ПОТРЕБНОСТЬ  ОРГАНИЗАЦИЙ  В  НОВОЙ  УНИВЕРСАЛЬНОЙ  АВТОМАТИЗИРОВАННОЙ  СИСТЕМЕ  ВЫБОРА  СРЕДСТВ  ЗАЩИТЫ  ПЕРСОНАЛЬНЫХ  ДАННЫХ

Сироткин  Григорий  Вячеславович

аспирант  Астраханского  государственного  технического  университета,  РФ,  г.  Астрахань

e-mail: 

THE  NEED  OF  ORGANIZATIONS  IN  THE  NEW  UNIVERSAL  AUTOMATED  SYSTEM  OF  CHOICE  OF  MEANS  OF  PERSONAL  DATA  PROTECTION

Sirotkin  Grigoriy

postgraduate  of  Astrakhan  State  Technical  University,  Russia,  Astrakhan

АННОТАЦИЯ

В  данной  статье  автором  предлагается  один  из  способов  решения  актуальной  проблемы  защиты  персональных  данных  в  организациях  путем  разработки  алгоритмов  и  универсальной  автоматизированной  системы  выбора  средств  защиты  персональных  данных  на  основе  нечеткой  логики  и  опросе  пользователя  для  любой  организации,  а  также  приведены  доводы  в  обоснование  выводов.  В  отличие  от  других  имеющихся  на  сегодня  подобных  систем,  предлагаемая  система  способна  более  эффективно  решать  задачи  обеспечения  безопасности  персональных  данных  любой  организации.

ABSTRACT

In  this  article  the  author  suggests  one  of  the  ways  of  solving  the  urgent  problems  of  personal  data  protection  in  organizations  through  the  development  of  algorithms  and  universal  automated  system  of  personal  data  protection  means  choice  on  the  basis  of  fuzzy  logic  and  the  user  survey  for  any  organization,  and  provides  arguments  in  support  of  the  conclusions.  Unlike  other  available  today  such  systems,  the  proposed  system  is  able  to  effectively  solve  the  tasks  of  ensuring  personal  data  security  to  any  organization.

Ключевые  слова:  информационная  безопасность;  универсальная  автоматизированная  система;  выбор  средств  защиты;  безопасность  персональных  данных.

Keywords:  information  security;  a  universal  automated  system;  the  choice  of  means  of  protection;  security  of  personal  data.

Необходимость  обеспечения  безопасности  персональных  данных  в  наше  время  объективная  реальность.  Информация  о  человеке  всегда  имела  большую  ценность,  но  сегодня  она  превратилась  в  самый  дорогой  товар.  Информация  в  руках  мошенника  превращается  в  орудие  преступления,  в  руках  уволенного  сотрудника  —  в  средство  мести,  в  руках  инсайдера  —  товар  для  продажи  конкурентам.  Именно  поэтому  персональные  данные  нуждаются  в  самой  серьезной  защите.

Необходимость  принятия  мер  по  защите  персональных  данных  вызвана  также  возросшими  техническими  возможностями  по  копированию  и  распространению  информации.  Уровень  информационных  технологий  достиг  того  предела,  когда  самозащита  информационных  прав  уже  не  является  эффективным  средством  против  посягательств  на  частную  жизнь.  Современный  человек  уже  физически  не  способен  скрыться  от  всего  многообразия  явно  или  неявно  применяемых  в  отношении  него  технических  устройств  сбора  и  технологий  обработки  данных  о  людях.

С  развитием  средств  электронной  коммерции  и  доступных  средств  массовых  коммуникаций  возросли  также  и  возможности  злоупотреблений,  связанных  с  использованием  собранной  и  накопленной  информации  о  человеке.  Появились  и  эффективно  используются  злоумышленниками  средства  интеграции  и  быстрой  обработки  персональных  данных,  создающие  угрозу  правам  и  законным  интересам  человека.

