Размещено на http://allbest.ru

6

УДК 519.8:004.056

Математическое моделирование процесса выбора средств защиты персональных данных

В.И. Аверченков, М.Ю. Рытов,

О.М. Голембиовская, В.В. Кобищанов,

Б.Г. Кеглин, А.П. Болдырев

Введение

Защита персональных данных в нашей стране до недавнего времени была не столь актуальным и значимым вопросом для организаций, обрабатывающих эти персональные данные (операторов ПДн), так как вступление в силу Федерального закона № 152 «О персональных данных», принятого в 2006 году, откладывалось до 2011 года.

Выполнение требований данного закона, а также ряда постановлений правительства и методических рекомендаций Федеральной службы технического и экспортного контроля и Федеральной службы безопасности в области защищенной обработки персональных данных представляет собой поэтапный процесс, который включает в себя как определение уровня защищенности информационной системы персональных данных (ИСПДн), так и защиту информационной системы различными организационными методами, программными и техническими средствами.

Самостоятельное приведение операторами ПДн информационной системы персональных данных к требованиям нормативно-правовых документов представляет собой трудоемкий и достаточно сложный процесс.

Альтернативой, позволяющей оператору персональных данных более полно и оперативно выполнять требования нормативно-правовых документов, могут стать автоматизированные системы мониторинга защиты персональных данных, которые способны автоматически выполнять все функции, определенные для оператора персональных данных: выявлять уровень защищенности ИСПДн, строить модель угроз и выдавать рекомендации по установке программных и технических средств защиты персональных данных.

Для решения указанных задач была разработана автоматизированная система выбора средств защиты информационных систем персональных данных, представляющая собой программно-аппаратный комплекс, обеспечивающий поэтапное выполнение требований нормативно-правовых документов в области защиты персональных данных (рис.1).

Данная система является вспомогательным и весьма полезным инструментом, так как ориентирована не только на опытных специалистов в области защиты персональных данных, но и на рядовых пользователей.

Определение уровня защищенности ИСПДн

На первом этапе пользователь вводит исходные данные, которыми являются перечень и типы угроз персональным данным, обрабатываемым в ИС. При этом ввод перечня персональных данных ограничивается выбором ПДн из ранее сформированного списка, предоставляемого БД перечня персональных данных.

Такой прием универсализации сделан для удобства при работе пользователей с системой. Результатом данного этапа является сформированный акт определения уровня защищенности персональных данных, обрабатываемых в ИС, в котором отражены тип ИС, типы угроз, а также характеристики ИСПДн.

Рис.1. Структурно-функциональная модель автоматизированной системы выбора средств защиты персональных данных, обрабатываемых в информационных системах

Для определения уровня защищенности ПДн, обрабатываемых в ИС, была разработана анкета, включающая следующий перечень вопросов:

1. В ИС обрабатываются ПДн субъектов, полученные только из общедоступных источников?

2. В ИС обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность?

3. В ИС обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн?

4. Обрабатываются ли в ИСПДн иные ПДн, не указанные в трёх предыдущих пунктах?

5. В ИС обрабатываются только ПДн сотрудников оператора?

6. В ИС обрабатываются ПДн субъектов, не являющихся сотрудниками оператора?

7. В ИС обрабатываются ПДн более чем 100000 субъектов ПДн, не являющихся сотрудниками оператора?

8. Для ИС актуальны угрозы, не связанные с наличием недекларированных возможностей (НДВ) в системном и прикладном программном обеспечении (ПО)?

9. Для ИС актуальны угрозы, связанные с наличием НДВ в прикладном ПО?

10. Для ИС актуальны угрозы, связанные с наличием НДВ в системном ПО?

В результате ответов «да» или «нет» образуется алгоритм, блок-схема которого представлена на рис. 2.

Рис. 2. Блок-схема алгоритма определения уровня защищенности ПДн, обрабатываемых в ИС

1-й уровень защищенности = {3.а,11.а }; {4.а ,11.а}; { 5.а,11.а}; {4.а,8.а,10.а}.

2-й уровень защищенности = {2.а,3.б,4.б,5.б,11.а}; {2.а,3.б,4.б,5.б,11.а}; {2.а,3.б,4.б,5.б,11.а}; {2.а,3.б,4.б,5.б,11.а}; {2.а,3.б,4.б,5.б,11.а}; {2.а,3.б,4.б,5.б,11.а}; {2.а,3.б,4.б,5.б,11.а}; {2.а, 3.б, 4.б,5.б,11.а}.

