Разработка автоматизированной системы мониторинга защиты персональных данных в организации
Характеристика структурно-функциональной модели автоматизированной системы мониторинга защиты данных, а также разработка математической модели определения категории персональных данных. Создание рекомендаций по усовершенствованию систем их защиты.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 27.05.2018 |
| Размер файла | 470,8 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
УДК 519.8:004.056
Разработка автоматизированной системы мониторинга защиты персональных данных в организации
В.И. Аверченков,
М.Ю.Рытов,
О.М.Голембиовская
Представлены структурно-функциональная модель автоматизированной системы мониторинга защиты персональных данных, математическая модель определения категории персональных данных и даны рекомендации по усовершенствованию систем их защиты.
Ключевые слова: персональные данные, автоматизированная система, модель угроз, мониторинг, теория множеств, комплексные системы защиты информации.
Защита персональных данных в нашей стране до недавнего времени была не столь актуальным и значимым вопросом для организаций, обрабатывающих эти персональные данные (операторов ПДн), так как вступление в силу Федерального закона № 152 «О персональных данных», принятого в 2006 году, откладывалось до 2011 года.
Выполнение требований данного закона, а также ряда постановлений правительства и методических рекомендаций Федеральной службы технического и экспортного контроля и Федеральной службы безопасности в области защищенной обработки персональных данных представляет собой поэтапный процесс, который включает в себя как определение класса информационной системы персональных данных (ИСПДн), так и защиту информационной системы различными организационными методами, программными и техническими средствами. Самостоятельное приведение операторами ПДн информационной системы персональных данных к требованиям нормативно-правовых документов представляет собой трудоемкий и достаточно сложный процесс. Альтернативой, позволяющей оператору персональных данных более полно и оперативно выполнять требования нормативно-правовых документов, могут стать автоматизированные системы мониторинга защиты персональных данных, которые способны автоматически выполнять все функции, определенные для оператора персональных данных: классифицировать информационную систему персональных данных, выявлять уровень защищенности ИСПДн, строить модель угроз и выдавать рекомендации по установке программных и технических средств защиты персональных данных.
Для решения указанных задач была разработана автоматизированная система мониторинга защиты персональных данных, представляющая собой программно-аппаратный комплекс, обеспечивающий поэтапное выполнение требований нормативно-правовых документов в области защиты персональных данных (рис.1).
1. Определение класса ИСПДн. На первом этапе пользователь вводит исходные данные, которыми являются перечень и объем персональных данных, а также особенности структуры информационной системы персональных данных (однопользовательская - многопользовательская, с разграничением прав доступа - без разграничения прав доступа и т.д.). При этом ввод перечня и объема персональных данных ограничивается выбором ПДн из ранее сформированного списка, предоставляемого БД перечня персональных данных. Такой прием универсализации сделан для удобства при работе пользователей с системой. Результатом данного этапа является сформированный акт классификации информационной системы персональных данных, в котором отражены категория, объем и класс ИСПДн, а также характеристики ИСПДн.
Для определения категорий персональных данных и класса ИСПДн в автоматизированной системе реализован подход, основанный на построении множеств персональных данных и выделении из них соответствующих элементов. автоматизированный мониторинг защита персональный
На основе классификации, приведенной в табл.1, можно разделить все персональные данные на три направления:
- данные, позволяющие однозначно идентифицировать гражданина;
- данные, раскрывающие общую информацию, но не позволяющие однозначно идентифицировать гражданина;
- данные, раскрывающие информацию о религиозных, расовых, национальных, политических взглядах, но не позволяющие однозначно идентифицировать гражданина (под идентификацией понимается признание тождественности, отождествление объекта, его опознание).
Рис. 1. Структурно-функциональная модель автоматизированной системы мониторинга защиты персональных данных
Таблица 1. Классификация персональных данных по категориям
|
Категория |
Характеристика категории |
|
|
1 |
Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни |
|
|
2 |
Персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 |
|
|
3 |
Персональные данные, позволяющие идентифицировать субъекта персональных данных |
|
|
4 |
Обезличенные и общедоступные персональные данные |
На основе такого разграничения персональные данные можно представить в виде следующих множеств:
А - множество данных, позволяющих однозначно идентифицировать гражданина: А ={a,b}.
