автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Методы и алгоритмы построения информационных систем персональных данных в защищенном исполнении

Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики

На правах рукописи

00505065)*» Куракин Александр Сергеевич

МЕТОДЫ И АЛГОРИТМЫ ПОСТРОЕНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ

05.13.19 - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ

диссертации на соискание ученой степени кандидата технических наук

1 4 МАР 2013

Санкт-Петербург - 20X3

005050659

Работа выполнена в ФГБОУВПО Санкт-Петербургском национальном исследовательском университете информационных технологий механики и оптики

Научный руководитель: доктор технических наук, профессор

Гатчин Юрий Арменакович Официальные оппоненты: доктор технических наук, профессор

Швед Виктор Григорьевич, НОУ ДПО «Учебный центр «СпецПроект», советник директора

кандидат технических наук

Михайличенко Ольга Викторовна,

ООО «Газинформсервис», ведущий инженер

Ведущая организация: Федеральное военное государственное

образовательное учреждение высшего профессионального образования «Военно-космическая академия имени А.Ф. Можайского» Министерства обороны Российской Федерации (BKA имени А.Ф. Можайского)

Защита состоится в 20 февраля 2013 г. на заседании диссертационного Совета Д 212.227.05 при Санкт-Петербургском национальном исследовательском университете информационных технологий, механики и оптики по адресу: г. Санкт-Петербург, пр. Кронверкский, д.49.

Заверенные отзывы на автореферат просьба направлять в двух экземплярах по адресу: 197101, г. Санкт-Петербург, пр. Кронверкский, д.49, ученому секретарю диссертационного Совета Д 212.227.05.

С диссертацией можно ознакомиться в библиотеке Санкт-Петербургского национального исследовательского университета информационных технологий, механики и оптики.

Автореферат разослан /<f ¿0/3г.

Ученый секретарь диссертационного Совета, кандидат технических наук, доцент / //_ л/ / Поляков В. И.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность темы. Совокупность изменений порядка обработки персональных данных, применения широкомасштабной автоматизации сбора, обработки персональных данных и введения санкций за не выполнение требований вступившего в силу 26 января 2007 года Федерального закона №152-ФЗ «О персональных данных» с учетом корректировок, внесенных Федеральным законом от 27 декабря 2009 года «ЗбЗ-ФЗ», обуславливает возрастание значимости обеспечения защиты обрабатываемых персональных данных. При этом эффективность использования государственных и частных денежных средств, направленных на создание и модернизацию систем информационной безопасности является неотъемлемой и приоритетной задачей организаций и подразделений, обеспечивающих информационную безопасность. Вследствие этого, резко возрастает актуальность решения задачи защиты информации, а также разработки методов и алгоритмов построения информационных систем персональных данных (ИСПДн) в защищенном исполнении. В свою очередь, нормативно-правовая база Российской Федерации, регламентирующая обработку персональных данных и требования к обеспечению защиты персональных данных, однозначно не определяет методику построения ИСПДн в защищенном исполнении.

В связи с этим, для выполнения возложенных на организацию требований по защите ИСПДн необходимо разработать методы и алгоритмы, применение которых обеспечит необходимую защищенность обрабатываемых им персональных данных (ПДн), снизит вероятность несанкционированного доступа (НСД) к персональным данным (ПДн) и сократит затраты на разработку системы защиты от несанкционированного доступа.

В рамках настоящей диссертационной работы предлагается решение задачи обеспечения информационной безопасности информационных систем персональных данных при помощи применения методики разработки ИСПДн в защищенном исполнении.

Цель и задачи работы. Целью диссертационной работы является разработка методов и алгоритмов построения информационных систем персональных данных в защищенном исполнении, применение которых позволит решить задачи обеспечения информационной безопасности ИСПДн от НСД.

В соответствии с целью в работе поставлены и решены следующие задачи:

1. Анализ основных проблем обеспечения информационной безопасности ИСПДн отНСД.

2. Разработка метода формирования требований к защищенности ИСПДн от НСД.

3. Разработка алгоритма выбора средств защиты информации от НСД.

4. Разработка алгоритма деперсонализации персональных данных.

5. Разработка метода оценки общей защищенности ИСПДн.

6. Разработка методики построения ИСПДн в защищенном исполнении. Методы исследования. Для решения задач использованы методы теории

вероятностей и математической статистки, методы вычислительной математики и математической логики, комбинаторные методы, а также теория принятия решений.

Доверенность и обоснованность полученных результатов обеспечивается учетом факторов и условий, влияющих на исследуемые вопросы; анализом имеющихся результатов в рассматриваемой области знаний; методологической основой научного задела по рассматриваемой тематике; применением современных апробированных теоретических подходов и математических методов исследований; обоснованностью принятых допущений и ограничений при разработке методического аппарата исследований; проведением многовариантного анализа; учетом имеющегося опыта и практики в области обеспечения защиты информации.

Научная новизна заключается в разработке и исследовании методов и алгоритмов обеспечения информационной безопасности, защиты персональных данных и в разработке методики построения ИСПДн в защищенном исполнении. Основные положения, выносимые на защиту:

1. Метод формирования требований к защищенности ИСПДн от НСД, заключающийся в последовательном сок-ращении формального перечня требований к системе защиты ИСПДн, установленного нормативными документами, на основе анализа следующих параметров системы: актуальности рассматриваемых угроз информационной безопасности, категории ИСПДн и исходной оценки защищенности.

2. Алгоритм деперсонализации персональных данных, заключающийся в разбиении исходного множества данных на подмножества и последовательном применении циклических перестановок первого и второго уровня для перемешивания данных внутри этих подмножеств и самих подмножеств между собой.

3. Алгоритм выбора организационных мер и технических средств защиты информации (СЗИ) для ИСПДн, заключающийся в применении модифицированного «жадного алгоритма» для построения оптимального набора СЗИ, нейтрализующего все множество актуальных угроз НСД к ПДн и удовлетворяющего ограничивающему условию на суммарную стоимость выбранных средств.

4. Метод оценки общей защищенности ИСПДн, заключающийся в вычислении коэффициента защищенности ИСПДн на основе данных об актуальности рассматриваемых угроз НСД к ПДн, коэффициентах опасности этих угроз и выбранных СЗИ для их нейтрализации.

5. Методика построения ИСПДн в защищенном режиме, заключающаяся в последовательном применении перечисленных выше методов и алгоритмов с целью повышения коэффициента общей защищенности ИСПДн при соответствующем ограничении на стоимость системы защиты. Практическая значимость. Эффект от использования результатов

диссертационной работы состоит:

1. В сокращении расходов на обеспечение информационной безопасности ИСПДн от НСД.

2. В повышении защищенности ИСПДн от НСД и сопутствующего снижения вероятности возникновения ущерба от НСД к ИСПДн.

3. В разработке способа деперсонализации персональных данных, по которому подана заявка на выдачу патента на изобретение (заявка № 2012144274/08, приоритет от 16.10.2012).

4. В государственной регистрации программы для ЭВМ, реализующей алгоритм деперсонализации персональных данных (свидетельство № 2012618608).

5. В использовании программных продуктов и результатов их работы в ЗАО «СПб РЦЗИ» и НИР № 12351 кафедры проектирования безопасности компьютерных систем НИУИТМО.