3-й уровень защищенности = {2.а , 3.б , 4.б , 6.а , 8.б , 10.а , 11.б};{2.а , 3.б , 4.б , 7.а , 8.б, 10.а, 11.б};{3.б , 4.б, 5.а , 6.а, 8.б, 10.а , 11.б};{3.б , 4.б , 5.а, 7.а , 8.б , 10.а, 11.б}{4.а, 6.а, 8.б, 9.а, 10.б, 11.б};

4-й уровень защищенности ={2.а, 3.б, 4.б, 9.а, 10.б, 11.б};{3.б, 4.б, 5.а, 6.а, 8.б, 9.а, 10.б, 11.б};{3.б, 4.б, 5.а, 7.а, 8.б, 9.а, 10.б, 11.б}.

На основании выявленного уровня защищенности в автоматизированной системе происходит выбор средств, которые отвечают требованиям приказа № 21 от 18 февраля 2013 года «об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Формирование модели угроз

На втором этапе работы с системой формируется модель угроз ИСПДн. Формирование модели угроз состоит из нескольких этапов. Каждый этап представлен в виде анкеты, работа с которой заключается либо в заполнении граф, либо в выборе из уже готового списка ответов.

Все данные, полученные в результате опроса пользователя, передаются в формирующийся поэтапно документ «Модель угроз». Результатом заполнения анкет будет сформированная табличная модель угроз (таблица 1.). Табличный вид представления информации является достаточно простым и удобным. Пользователь, не обладая дополнительными навыками, может самостоятельно оценить вероятность и возможность реализации выявленных угроз.

Также в сформированной модели угроз определены вероятные нарушители и описаны (разъяснены) возможные угрозы для ИСПДн.

Таблица 1.Фрагмент табличной модели угроз

На основе анализа сформированной модели угроз принимается решение о соответствии анализируемой ИСПДн требованиям нормативных документов. Если система не соответствует требованиям, вырабатываются необходимые рекомендации.

Выработка рекомендаций по усовершенствованию системы защиты ПДн или внедрению новой СЗПДн

На данном этапе система выдает рекомендации по внедрению программных и технических средств:

1) для повышения уровня защиты в соответствии с определенным уровнем защищенности ИСПДн;

2) противодействия возможным угрозам. В состав автоматизированной системы входят БД угроз и уязвимостей ИСПДн, а также БД организационных, технических и программно-аппаратных средств защиты ПДн. Блок-схема алгоритма работы автоматизированной системы представлена на рис.3.

Рис. 3. Блок-схема алгоритма работы автоматизированной системы выбора средств защиты информационных систем персональных данных

Таким образом, создана математическая модель процесса выбора средств защиты информационных систем персональных данных, позволяющая однозначно определить уровень защищенности информационной системы персональных данных, выявить недостатки существующей системы защиты персональных данных, сформировать модель угроз информационной системы персональных данных организации и выработать ряд мер по организационной, программной и технической защите информационной системы персональных данных.

Разработанная на основе данной модели автоматизированная система выбора средств защиты информационных систем персональных данных является составляющей организационно-технического блока САПР комплексных систем защиты информации (КСЗИ) и может использоваться как отдельный программный продукт для контроля за состоянием защищенности персональных данных и непосредственного создания систем защиты ПДн, а также в составе интегрированной САПР, конечным результатом работы которой является проект КСЗИ объекта информатизации [1;2]. безопасность информационный программный персональный

Наличие такой системы в организациях, обрабатывающих персональные данные, значительно сократит расходы и время на внедрение системы защиты персональных данных.

Список литературы

1. Аверченков, В.И.Формализация процесса выбора состава средств обеспечения безопасности на объекте защиты/ В.И.Аверченков, М.Ю.Рытов, Т.Р.Гайнулин//Вестник компьютерных и информационных технологий.- 2010 . -№ 11.- С. 45-50.

2. Аверченков, В.И. Оптимизация выбора состава средств инженерно-технической защиты информации на основе модели Клементса-Хофмана/ В.И.Аверченков, М.Ю.Рытов, Т.Р.Гайнулин//Вестн. БГТУ.- 2008.- № 1.- С. 61-67.

Аннотация

УДК 519.8:004.056

Математическое моделирование процесса выбора средств защиты персональных данных. В.И. Аверченков, М.Ю. Рытов, О.М. Голембиовская, В.В. Кобищанов, Б.Г. Кеглин, А.П. Болдырев

Рассмотрена проблема определения степени защищенности персональных данных, а также выбора средств защиты информационных систем персональных данных, на основе модели угроз и выявленного уровня защищенности персональных данных, обрабатываемых в информационной системе.

Ключевые слова: персональные данные, автоматизированная система, модель угроз, теория множеств, комплексные системы защиты информации.

Размещено на Allbest.ru