B - множество данных, раскрывающих общую информацию, но не позволяющих однозначно идентифицировать гражданина: B={c,d,e,f,g,h,i,k,l,m}.
С - множество данных, раскрывающих информацию о религиозных, расовых, национальных, политических взглядах, но не позволяющих однозначно идентифицировать гражданина: C={n,o,p,q,r,s}.
Элементы рассмотренных множеств представлены в табл.2.
Таблица 2 Возможные виды персональных данных
|
Множество |
Элемент |
Наименование элемента |
|
|
А |
a |
Фамилия, имя, отчество |
|
|
b |
Паспортные данные |
||
|
В |
с |
Данные свидетельства о рождении |
|
|
d |
Данные водительского удостоверения |
||
|
e |
Данные об образовании |
||
|
f |
Данные о повышении квалификации |
||
|
g |
Данные о прохождении профессиональной переподготовки |
||
|
h |
Данные о воинском учете |
||
|
i |
Данные о доходах |
||
|
j |
Данные об индивидуальном номере налогоплательщика |
||
|
k |
Данные страхового свидетельства |
||
|
l |
Данные о составе семьи |
||
|
m |
Данные о льготах |
||
|
С |
n |
Данные о здоровье |
|
|
o |
Данные о расовой принадлежности |
||
|
p |
Данные о национальной принадлежности |
||
|
q |
Данные о политических взглядах |
||
|
r |
Данные о религиозных убеждениях |
||
|
s |
Данные об интимной жизни |
Для однозначного определения категории ПДн, используя данные табл.2, можно сформировать множества, представленные на рис.2.
а) б) в)
Рис. 2. Объединение множеств персональных данных для определения категории ПДн
В результате анализа объединений множеств можно выделить следующие категории ПДн :
1 категория : AUC={a,b,n,o,p,q,r,s};
2 категория : АUВ={a,b,c,d,e,f,g,h,i,j,k,l,m };
3 категория : A = {a,b};
4 категория : BUC= {c,d,e,f,g,h,i,k,l,m,n,o,p,q,r,s}.
Таким образом, однозначно можно определить, что:
- ПДн 1 категории являются множества А и С, так как в них входят данные, идентифицирующие гражданина, а также информация, касающаяся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
- ПДн 2 категории являются множества А и В, так как в них входят данные, идентифицирующие гражданина, а также дополнительная информация;
- ПДн 3 категории является множество А, так как в него входят только данные, идентифицирующие гражданина;
- ПДн 4 категории являются множества В и С, так как они не раскрывают однозначную информацию о гражданине.
В соответствии с приказом Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» для определения класса информационной системы персональных данных оператор персональных данных должен знать два параметра: категорию Хпд и объем персональных данных Хнпд (табл.3).
Таблица 3. Объем персональных данных
|
Объем |
Характеристика объема |
|
|
1 |
В информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом |
|
|
2 |
В информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования |
|
|
3 |
В информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации |
По наличию этих двух составляющих можно определить класс информационной системы персональных данных (табл.4).
Таблица 4. Определение класса информационной системы персональных данных
|
ХПД\ХНПД |
Объем 3 |
Объем 2 |
Объем 1 |
|
|
Категория 4 |
Класс 4 |
Класс 4 |
Класс 4 |
|
|
Категория 3 |
Класс 3 |
Класс 3 |
Класс 2 |
|
|
Категория 2 |
Класс 3 |
Класс 2 |
Класс 1 |
|
|
Категория 1 |
Класс 1 |
Класс 1 |
Класс 1 |
Рис.3. Фрагмент анкеты для формирования модели угроз ИСПДн
2. Формирование модели угроз. На втором этапе работы с системой формируется модель угроз ИСПДн. Формирование модели угроз состоит из нескольких этапов:
1) описание информационной системы персональных данных (цели, способы, средства обработки ПДн);
2) описание пользователей ИСПДн;
3) определение типа ИСПДн;
4) определение уровня исходной защищенности ИСПД;
5) определение вероятности реализации угроз.