Внедрение и реализация. Практически результаты работы используются в специализированных и научно-исследовательских организациях, что подтверждено соответствующими актами о внедрении.

В число организаций, внедривших и использующих результаты работы, входят ЗАО «СПб РЦЗИ», НИУ ИТМО и BKA им. А.Ф. Можайского.

Апробация работы. Основные результаты диссертационной работы прошли апробацию в ходе докладов и обсуждений докладов на международных и всероссийских научно-технических конференциях:

1) II научно-практической конференция молодых ученых СПбГУ ИТМО, 2010 г.

2) Конференция «VIII Всероссийская межвузовская конференция молодых ученых», 2010 г.

3) Международная научно-практическая конференция «Современные направления теоретических и прикладных исследований - 2011», 2011 г.

4) Всероссийская научно-техническая конференция студентов, аспирантов и молодых ученых, 2011 г.;

5) Всероссийская научно-практическая конференция «Информационные технологии в профессиональной деятельности и научной работе», 2011 г.

6) I межвузовская научно-практическая конференция «Актуальные проблемы организации и технологии защиты информации», 2011 г.

Публикации. По теме диссертации опубликовано 10 печатных работ, из которых 4 опубликованы в материалах международных научных конференций и две из которых опубликованы в журналах, входящих в утвержденный Высшей Аттестационной комиссией «Перечень ведущих рецензируемых научных журналов и изданий, выпускаемых в Российской Федерации, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученой степени доктора и кандидата наук».

Структура и объем диссертации. Работа состоит из введения, четырех глав, заключения, приложений и списка литературы.

ОСНОВНЫЕ ПОЛОЖЕНИЯ РАБОТЫ

Во введении обосновывается актуальность темы, сформулированы цель и задачи исследования, показана научная новизна полученных результатов, приведены сведения об их практическом использовании и представлены основные положения, выносимые на защиту.

В первой главе рассмотрены особенности информационных систем персональных данных, их отражение в нормативно-правовой базе, закономерности и проблематика взаимосвязи между выполнением требований к защищенности ПДн и возможными нарушениями. Приведены и проанализированы в части процесса формирования поля угроз информационной безопасности (ИБ), риски нарушений ИБ

ИСПДн при НСД, модели нарушителя. Приведены классификация и анализ средств защиты информации (СЗИ), а также рассмотрены тенденции развития алгоритмов, методов защиты ИБ ИСПДн. Для оптимальной оценки эффективности применяемых СЗИ, согласно разрабатываемым алгоритму и методам, сформировано достаточное множество параметров. Поставлена задача разработки методов, алгоритмов и методики построения информационных систем персональных данных в защищенном исполнении.

В общем случае можно выделить следующие основные характеристики безопасности данных:

- конфиденциальность ПДн;

- целостность ПДн;

- доступность ПДн.

Для построения системы защиты ИСПДн необходима объективная оценка текущего состояния информационной безопасности организации, а также ее адекватности поставленным задачам в части достижения цели по увеличению эффективности и рентабельности экономической деятельности организации. Наиболее значимым подходом к аудиту безопасности является анализ информационных рисков, позволяющий эффективно управлять информационной безопасностью предприятия.

Анализ риска производится, исходя из непосредственных целей и задач по защите конкретного вида информации конфиденциального характера. При этом под термином «атака» более перспективно понимать не только человеческие воздействия на информационные ресурсы, но и воздействия окружающей среди, в которой функционирует система обработки информации предприятия.

При построении систем обеспечения информационной безопасности также нужно определить стратегию управления рисками на предприятии. На сегодня известно несколько подходов к управлегапо рисками. Один из наиболее распространенных -уменьшение риска путем использования соответствующих способов и средств защиты. Близким, по суш, является подход, связанный с уклонением от риска.

Одним из важных этапов проведения анализа рисков является определение модели нарушителя информационной безопасности для конкретной организации. Эта модель представляет собой описание типов злоумышленников, которые каким-то образом способны нанести ущерб информационной системе.

Согласно руководящему документу Гостехкомиссии (РД ГТК) «Защита от несанкционированного доступа к информации» задача построения модели нарушителя состош в абстрактном формализованном или неформализованном описании нарушителя правил разграничения доступа Модель нарушителя отражает его

практические и теоретические возможности, априорные знания, время и место действия и т.п. Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно либо повлиять на сами эти причины (конечно, если это возможно), либо точнее определить требования к системе защиты от данного вида нарушений или преступлений,

В соответствии с РД ГТК «Концепция защиты средств вычислительной техники и АС от НСД к информации» для целей проектирования защиты ИСПДн нарушителей можно классифицировать по уровню возможностей, предоставляемых им штатными средствами автоматизированных систем (АС) и средств вычислительной техники (СВТ). Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего. Выделяется четыре уровня этих возможностей (рис. 1):

Ш

1Ш

Рисунок [ - Классификация нарушителей по уровню возможностей Нг - к этой категории относятся нарушители, имеющие самый низкий уровень возможностей ведения диалога в ИСПДн: запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации;

Нг - нарушитель из этой категории имеет возможность создания и запуска собственных программ с новыми функциями по обработке информации в ИСПДн;

Н3 - данная категория включает нарушителей, имеющих возможность управления функционированием ИС, т.е. воздействующих на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования;

_ данный уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств ИСПДн, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.

Следующий этап процесса оценки рисков при построении системы ИБ -формирование поля угроз. На этом этапе определяется полное множество угроз для рассматриваемой информационной системы в целом.

Моделирование процессов нарушения информационной безопасности целесообразно осуществлять на основе рассмотрения логической цепочки: «угроза -источник угрозы - метод реализации - уязвимость - последствия - материальный ущерб». В ходе данного анализа необходимо убедиться, что определены множество возможных источников угроз и множество возможных уязвимостей, а также методы их реализации.

Классификация возможностей реализации угроз, то есть атак, представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Исходя из проведенного анализа, все источники угроз безопасности информации, циркулирующей в корпоративной ссти можно разделить на три основные группы:

- антропогенные источники;

- техногенные источники;

- стихийные источники.

На основе анализа, проводимого различными специалистами в области компьютерных преступлений, и собственных наблюдений по частоте проявления угрозы безопасности можно расставить так (рис. 2):

Рисунок 2 - Диаграмма угроз ИБ

На следующем этапе построения системы защиты (СЗ) ИСПДн определяются методы и средства защиты с учетом требований нормативных докуметов, экономической целесообразности, совместимости и бесконфликтности с используемым ПО.

Основным толчком к развитию СЗ ПДн стало принятие федерального закона «О персональных данных». Данный закон определяет состав персональных данных, порядок применения организационных мер и технических средств, обеспечивающих их защиту. Кроме того, в соответствии с этим законом оператор ИСПДн обязан применять необходимые организационные меры и технические средства при обработке ПДн, в том числе и применение криптографических средств защиты персональных данных от несанкционированного доступа к ним. Под НСД понимается неправомерное: обращение, чтение, уничтожение, изменение, копирование, распространение, блокирование и другие виды нарушения целостности обрабатываемых персональных данных.

