Статья опубликована в рамках: CXLIV Международной научно-практической конференции «Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ» (Россия, г. Новосибирск, 05 декабря 2024 г.)

Наука: Информационные технологии

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:

Ошкина П.Ю., Пацюк А.Д. АЛГОРИТМ ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ // Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ: сб. ст. по мат. CXLIV междунар. студ. науч.-практ. конф. № 12(142). URL: https://sibac.info/archive/technic/12(142).pdf (дата обращения: 11.01.2025)

Проголосовать за статью

Конференция завершена

Эта статья набрала 52 голоса

Дипломы участников

АЛГОРИТМ ПОСТРОЕНИЯ СИСТЕМЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Ошкина Полина Юрьевна

студент, кафедра безопасности информационных систем, Самарский университет имени С.П. Королёва,

РФ, г. Самара

Пацюк Александр Дмитриевич

канд. техн. наук, доц., кафедра безопасности информационных систем Самарский университет имени С.П. Королёва,

РФ, г.Самара

THE ALGORITHM FOR BUILDING A PERSONAL DATA PROTECTION SYSTEM

Polina Oshkina

student, Faculty of Mechanics and Mathematics, Department of Information Systems Security, Samara State University,

Russia, Samara

Alexander Patsyuk

PhD in Technical Sciences, Associate Professor, Department of Information Systems Security, Samara State University,

Russia, Samara

АННОТАЦИЯ

Рассмотрены проблемы построения системы защиты персональных данных для предприятий различных форм собственности.

Предложен алгоритм, который позволяет определить состав и содержание организационных и технических мер по обеспечению безопасности персональных данных с необходимым уровнем защищенности.

ABSTRACT

The problems of building a personal data protection system for enterprises of various forms of ownership are considered.

An algorithm is proposed that allows determining the composition and content of organizational and technical measures to ensure the security of personal data with the necessary level of security.

Ключевые слова: информационная безопасность, защита персональных данных.

Keywords: information security, protection of personal data.

Введение

В современном обществе защита персональных данных (ПДн) и обеспечение безопасного доступа к информационным ресурсам становятся приоритетными задачами для всех организаций, как государственных, так и коммерческих.

В этой связи актуальным становится вопрос обеспечения безопасности информационной системы персональных данных (ИСПДн), которая должна функционировать с соблюдением всех требований законодательства и нормативных документов регуляторов.

Общие сведения

Защита ИСПДн строится на основе требований законодательства и нормативных документов Правительства РФ, ФСБ и ФСТЭК [1, 2, 3, 4].

Алгоритм построения системы защиты персональных данных

Для обеспечения защиты ПДн при их автоматизированной обработке, необходимо последовательно решить следующие задачи:

определить категорию обрабатываемых данных;
определить требуемый уровень защищенности ИСПДн;
разработать перечень обязательных мероприятий, который обеспечит необходимый уровень защиты;
разработать организационные и технические мероприятия по обеспечению безопасности;
выбрать средства криптозащиты.

Шаг 1. Определение категории ПДн

Федеральный закон 152 «О персональных данных» (ФЗ-152) [4] делит все ПДн на 4 категории, от которых зависит требуемый уровень защищенности информационной системы.

Выделяются следующие категории.

Общие. Имя, регистрация, образование, место работы, контактные данные и т.д.
Специальные. Национальность, политика и религия, судимости и т.д.
Биометрические. Физиологические особенности человека: фотографии, отпечатки пальцев, ДНК, группа крови, и т.д.
Иные. Все, что не входит в другие категории.

Шаг 2. Определение необходимого уровня защищенности ИСПДн

Постановление Правительства №1119 [1] устанавливает для ИСПДн четыре уровня защищенности – от УЗ-1 (самый строгий), до УЗ-4 (наименее строгий). Эти уровни определяются на основе четырех критериев:

категории ПДн;
категории субъектов ПДн;
объем обрабатываемых данных;
тип актуальных угроз.

Актуальные угрозы делят на три типа и обозначают АУ-1, АУ-2, АУ-3. Они связаны с недокументированными возможностями программного обеспечения (ПО).

АУ-1 – недокументированные возможности в системном ПО;
АУ-2 – недокументированные возможности в прикладном ПО;
АУ-3 – угрозы, не связанные с ПО.

Если субъектами ПДн являются сотрудники оператора, то необходимый уровень защищенности для каждого вида ИСПДн следует определять на основе Таблицы 1.

Таблица 1

Необходимые уровни защищенности системы при обработке ПДн сотрудников оператора

Сотрудники оператора
Категории ПДн	АУ-1	АУ-2	АУ-3
Специальные	УЗ-1	УЗ-2	УЗ-3
Биометрические	УЗ-1	УЗ-2	УЗ-3
Иные	УЗ-1	УЗ-3	УЗ-4
Общедоступные	УЗ-2	УЗ-3	УЗ-4

Если субъекты ПДн не сотрудники оператора – появляется еще один критерий – количество обрабатываемых данных. Если количество превышает 100000 – для ИСПДн требуется более высокий уровень защищенности.