Каждый этап представлен в виде анкеты, работа с которой заключается либо в заполнении граф, либо в выборе из уже готового списка ответов (рис.3).
Все данные, полученные в результате опроса пользователя, передаются в формирующийся поэтапно документ «Модель угроз».
Результатом заполнения анкет будет сформированная табличная модель угроз (рис.4).
|
Угроза |
Вероятность реализации угрозы (Y2) |
Возможность реализации угрозы (Y) |
Опасность угрозы |
Актуальность угрозы |
Меры по противодействию угрозе |
||
|
Технические |
Организационные |
||||||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
|
|
1. Угрозы утечки по техническим каналам |
|||||||
|
1.1. Угро- за утечки акустической информации |
Низкая |
Низкая |
Низкая |
Неактуаль-ная |
Виброгенераторы, генераторы шумов, звукоизоляция |
Инструкция пользователя |
|
|
Технологический процесс |
|||||||
|
1.2. Угроза утечки видовой информации |
Средняя |
Средняя |
Средняя |
Актуальная |
Жалюзи на окна |
Пропускной режим |
|
|
Инструкция пользователя |
|||||||
|
1.3. Угроза утечки информации по каналам ПЭМИН |
Высокая |
Высокая |
Высокая |
Актуальная |
Генераторы пространственного зашумления |
Технологический процесс обработки |
|
|
Генератор шума по цепи электропитания |
Контур заземления |
Рис. 4. Фрагмент табличной модели угроз
Табличный вид представления информации является достаточно простым и удобным. Пользователь, не обладая дополнительными навыками, может самостоятельно оценить вероятность и возможность реализации выявленных угроз. Также в сформированной модели угроз определены вероятные нарушители и описаны (разъяснены) возможные угрозы для ИСПДн.
На основе анализа сформированной модели угроз принимается решение о соответствии анализируемой ИСПДн требованиям нормативных документов. Если система не соответствует требованиям, вырабатываются необходимые рекомендации.
3. Выработка рекомендаций по усовершенствованию системы защиты ПДн или внедрению новой СЗПДн. На данном этапе система выдает рекомендации по внедрению программных и технических средств:
1) для повышения уровня защиты в соответствии с определенным классом ИСПДн;
2) противодействия возможным угрозам.
В состав автоматизированной системы мониторинга защиты персональных данных входят БД угроз и уязвимостей ИСПДн, а также БД организационных, технических и программно-аппаратных средств защиты ПДн.
Таким образом, создана автоматизированная система мониторинга защиты персональных данных, позволяющая в автоматизированном режиме однозначно определить класс информационной системы персональных данных, выявить недостатки существующей системы защиты персональных данных, сформировать модель угроз информационной системы персональных данных организации и выработать ряд мер по организационной, программной и технической защите информационной системы персональных данных.
Разработанная автоматизированная система мониторинга защиты персональных данных является составляющей организационно-технического блока САПР комплексных систем защиты информации (КСЗИ) и может использоваться как отдельный программный продукт для контроля за состоянием защищенности персональных данных и непосредственного создания систем защиты ПДн, а также в составе интегрированной САПР, конечным результатом работы которой является проект КСЗИ объекта информатизации [1;2]. Наличие такой системы в организациях, обрабатывающих персональные данные, значительно сократит расходы и время на внедрение системы защиты персональных данных.
Список литературы
1. Аверченков, В.И.Формализация процесса выбора состава средств обеспечения безопасности на объекте защиты/ В.И.Аверченков, М.Ю.Рытов, Т.Р.Гайнулин//Вестник компьютерных и информационных технологий.- 2010 . -№ 11.- С. 45-50.
2. Аверченков, В.И. Оптимизация выбора состава средств инженерно-технической защиты информации на основе модели Клементса- Хофмана/ В.И.Аверченков, М.Ю.Рытов, Т.Р.Гайнулин//Вестн. БГТУ.- 2008 .-№ 1.- С. 61-67.
Размещено на Allbest.ru
...Подобные документы
Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
дипломная работа [3,2 M], добавлен 23.03.2018Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа [2,5 M], добавлен 10.06.2011Система контроля и управления доступом на предприятии. Анализ обрабатываемой информации и классификация ИСПДн. Разработка модели угроз безопасности персональных данных при их обработке в информационной системе персональных данных СКУД ОАО "ММЗ".
