Статья:
МЕТОДИКА ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Секция: 3. Информационные технологии
Выходные данные
Кондратюк Д.С., Стуканова Е.Ю. МЕТОДИКА ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ // Молодежный научный форум: Технические и математические науки: электр. сб. ст. по мат. III междунар. студ. науч.-практ. конф. № 3(3). URL: https://nauchforum.ru/archive/MNF_social/3.pdf (дата обращения: 15.11.2024)
Лауреаты определены. Конференция завершена
Эта статья набрала 0 голосов
Мне нравится1
Дипломы
лауреатов
лауреатов
Сертификаты
участников
участников
Дипломы
лауреатов
лауреатов
Сертификаты
участников
участников
III Студенческая международная заочная научно-практическая конференция «Молодежный научный форум: технические и математические науки»
МЕТОДИКА ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Кондратюк Дмитрий Сергеевич
студент Донецкого национального технического университета, г. Донецк
Стуканова Елена Юрьевна
студент Донецкого национального технического университета, г. Донецк
Губенко Наталья Евгеньевна
научный руководитель, научный руководитель, доцент Донецкого национального технического университета, г. Донецк
Хищение персональных данных каждого человека — это способ получить контроль над его повседневной жизнью и в дальнейшем использовать эту информацию для шантажа. А использовать свои данные приходится довольно часто, например, при подаче документов на визу для выезда за границу.
Актуальность темы состоит в том, чтобы помочь оценить, насколько АСУ/персонал/помещение/процесс обработки готовы противостоять взлому и указать на возможные прорехи в системе безопасности.
Общие положения. При работе с персональными данными после принятия Закона о Защите персональных данных субъекта необходимо его письменное согласие на получение и обработку (ручную или автоматизированную) этих самых данных (кроме случаев, предусмотренных законом). Подписывая такой документ, субъект априори надеется на то, что его данные будут использованы только по назначению и будут храниться в надежно защищенном месте т. к. данный вид информации относится к категории «информация с ограниченным доступом». Если же каким-то образом субъект узнает о том, что его личные данные были использованы в незаконных целях, он имеет полное право подавать в суд на владельца Базы Данных, т. к. это свидетельствует об утечке либо краже информации. И тут уже стоит обратить внимание на способ обработки данных и их хранение в целях исключения или уменьшения вероятности появления угроз безопасности. Под угрозами безопасности ПД (Персональных Данных) при их обработке в системе также может пониматься совокупность каких-либо условий/факторов, которые могут или создают опасность несанкционированного (в том числе случайного) доступа к персональным данным, результатом которого может стать: уничтожение, изменение, блокирование, копирование, распространение ПД, а также иных несанкционированных действий, возникающих при обработке документов в информационной системе персональных данных (ИСПД).
В соответствии с Законом Украины «О защите персональных данных» от 01.06.2010 № 2297-VI (редакция действует с 20.12.2012) ПД должны быть защищены от любого вида угроз безопасности.
Злоумышленник может воплотить на практике угрозы безопасности ПД, например, за счет утечки ПД по техническим каналам (физические каналы передачи данных в самом дом, утечки информации, уже обрабатываемой в технических средствах ИСПД, технические каналы для перехвата информации при ее передаче по каналам связи и последующим криптоанализом,) либо за счет несанкционированного доступа с использованием соответствующего программного обеспечения или физического доступа к носителям информации.
Для оценки возможности реализации угрозы применяются два показателя:
· уровень исходной защищенности ИСПД;
· частота (вероятность) реализации рассматриваемой угрозы и возможность опробовать на практике.
Данная методика разработана ФСТЭК России на основании Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781, с учетом действующих нормативных документов ФСТЭК России по защите информации [2].
Приведем в таблице 1 обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПД.
Таблица 1.
