Формализация процедуры определения уровней защищенности информационных систем, обрабатывающих персональные данные
Разработка современной автоматизированной системы оценки защищенности и формирования рекомендаций по выбору средств защиты информационных систем персональных данных. Построение качественной, соответствующей требованиям законодательства системы защиты ПДн.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 27.05.2018 |
| Размер файла | 88,1 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Вестник Брянского государственного технического университета. 2013. № 2(38)
116
ФОРМАЛИЗАЦИЯ ПРОЦЕДУРЫ ОПРЕДЕЛЕНИЯ УРОВНЕЙ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ, ОБРАБАТЫВАЮЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
М.Ю. Рытов, К.Е. Шинаков, О.М. Голембиовская
Рассмотрен процесс определения уровней защищенности информационных систем, обрабатывающих персональные данные, с целью выбора эффективных мер защиты.
На сегодняшний день защита персональных данных (далее ПДн) является актуальным и важным вопросом как для частных, так и для государственных организаций. Частые изменения в законодательстве обязывают операторов персональных данных проводить дополнительные мероприятия, а иногда и вовсе начинать все с начала.
1 ноября 2012 года вышло постановление Правительства Российской Федерации № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». В соответствии с данным постановлением определяются уровни защищенности персональных данных при их обработке в информационных системах. автоматизированный защита персональный законодательство
Алгоритм определения уровней защищенности состоит из нескольких этапов (рис.1):
1. Определение типа информационной системы (T).
2. Определение актуальности угроз безопасности персональных данных (Y).
3. Определение уровня защищенности персональных данных (Yz).
Также необходимым этапом является выбор средств и мер для обеспечения выявленного уровня защищенности ИСПДни последующее внедрение выбранных средств [1-3].
Сложность выполнения работ по данным этапам обусловлена слабо формализованным описанием параметров, определяющих актуальность угроз, а также процедуру отнесения персональных данных к типу ИС.
В статье приведена попытка формализации процесса определения уровня защищенности информационных систем, обрабатывающих персональные данные [4].
В соответствии с постановлением № 1119 различают следующие типы информационных систем:
T=<ISspec, ISbiom, ISod,ISin,ISsop>,
где ISspec - информационная система, обрабатывающая специальные категории ПДн; ISbiom - ИС, обрабатывающая биометрические персональные данные; ISod - ИС, обрабатывающая общедоступные персональные данные; ISin - ИС, обрабатывающая иные категории персональных данных; ISsop - ИС, обрабатывающая персональные данные сотрудников оператора.
Опишем типы информационных систем, представив их в виде кортежей.
ISspec=<rp,np,pv,ry,fy,sz,sig>,
где rp - расовая принадлежность; np - национальная принадлежность; pv - политические взгляды; ry - религиозные убеждения; fy - философские убеждения; sz - состояние здоровья; sig - сведения об интимной жизни субъектов персональных данных.
ISbiom=<r,v,op,sg>,
где r - рост; v - вес; op - отпечаток пальца; sg - рисунок сетчатки глаза.
ISod= <fio,dr, zd, mr, kb, zasl>,
где fio - фамилия, имя, отчество; dr - дата рождения; zd - занимаемая должность; mr - место работы(учебы); kb - краткая биография; zasl- перечень заслуг.
ISin=<fio, inn, sinss,dr, ap, sinpasp, sinvyd, sindyl>,
где fio - фамилия, имя, отчество; inn - индивидуальный номер налогоплательщика; sins- серия и номер страхового свидетельства; dr - дата рождения; ap - адрес проживания, sinpasp - серия и номер паспорта; sinvyd - серия и номер водительского удостоверения; sindуl - серия и номер документов, удостоверяющих личность.
ISsop=<fiosopinnsop, sinsssop,drsop,apsop, sinpaspsop,sinvydsop,sinydylsop>,
где fiosop - фамилия, имя, отчество; innsop - индивидуальный номер налогоплательщика; sinsssop - серия и номер страхового свидетельства;drsop - дата рождения; apsop - адрес проживания; sinpaspsop - серия и номер паспорта; sinvydsop - серия и номер водительского удостоверения; sindylsop - серия и номер документов, удостоверяющих личность.