Типовой алгоритм действий по организации защипы ПДн согласно Постановлению Правительства РФ № 781 включает в себя:

1. Определение угроз безопасности персональных данных и их актуальности.

2. Разработка на основе модели угроз системы защиты персональных данных.

3. Проверка готовности системы защиты информации.

4. Установка и ввод в эксплуатацию системы защиты информации.

5. Обучение должностных лиц, ответственных за защиту информации (ЗИ), согласно введенной в эксплуатацию системы ЗИ.

6. Учет применяемых средств защиты информации и лих, эксплуатирующих их.

7. Контроль эффективности системы защиты информации.

8. Описание системы защиты персональных данных.

Согласно положениям руководящих документов применяемые в ИСПДн средства защиты информации подразделяться наследующие группы:

-технические и аппаратные средства (ТС) включают в себя устройства различного принципа действия, обеспечивающие на техническом (внешнем) и аппаратном (внутреннем) уровне решение задач защиты информации;

-программные средства (ПС) включают в себя специальное программное обеспечение (СПО), предназначенное для идентификации пользователей, контроля доступа, шифрования информации, удаления временных файлов, тестового контроля (в основном контроль целости) системы защиты и мониторинга средств защиты;

и

-смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства;

-организационные средства являются наиболее универсальными средствами защиты информации, способными закрыть все уязвимости и недостатки при применении всех вышеуказанных средств. Организационные средства состоят из организационно-технических и организационно-правовых средств.

Среди методов защиты ИБ ИСПДн одним из наиболее распространенных является аудит информационной безопасности, проводимый для получения независимой и объективной оценки текущего уровня защищённости предприятия от угроз информационной безопасности. Аудит позволяет выявить недостатки в системе защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования, найти и устранить уязвимости программно-аппаратного обеспечения системы, а также оценить соответствие системы защиты ИСПДн предъявляемым требованиям.

Следующим методом, часто применяемым в организациях для защиты ПДн от НСД, является управление рисками ИБ. Суть управления рисками состоит в оценке их размера, выработке эффективных и экономичных мер их снижения, а также в установлении приемлемых рамок для них.

Необходимо отметить, что на данный момент не определены универсальные методы, методики или практики защиты ПДн от НСД. В каждом из перечисленных методов можно найти как преимущества, так и недостатки при применении к ИСПДн конкретной организации.

Задача по выбору средств защиты, как правило, является итерационной задачей поиска решения в части определения величины остаточного риска по результатам оценки информационной безопасности ИСПДн согласно следующим показателям:

7) надежности средств защиты от НСД (определяется вероятностью

безотказной работы системы за время межрегламентного периода Г):

р(0 = е~т°,

где Т0 - наработка на отказ;

8) суммарного ущерба в результате НСД:

n

1=1

где N - количество всех опасных случаев согласно модели угроз рассматриваемой ИСПДн, ¡1 - величина ущерба в результате возникновения угрозы К; информационной безопасности при НСД, Р(Цщ) - вероятность возникновения ущерба I в случае реализации угрозы иь согласно формуле Байеса равная: „т л ПиМ*рд)

гдеР(иг)-априорная вероятность наступления угрозы щ, Р(1) — вероятность возникновения ущерба I, Р(и(|£) -вероятность наступления угрозы щ в случае возникновения ущерба I (апостериорная вероятность).

9) стоимости применяемых средств защиты от НСД:

т

Ссзи

7=1

где т - количество всех приметаемых средств защиты в рассматриваемой ИСПДн, С; -цена -го средства защиты, йу- амортизационные затраты _/'-го средства защиты.

Задачу оценки величины ущерба при нарушении защиты персональных данных в зависимости от выбранного комплекса мер и средств их защиты можно представить в следующем виде:

ГЦР.ЛО < £до„

(.Ссзи —

где Ь - величина ущерба, Р - вероятность безотказной работы системы, N - зто количество применяемых СЗИ, Ссзи - стоимость применяемых средств защиты информации (СЗИ), ¿доп - допустимая величина ущерба, Сдоп- допустимая стоимость применяемых СЗИ.

Исходя из данных показателей оценки эффективности мер и средств защиты информационных систем ПДн от НСД формируются требования к процессу разработки (оптимизации) ИСПДн в защищешюм исполнении, удовлетворяющих требованиям и положениям законов и нормативно-правовых актов РФ, регламентирующих порядок обработки ПДн:

- стоимость применяемых СЗИ не должна превышать величину ущерба при НСД к персональным данным;

- порядок применения СЗИ должен обеспечивать максимальную степень защищенности от НСД.

В результате выполненного анализа проведена постановка задачи построения комплексной системы защиты ИСПДн, которая в математической интерпретации состоит в следующем:

1) Определить набор параметров X, от которых будет зависеть общая защищенность ИСПДн:

X = (хцхц, ...,хп], где п — количество учитываемых параметров;

2) Определить целевую функцию принимающую значения 0 < IV) < 1, характеризующую общую защищенность ИСПДн;

3) Решить задачу оптимизации для целевой функции И'(Х) при поставленных ограничивающих условиях:

IV = тах{1У,(}()} при с;а(х) < Сдоп,

где I - номер варианта построения системы зашиты ([ = 1 ,т), а т - количество вариантов построения системы защиты;

Сксз - стоимость выбранного варианта построения системы защиты (комплекса средств защиты) информации;

Сдоа - максимальное допустимое значение стоимости системы защиты информации.

Для решения поставленной задачи будут разработаны алгоритмы и методы построения ИСПДн, а также определен порядок их применения в рамках построения (оптимизации) ИСПДн на основе методики разработки ИСПДн в защищенном исполнении.

Во второй главе разработан алгоритм сбора и анализа информации в ИСПДн, включающий классификацию ИСПДн, оценку текущего уровня защищенности ИСПДн и построения множества актуальных угроз безопасности, приводятся разработанные метод формирования требований к защищенности ИСПДн от НСД, алгоритм деперсонализации персональных данных, алгоритм выбора организационных мер и технических средств защиты и метод итоговой оценки защищенности ИСПДн.

Для достижения поставленной в работе цели необходимо выполнить последовательность действий, позволяющих построить адекватную систему защиты для рассматриваемой ИСПДн. На первом этапе необходимо получить полную информацию о данных, обрабатываемых в информационной системе.

Порядок проведения классификации ИСПДН определяется Приказом ФСТЭК РФ, ФСБ РФ и Министерства информационных технологий и связи Российской Федерации «Об утверждении Порядка проведения классификации информационных систем персональных данных». Классификация ИСПДн осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием персональных данных с целью установления методов и средств защиты, необходимых для обеспечения безопасности персональных данных.

Для типовых ИСПДн порядок проведения классификации состоит в определении следующих параметров:

- категория обрабатываемых в информационной системе персональных данных;

- объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе).

После сбора необходимой информации о ИСПДн проводится её анализ с целью оценки текущего уровня защищённости системы. Общий уровень защищенности определяется на основании данных о защищенности по каждой из характеристик ИСПДн.