дипломная работа [84,7 K], добавлен 11.04.2012Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Технологии защиты персональных данных и их применение. Юридический аспект защиты персональных данных в России. Описание результатов опроса среди рядовых российских пользователей. Прогноз развития технологий в связи с аспектом защиты персональных данных.
дипломная работа [149,6 K], добавлен 03.07.2017Описание основных технических решений по оснащению информационной системы персональных данных, расположенной в помещении компьютерного класса. Подсистема антивирусной защиты. Мероприятия по подготовке к вводу в действие средств защиты информации.
курсовая работа [63,4 K], добавлен 30.09.2013Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.
дипломная работа [5,3 M], добавлен 01.07.2011Правовое регулирование защиты персональных данных. Общий принцип построения соответствующей системы. Разработка основных положений по охране личных документов. Подбор требований по обеспечению безопасности персональных данных в информационных системах.
дипломная работа [1,3 M], добавлен 01.07.2011Небезопасность и ненадежность интернета вещей. Специфика медицинских систем мониторинга в сетях IOT. Высокоуровневая архитектура системы Medicus. Детали реализации обработки внешних данных. Безопасность IOT устройств. Меры защиты персональных данных.
курсовая работа [2,4 M], добавлен 24.07.2016Определение класса защищённости АС. Разработка модели угроз. Выбор механизмов и средств защиты информационных ресурсов от несанкционированного доступа. Создание структуры каталогов для заданного количества пользователей автоматизированной системы.
курсовая работа [9,7 M], добавлен 12.05.2014Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Анализ сетевой инфраструктуры, специфика среды исполнения и принципов хранения данных. Обзор частных моделей угроз персональных данных при их обработке с использованием внутрикорпоративных облачных сервисов. Разработка способов защиты их от повреждения.
курсовая работа [41,7 K], добавлен 24.10.2013Актуальность защиты информации и персональных данных. Постановка задачи на проектирование. Базовая модель угроз персональных данных, обрабатываемых в информационных системах. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.
курсовая работа [449,5 K], добавлен 17.12.2015Разработка и внедрение автоматизированной информационной системы. Изучение основных процессов, протекающих в предметной области. Создание базы данных. Исследование средств защиты информации от несанкционированного доступа и идентификации пользователей.
курсовая работа [487,2 K], добавлен 17.03.2014Проектирование базы данных для автоматизированной системы "Склад". Разработка концептуальной модели (ER-диаграмма). Преобразование в реляционную модель и ее нормализация. Разработка запросов к базе данных на языке SQL. Скрипт для создания базы данных.
курсовая работа [161,8 K], добавлен 07.10.2013Выбор системы программирования. Разработка программного обеспечения для ведения складского учета (инвентаризации) персональных компьютеров и комплектующих на предприятии. Обоснование даталогической модели данных. Рекомендации по применению программы.
курсовая работа [1,9 M], добавлен 14.01.2013Исследование возможностей ускорения процессов заполнения базы персональных данных за счет сокращения ручного ввода данных путем применения технологий оптического распознавания символов. Проектирование, реализация и тестирование автоматизированной системы.
дипломная работа [2,6 M], добавлен 10.07.2017Постановка задачи разработки автоматизированной системы управления в органах социальной защиты населения. Организация учета и распределения денежных средств. Логическая и физическая структуры базы данных. Методология работы с автоматизированной системой.
дипломная работа [1,9 M], добавлен 24.03.2010Выбор, обоснование и особенности работы СУБД. Характеристика языков программирования. Разработка структурной и функциональной модели информационной системы аптеки. Проектирование программной среды АИС и ее интерфейса. Построение модели базы данных.
курсовая работа [442,3 K], добавлен 21.04.2012Описание управления лесами Брянской области. Классификация информационной системы персональных данных. Разработка системы охраны периметра, пожарной и охранной сигнализации. Выбор аппаратуры поста управления. Средство защиты информации Secret Net 5.1.
дипломная работа [148,6 K], добавлен 18.02.2012