В постановлении № 1119 также приведена классификация актуальности угроз, которую можно записать в виде следующего кортежа:
Y=<Y1,Y2,Y3>.
ЗдесьY1- угрозы 1-го типа, актуальные для ИС, если для нее в том числе актуальны угрозы, связанные с наличием недекларированных возможностей (НДВ) в системном программном обеспечении, используемом в ИС.
Y2 - угрозы 2-го типа, актуальные для ИС, если для нее в том числе актуальны угрозы, связанные с наличием НДВ в прикладном программном обеспечении, используемом в ИС.
К угрозам 1-го и 2-го типов относятся ошибки в коде программы, ошибки в проверке входных данных, переполнение буфера, неправильные настройки ПО.
Y3 - угрозы 3-го типа, актуальные для ИС, если для нее актуальны угрозы, не связанные с наличием НДВ в системном и прикладном программном обеспечении, используемом в ИС. К таким угрозам относятся: угрозы утечки по техническим каналам утечки информации, угрозы несанкционированного доступа к информации, сетевые угрозы.
Отсутствие недекларированных возможностей (функциональных возможностей ПО, не описанных в документации) может быть подтверждено наличием сертификата ФСТЭК, свидетельствующим об отсутствии НДВ в том или ином ПО. Ввиду этого при решении задачи выбора средств защиты необходимо определить множество средств защиты, сертифицированных ФСТЭК на отсутствие НДВ. Уровни защищенности персональных данных, обрабатываемых в ИС, можно описать следующим кортежем:
Yz=<Yz1,Yz2,Yz3,Yz4>,
где Yz1 - первый уровень защищенности; Yz2 - второй уровень защищенности; Yz3 - третий уровень защищенности; Yz4- четвертый уровень защищенности.
Уровень защищенности определяется типоминформационной системы и выявленной актуальностью угрозы. Условия таких сочетаний представлены в таблице.
Таблица 1. Условия отнесения ИСПДн к уровню защищенности
|
Уровень защищенности ИСПДн |
Условие отнесения к уровню защищенности ИСПДн |
|
|
Первый |
а) Yz1=<Y1,ISspec>, илиYz1=<Y1,ISbiom>, либо Yz1=<Y1,ISin>; б) Yz1=<Y2,ISspec> при условииISspec> 100 000субъектов персональных данных, ISspecMso, где Mso- множество данных сотрудников оператора |
|
|
Второй |
а) Yz2=<Y1,ISod>; б) Yz2=<Y2,ISspec> при условии ISspecMso или Yz2=<Y2,ISspec> при условии ISspec<100 000субъектов персональных данных, где ISspecMso; в) Yz2=<Y2,ISbiom>; г) Yz2=<Y2,ISod> при условии ISod>100 000субъектов персональных данных, где ISodMso; д) Yz2=<Y2,ISin> при условииISin>100 000 субъектов персональных данных, где ISinMso; е) Yz2=<Y3,ISspec>при условии ISspec>100 000, где ISspecMso |
|
|
Третий |
а) Yz3=<Y2,ISod>при условии ISodMsoили Yz3=<Y2,ISod>при условии ISod< 100 000 субъектов персональных данных, где ISodMso; б) Yz3=<Y2,ISin> при условии ISinMsoили Yz3=<Y2,ISin> при условии ISin< 100 000субъектов персональных данных, где ISinMso; в)Yz3=<Y3,ISspec> при условии ISspecMsoили Yz3=<Y3,ISspec> при условии ISspec< 100 000субъектов персональных данных, гдеISspecMso; г) Yz3=<Y3,ISbiom>; д) Yz3=<Y3,ISin> при условии ISin> 100 000субъектов ПДн, где ISinMso |
|
|
Четвертый |
а) Yz4=<Y3,ISod>; б) Yz4=<Y3,ISin> при условии ISinMsoили Yz4=<Y3,ISin> при условии ISin< 100 000субъектов ПДн, где ISinMso |
Представленный перечень угроз 3-го типа можно нейтрализовать или минимизировать с помощью организационных, программных и технических средств, не требующих подтверждения отсутствия НДВ.