Все технические и эксплуатационные характеристики систем делятся на следующие категории:

1) по территориальному размещению;

2) по наличию соединения с сетями общего пользования;

3) по встроенным (легальным) операциям с записями баз ПДн;

4) по разграничению доступа к ПДн;

5) по наличию соединений с другими базами ПДн иных ИСПДн;

6) по уровню обобщения (обезличивания) ПДн;

7) по объему ПДн, которые предоставляются сторонним пользователям ИСПДн без

предварительной обработки.

Для каждой характеристики ИСПДн из вышеперечисленных категорий определяется уровень защищенности: высокий, средний или низкий. Итоговая оценка получается в результате сложения полученных оценок по всем категориям.

Определяемый таким образом уровень исходной защищенности ИСПДн является одним из показателей для оценки возможности реализаций угрозы НСД. Другим показателем является вероятность реализации рассматриваемой угрозы.

Формализованный на основании данных этапов алгоритм сбора и анализа информации в ИСПДн выглядит следующим образом (рис. 3):

Рисунок 3 - Алгоритм сбора и анализа информации в ИСПДн

После сбора и анализа информации о рассматриваемой ИСПДн необходимо принять решение, касающееся выбора применяемых методов и технических средств защиты системы от НСД.

Выбираемые средства защиты ПДн и принимаемые организационные меры, как правило, влекут за собой значительные материальные затраты, что зачастую не предусмотрено бюджетом организаций. Альтернативным законным способом решения данной проблемы является обезличивание персональных данных, так как оно позволяет снизить требования к уровню защищенности данных, что влечет за собой соответствующее сокращение расходов на обеспечение их информационной безопасности.

В алгоритме деперсонализации ПДн в качестве решения данной проблемы предлагается перемешивание персональных данных, хранящихся в ИСПДн, относящихся к различным субъектам. Данный способ обладает следующими

преимуществами: персональные данные хранятся в одной информационной системе и значительно снижается вероятность успеха контекстного анализа.

Предлагаемый алгоритм деперсонализации построен на следующих принципах:

- разбиение исходного множества данных £> («¿!, й2...., с1к) - число атрибутов, М - число строк таблицы) на подмножества данных А1Л = относящихся к одному атрибуту £¿¡(1 = 1,2,...,АО, что позволяет сократить размерность и упростить его практическую реализацию (множество данных атрибута с^ - Л,, содержит М элементов);

- использование циклических перестановок, что реализует собственно

перемешивание данных.

Алгоритм деперсонализации обеспечивает перемешивание данных каждого множества атрибутов исходной таблицы пошагово.

На первом шаге множество данных А1г относящихся к одному атрибуту, разбивается на К^М > К(> 1) непересекающихся подмножеств Ац (/ = 1,2,..., А-,), где число элементов подмножества Ац равно Мц(М > Мц > 1). Разбиение каждого множества должно обладать следующими свойствами:

1) подмножества разбиения включают все элементы множества данных одного

атрибута;

2) все элементы в подмножествах упорядочены как по внутренним номерам (номера

элементов внутри подмножества), там и по внешней нумерации самих

подмножеств в разбиении;

3) суммарное число элементов всех подмножеств множества данных одного

атрибута равно общему числу элементов этого множества.

Для каждого подмножества из разбиения определяется циклическая перестановка (подстановка) Ру(гу):

/1 2 3 ... (Му-1) М„ \

РуЫ ~ {{Мц + 1 - ги) (Му + 2 - гу) (Му + 3 - гч) ... (Му - 1 - Гу)(Му - Гу))

Данная перестановка производит циклический сдвиг всех элементов подмножества на некоторое число Гу, называемое параметром перестановки. Таким образом, перестановки для всех подмножеств множества данных одного атрибута можно задать набором (вектором) параметров этих перестановок:

О = (гп,га,...,г1к.)

Данный вектор задает первый уровень способа перемешивания, т.е. перестановки первого уровня.

На втором шаге способа рассматривается циклическая перестановка второго уровня Р0,(г0<), элементами которой выступают подмножества, состоящие из элементов, из описанного ранее разбиения:

/ 1 2 3 - (ЛГ,-1) К1 \

~ - г0, + 1) (К, - гы + 2) № - гш + 3) ... (К, - гт - 1)(К1 - г01})

В результате применения данной перестановки производится циклический сдвиг элементов на некоторую величину параметр перестановки второго уровня.

В результате последовательного проведения перестановок первого и второго уровней (или одной результирующей перестановки Р((гог,гг)) получается перемешивание элементов множества данных одного атрибута так, что меняется

нумерация этих элементов по отношению к исходной нумерации: =

= А1 ■■■ ■1 [(МЮггги+0 + Х) - + М'С*.-ги+2))]

- [м-мКК1.Год ... М] \

- [т1(К£-г0|)1 ■■■ т'№-'-о,)м1№_го,)]/

Большое количество данных в. ИСПДн обеспечивает достаточно высокую сложность восстановления исходной таблицы при отсутствии сведений о параметрах алгоритма деперсонализации, что повышает качество защиты ИС от НСД.

Сложность предлагаемого алгоритма деперсонализации составляет 0(М х Л[ + 3 X" 1 Кд, где N — число строк в таблице с ПДн, М - число атрибутов, а К1 — мощность- ' разбиения множества Л,, соответствующего I -му атрибуту. В случае если К1 « Ы, получаем 0(М х Щ. Таким образом, сложность алгоритма полиномиально зависит от параметра N. Соответственно, даже для крупных организаций, чьи ИСПДн обрабатывают дагшые миллиона сотрудников, осуществление алгоритма деперсонализации над таблицами с ПДн может осуществлять стандартный персональный компьютер с тактовой частотой ~ 2ГГц.

Графическая интерпретация разработанного алгоритма деперсонализации приведена на рисунке 4.

Пояснения к алгоритму:

1. Разбиение множества А( на К^М > К1> 1) непересекающихся подмножеств Ац, где число элементов подмножества <4у равно Мц{м > Мц > 1),; = 1,2.....¡(¡.

Разбиение обладают свойствами: 1 )А1 = и Ч^Ац,

2) Ац * 0 и Ац П Аш = 0 V/,т = 1,2,

3) т;/1 = ^¡а-ЦМщ-ц +1V/ = 2,3,..., ;

4) если кг > к2, то тцк1 > тцкг VI = 1,2,...,IV; у = 1,2,

5 =

2. Генерация вектора параметров перестановки первого уровня

(рцСпО.РйОи).....Ргк,0",к0) с помощью

ГСЧ, 1 < ги < МЦ - 1.

3. Циклический сдвиг всех элементов подмножества Ду на число гу, V/ = 1,2,

4. Генерация параметра перестановки второго уровня р0;(г01') с помощью ГСЧ, Г0;(1 ^ Г0; <

- !)•

5. Циклический сдвиг подмножеств множества на число го;.

6. ¿ = 1 + 1, ¿ = 1,2,...

Рисунок 4. Алгоритм деперсонализации

Несомненным преимуществом алгоритма деперсонализации в сравнении с применением алгоритма шифрования ГОСТ 28147 - 89 является его вычислительная простота, и, соответственно, низкие временные затраты на прямое и обратное преобразование данных при их обработке оператором.

