CC BY
52
УДК 004.65:004.056.5 ББК 32.972.34 К 90
Кулаков Максим Андреевич
Аспирант кафедры безопасности информационных систем Самарского национального исследовательско-гоуниверситета им. академика С.П. Королева, Самара, тел. (846) 3379941, e-mail: kulakovma18@gmail.com Цветов Виктор Петрович
Доцент, кандидат физико-математических наук, доцент кафедры безопасности информационных систем Самарского национального исследовательского университета им. академика С.П. Королева, Самара, тел. (846) 3379941, e-mail: tsf-su@mail.ru
Автоматизация подбора средств защиты информации в соответствии с законодательством в сфере защиты персональных данных
Аннотация. Дается описание экспериментального образца автоматизированной системы, предназначенной для подбора средств защиты персональных данных, в соответствии с требованиями, предъявляемыми к защите таких данных.
Ключевые слова: информационные системы персональных данных, защита персональных данных. Kulakov Maksim Andreevich
Post-graduate student of Information Security Department, Samara National Research University named after Academician S.P. Korolev, Samara, ph. (846) 3379941, e-mail: kulakovma18@gmail.com Tsvetov Viktor Petrovich
Associate Professor, Candidate of Physics and Mathematics, Associate Professor of Information Security Department, Samara National Research University named after Academician S.P. Korolev, Samara, ph. (846) 3379941, e-mail: tsf-su@mail.ru
Automation of security instruments choice for the personal data protection in accordance with the current legislation
Abstract. The paper describes a software prototype for the automatically choice of personal data protection instruments in accordance with the current requirements.
Keywords: information systems of personal data, protection of personal data.
Введение
Разработкам систем защиты информации посвящено большое количество работ, в том числе относящихся к области образования и организации учебного процесса [1-2]. Одним из видов информации, подлежащей обязательной защите, являются персональные данные (ПДн). Требования к безопасности ПДн, обрабатываемых в информационных системах персональных данных (ИСПДн), ужесточаются по мере того, как возрастает интерес злоумышленников к чувствительной личной информации. В связи с этим, становится актуальной задача подбора средств защиты информации для ИСПДн. Автоматизация данного процесса может значительно ускорить построение систем защиты таких объектов сферы информатизации. В данной заметке представлены результаты работ по созданию экспериментального образца системы автоматического подбора средств защиты ПДн, удовлетворяющей требованиям действующего законодательства и критериям оптимального покрытия необходимых к реализации мер безопасности. Экспериментальный образец разработан в Самарском университете на кафедре безопасности информационных систем.
Нормативно-правовая база защиты ПДн
Системы защиты информации ИСПДн проектируются в соответствии со следующими нормативно-правовыми документами в сфере защиты ПДн, которые регламентируют выбор средств защиты:
• Федеральный закон (ФЗ) от 27.07.2006 № 149 (ред. от 23.04.2018) «Об информации, информационных технологиях и о защите информации»;
• ФЗ № 152 от 27.07.2006 (ред. от 29.07.2017) «О персональных данных»;
• ФЗ № 242 от 21.07.2014 «О внесении изменений в отдельные законодательные акты
Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»;
• «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК 15.02.2008);
• «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утв. ФСБ 21.02.2008 № 149/54-144);
• Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России № 21 от 18.02.2013 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Государственный реестр сертифицированных средств защиты информации N РОСС Яи.0001.01БИ00: ФСТЭК России;
• Перечень средств защиты информации, сертифицированных ФСБ России: Центр по лицензированию, сертификации и защите государственной тайны ФСБ России.
В разработанной системе использовалась адаптированная версия реестра ФСТЭК России, не содержащая специализированного программного обеспечения.
Следует отметить, что законодательные акты в сфере защиты информации и защиты ПДн в частности, каждый год претерпевают изменения. К примеру, в ФЗ № 149 от 27.07.2006 «Об информации, информационных технологиях и о защите информации» за последние пять лет было внесено двадцать две поправки, что свидетельствует о быстром изменении информационных технологий, появлении все новых областей, требующих регулирования на государственном уровне.
Алгоритм автоматизированного подбора средств защиты информации (СрЗИ)
Процедура выбора мер по обеспечению безопасности ПДн состоит из следующих этапов:
• проведение анализа и описание ИСПДн;
• разработка модели угроз, в процессе которой оценивается вред, который может быть причинен субъектам ПДн, а также определяется перечень актуальных угроз и их тип (согласно Постановлению Правительства № 1119), оценивается уровень защищенности ПДн;
• определение базового набора мер по обеспечению безопасности ПДн;
• адаптация базового набора мер с учетом структурно-функциональных характеристик информационной системы;
• уточнение адаптированного набора мер с учетом актуальных угроз безопасности ПДн;
• дополнение уточненного адаптированного набора мер по обеспечению безопасности ПДн.
Тем самым алгоритм выбора СрЗИ должен реализовывать следующие шаги:
1. Получение входных данных описывающих ИСПДн.
2. Определение базового набора мер обеспечения безопасности ПДн.
3. Адаптация базового набора мер.
4. Уточнение адаптированного набора мер.
5. Подбор СрЗИ исходя из полученных на предыдущих этапах данных.
6. Вывод результатов работы алгоритма.