Однако для угроз 1-го и 2-го типов необходимо данное подтверждение.
В соответствии с руководящим документом Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» принято различать 4 уровня контроля программного обеспечения на отсутствие НДВ, отличающиеся глубиной, объемом и условиями проведения испытаний.
Для ПО, используемого для защиты информации, отнесенной к конфиденциальной, должен быть обеспечен 4-й уровень контроля.
Набор средств защиты информационных систем (SZTY), обрабатывающих персональные данные, формируется на основе выявленного уровня защищенности (Yz) и требований, предъявленных нормативно-правовыми документами к этому уровню (рис.2.)
В соответствии с требованиями нормативно-правовой базы в области защиты персональных данных установлены требования, учтенные в формализованных кортежах наборов средств защиты ИСПДн.
SZTY4=<Robp,Rsn, ORD,SZIsert>,
где Robp - организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; Rsn - обеспечение сохранности носителей персональных данных;ORD - утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; SZIsert - использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в том случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
SZTY3=<Robp,Rsn,ORD,SZIsert,OL>,
где OL назначено должностное лицо (работник), ответственное за обеспечение безопасности персональных данных в информационной системе.
SZTY2=<Robp,Rsn,ORD,SZIsert,OL,Ogrdg>,
гдеOgrdg - доступ к содержанию электронного журнала сообщений должен быть возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
SZTY2=<Robp,Rsn,ORD,SZIsert,OL,Ogrdg,Avtreg,Spod>,
Где Avtreg - автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе; Spod - создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Таким образом, грамотное определение уровня защищенности ИСПДн является залогом построения эффективной, качественной, соответствующей требованиям законодательства системы защиты персональных данных.
Список литературы
1. Аверченков, В.И. Организационное и техническое обеспечение защиты персональных данных / В.И. Аверченков, М.Ю. Рытов, Т.Р. Гайнулин, М.В. Рудановский, О.М. Голембиовская. - Брянск: БГТУ, 2011. - 208 с. - (Серия «Организация и технология защиты информации»).
2. Голембиовская, О.М. Оценка рисков безопасности информационных систем персональных данных/О.М. Голембиовская, В.И. Аверченков, М.Ю.Рытов//Информация и безопасность. - Воронеж. - 2012. - № 3. - С.321-328.
3. Голембиовская, О.М. Разработка автоматизированной системы оценки защищенности и формирования рекомендаций по выбору средств защиты информационных систем персональных данных /О.М.Голембиовская, В.И.Аверченков, М.Ю.Рытов, Е.В.Лексиков// Вестник компьютерных и информационных технологий. - М.-2012. - №11. - С.35-41.
4. Аверченков, В.И. Разработка автоматизированной системы мониторинга защиты персональных данных в организации / В.И.Аверченков, О.М. Голембиовская, М.Ю.Рытов// Вестн. БГТУ. - 2011.- №4.- С.92-99.
Размещено на Allbest.ru
...Подобные документы
Правовое регулирование защиты персональных данных. Общий принцип построения соответствующей системы. Разработка основных положений по охране личных документов. Подбор требований по обеспечению безопасности персональных данных в информационных системах.
дипломная работа [1,3 M], добавлен 01.07.2011Анализ уровня защищенности современных корпоративных сетей. Разработка методики, позволяющей получить количественную оценку уровня защищенности системы, ее применение. Оценка уровня защищенности КИС и обоснование эффективности выбранных средств защиты.
магистерская работа [4,1 M], добавлен 09.06.2010Анализ угроз конфиденциальной информации корпоративной автоматизированной системы Internet Scanner. Расчет амортизационных отчислений, стоимости технических средств и программного обеспечения. Договорная цена разработки процедур оценки защищенности КАС.