Таблица 2

Необходимые уровни защищенности системы при обработке ПДн субъектов не сотрудников оператора

Не сотрудники оператора
Категории ПДн	Кол-во ПДн	АУ-1	АУ-2	АУ-3
Специальные	более 100 000	УЗ-1	УЗ-1	УЗ-2
Специальные	менее 100 000	УЗ-1	УЗ-2	УЗ-3
Биометрические	более 100 000	УЗ-1	УЗ-2	УЗ-3
Биометрические	менее 100 000	УЗ-1	УЗ-2	УЗ-3
Иные	более 100 000	УЗ-1	УЗ-2	УЗ-3
Иные	менее 100 000	УЗ-1	УЗ-3	УЗ-4
Общедоступные	более 100 000	УЗ-2	УЗ-2	УЗ-4
Общедоступные	менее 100 000	УЗ-2	УЗ-3	УЗ-4

Шаг 3. Определение обязательных мероприятий, обеспечивающих необходимый уровень защищенности системы.

После определения необходимого уровня защищенности системы, решается вопрос о средствах его обеспечения. Перечень обязательных мероприятий приведен в Постановлении Правительства №1119 [1], представлен в Таблице 3 (+ - мероприятие обязательно).

Таблица 3.

Обязательные мероприятия для обеспечения необходимого уровня защищенности

Обязательные мероприятия для необходимого уровня защищенности	Необходимый уровень защищенности
	УЗ-1	УЗ-2	УЗ-3	УЗ-4
Обеспечение безопасности помещений	+	+	+	+
Сохранность материальных носителей	+	+	+	+
Перечень лиц, допущенных к работе с ПДн	+	+	+	+
Аттестация СЗИ	+	+	+	+
Должностное лицо, ответственное за обеспечения безопасности	+	+	+	-
Ограничение доступа к содержанию электронного журнала сообщений	+	+	-	-
Автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора	+	-	-	-
Структурное подразделение, ответственное за обеспечение безопасности ПДн	+	-	-	-

Шаг 4. Определение состава и содержания организационных итехнических мер по обеспечению безопасности персональных данных

Состав и содержание мероприятий по защите ИСПДн приведен в Приказе ФСТЭК №21 [2]. Все мероприятия разделены на 15 групп. Пример перечня для одной группы представлен в Таблице 4 (+ - мероприятие обязательно).

Таблица 4

Содержание мер безопасности для обеспечения необходимого уровня защищенности

Условное обозначение и номер меры	Содержание мер по безопасности персональных данных	Необходимый уровень защищенности
Условное обозначение и номер меры	Содержание мер по безопасности персональных данных	УЗ-1	УЗ-2	УЗ-3	УЗ-4
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
ИАФ1	Идентификация и аутентификация пользователей, являющихся работниками оператора	+	+	+	+
ИАФ2	Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных			+	+
ИАФ3	Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов	+	+	+	+
ИАФ4	Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации	+	+	+	+
ИАФ5	Защита обратной связи при аутентификации	+	+	+	+
ИАФ6	Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)	+	+	+	+

Шаг 5. Применение криптозащиты.

При необходимости, криптографическая защита ПДн выполняется на основе Приказа ФСБ России №378 [3], который делит все средства криптозащиты (СКЗИ) на классы (КС1, КС2, КС3, КВ, КА) в зависимости от возможностей вероятного нарушителя.

Класс КС1 – обеспечивает минимальную защиту (у нарушителя минимальные ресурсы и квалификация), КА – максимальная защита (нарушитель – спецслужба).

Выбор класса СКЗИ в зависимости от необходимого уровня защищенности и типа угроз представлен в Таблице 5, а конкретное средство выбирается из имеющих сертификат ФСБ.

Таблица 5

Выбор класса СКЗИ в зависимости от необходимого уровня защищенности и типа угроз

Необходимый уровень защищенности	АУ-1	АУ-2	АУ-3
УЗ-1	КА	КВ и выше	-
УЗ-2	КА	КВ и выше	КС1, КС2, КС3 и выше
УЗ-3	-	КВ и выше	КС1, КС2, КС3 и выше
УЗ-4	Нет требований

Выводы

Защита персональных данных является важнейшим элементом информационной безопасности любого предприятия.
Методика защиты персональных данных отличается от защиты государственной и коммерческой тайн, и основана на ряде документов регуляторов (Правительство РФ, ФСТЭК, ФСБ).
Представленный алгоритм, основанный на методических рекомендациях регуляторов, позволяет обоснованно выбирать состав и содержание организационных и технических мероприятий, для обеспечения необходимого уровня защищенности ПДн.

Список литературы:

Постановление Правительства РФ от 1 ноября 2012 г. № 1119. [Электронный ресурс]. – URL: https://base.garant.ru/70252506 (дата обращения: 20.11.2024);
Приказ ФСТЭК России от 18.02.2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс]. – URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (дата обращения: 20.11.2024);
Приказ ФСБ РФ от 10 июля 2014 г. № 378 [Электронный ресурс]. – URL: https://base.garant.ru/70727118/ (дата обращения: 20.11.2024);
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» [Электронный ресурс]. – URL: http://pravo.gov.ru/proxy/ips/?docbody&nd=102108261 (дата обращения: 20.11.2024).