Разработка метода оценивания эффективности защиты персональных данных средствами машинного обучения

Введение 7
1 ИЗУЧЕНИЕ ТЕОРЕТИЧЕСКИХ АСПЕКТОВ МЕТОДОВ ОЦЕНИВАНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 9
1.1 История защиты персональных данных 9
1.1.1 История защиты персональных данных в дореволюционной России 9
1.1.2 История защиты персональных данных в СССР 9
1.1.3 История появления ФЗ №152 «О персональных данных» 10
1.2 Оценка защиты персональных данных
10
1.2.1 Роль оценки защиты персональных данных
10
1.2.2 Методы оценивания эффективности защиты персональных данных 18
1.2.3 Применение средств машинного обучения в защите персональных данных
23
1.3 Юридические аспекты защиты персональных данных 26
1.3.1 Требования защиты персональных данных 26
1.3.2 Проблемы защиты персональных данных 35
2 РАЗРАБОТКА МЕТОДА ОЦЕНИВАНИЯ ЭФФЕКТИВНОСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ОСНОВЕ НОРМАТИВНО-ПРАВОВЫХ АКТОВ В ДАННОЙ ОБЛАСТИ 35
2.1 Алгоритм разработки метода оценивания эффективности защиты персональных данных 35
2.2 Анализ потенциальных угроз информационной безопасности 38
2.2.1 Источник риска 38
2.2.2 Зона риска 39
2.2.3 Классификация нарушителей 40
2.3 Анализ аномалий 44
3 ВНЕДРЕНИЕ МЕТОДА ОЦЕНИВАНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ 63
ЗАКЛЮЧЕНИЕ 70
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 72

Весь текст будет доступен после покупки

Актуальность темы выпускной квалификационной работы
Появление вычислительной техники привело к появлению угроз и уязвимостей, которые развиваются вместе с информационными технологиями, а иногда и опережают это развитие, как например, угрозы нулевого дня. Наблюдается тенденция перевода информационных ресурсов в электронный вид (в том числе и персональных данных). В связи с этим происходит рост преступлений в сфере обработки персональных данных, которые характеризуется скрытностью, трудностью сбора улик, сложностью доказывания.
Анализ персональных данных должен проходить в соответствии с ФЗ № 152 «О персональных данных», а также в соответствии с приказами ФСТЭК и ФСБ. Оператор должен пройти аттестацию средств защиты ПД ФСТЭК или организацией, имеющей лицензию ФСТЭК, на проведение оценки.
Разработка метода оценивания персональных данных с использованием средств машинного обучения позволит автоматизировать процесс обработки персональных данных. Такая модель направлена на анализ и оценку текущего состояния защиты информации, а также на выявление потенциальных угроз и недостатков в системе безопасности, которые могут привести к негативным последствиям.
Отсутствие метода оценивания защиты персональных данных усложнит оценивание персональных данных.
Целью исследования является разработка метода оценивания эффективности защиты персональных данных.
Для достижения поставленной цели необходимо решить следующие задачи:
1) Изучить теоретический материал по защите персональных данных, основные нормативные правовые документы, регулирующие информационную безопасность в России
2) Изучить методы оценки защиты персональных данных
3) Разработать метод оценки защиты персональных данных в ИС

Весь текст будет доступен после покупки

1 ИЗУЧЕНИЕ ТЕОРЕТИЧЕСКИХ АСПЕКТОВ МЕТОДОВ ОЦЕНИВАНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.1 История защиты персональных данных
1.1.1 История защиты персональных данных в дореволюционной России
История защиты персональных данных в России берет свое начало в 1845 году. Тогда были введены уложения о наказаниях уголовных и исправительных. Они включали в себя наказания за нарушение тайны переписки[1].
Вступивший в силу 1857 году почтовый устав и в 1876 году телеграфный устав провозглашали тайну корреспонденции[2].
В 1864 году был введен устав о наказании, в котором была предусмотрена ответственность за «разглашение, с намерением оскорбить чью-либо честь, сведений, сообщенных втайне или же узнанных вскрытием чужого письма или другим противозаконным образом»[1].
Рост страны в интеллектуальном и экономическом планах, привели к появлению новых юридических отношений в стране, а также несоответствие права работе судов, буржуазной действительности и неполнота привели к появлению уложения 1903 года[3]. Согласно ему даже должностные лица не имели права вмешиваться в частную жизнь подданных[2].

