Разработка модели и алгоритмов анализа рисков в процессе аудита информационной безопасности персональных данных на основе IDEF

ВВЕДЕНИЕ 7
1 Анализ текущего состояния безопасности информационной системы для персональных данных 11
1.1 Специфика персональных данных как объекта защиты. Правовая база охраны ПДн. 11
1.2 Концепция информационной безопасности от ИСПД. Анализ существующих подходов к тестированию ISPD 13
1.2.1 Жизненный цикл системы защиты персональных данных 13
1.3 Методы и алгоритмы для поддержки принятия решений в аудитах ISPD 14
1.4 Анализ средств автоматизации этапов аудита ИСПД 16
2 Разработка системных моделей и методов оценки защищенности информационных систем 21
2.1 Системное моделирование процесса аудита на основе ИСПД IDEF 21
2.2 Построение онтологии процесса аудита ISPD 26
2.3 Модель ИСПД как объект конструктивной ревизии ИС защитный профиль 32
2.3.1 Требования безопасности ИСПД на основе нормативных и методических материалов ФСТЭК Казахстана 32
2.3.2 Модель ИСПД как объект конструктивной ревизии ИС 41
3 Разработка алгоритма решения оценки рисков для информационных ресурсов ISDN с использованием интеллектуальных аналитических технологий 47
3.1 Оценка рисков ИБ для информационных активов ИСПД на основе неточных продукционных правил 47
3.2 Принятие решений на этапе оценки риска ИБ и обработки информационных активов ИСПД с использованием нечетких нейронов сети 58
4 Разработка исследовательского приложения для аудита рисков ИСПДн 61
4.1 Разработка приложения на C# 61
ЗАКЛЮЧЕНИЕ 66
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 67

Весь текст будет доступен после покупки

Актуальность исследования. Защита персональных данных (ПД) физических лиц является одной из важнейших задач информационной безопасности (ИБ) любой организации. Злоумышленники используют украденные ПДн для получения кредита, налоговых отчислений и используют сводную информацию о физических лицах в маркетинговых, коммерческих и других целях. В соответствии с требованиями, в нормативно-правовых актах и законах используются следующие основные понятия:
1) биометрические данные - персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность;
2) персональные данные - сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
3) блокирование персональных данных - действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
4) накопление персональных данных - действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные.
Следует отметить, что значение ПД с каждым годом увеличивается. По данным аналитического центра InfoWatch, в первом полугодии 2017 года объем утечек ПДн, в том числе номеров социального страхования, реквизитов пластиковых карт и другой критической информации, увеличился в восемь раз по сравнению с аналогичным периодом прошлого года. Доля утечек ПДн в общем количестве утечек информации составила 66% [30]. А в первом полугодии 2018 года утечки ПДн составили 69% от общего количества утечек информации. В последнее время правовая база в области защиты персональных данных существенно дополнена и изменена, что нашло отражение, в частности, в Постановлении Правительства РФ от 1 ноября 2012 г. № 1119.