Кроме того криптографический алгоритм ГОСТ 28147 - 89 при использовании его в режиме простой замены переводит одинаковые 8-байтовые блоки открытых данных в одинаковые 8-байтовые блоки шифрованных данных. Это обстоятельство при ограниченном числе вариантов персональных данных создает предпосылки для успешных атак нарушителя. Предотвращение подобных атак достигается введением, например, каких-либо модификаций ключа шифрования в зависимости от координат шифруемого блока в базе данных, что, в свою очередь, может потребовать дополнительных исследований стойкости полученной системы шифрования в целом.

В свою очередь применение алгоритма деперсонализации данных в ИСПДн позволяет снизить требования к уровню защищенности данных, поскольку согласно закону «Об утверждении порядка проведения классификации информационных систем персональных данных» обезличенные персональные данные относятся к четвертой категории, конфиденциальность для которых обеспечивать не нужно.

Таким образом, в связи с применением предлагаемого алгоритма часть угроз теряют свою актуальность. Соответственно в целях построения адекватной (неизбыточной) СЗИ необходимо выделить перечень актуальных угроз ИБ.

Для построения адекватной системы ЗИ необходимо выделить перечень актуальных угроз ИБ. Для этого из общих (типовых) угроз НСД к ИСПДн исключаются виды угроз и их источников, неактуальные для конкретных функциональных задач, выполняемых в ИСПДн. Сведения данного перечня и класс рассматриваемой ИСПДн являются исходными данными для проектирования эффективной СЗИ ИСПДн на этапах ее разработки.

Технические и организационные методы и средства, используемые для защиты обрабатываемых в информационной системе ПДн, должны удовлетворять установленным в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. В силу этого перед проведением конкретных мероприятий по защите ПДн ог НСД, необходимо определить перечень организационно-технических требований, которым используемые средства должны удовлетворять.

Предлагаемый метод формирования требований к защищенности ПДн позволяет на основании данных документов выбрать оптимальный перечень требований, позволяющий построить адекватную систему защиты ИСПДн организации, включающую мероприятия по защите от НСД и неправомерных действий к ПДн при их обработке и передаче по техническим каналам.

Требования к мероприятиям по организации и обеспечению безопасности ПДн формулируются на основе анализа и оценки полного множества угроз безопасности ПДн. При этом должны быть рассмотрены требования к системе защиты по каждой угрозе. Формирование данного перечня осуществляется на основе значений следующих параметров:

- актуальность рассматриваемой угрозы К;

- категория ИСПДн К;

- исходная оценка защищенности ИСПДн Е.

Пусть С - множество требований согласно приказу ФСТЭК «Об утверждении Положения о методах и способах защиты информации в информационных системах ПДн». Зададим функцию, которая, используя определенные в данном методе параметры, сформирует на основе этого множества б перечень оптимальных требований:

/(С, К, Е, Г) = С, где С' с: С.

Подмножество С с в, построенное в зависимости от значений параметров У, К, Е является оптимальным набором требований к защищенности ИСПДн от НСД. Метод построения приведен ниже (рис. 5):

Начало

Рисунок 5 - Метод формирования требований к защищенности ИСПДн от НСД

Задача по разработке алгоритма выбора средств защиты, как правило, является итерационной задачей управления рисками, то есть поиска решения, удовлетворяющего заданному критерию, такому как величина остаточного риска. Фактически вероятность возникновения угрозы информационной безопасности (далее риск) представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.

Метод оценки рисков информационной безопасности базируется на определении вероятности реализации атак, а также уровней их ущерба. В данном случае значение риска вычисляется отдельно для каждой атаки и, в общем случае, представляется как произведение вероятности проведения атаки на величину возможного ущерба от этой атаки.

При разработке мер и выборе средств защиты информации для информационной системы в целях снижения вероятности возможных рисков необходимо иметь оценку следующих величин:

- размер ущерба риска Ь = 12,..., ¿п};

- значение вероятности возникновения риска Рриска = {ру рг, •••. Р„}.

Величина остаточного риска Я в этом случае определяется следующей

зависимостью:

п

Я =

¡=1

где п - суммарное количество возможных рисков.

Проблема минимизация расходов на обеспечение защиты при соблюдении требований защиты персональных данных является многосторонней задачей, решение которой может быть основано на выполнении задачи поиска искомой величины, а именно величины, удовлетворяющей заданному критерию стоимости принятых мер и средств защиты информации для следующей зависимости:

¿(С,Я)<£ДОП, где ¿доп - допустимая величина ущерба;

С - стоимость применяемых средств защиты;

Я - остаточная величина риска;

I - величина ущерба при нарушении защиты персональных данных.

В результате анализа оценки величины ущерба при нарушении защиты ИСПДн принимается решение о совершенствовании организационно-технического обеспечения

предприятия. Эти действия должны быть направлены на уменьшение риска за счёт использования дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от неё.

Необходимо отметить, что изначально на вход алгоритма по выбору СЗИ должны поступать только сертифицированные средства, удовлетворяющие критериям эффективности, определенным на этапе предварительного сбора информации об ИСПДн. Согласно этим критериям вероятность безотказной работы СЗИ должна стремиться к единице, что характеризует надежность выбранного средства.

Математическая постановка данной задачи выбора СЗИ для построения ИСПДн в защищенном режиме выглядит следующим образом:

-пусть и = [и1,и2,...,!%} - полное множество угроз для данного класса ИСПДн, Л? —мощность этого множества. Тогда каждому СЗИ можно поставить в соответствие вектор X = где

_ Г1,если применение данного СЗИ нейтрализует угрозу щ ;

(. О, если применение данного СЗИ не нейтрализует угрозу и,-.

При этом каждое СЗИ также характеризуется своей стоимостью С.

Покрытием Соу = \2[,22*, назовем такое множество векторов для

которого выполняются следующие условия: 1)

2) %У%. Я,где Ё = (1,1,... ,1) — единичный вектор.

Тогда в качестве решения рассматриваемой задачи выбора СЗИ необходимо наГш! покрытие Сор, то есть такой набор СЗИ, совместное применение которых нейтрализует как можно большее количество угроз из множества (/, но их суммарная стоимость не превышает допустимое значение Стах.

В такой формулировке поставленная задача похожа на классическую комбинаторную задачу о покрытии множеств. Отличием в нашей задаче является тот факт, что каждому СЗИ поставлена в соответствие его стоимость, и ограничивающим условием задачи является максимальная допустимая стоимость выбранных СЗИ. Поэтому классические методы для решения задачи о покрытии в исходном виде здесь не применимы.

Решим поставленную задачу, используя жадный алгоритм, модифицированный под наши условия. Разработанный алгоритм выбора средств защиты включает следующие этапы (рис. 6):

Входные данные:

- формируемое покрытие Cov = 0,

- множество средств защиты ... ,2Q и их стоимости (cl.Cz.....