Принципиальная схема автоматизированной системы
Автоматизированная система имеет трехзвенную клиент-серверную архитектуру на основе Web-технологий. В качестве средства разработки использовался фреймворк Django с поддержкой языка программирования Python; в качестве сервера управления базой данных (СУБД) - СУБД SQLite; в качестве сервера приложений - встроенный веб-сервер Django; в качестве клиентов - стандартные Интернет-браузеры.
База данных (БД) системы состоит из следующих таблиц:
• таблица с данными о пользователях системы;
• таблица с данными о составе и содержании мер по обеспечению безопасности ПДн;
• таблица с перечнем сертифицированных СрЗИ (с указанием разработчика и срока окончания сертификата ФСТЭК);
• таблица с пользовательскими данными о структурно-функциональных характеристиках информационной системы, которые учитываются на этапе адаптации базового набора мер;
• таблица с данными о стоимости СрЗИ в зависимости от типа затрат на внедрение;
• таблица с перечнем типов затрат на внедрение СрЗИ (управляющее ПО, лицензии на хост, техническая поддержка и т.п.);
• таблица с данными о результатах предыдущих запросов подбора СрЗИ пользователей;
• вспомогательные таблицы.
Сценарии сервера приложений реализуют функции администрирования системы, ввод пользовательских данных, алгоритмы подбора СрЗИ и вывод результатов.
Система обеспечивает ввод следующих пользовательских данных:
• уровень защищенности ПДн;
• количество рабочих станций и операционные системы, которые на них установлены;
• количество серверных узлов и операционные системы, которые на них установлены;
• особенности архитектуры ИСПДн;
• уже имеющиеся в системе СрЗИ;
• тип алгоритма, по которому будет осуществляться подбор СрЗИ.
Система реализует два наиболее востребованных метода подбора средств защиты с наименьшей избыточностью и наименьшей стоимостью.
Алгоритм подбора с наименьшей избыточностью мер защиты, реализуемых СрЗИ, состоит из следующих шагов:
1. получение пользовательских данных;
2. анализ списка нереализованных мер;
3. выбор из БД списка СрЗИ, в которых реализуются невыполненные меры;
4. подсчет количества реализуемых мер каждым СрЗИ;
5. выбор СрЗИ, имеющего наибольшее количество совпадений со списком нереализованных мер;
6. исключение из предъявляемого на данной итерации набора тех мер, которые реализует включенное на предыдущем шаге СрЗИ;
7. проверка количества нереализованных мер: если их количество больше нуля - переход к шагу 2, если же равно нулю - перейти к следующему шагу;
8. поиск и исключение средств защиты, функционал которых дублируется другими СрЗИ из подобранных;
9. вычисление итоговой стоимости всех СрЗИ.
Алгоритм подбора СрЗИ с наименьшей стоимостью использует эвристический коэффициент относительной стоимости реализации одной меры по защите ПДн. Коэффициент учитывает общую стоимость лицензий и технической поддержки по защите хостов, а также количество реализуемых данным СрЗИ мер по защите ПДн. Алгоритм состоит из следующих шагов:
1. получение пользовательских данных;
2. анализ списка нереализованных мер;
3. выбор из БД списка СрЗИ, в которых реализуются невыполненные меры;
4. выбор из БД стоимости внедрения каждого средства защиты;
5. расчет коэффициента применимости для каждого СрЗИ;
6. выбор средства защиты с наилучшим коэффициентом применимости;
7. исключение из предъявляемого на данной итерации набора тех мер, которые реализует включенное на предыдущем шаге СрЗИ;
8. проверка количества нереализованных мер: если их количество больше нуля - перейти к шагу 2, если же равно нулю - перейти к следующему шагу;
9. поиск и исключение средств защиты, функционал которых дублируется другими СрЗИ из уже подобранных;
10. вычисление итоговой стоимости всех СрЗИ.
По результатам работы пользователю предоставляется список подобранных СрЗИ с указанием их производителя, функций и стоимости.
Примечания:
1. Белов Е.Б., Лось В.П. О формировании компетенции «Обладание культурой информационной безопасности» // Актуальные проблемы обеспечения информационной безопасности: труды Межвуз. науч.-практ. конф. Самара: Инсома-Пресс, 2017. С. 60-63.
2. Повышение качества подготовки студентов по профильным дисциплинам в области информационной безопасности на основе участия в олимпиадах на примере международных соревнований -УОЬвЛСТР / С.В. Казарин, Е.Н. Левин, М.Н. Осипов [и др.] // Актуальные проблемы обеспечения информационной безопасности: труды Межвуз. науч.-практ. конф. Самара: Инсома-Пресс, 2017. С. 101-105.
References:
1. Belov E.B. Los V.P. On the formation of the competence "The possession of the culture of information security" // Actual problems of ensuring Information security: proceedings of the Inter-university scient. and pract. conf. Samara: Insoma-Press, 2017. P. 60-63.
2. Improving the quality of training students in the relevant disciplines in the field of information security based on participation in the olympiads on the example of international competitions - VOLGACTF / S.V. Kazarin, E.N. Levin, M.N. Osipov [at al.] // Actual problems of ensuring information security: proceedings of the Inter-University scient. and pract. conf. Samara: Insoma-Press, 2017. P. 101-105.
