К вопросу о моделировании угроз персональным данным пользователей в системах дистанционного обучения образовательных организаций
Общая характеристика основных способов реализации угроз безопасности, рассмотрение особенностей. Знакомство с ключевыми вопросами о моделировании угроз персональным данным пользователей в системах дистанционного обучения образовательных организаций.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 17.04.2019 |
| Размер файла | 15,8 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
К вопросу о моделировании угроз персональным данным пользователей в системах дистанционного обучения образовательных организаций
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Согласно нормативным документам Федеральной службы по техническому и экспортному контролю, носители ПДн могут содержать информацию, представленную в следующих видах:
• акустическая (речевая) информация (РИ), содержащаяся непосредственно в произносимой речи пользователя ИСПДн при осуществлении им функции голосового ввода ПДн в ИСПДн, либо воспроизводимая акустическими средствами ИСПДн (если такие функции предусмотрены технологией обработки ПДн), а также содержащаяся в электромагнитных полях и электрических сигналах, которые возникают за счет преобразований акустической информации;
• видовая информация (ВИ), представленная в виде текста и изображений различных устройств отображения информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн;
• информация, обрабатываемая (циркулирующая) в ИСПДн, в виде электрических, электромагнитных, оптических сигналов;
• информация, обрабатываемая в ИСПДн, представленная в виде бит, байт, файлов и других логических структур.
В целях формирования систематизированного перечня УБПДн при их обработке в ИСПДн и разработке на их основе частных моделей применительно к конкретному виду ИСПДн угрозы классифицируются в соответствии со следующими признаками:
• по виду защищаемой от УБПДн информации, содержащей ПДн;
• по видам возможных источников УБПДн;
• по типу ИСПДн, на которые направлена реализация УБПДн; по способу реализации УБПДн; по виду нарушаемого свойства информации (виду несанкционированных действий, осуществляемых с ПДн);
• по используемой уязвимости; по объекту воздействия.
По видам возможных источников УБПДн выделяются следующие классы угроз:
• угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн (внутренний нарушитель);
• угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена (внешний нарушитель).
Кроме того, угрозы могут возникать в результате внедрения аппаратных закладок и вредоносных программ. По типу ИСПДн, на которые направлена реализация УБПДн, выделяются следующие классы угроз:
• угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе автономного автоматизированного рабочего места (АРМ);
• угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе АРМ, подключенного к сети общего пользования (к сети международного информационного обмена);
• угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных информационных систем без подключения к сети общего пользования (к сети международного информационного обмена);
• угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных информационных систем с подключением к сети общего пользования (к сети международного информационного обмена);
• угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе распределенных информационных систем без подключения к сети общего пользования (к сети международного информационного обмена);
Итак, способами реализации угроз безопасности могут быть несанкционированный доступ к информации, утечка по техническим каналам, а также специальные воздействия на персональные данные либо информационную систему.
Базовая модель угроз безопасности персональных данных утверждена Приказом ФСТЭК от 15 февраля 2008 г. Угрозы несанкционированного доступа к персональным данным, обрабатываемым в информационной системе, могут осуществляться при помощи программных и аппаратно-программных средств. При этом происходит нарушение режима конфиденциальности в отношении персональных данных путем их неправомерного копирования и/или распространения. Также защищаемые персональные данные могут быть изменены или уничтожены нарушителем, что может также повлечь собой значительные последствия. В ходе реализации угрозы несанкционированного доступа могут быть созданы нештатные режимы работы операционной среды или программного обеспечения, которые возможно будут использованы нарушителем для кражи информации либо воздействия на нее извне.
При реализации угрозы безопасности злоумышленником могут использоваться различные уязвимости, в том числе недостаточный уровень защиты, несовершенство системного и прикладного программного обеспечения, а также протоколов сетевого взаимодействия информационной системы.
Другим видом угроз безопасности персональных данных являются угрозы, реализуемые при помощи технических каналов, таких как утечка речевой, видовой информации, содержащей персональные данные, утечка персональных данных, обрабатываемых в информационных системах, по каналу электромагнитных излучений и наводок. Такие угрозы целесообразно рассматривать в отношении информационных систем высшего класса, в которых обрабатываются специальные категории персональных данных, касающиеся национальной и расовой принадлежности человека, его религиозных либо философских убеждений, здоровья и интимной жизни. Для таких систем разрабатывается специальная модель угроз, при составлении которой анализируются отдельные уязвимости и угрозы, вычисляется их актуальность, определяется достаточность существующих и необходимость дополнительных методов защиты.