- множество угроз U = {u1(u2, — ,uN},

- максимальная суммарная стоимость выбранных СЗИ

- счетчик i = О

Выход: покрытие Cov = {2[,%,...,%}, удовлетворяющее условиям:

1) ff-lCl ^ Стах ;

2) х V % V...'V % - Е, где Ё = (1,1,... ,1) - единичный вектор. Шаг 1: Проверяем: i < п. Если да, идем на шаг 2. Если нет, идем на шаг 9. Шаг 2: Выбираем начальный Z^, удовлетворяющий условию:

w(zj > w(£),Vj Ф ¿0. Шаг 3: Добавляем выбранный % к покрытию: Cov = Cov U если

сформированное покрытие - полное, выход. Шаг 4: Проверяем суммарную стоимость выбранных средств: ССо„ < Стах. Если

нет, идем на шаг 8. Шаг 5: Выбираем очередной удовлетворяющий условиям:

1) покрывает наибольшее количество непокрытых элементов;

2) Если первому условию удовлетворяют несколько векторов, выбираем Zp для которого Cj < Ск vTk, удовлетворяющих условию 1).

Шаг 6: Добавляем выбранный % к покрытию: Cov = CovUZ}; если

сформированное покрытие - полное, выход. Шаг 7: Проверяем суммарную стоимость выбранных средств: CCov < Стах. Если

да, идем на шаг 5. Если нет, идем на шаг 8. Шаг 8: Удаляем последний добавленный Z, из покрытия: Cov = Cov\Z, и запоминаем очередное неполное покрытие Cov, увеличиваем счетчик: i = i + 1 и идем на шаг 1.

Шаг 9: Из запоминаемых на неудачных ветках алгоритма решений Cov выбираем то, которое образует наиболее полное покрытие множества угроз U.

Множество СЗИ мощностью п. их •стоимости, множество угроз, максимальна* суммарная стоимость выбранных СЗИ,

Формируемое покрытие Соу: : (изначально пустое), счетчик »'=0

1 да

Выбор начального вектора

наибольшего веса

Добавление выбранного вектора к формируемому покрытию;

Выбор очередного вектора, :: покрывающий наибольшее количество непокрытых элементов, с наименьшей стоимостью го подходящих

Добавление выбранного вектора х формируемому покрытию;

Рисунок 6 — Алгоритм выбора средств защиты информации

После описанных выше шагов по построению ИСПДн в защищенном режиме делается вывод о соответствии принятых организационных мер и средств защиты информации требуемым, что позволит в дальнейшем судить о степени защищенности рассматриваемой ИСПДн от НСД.

Оценку выполнения предъявляемых требований предлагается производить автоматизировано по величине коэффициента защищенности.

Вычисление коэффициента защищенности Ш предусматривает ряд подготовительных действий таких как: определение класса ИСПДн, определение полного множества угроз и коэффициента опасности угрозы. Данные сведения получаются на этапе сбора данных о рассматриваемой ИСПДн. Полное множество угроз определяется путем анализа возможных уязвимостей средств защиты и нарушений со стороны исполнителей.

Далее на основе экспертных вербальных оценок опасности угроз, полученных па предыдущем этапе, определяются численные коэффициенты опасности для каждой угрозы, учитывая класс рассматриваемой ИСПДн.

Рассмотрим матрицу Т:

в которой строкам соответствует класс ИСПДн (К1, К2, КЗ, К4), а столбцам -множество актуальных угроз защищенности системы. Значением элемента матрицы (у будет являться коэффициент опасности } —ой угрозы для I —ого класса ИСПДн (I = 1,4,= 1,п,п —мощность полного множества угроз). Тогда вектор ^ характеризует ущерб от угроз для I —ого класса ИСПДн.

Определим вектор защищенности 5 = ...,следующим образом:

_(1, если к- ая угроза актуальна для системы после выбора СЗИ;

5к 10, если к — ая угроза нейтрализована выбранными СЗИ.

В данном определении рассматриваются только СЗИ, удовлетворяющие требованиям к надежности и стоимости.

Определим коэффициент общей защищенности ИСПДн Ш следующим образом:

где — скалярное произведение векторов С, и

(Г„5) = С£1 Х11 + са х 52 + ■•• + х -V

Вычисленное значение V/ дает оценку защищенности системы от возможного ущерба при выбранном комплексе средств защиты в случае реализации актуальных угроз ИБ, что позволяет получить предварительное заключение о достаточности/недостаточности принятых мер и средств защиты персональных данных. Для ИСПДн, построенной в защищенном исполнении, скалярное произведение векторов ^ и 5 должно равняться нулю, так как все угрозы нейтрализованы применяемыми СЗИ, соответственно вычисляемый коэффициент защищенности должен принимать значение 1.

Таким образом, метод итоговой оценки защищенности ИСПДн (рис. 7) является комплексным и включает в себя следующие шаги:

Рисунок 7 - Метод итоговой оценки защищенности ИСПДн

В рамках применения методики построения ИСПДн в защищенном исполнении рекомендуется вычислять коэффициент общей защищенности И^ на этапе сбора данных о системе. Таким образом, сравнение исходного коэффициента общей защищенности 1УИСХ с полученным после применения предлагаемой методики позволит сделать вывод о результативности проведенных мероприятий и,

соответственно, о качестве построения рассматриваемой ИСПДн в защищенном режиме.

В третьей главе приводится анализ методик и практик построения ИСПДн в защищенном исполнении, разработана методика построения на основе разработанных методов и алгоритмов построения ИСПДн в защищенном исполнении.

Задача проектирования и создания СЗПДн в составе информационной системы персональных данных является одной из самых сложных, трудоемких, требующих наибольшего вложения интеллектуальных и финансовых средств задач, связанных с исполнением требований ФЗ «О персональных данных».

Целью системы защиты ИСПДн является исключение или существенное затруднение получения злоумышленником защищаемой информации, обрабатываемой в ИСПДн, а также исключение или существенное затруднение несанкционированного и/или непреднамеренного воздействия на защищаемую обрабатываемую информацию и ее носители.

Процесс создания системы защиты ИСПДн должен осуществляться в соответствии с руководящими и нормативно-методическим документами регуляторов -ФСТЭК России и ФСБ России. Необходимо отметить, что предлагаемые методические документы описывают действия рекомендательного характера и не содержат конкретной методики, позволяющей оптимально построить ИСПДн в защищенном исполнении. В силу этого становится актуальной задача разработки методики оптимального построения ИСПДн в защищенном исполнении для конкретной организации.

Одним из важных этапов построения ИСПДн в защищенном исполнении является подтверждение соответствия системы защиты требованиям к безопасности ПДн. В используемых на практике методиках предусматриваются различные способы оценки соответствия в зависимости от характеристик объекта оценки (техническое средство, программное обеспечение, средство защиты информации, система в целом) и целей проведения оценки. Существуют такие виды оценю!, как сертификация, аттестация и декларирование соответствия.

При разработке методики построения системы защиты ИСПДн от НСД рекомендуется учитывать следующие принципы:

1) Легитимность - все применяемые программно-аппаратные СЗИ должны быть

сертифицированы в системе ФСТЭК и ФСБ России.

2) Необходимость - система защиты ИСПДн должна быть адекватна в части

эффективного противодействия существующим и потенциально возможным

угрозам информационной безопасности ПДн.

3) Достаточность - система защиты не должна обладать избыточностью в части

своих защитных функций.

4) Совместимость - выбор СЗИ необходимо проводить с учетом их возможного

взаимодействия с остальными программно-аппаратными компонентами ИСПДн.

5) Стоимость - современные условия позволяют подбирать оптимальную стоимость

системы защиты.