1.1.2 История защиты персональных данных в СССР
После революции в 1917 году были отменены все ранее принятые законы, имеющие отношение к защите персональных данных, тайне частной жизни и переписки.
В 1918 году вышла конституция, содержавшая раздел о правах человека и не воспринявшая большинство достижений европейской демократии за исключением следующих:
? на защиту от эксплуататоров;
? на участие в управлении;
? на свободное землепользование.
В 1924 году вышла новая конституция СССР, которая в связи с появлением идеологии военного коммунизма, исключавшем любой индивидуализм, не уделила внимание неприкосновенности частной жизни человека. Защита персональных данных не могла быть поводом для отступления от идеологии военного коммунизма.
В 1936 году появилась Сталинская конституция, в которой появился раздел, посвященный правам и свободам человека и гражданина, включающий в себя права на неприкосновенность жилища и тайну переписки. Это стало серьезным достижением правовой науки, однако с точки зрения правоприменительной практики данные нововведения оказались формальностью. Право на тайну телефонных переговоров было полностью исключено. Была введена обязательная цензура переписки, если адресат находился за границей.
В годы ВОВ вопрос проблема защиты частной жизни и тайны корреспонденции была полностью снята с повестки дня.
1950-60-е годы в период оттепели СССР стал воспринимать международные гуманитарные ценности.
В 1966 году был введен пакт о гражданских и политических правах, с учетом его положений была разработана новая конституция. Были провозглашены:
- Уважение личности создание ГО и должностных лиц
- Право неприкосновенности личности жилища тайна переписки
- Право на защиту персональных данных[2].
1.1.3 История появления ФЗ №152 «О персональных данных»
Впервые, как самостоятельная ценность, неприкосновенность частной жизни вошла в российское нормативное поле в 1991 году
Неприкосновенность частной жизни как самостоятельная ценность, включающая в себя и право на защиту персональных данных, впервые вошла в российское нормативное поле после перестройки, в 1991 году.Верховный Совет РСФСР принял декларацию, полностью запретивший сбор и хранение информации о человеке, если на это не будет получено его согласие. Далее в 1995 году был разработан и принят Закон «Об информатизации и информации», который отнес персональные данные к охраняемой государством информации.
В 1999 году на уровне Ассамблеи стран СНГ был принят модельный закон о защите персональных данных, давший странам-участницам основные термины и правила регулирования сферы. Он должен был лечь в основу национального законодательства. На практике в России в большей мере была воспринята европейская концепция, которая стала основой для создания закона «О персональных данных». В части защиты прав персонала компаний соответствующие нормы Трудового кодекса были заимствованы из рекомендаций Международной организации труда (МОТ)[2].

1.2 Оценка защиты персональных данных
1.2.1 Роль оценки защиты персональных данных
Персональные данные - это сведения относящиеся к тому или иному лицу, которые являются разновидностью конфиденциальной информации, наряду с государственной, служебной, коммерческой и профессиональной тайной[4].
Утечка персональных данных может повлечь следующие последствия для субъекта: разглашение, шантаж, неправомерное списание средств с банковских счетов, вмешательство в личную жизнь, угрозы детям и т.п. Оператор персональных данных может понести ответственность вплоть до уголовной и приостановления деятельности[5]. По данным отчета InfoWatch за 2022г. в РФ 84 % утечек конфиденциальной информации приходится на персональные данные[6].
Защита информации — принятие правовых, организационных и технических мер, направленных:
1) на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа; 3) реализацию права на доступ к информации[7].
С точки зрения ФЗ №152 “О персональных данных” при обработке ПДн оператор обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных[6].

Весь текст будет доступен после покупки

1. Кадников Б.Н. О становлении и развитии законодательства об охране частной жизни граждан // Общество и право. - 2016. - №2(56). - С. 30-33(дата обращения: 24.04.2024).
2. История защиты персональных данных. URL: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/istoriya-zashchity-personalnyh-dannyh/ (дата обращения 24.04.2024).
3. Черткова О.А., Ковалёв В.А. Вклад Н.С. Таганцева в развитие российского уголовного права: разработка уголовного уложения 1903 года // Юридическая наука: история и современность. - 2022. - №1. - С. 149-153.
4. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 06.02.2023) "О персональных данных"
5. Утечка персональных данных: последствия. URL: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/utechki-personalnyh-dannyh/posledstviya/ (дата обращения 24.04.2024)
6. Отчёт об исследовании утечек информации ограниченного доступа в I половине 2022 года фирмы InfoWatch
7. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 12.12.2023) "Об информации, информационных технологиях и о защите информации"
8. Приказ ФСТЭК России от 18 февраля 2013 г. № 21
9. Классы защиты персональных данных. URL: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/klassy-zashchity-personalnyh-dannyh/
10. Оценка эффективности мер защиы персональных данных. URL: https://data-sec.ru/services/personal-data/evaluation/
11. Оценка эффективности мер защиты информационных систем персональных данных (аттестация, декларирование соответствия ИСПДн). URL: https://www.dialognauka.ru/services/audit-obsledovanie-otsenka-sootvetstviya/otsenka_sootvetstviya_inf_system/
12. Кондаков С.Е., Чудин К.С. Разработка исследовательского аппарата оценки эффективности мер обеспечения защиты персональных данных // Вопросы кибербезопасности. - 2021. - № 5 (45). - С. 45-51.
13. Грибунин В.Г., Гришаненко Р.Л., Лабазников А.П., Тимонов А.А. Безопасность систем машинного обучения. защищаемые активы, уязвимости, модель нарушителя и угроз, таксономия атак // Известия Института инженерной физики. 2021. № 3 (61). С. 65-71

Весь текст будет доступен после покупки