Показатели исходной защищенности ИСПДн
Возможные характеристики систем: |
Уровень защиты |
||
Высокий |
Достаточный |
Малый |
|
1. Географические: Физически или логически распределенная система, которая охватывает 2 и более областей/краев или страну в общем; |
|
|
×
|
Физически или логически распределенная система, которая развернута в пределах одной корпорации, но физически может находится в разных местах; |
|
×
|
|
Локальная система, построенная и работающая в пределах одного здания |
×
|
|
|
2. Физические точки доступа: Система имеет многочисленные точки доступа к системе общего пользования; |
|
|
×
|
Система имеет одну контролируемую точку доступа к сети общего пользования; |
|
×
|
|
Система вообще не имеет внешних точек доступа из систем общего пользования |
×
|
|
|
3. Доступные права пользователям на действия с файлами: Read, Search; |
×
|
|
— |
Write, Delete, Sorting; |
|
×
|
|
Modify, Transmission to external memory card |
|
|
×
|
4. Ограничение кол-ва пользователей, имеющих доступ к системе: |
|
×
|
|
Список субъектов с правом доступа четко определен, согласован, у каждого есть свой персональный идентификатор и пароль доступа; |
|||
Доступ открыт любому пользователю |
|
|
×
|
5. Активное использование соединений с другими БД: В системе несколько баз, возможно, ИСПД интегрирована в них, фирма не является владельцем БД и хранилищ данных; |
|
|
×
|
Система целиком и полностью принадлежит фирме, включая физические места размещения БД и наличие всех уровней прав доступа |
×
|
|
|
6. Необходимые меры по обезличиванию персональных данных: · Персональные данные в системе обезличены полностью, невозможно прямо или косвенно определить личность или другую идентифицирующую информацию; · Персональные данные подвергаются обезличиванию только при процессе передачи информации, но в процессе работы ПД остаются открытыми для чтения и редактирования; · Система не предпринимает абсолютно никаких действий по обезличиванию субъекта, идентификационную информацию можно получить любым способом |
×
|
×
|
×
|
С учетом всех необходимых поправок и расчетов считается количество меток на полях «высокий», «достаточный» и «малый» и на основании их количества делаются следующие выводы:
· Системе присваивают высокий уровень первоначальной защищенности, при условии, что не менее ¾ (~70 %) оценок имеют метку «высокий»;
· Системе присваивают средний уровень первоначальной защищенности, при условии, что не менее 2/3 (~67 %) оценок имеют метку «достаточный» и количество меток «малый» не превышает 10 % от общего количества идентификаторов;
· Если не выполняется ни один из вышеперечисленных пунктов, то системе в любом случае присваивают уровень первоначальной защищенности «малый». Использовать такую систему для работы с ПД запрещено до достижения ею уровня «достаточный уровень защищенности».
В процессе подготовки списка возможных угроз безопасности данным для каждого уровня первоначальной защищенности проставляется коэффициент 
: 0 для идентификатора «высокий уровень защищенности», 5 — для идентификатора «достаточный уровень защищенности» и соответственно 10 для идентификатора «малый уровень защищенности» [1].
После ввода коэффициентов просчитываем реальность воплощения угрозы в отношении данной системы обработки данных по нижеприведенной формуле:
.
Далее формируется оценочная интерпретация реальности выполнения угрозы:
· При значении Y 
— реальность выполнения угрозы признается незначимой;
· При значении Y 
— реальность выполнения угрозы признается средней;
· При значении Y 
— реальность выполнения угрозы признается существенной;
· При значении Y — реальность выполнения угрозы признается довольно высокой и ставится в приоритетную очередь на устранение.
После просчета коэффициентов еще раз составляется список угроз, отсортированных в порядке значимости. Далее со списком работают специалисты в области защиты информации и при оценке угрозы они руководствуются своими знаниями. Результатом их работы является таблица правил признания угрозы существенной или такой, которая потеряла свою актуальность [3]. Таблица оценки приведена ниже:
Таблица 2.
Оценка показателей опасности угрозы
Реальность исполнения угрозы |
Показатель опасности угрозы |
||
Малый |
Достаточный |
Высокий |
|
незначительная |
Потеряла актуальность |
Потеряла актуальность |
существенна |
средняя |
Потеряла актуальность |
существенна |
существенна |
существенная |
существенна |
существенна |
существенна |
Довольно высокая |
существенна |
существенна |
существенна |
Итак, используя вышеизложенный материал, можно вполне применять его на практике с целью оценки степени защищенности ИСПД и принятия каких-либо мер в будущем для повышения уровня защищенности данных. Таблица не ограничивается только теми факторами, которые приведены в данной статье. При применении на практике список возможных угроз может исчисляться сотнями и тысячами и для каждой из них необходимо просчитать уровень опасности для того, чтобы система обработки персональных данных работала идеально.
Список литературы:
1. Классификация угроз информационной безопасности — [Электронный ресурс] — Режим доступа. — URL: ФСТЭК. Методика определения актуальных угроз безопасности персональных данных — [Электронный ресурс] — Режим доступа. — URL: http://b-152.ru/npb/FSTEK_metodika_opr_aktual_ugroz (дата обращения 22.05.2013).
2. ФСТЭК. Методика определения актуальных угроз безопасности персональных данных — [Электронный ресурс] — Режим доступа. — URL: http://b-152.ru/npb/FSTEK_metodika_opr_aktual_ugroz (дата обращения 22.05.2013).
3. Шаньгин В. Компьютерная безопасность информационных систем. Учеб. пособие для вузов. — М.: «ИНФРА-М», 2008. — 416 с.