дипломная работа [1,2 M], добавлен 01.07.2011Понятие информационной системы, виды информационных систем. Анализ инструментальных средств для разработки автоматизированных информационных систем. Требования к программе и программному изделию. Разработка форм графического интерфейса и баз данных.
дипломная работа [1,4 M], добавлен 23.06.2015Основные понятия и методы оценки безопасности информационных систем. Содержание "Оранжевой книги" Национального центра защиты компьютеров США (TCSEC). Суть гармонизированных критериев Европейских стран (ITSEC). Проектирование системы защиты данных.
курсовая работа [28,8 K], добавлен 21.10.2010Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Изучение деятельности фирмы СООО "Гейм Стрим", занимающейся разработкой программного обеспечения интеллектуальных систем. Проведение работы по тестированию информационных систем на степень защищенности и безопасности от разного рода информационных атак.
отчет по практике [933,1 K], добавлен 05.12.2012Классификация информации по уровню доступа к ней: открытая и ограниченного доступа. Понятие о защите информационных систем, использование шифровальных средств. Компетенция уполномоченных федеральных органов власти в области защиты персональных данных.
реферат [83,2 K], добавлен 13.10.2014Виды информационных систем и защита информации в них. Проблемы, возникающие в процессе защиты ИС различных видов. Электронная цифровая подпись и ее применение для защиты информационной системы предприятия. Анализ защищенности хозяйствующего субъекта.
дипломная работа [949,0 K], добавлен 08.11.2016Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа [2,5 M], добавлен 31.10.2016Анализ защищенности сетей предприятия на базе АТМ, архитектура объектов защиты в технологии. Модель построения корпоративной системы защиты информации. Методика оценки экономической эффективности использования системы. Методы снижения риска потери данных.
дипломная работа [1,2 M], добавлен 29.06.2012Анализ современного состояния проблем тестирования высоконагруженных информационных систем. Построение математической модели определения высоконагруженных операций. Разработка программного обеспечения системы генерации сценариев нагрузочного тестирования.
дипломная работа [4,4 M], добавлен 24.08.2017Пути несанкционированного доступа, классификация способов и средств защиты информации. Каналы утечки информации. Основные направления защиты информации в СУП. Меры непосредственной защиты ПЭВМ. Анализ защищенности узлов локальной сети "Стройпроект".
дипломная работа [1,4 M], добавлен 05.06.2011Описание основных технических решений по оснащению информационной системы персональных данных, расположенной в помещении компьютерного класса. Подсистема антивирусной защиты. Мероприятия по подготовке к вводу в действие средств защиты информации.
курсовая работа [63,4 K], добавлен 30.09.2013Методы защиты речевой информации. Технические средства и системы защиты. Проведение оценки защищенности защищаемого помещения. Установка средств защиты информации, предотвращающих утечку информации по акустическому и виброакустическому каналу связи.
дипломная работа [3,4 M], добавлен 01.08.2015Перечень защищаемых ресурсов на объекте информатизации. Выбор механизмов и средств защиты информации. Набор требований по безопасности. Описание реализации информационных сервисов. Разграничение доступа автоматизированной системы предприятия к ресурсам.
реферат [24,7 K], добавлен 24.01.2014Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
дипломная работа [3,2 M], добавлен 23.03.2018Определение класса защищённости АС. Разработка модели угроз. Выбор механизмов и средств защиты информационных ресурсов от несанкционированного доступа. Создание структуры каталогов для заданного количества пользователей автоматизированной системы.
курсовая работа [9,7 M], добавлен 12.05.2014Факторы угроз сохранности информации в информационных системах. Требования к защите информационных систем. Классификация схем защиты информационных систем. Анализ сохранности информационных систем. Комплексная защита информации в ЭВМ.
курсовая работа [30,8 K], добавлен 04.12.2003Области применения и реализации информационных систем. Анализ использования Web-технологий. Создание физической и логической модели данных. Проектирование информационных систем с Web-доступом. Функции Института Искусств и Информационных Технологий.
дипломная работа [3,8 M], добавлен 23.09.2013