При построении ИСПДн в защищенном исполнении для какой-либо организации всегда необходимо учитывать два основных показателя:

- стоимость системы защиты;

- итоговая степень защищенности.

Система защиты должна удовлетворять требованиям, предъявляемым к значениям этих показателей. Поэтому методика построения данной системы представляет собой задачу оптимизации по предлагаемым показателям. При этом необходимо определить, по какому из показателей целесообразнее проводить оптимизацию рассматриваемой задачи.

В разрабатываемой методике показатель стоимости системы защиты для ИСПДн ограничивается сверху величиной, определяемой размером штрафа за нарушение порядка обработки ПДн. Таким образом, первый показатель фиксируется, поэтому оптимизация задачи построения ИСПДн в защищенном режиме будет проводиться только по второму показателю - параметру защищенности.

Определим в качестве целевой функции коэффициент общей защищенности ИСПДн №(х), принимающий значения 0 < №(х) < 1. Согласно поставленной в работе задаче данный коэффициент должен достигать максимального значения при ограничении стоимости всей системы защиты максимально допустимым значением:

- 1 при С^(х) < Сдо„ .

При этом X - это набор параметров, от которых будет зависеть оценка эффективности мер и средств защиты ИСПДн от НСД. Для данной методики к этим показателям относятся:

- класс рассматриваемой ИСПДн К;

- множество угроз и — [и1,и2, ■■■ и„};

- актуальность угроз У — {уг,у2, -уп};

- надежность СЗИ P(t) (вероятность безотказной работы, t - время межрегламентного периода);

- исходный уровень защищенности системы Е.

Таком образом, согласно разрабатываемой методике задача оптимизации выглядит следующим образом:

W(K, U, У,Р(С), Е) - 1 при Сксз(К, U, Y, Р(£), Е) < CRm .

На основе описанных выше алгоритма выбора средств защиты информации, обеспечивающего оптимальность принимаемого решения, алгоритма деперсонализации персональных данных и метода оценки защищенности ИСПДн разработана следующая методика построения ИСПДн в защищенном исполнении (рис. 8):

Рисунок 8 - Схема методики построения ИСПДн в защищенном исполнении

В четвертой главе описывается применение разработанной методики построения ИСПДн в защищенном исполнении на примере конкретной организации. В рассматриваемой ИСПДн хранятся и обрабатываются персональные данные сотрудников организации численностью 204 человека.

По завершению первой стадии предлагаемой методики были получены следующие результаты:

1) По объему обрабатываемых ПДН, по специфике обрабатываемых данных, по

структуре и по режиму обработки ПДн рассматриваемая ИСПДн была определена по классу КЗ.

2) Построена модель вероятного нарушителя безопасности ИСПДн, определены

возможные средства и каналы реализации угроз.

3) Сформировано поле угроз ИБ; для предлагаемой ИСПДн были рассмотрены

следующие группы угроз: угрозы утечки защищаемой информации по техническим каналам, угрозы физического воздействия на компоненты ИСПДн, угрозы межсетевого взаимодействия, угрозы воздействия вредоносного программного обеспечения, угрозы не технического характера, угрозы использования специально разработанных средств реализации атак.

4) В результате анализа применяемых в организации СЗИ было установлено, что в

организации осуществляется разграничение доступа в контролируемую зону, где располагаются АРМ сотрудников и сервера баз данных, на основании меток электронного ключа

5) Исходный уровень защищенности рассматриваемой ИСПДн был определен как

низкий.

6) Согласно построенной модели угроз в рассматриваемой ИСПДн выявлено 16

видов угроз с коэффициентом опасности, равным 1, и 9 видов угроз с коэффициентом опасности, равным 0,5. Вычисленный на основе этих данных исходный коэффициент защищенности W составляет:

W =---« 0,04651.

1 + (16 х 1 + 0,5 х 9)

В результате применения второй стадии методики к персональным данным,

хранящимся и обрабатываемым в ИСПДн, был применен алгоритм деперсонализации,

реализованный в виде программы па языке С# для операционных систем семейства

Microsoft Windows ХР/7 (регистрационный помер №2012618608). Деперсонализация

данных в ИСПДн позволила снять часть требований по применению организационных мер и технических СЗИ.

Далее на этапе применения третьей стадии на основе сформированного ранее поля угроз был построен перечень актуальных угроз, включающий угрозы непреднамеренного воздействия на компоненты ИСПДн, несанкционированного доступа к ИСПДн, воздействия вредоносного ПО, угрозы не технического характера, угрозы использования специально разработанных средств реализации атак.

В результате четвертой стадии был сформирован список требований к защищенности ИСПДн от НСД, касающийся обмена ПДн при их обработке, программного обеспечения СЗИ, применяемых в ИСПДн, основных методов и способов ЗИ, обеспечивающих управление доступом, регистрацию и учет всех событий безопасности и обеспечения целостности в ИСПДн.

На пятой стадии методики осуществлялся выбор организационных мер и технических СЗИ для ИСПДн. Оценка параметров, учитываемых при разработке мер и выборе СЗИ (размер ущерба и значение вероятности возникновения риска), определялась экспертным путем. По результатам применения алгоритма были выбраны следующие средства, нейтрализующие максимальное количество угроз и удовлетворяющие критериям по стоимости:

- Страж N7 3.0 (ориентировочная стоимость 8000 руб.);

- Ог.\\'еЬ 5.0 (ориентировочная стоимость лицензии для одного АРМ - 4500

руб.).

На шестой стадии применяемой методики оценивалось соответствие принятых организационных мер и СЗИ требуемым на основе вычисления коэффициента общей защищенности ИСПДн, который составил = 1, что свидетельствует об успешном построении исходной ИСПДн в защищенном исполнении. В результате применения разработанной методики общая защищенность системы была увеличена в более, чем 20 раз.

В заключении подведен итог всей проделанной работы и приведены полученные в ходе выполнения научной работы результаты.

В приложении приведены документы, подтверждающие внедрение результатов диссертационной работы на производстве и в учебном процессе, а также схемы алгоритмов.

ОСНОВНЫЕ РЕЗУЛЬТАТЫ ДИССЕРТАЦИИ

На основе результатов, полученных в работе, можно сделать вывод, что цель диссертации, сформулированная во введении, в достигнута и поставленная задача решена.

В работе был проведен тщательный анализ существующей нормативно-правовой базы в части ИСПДн и предлагаемых средств защиты информации, что позволило разработать адекватную методику, которая может быть востребована во многих государственных и коммерческих организациях.

В процессе работы были решены следующие задачи:

- определен набор показателей, характеризующих общую защищенность ИСПДн;

- определена целевая функция, зависящая от выбранных показателей и определяющая общую защищенность ИСПДн;

- разработан алгоритм обезличивания персональных данных;

- разработан метод формирования требований к защищенности ИСПДн;

- разработан алгоритм выбора организационных мер и технических СЗИ;

- разработан метод оценки общей защищенности ИСПДн;

- разработана методика построения ИСПДн в защищенном исполнении, обеспечивающая выполнение предъявляемых по защите ПДн требований.