Сегодня  вряд  ли  можно  представить  деятельность  организации  без  обработки  информации  о  человеке.  В  любом  случае  организация  хранит  и  обрабатывает  данные  о  сотрудниках,  клиентах,  партнерах,  поставщиках  и  других  физических  лицах.  Утечка,  потеря  или  несанкционированное  изменение  персональных  данных  приводит  к  невосполнимому  ущербу,  а  порой  и  к  полной  остановке  деятельности  организации. 

Понимая  важность  и  ценность  информации  о  человеке,  а  также  заботясь  о  соблюдении  прав  своих  граждан,  государство  требует  от  организаций  и  физических  лиц  обеспечить  надежную  защиту  персональных  данных.  Законодательство  Российской  Федерации  в  области  персональных  данных  основывается  на  Конституции  Российской  Федерации  и  международных  договорах  Российской  Федерации  и  состоит  из  Федерального  закона  Российской  федерации  от  27  июля  2006  г.  №  152-ФЗ  «О  персональных  данных»,  Трудового  кодекса  Российской  Федерации  и  других  федеральных  законов,  определяющих  случаи  и  особенности  обработки  персональных  данных,  отраслевых  нормативных  актов,  инструкций  и  требований  регуляторов.

Согласно  ч.  1  ст.  19  Федерального  закона  Российской  федерации  от  27  июля  2006  г.  №  152-ФЗ  «О  персональных  данных»  Оператор  при  обработке  персональных  данных  обязан  принимать  необходимые  правовые,  организационные  и  технические  меры  или  обеспечивать  их  принятие  для  защиты  персональных  данных  от  неправомерного  или  случайного  доступа  к  ним,  уничтожения,  изменения,  блокирования,  копирования,  предоставления,  распространения  персональных  данных,  а  также  от  иных  неправомерных  действий  в  отношении  персональных  данных.

Процесс  создания  системы  защиты  персональных  данных  можно  разделить  на  три  этапа:

1. Разработка  нормативно-правовой  базы  в  области  защиты  персональных  данных;

2. Выбор  и  внедрение  технических  и  программных  средств  защиты;

3. Разработка  и  проведение  ряда  организационных  мероприятий.

При  этом  следует  учитывать  государственные  нормативные  акты,  которые  регулируют  вопросы  обеспечения  безопасности  персональных  данных.

В  приказе  ФСТЭК  России  от  18  февраля  2013  г.  №  21  разработанный  в  соответствии  с  частью  4  статьи  19  Федерального  закона  от  27  июля  2006  г.  №  152-ФЗ  «О  персональных  данных»  установлен  состав  и  содержание  организационных  и  технических  мер  по  обеспечению  безопасности  персональных  данных  при  их  обработке  в  информационных  системах  персональных  данных  для  каждого  из  уровней  защищенности  персональных  данных.

Каждый  оператор  обязан  реализовать  организационные  и  технические  мероприятия  отвечающие  требованиям  нормативно-правовых  актов.  Реализовать  данные  требования  оператор  может  самостоятельно,  но  для  того  чтобы  сделать  это  грамотно  необходимо  специальное  образование,  что  на  данный  момент  является  крайней  редкостью.  Остаётся  только  один  выход  обратиться  в  организацию  оказывающую  услуги  в  области  информационной  безопасности.  Разработка  и  внедрение  мероприятий  по  обеспечению  информационной  безопасности  самостоятельно  являются  достаточно  убыточными.  Кроме  того  дальнейшее  поддержание  системы  защиты  требует  периодических  инвестиций  направленных  на  поддержание,  что  является  затратным. 