Весь текст будет доступен после покупки

1 АНАЛИЗ ТЕКУЩЕГО СОСТОЯНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ДЛЯ ПЕРСОНАЛЬНЫХ ДАННЫХ


1.1 Специфика персональных данных как объекта защиты. Правовая база охраны ПДн


Согласно законодательству РК, Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.
Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.
В целях информационного обеспечения населения используются общедоступные источники персональных данных (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации).
Сведения о субъекте, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, исключаются из общедоступных источников персональных данных в любое время по требованию субъекта или его законного представителя либо по решению суда или иных уполномоченных государственных органов.
При этом расходы, возникающие при уничтожении персональных данных с общедоступных источников персональных данных, возлагаются на собственника и (или) оператора, третье лицо.
Объем расходов, возникающих при отзыве согласия субъекта или его законного представителя на распространение его персональных данных в общедоступных источниках персональных данных, связанных с уничтожением персональных данных с общедоступных источников персональных данных, а также лица, на которые возлагаются данные расходы, в случае возникновения необходимости определяются в судебном порядке.
– Осуществляющих обработку персональных данных в своих информационных системах, независимо от размера и формы собственности;
– ПД привязаны к определенной теме ПД. В случае нарушения конфиденциальности, целостности или доступности ПДн субъекту ПДн может быть нанесен значительный ущерб;
– ПД неоднородны и переходят из одной категории в другую;
– Потеря персональных данных может быть обнаружена не сразу, а через некоторое время;
– ущерб от неправомерных действий с ПД трудно оценить, он может проявляться как на уровне субъекта, так и в ряде случаев на уровне государства;
– ПД обычно обрабатываются в открытых системах многими различными операторами, передаются и хранятся на различных носителях, включая электронные документы вместе с другой информацией, не связанной с ПД;
– Другими препятствиями являются существующие бюджетные ограничения для обеспечения безопасности персональных данных и нехватка квалифицированных кадров.
Определение вида угроз безопасности ИСПД основывается на оценке потенциального вреда для потенциального нарушителя и возможных путей устранения угроз безопасности ИСПД. Построение модели злоумышленника и модели угрозы регулируется следующими нормативными актами ФСТЭК и ФСБ Казахстана:
– «Методические указания по обеспечению безопасности персональных данных с использованием криптографических средств при их обработке в информационных системах персональных данных с использованием средств автоматизации» [77];
– «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» - содержит систематизированный перечень угроз безопасности персональных данных при их обработке в ИСПД [12]. Эти угрозы вызваны умышленными или неумышленными действиями отдельных лиц, действиями иностранных разведывательных служб или организаций, а также преступных групп, которые создают условия для нарушения безопасности персональных данных, в результате чего наносится ущерб жизненно важным интересам общества, общества и государства;
– «Методика выявления реальных угроз безопасности персональных данных при обработке персональных данных в информационных системах» - описывает порядок определения реальных угроз безопасности персональных данных в ИСПД [76].

Весь текст будет доступен после покупки

1. Салова В.В. Анализ методов оценки рисков в информационных системах персональных данных // Восьмая Всероссийская зимняя школа-семинар для аспирантов и молодых ученых: Материалы. Том 1. Информационно-коммуникационные технологии – Уфа: УГАТУ, 2013. – С. 289-292.
2. Салова В.В. Обеспечение принятия решений по аудиту информационных систем персональных данных на основе онтологического подхода // Мавлютовские чтения: VIII Всероссийская научная молодежная конференция: Материалы, Вып. 3, УГАТУ, 2014. - С. 41-42.
3. Салова В.В. Правовое регулирование защиты персональных данных // Мавлютовские чтения: VII Всероссийская молодежная научная конференция: Сборник трудов 7, УГАТУ, 2013.
4. Салова В.В. Применение Федерального закона «О персональных данных» при проектировании обеспечения информационной безопасности // Мавлютовские чтения: Всероссийская научная молодежная конференция: сборник статей в 5 тт. Том. 3 - Уфа: УГАТУ, 2012. - С. 34-36.
5. Салова В.В. Моделирование системы при проверке защищенности информационных систем персональных данных // Девятый Всероссийский семинар зимней школы аспирантов и молодых ученых: Материалы. Том 1. Информационно-коммуникационные технологии – Уфа: УГАТУ, 2014.
6. Салова В.В., Васильев В.И. Автоматизация тестирования информационных систем персональных данных на основе построения антологий и недостоверных выводов // Научно-технический журнал «Системы управления и информационные технологии», № 3 (57) – Москва-Воронеж, 2014. – С. 41-45.
7. Салова В.В., Васильев В.И. Аудит информационных систем персональных данных на соответствие нормативным документам // Материалы VI Межрегиональной научно-практической конференции
«Информационная безопасность и защита персональных данных: проблемы и подходы к их решению» - Брянск, 2014. - С. 133-138.
8. Салова В.В., Васильев В.И. Интеллектуальная система поддержки принятия решений для оценки рисков безопасности информационных систем персональных данных // Материалы 2-й Международной конференции «Информационно-технологическое обеспечение интеллектуального принятия решений и Международного семинара по роботам и робототехническим системам», УГАТУ, 2014. – С. 39-47.

Весь текст будет доступен после покупки