2) противодействия возможным угрозам. В состав автоматизированной системы входят БД угроз и уязвимостей ИСПДн, а также БД организационных, технических и программно-аппаратных средств защиты ПДн. Блок-схема алгоритма работы автоматизированной системы представлена на рис.3.
Рис. 3. Блок-схема алгоритма работы автоматизированной системы выбора средств защиты информационных систем персональных данных
Таким образом, создана математическая модель процесса выбора средств защиты информационных систем персональных данных, позволяющая однозначно определить уровень защищенности информационной системы персональных данных, выявить недостатки существующей системы защиты персональных данных, сформировать модель угроз информационной системы персональных данных организации и выработать ряд мер по организационной, программной и технической защите информационной системы персональных данных.
Разработанная на основе данной модели автоматизированная система выбора средств защиты информационных систем персональных данных является составляющей организационно-технического блока САПР комплексных систем защиты информации (КСЗИ) и может использоваться как отдельный программный продукт для контроля за состоянием защищенности персональных данных и непосредственного создания систем защиты ПДн, а также в составе интегрированной САПР, конечным результатом работы которой является проект КСЗИ объекта информатизации [1;2]. безопасность информационный программный персональный
Наличие такой системы в организациях, обрабатывающих персональные данные, значительно сократит расходы и время на внедрение системы защиты персональных данных.
Список литературы
1. Аверченков, В.И.Формализация процесса выбора состава средств обеспечения безопасности на объекте защиты/ В.И.Аверченков, М.Ю.Рытов, Т.Р.Гайнулин//Вестник компьютерных и информационных технологий.- 2010 . -№ 11.- С. 45-50.
2. Аверченков, В.И. Оптимизация выбора состава средств инженерно-технической защиты информации на основе модели Клементса-Хофмана/ В.И.Аверченков, М.Ю.Рытов, Т.Р.Гайнулин//Вестн. БГТУ.- 2008.- № 1.- С. 61-67.
Аннотация
УДК 519.8:004.056
Математическое моделирование процесса выбора средств защиты персональных данных. В.И. Аверченков, М.Ю. Рытов, О.М. Голембиовская, В.В. Кобищанов, Б.Г. Кеглин, А.П. Болдырев
Рассмотрена проблема определения степени защищенности персональных данных, а также выбора средств защиты информационных систем персональных данных, на основе модели угроз и выявленного уровня защищенности персональных данных, обрабатываемых в информационной системе.
Ключевые слова: персональные данные, автоматизированная система, модель угроз, теория множеств, комплексные системы защиты информации.
Размещено на Allbest.ru
Подобные документы
Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа [2,5 M], добавлен 10.06.2011Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
дипломная работа [3,2 M], добавлен 23.03.2018Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.
дипломная работа [5,3 M], добавлен 01.07.2011Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Определение степени исходной защищенности персональных данных в информационной системе. Факторы, создающие опасность несанкционированного доступа к персональным данным. Составление перечня угроз персональным данным, оценка возможности их реализации.
контрольная работа [21,5 K], добавлен 07.11.2013Система контроля и управления доступом на предприятии. Анализ обрабатываемой информации и классификация ИСПДн. Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД ОАО "ММЗ".
дипломная работа [84,7 K], добавлен 11.04.2012Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Актуальность защиты информации и персональных данных. Постановка задачи на проектирование. Базовая модель угроз персональных данных, обрабатываемых в информационных системах. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.
курсовая работа [449,5 K], добавлен 17.12.2015Описание основных технических решений по оснащению информационной системы персональных данных, расположенной в помещении компьютерного класса. Подсистема антивирусной защиты. Мероприятия по подготовке к вводу в действие средств защиты информации.
курсовая работа [63,4 K], добавлен 30.09.2013Базовая модель угроз персональных данных, обрабатываемых в информационных системах персональных данных. Метод сокрытия информации в наименьших битах графических контейнеров. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.
курсовая работа [475,1 K], добавлен 05.12.2014