В  настоящее  время  имеются  следующие  автоматизированные  системы  выбора  средств  защиты  персональных  данных:

1.  Программный  комплекс  «WingDoc  ПД»  [3]  (г.  Екатеринбург,  ООО  «Компания  информационных  технологий»);

2.  Программная  система  оценки  и  построения  модели  угроз  безо-

3.  пасности  ПДн  «АИСТ-П»  (г.  Томск,  ТУСУР,  Миронова  В.Г.)  [5];

4.  Программное  обеспечение  «Модели  угроз  медицинских  информационных  систем»  (г.  Томск,  ТУСУР,  Зыков  В.Д.)  [2];

5.  Программа  оценки  и  построения  модели  воздействий  на  персональные  данные  вуза  «ПЕРС»  [1].

6.  Автоматизированная  система  выбора  средств  и  методов  защиты  персональных  данных  (Брянский  ГТУ,  Рытов  М.Ю.,  Голомбиовская  О.М.)  [4].

1)  Программный  продукт  «WingDoc  ПД»  предназначен  для  специалистов  отделов,  занимающихся  защитой  информации,  сотрудников  отделов  информационных  технологий,  организаций,  которые  профессионально  занимаются  защитой  информации.  Программный  комплекс  позволяет  в  автоматизированном  режиме  создать  модель  воздействий.  Программа  имеет  модульную  архитектуру.  В  состав  программы  входят  следующие  модули  для  разработки  моделей  воздействий:

·     Модуль  «Модель  угроз  ИСПДн». 

Модуль  выполняет  автоматическое  составление  модели  воздействий  согласно  нормативно-методическому  документу  ФСТЭК  России  «Методика  определения  актуальных  угроз  безопасности  ПДн  при  их  обработке  в  ИСПДн»  [6].

·     Модуль  «Модель  угроз  ИСПДн-К».

Модуль  составляет  модель  воздействий  и  источника  воздействий  в  соответствии  с  нормативно-методическим  документом  ФСБ  России  «Методические  рекомендации  по  обеспечению  с  помощью  криптосредств  безопасности  ПДн  при  их  обработке  в  ИСПДн  с  использованием  средств  автоматизации»  [7].

2)  Программная  система  оценки  и  построения  модели  воздействий  на  информационные  системы  обработки  ПДн  «АИСТ-П»  предназначена  для  автоматизации  этапов  классификации  ИСПДн,  определения  степени  исходной  защищенности  ИСПДн  и  разработки  модели  воздействий  (в  соответствии  с  требованиями  ФСТЭК  России  и  ФСБ  России  [6,  7,  8]).

Разработка  модели  угроз  производится  с  помощью  экспертных  оценок  каждой  из  возможных  угроз  безопасности  ПДн.  В  результате  работы  программы  формируются  документы:

·     акт  классификации  ИСПДн;

·     модель  угроз  ИСПДн.

3)  Программное  обеспечение  «Модели  угроз  медицинских  информационных  систем»  [2].  Пользователь,  с  использованием  программного  обеспечения,  проводит  классификацию  медицинской  информационной  системы  (МИС).  Классификация  осуществляется  в  ходе  опроса  пользователя.  В  результате  формируется  акт  классификации,  модель  воздействий  и  перечень

рекомендуемых  организационно-технических  мероприятий.  Особенностью  данного  программного  обеспечения  —  возможность  его  использования  специалистами  системы  здравоохранения,  не  имеющими  специальных  знаний  в  области  защиты  информации.  В  данном  программном  обеспечении  происходит  объединение  на  этапе  предпроектного  обследования  этапов  классификации  ИС  и  разработки  модели  воздействий  за  счет  типизации.  Перечисленные  инструментальные  средства  не  учитывают  специфику  вуза,  и  при  проведении  предпроектного  обследования  с  использованием  программного  комплекса  «WingDocПД»  и  системы  оценки  и  построения  модели  воздействий  на  ПДн  «АИСТ-П»  необходимо  привлечения  узко  квалифицированных  специалистов  сторонних  организаций,  что  приводит  к  увеличению  финансовых  затрат  вуза. 

4)  Программа  оценки  и  построения  модели  воздействий  на  персональные  данные  вуза  «ПЕРС».