Согласно ГОСТ Р 50922-2006 - «Защита информации. Основные термины и определения»: «Модель угроз (безопасности информации) - физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации».
Итак, модель угроз - это документ, тем или иным способом описывающий возможные угрозы безопасности персональных данных. Модель угроз безопасности персональных данных необходима для определения требований к системе защиты. Без модели угроз невозможно построить адекватную (с точки зрения денежных затрат) систему защиты информации, обеспечивающую безопасность персональных данных.
В соответствии с пунктом 2 статьи 19 ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается, в частности определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных, т.е. разработкой модели угроз.
Опираясь на приказ ФСТЭК России от 18 февраля 2013 г. № 21 и банк данных угроз, сформированный ГНИИИ ПТЗИ ФСТЭК России, представляется возможным выделить самые актуальные угрозы для системы дистанционного образования образовательных организаций:
• угроза изменения компонентов системы;
• угроза несанкционированного доступа к аутентификационной информации;
• угроза несанкционированного удаления защищаемой информации;
• угроза аппаратного сброса пароля BIOS;
• угроза внедрения вредоносного кода в BIOS;
• угроза внедрения кода или данных.
На базе этих основных угроз будет строится модель угроз, но нельзя оставлять без внимания проблему раскрытия паролей, что также является прямой угрозой в данной сфере.
Есть много способов решить эту проблему, но самый качественный, на наш взгляд, это ввод персональных средств криптографической защиты информации и двухфакторной модели аутентификации в данную сферу образования.
безопасность моделирование дистанционный
Библиографический список
1.Федеральный Закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (ред. от 21 июля 2014 года) [Официальный сайт компании «КонсультантПлюс»].
2.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.) [Официальный сайт ФСТЭК России].
Размещено на Allbest.ru
Подобные документы
Определение степени исходной защищенности персональных данных в информационной системе. Факторы, создающие опасность несанкционированного доступа к персональным данным. Составление перечня угроз персональным данным, оценка возможности их реализации.
контрольная работа [21,5 K], добавлен 07.11.2013Понятие дистанционного обучения, его сущность и особенности, содержание и цели. Разновидности дистанционного обучения и их характерные черты. Эффективность дистанционного обучения на современном этапе. Основные требования к программному обеспечению.
научная работа [40,2 K], добавлен 29.01.2009Анализ подходов к расширению возможностей системы Moodle. Интеграция мультиагентных сервисов системы дистанционного обучения в модульную объектно-ориентированную динамическую учебную среду Moodle. Рекомендации по защите пользователей от излучений ЭВМ.
дипломная работа [845,1 K], добавлен 14.03.2013Разработка предложений по внедрению биометрической аутентификации пользователей линейной вычислительной сети. Сущность и характеристика статических и динамических методов аутентификации пользователей. Методы устранения угроз, параметры службы защиты.
курсовая работа [347,3 K], добавлен 25.04.2014Понятие информационной безопасности, понятие и классификация, виды угроз. Характеристика средств и методов защиты информации от случайных угроз, от угроз несанкционированного вмешательства. Криптографические методы защиты информации и межсетевые экраны.
курсовая работа [2,4 M], добавлен 30.10.2009Методика анализа угроз безопасности информации на объектах информатизации органов внутренних дел. Выявление основных способов реализации утечки информации. Разработка модели угроз. Алгоритм выбора оптимальных средств инженерно-технической защиты данных.
курсовая работа [476,3 K], добавлен 19.05.2014Анализ существующих стандартов образовательных сред в системах адаптивного компьютерного обучения. Краткая характеристика и оценка состояния рассматриваемой проблемы. Стандарты и спецификации ЭО. Обоснование выбранного метода направления исследования.
научная работа [8,3 K], добавлен 29.01.2009Виды угроз безопасности в экономических информационных системах: цель, источники, средства реализации. Основные пути несанкционированного доступа к информации. Методы и средства защиты, используемые в АИТ маркетинговой деятельности, их классификация.
реферат [30,1 K], добавлен 12.03.2011Основные причины, по которым необходимо принять меры по защите своего компьютера. Характеристика различных способов защиты компьютера от возможных угроз безопасности. Виды угроз и защита от компьютерных вирусов. Понятие и принцип действия брандмауэра.
презентация [176,3 K], добавлен 24.01.2011Цели информационной безопасности. Источники основных информационных угроз для России. Значимость безопасности информации для различных специалистов с позиции компании и заинтересованных лиц. Методы защиты информации от преднамеренных информационных угроз.
презентация [200,6 K], добавлен 27.12.2010