Программный  комплекс  включает  в  себя  три  модуля: 

1.  Классификация  ИСПДн; 

2.  Определение  степени  исходной  защищенности  ИСПДн; 

3.  Построение  модели  внешних  воздействий  вуза. 

  Комплекс  «ПЕРС»  учитывает  специфику  вуза.  За  счет  типизации  информационных  систем  обработки  ПДн,  в  нем  удалось  существенно

сократить  количество  вопросов  пользователя.  Использование  данного  комплекса  не  требует  привлечения  сторонних  специалистов  [9].

5)  Автоматизированная  система  выбора  средств  и  методов  защиты  персональных  данных  в  автоматизированном  режиме  позволяет  однозначно  определить  класс  информационной  системы  персональных  данных,  выявить  недостатки  существующей  системы  персональных  данных,  сформировать  модель  угроз  информационной  системы  персональных  данных  организации  и  выработать  ряд  мер  организационной,  программной  и  технической  защите  информационной  системы  персональных  данных.  Данная  система  внедрена  в  органы  исполнительной  власти  Брянской  области.

Действующие  системы  выбора  средств  защиты  персональных  данных  широкого  распространения  не  получили  и  проблему  защиты  персональных  данных  в  организациях  на  всей  территории  России  не  разрешили.  Поэтому  продолжение  исследований  в  этой  области  является  на  сегодняшний  день  актуальным.

Необходим  поиск  новых  алгоритмов,  отличающиеся  от  аналогов,  с  целью  повышения  эффективности  используемых  автоматизированных  систем  обработки  персональных  данных  и  адаптации  их  к  использованию  во  всех  организациях.  Поэтому  одной  из  эффективных  мер,  сокращающих  затраты  времени  и  труда  на  приведение  информационных  систем  в  соответствии  требованиям  законодательства,  может  стать  создание  универсальной  автоматизированной  системы  выбора  средств  защиты  персональных  данных  на  основе  нечеткой  логики  и  опросе  пользователя.  Именно  эта  система  сможет  не  только  грамотно  определить  уровень  защищенности  информационных  систем  персональных  данных  любой  организации,  но  также  и  отслеживать  это  состояние  на  протяжении  долгого  времени.  Кроме  этого,  система  снизит  затраты,  трудоемкость  и  повысит  эффективность  защиты  персональных  данных,  обрабатываемых  в  информационных  системах  персональных  данных  любой  организации,  что  свидетельствует  о  её  практической  значимости.  В  связи  с  этим,  в  отличие  от  других  имеющихся  на  сегодня  подобных  систем,  предлагаемая  система  способна  более  эффективно  решать  задачи  обеспечения  безопасности  персональных  данных  любой  организации.  Таким  образом,  новизна  работы  заключается  в  универсальности  предлагаемой  системы  и  опросника  пользователя,  которые  позволят  обеспечить  защиту  персональных  данных  любой  организации  без  привлечения  сторонних  специалистов.

Автором  предлагается  разработка  таких  алгоритмов  и  системы,  которые  позволят  в  автоматизированном  режиме  определить  перечень  необходимых  мероприятий,  средств  защиты  информации,  составить  документацию  с  минимальными  затратами,  как  на  первоначальную  подготовку  мероприятий,  так  и  подобрать  такой  перечень  средств  защиты,  которые  выполняли  все  необходимые  требования  по  обеспечению  безопасности  с  минимальными  затратами  на  поддержание  средств  защиты  информации  в  работоспособном  состоянии.  А  так  как  выбор  тех  или  иных  средств  обеспечения  безопасности  зависит  от  многих  факторов  и  характеристик  самих  средств  обеспечения  безопасности,  зачастую  описываемых  лингвистическими  переменными,  следовательно,  являющимися  нечеткими,  то  для  автоматизации  проектирования  системы  безопасности  предлагается  использовать  нечёткую  логику.

Работа  системы  будет  основываться  на  опросе  пользователя,  которому  будут  предложены  вопросы,  описывающие  информационные  системы.  На  основании  опроса  будет  строиться  частная  модель  угроз  безопасности  персональных  данных.  Возможность  реализации  угрозы  будет  рассчитываться  исходя  структуры  информационной  системы,  из  имеющихся  средств  защиты  и  их  конфигурации.  В  соответствии  с  методикой  определения  актуальных  угроз  безопасности  персональных  данных  при  их  обработке  в  информационных  системах  персональных  данных  утверждённая  заместителем  директора  ФСТЭК  России  14  февраля  2008  г  рассчитывается  вероятность  реализации  угроз  и  актуальность  угроз  безопасности  персональных  данных.

На  основании  частной  модели  угроз  безопасности  персональных  данных  будет  предложено  техническое  решение  для  нейтрализации  актуальных  угроз  безопасности.  Средства  защиты  будут  выбираться  исходя  из  их  способности  нейтрализовать  угрозу,  в  соответствии  с  руководящими  документами  и  с  учётом  минимальной  совокупной  стоимости  владения.

Массовое  применение  автоматизированной  системы  проектирования  системы  защиты  персональных  данных  организациями  позволит  решить  проблему  обеспечения  безопасности  персональных  данных  на  всей  территории  России.  Вместе  с  тем,  для  решения  поставленной  задачи  необходимо  проведение  дополнительных  научных  исследований,  результаты  которых  будут  опубликованы  в  следующих  работах.

Список  литературы:

1. Аютова  И.В.  Модели  и  алгоритмы  управления  процессом  обработки  персональных  данных  в  вузе:  Автореферат…кандидата  технических  наук:  05.13.05.  Сургут,  2012.  —  С.  22.
2. Зыков  В.Д.  Модели  и  средства  обеспечения  управления  информационной  безопасностью  медицинских  информационных  систем:  Дис.  ...  кандидата  технических  наук:  05.13.19  /  Зыков  Владимир  Дмитриевич.  Томск,  2010.  —  150  с
3. Программный  комплекс  WingDoc  ПД  модель  угроз  ИСПДн  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://www.wingdoc.ru/products/wingdoc_pd/
4. Рытов  М.Ю.,  Голомбиовская  О.М.  Автоматизация  проектирования  систем  защиты  персональных  данных  в  органах  исполнительной  власти  //Информация  и  безопасность.  Воронеж,  —  №  4,  —  2011.  —  с.  37—44.
5. Шелупанов  А.А.  Автоматизированная  система  предпроектного  обследования  информационной  системы  персональных  данных  «АИСТ-П»  /  А.А.  Шелупанов,  В.Г.  Миронова,  С.С.  Ерохин,  А.А.  Мицель  //  Доклады  Томского  государственного  университета  систем  управления  и  радиоэлектроники.  —  2010.  —  №  1(21).  —  С.  14—22.
6. Нормативно-методический  документ  ФСТЭК  России  «Методика  определения  актуальных  угроз  безопасности  персональных  данных  при  их  обработке  в  информационных  системах  персональных  данных»  от  14  февраля  2008  года.
7. Нормативно-методический  документ  ФСБ  России  «Методические  рекомендации  по  обеспечению  с  помощью  криптосредств  безопасности  персональных  данных  при  их  обработке  в  информационных  системах  персональных  данных  с  использованием  средств  автоматизации»  от  21  февраля  2008  года.
8. Нормативно-методический  документ  ФСТЭК  России  «Базовая  модель  угроз  безопасности  персональных  данных  при  их  обработке  в  информационных  системах  персональных  данных»  от  14  февраля  2008  года
9. Увайсов  С.У.,  И.В.  Аютова  (Москва),  (Сургут)  Информационные  технологии  защиты  персональных  данных  в  вузе  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://  miem.hse.ru›data/2013/02/06/1305071158/text5.pdf