В рамках выполнения работы подана заявка на выдачу патента на изобретение № 2012144274/08 (приоритет от 16.10.2012) и разработана программа на языке С# для ОС семейства Microsoft Windows ХР/7 (регистрационный номер №2012618608), реализующая алгоритм деперсонализации ПДн.

Проведено практическое исследование разработанных алгоритмов, методов и методики в целом, показана эффективность предложенного подхода, приведено практическое применение полученных результатов.

СПИСОК ПУБЛИКАЦИЙ ПО ТЕМЕ ДИССЕРТАЦИИ

Опубликовано в рецензируемых изданиях из списка BAIC:

1. Куракин А.С. Алгоритм деперсонализации персональных данных // Научно-технический вестник информационных технологий, механики и оптики. СПб: СПбГУ ИТМО, 2012. №6. С. 130-135.

2. Гатчин Ю.А., Теплоухова О.А., Куракин А.С. Алгоритм контроля целостности деперсонализированных данных в информационных системах персональных данных // Научно-технический вестник информационных технологий, механики и оптики. СПб: СПбГУ ИТМО, 2013. №1. С. 145-147.

Опубликовано в других изданиях:

3. Коробейников А.Г., Краснов А.Г., Куракин A.C. Актуальность аудита безопасности персональных данных при их обработке в информационных системах образовательных учреждений // Сборник докладов II научно-практической конференции молодых ученых. СПб.: СПб ГУ ИТМО, 2010. С. 112-115.

4. Куракин A.C., Краснов А.Г., Любинский Г.С. Алгоритм проведения анализа защищенное™ информационных систем персональных данных от несанкционированного доступа // Сборник научных трудов по материалам международной научно-практической конференции «Современные направления теоретических и прикладных исследований - 2011». Технические науки. Одесса: Черноморье, 2011. Т. 2. С. 18-21.

5. Куракин A.C., Краснов А.Г. Анализ методов и средств защиты персональных данных // Сборник тезисов докладов конференции молодых ученых. Труды молодых ученых. СПб: СПбГУ ИТМО, 2011. №1. С. 134-136.

6. Краснов А.Г., Куракин A.C. Анализ информационных рисков при проведении аудита информациошюй безопасности // Научная сессия ТУСУР-2011: Материалы Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых, Томск, 4-6 мая 2011 г. В 6 частях. Томск: В-Спектр, 2011. Ч. 3. С. 176-178.

7. Куракин A.C. Алгоритм выбора средств защиты информационных систем персональных данных от несанкционированного доступа // Информационные технологии в профессиональной деятельности и научной работе: сборник материалов Всероссийской научно-практической конференции в 2 ч. Йошкар-Ола: Марийский государственных технический университет, 2011. Ч. 1. С. 68-74.

8. Куракин A.C. К вопросу об информационной безопасности информационных систем персональных данных // Труды I межвузовской научно-практической конференции «Актуальные проблемы организации и технологии защиты информации». СПб.: СПбГУ ИТМО, 2011. С. 180-183.

9. Куракин A.C. К вопросу о проверке выполнения требований обеспечения безопасности информационных систем персональных данных // Сборник научных трудов по материалам международной научно-практической 'конференции «Современные проблемы и пути их решения в науке, транспорте, производстве и образовании 2011». Одесса: Черноморье, 2011. Т.2. Технические науки. С. 18-21.

10. Куракин A.C., Теплоухова O.A. Алгоритм проведения анализа защищенности информациошплх систем персональных данных от несанкционированного доступа // Сборник научных трудов по материалам международной научно-практической конференции «Научные исследования и их практическое применение. Современное состояние и пути развития 2012». Одесса: КУПРИЕНКО, 2012. Том 4. Технические науки. С. 48-50.

Тиражирование и брошюровка выполнены в учреждении «Университетские телекоммуникации» 197101 Санкт-Петербуг, Саблинская ул. 14 Тел. (812) 233 46 69 Объем 1.0 у.п.л. Тираж 100 экз.

Введение.

Глава 1. Анализ особенностей информационных систем персональных данных, алгоритмов и методов их построения в защищенном исполнении. Постановка задачи.

1.1 Особенности информационных систем персональных данных.

1.2 Анализ проблем защиты персональных данных.

1.3 Анализ информационных рисков при построении системы защиты ИСПДн.

1.4 Формирование поля угроз ИБ ИСПДн.

1.4.1 Построение модели нарушителя ИБ ИСПДн.

1.4.2 Формирование поля угроз информационной безопасности информационных систем персональных данных при НСД.

1.5 Тенденции развития алгоритмов и методов защиты информационной безопасности информационных систем персональных данных от НСД.

1.6 Анализ существующих средств, методов и практик защиты ПДн от НСД

1.6.1 Анализ средств защиты персональных данных от НСД.

1.6.2 Анализ преимуществ и недостатков методов и практик защиты персональных данных от НСД.

1.6.3 Выбор показателей для оценки эффективности мер и средств защиты информационных систем персональных данных от НСД.

1.7 Постановка задачи разработки методов, алгоритмов и методики построения информационных систем персональных данных в защищенном исполнении.

1.8 Выводы.

Глава 2. Разработка алгоритмов и методов построения информационных систем персональных данных в защищенном исполнении

2.1 Разработка алгоритма сбора и анализа информации в ИСПДн.

2.1.1 Классификация ИСПДн.

2.1.2 Оценка текущего уровня защищённости ИСПДн.

2.2 Разработка алгоритма деперсонализации персональных данных

2.3 Построение множества актуальных угроз безопасности ПДн.

2.4 Разработка метода формирования требований к защищенности ИСПДн от НСД.

2.5 Разработка алгоритма выбора организационных мер и технических средств защиты информации для ИСПДн.

2.6 Разработка метода оценки общей защищенности ИСПДн.

Глава 3. Разработка методики построения информационных систем персональных данных в защищенном исполнении.

3.1 Анализ методик и практик построения информационных систем персональных данных в защищенном исполнении.

3.2 Разработка методики построения информационных систем персональных данных в защищенном исполнении.

Глава 4. Применение разработанной методики построения ИСПДн в защищенном исполнении.

4.1 Предварительный сбор данных о ИСПДн и их анализ.

4.1.1 Классификация ИСПДн.

4.1.2 Построение модели нарушителя ИБ ИСПДн.

4.1.3 Формирование поля угроз ИБ ИСПДн при НСД.

4.1.4 Классификация и анализ средств защиты информации, применяемых для обеспечения ИБ в ИСПДн.

4.1.5 Определение исходного уровня защищенности ИСПДн от НСД.

4.1.6 Вычисление исходного коэффициента общей защищенности ИСПДн.

4.2 Деперсонализация персональных данных ИСПДн.

4.3 Построение множества актуальных угроз безопасности ПДн.

4.4 Формирование требований к защищенности ИСПДн от НСД.

4.5 Выбор организационных мер и технических средств защиты информации для ИСПДн.

4.6 Проведение оценки общей защищенности ИСПДн.

Совокупность изменений порядка обработки персональных данных, применения широкомасштабной автоматизации сбора, обработки персональных данных и введения санкций за не выполнение требований вступившего в силу 26 января 2007 года Федерального закона №152-ФЗ «О персональных данных» с учетом корректировок, внесенных Федеральным законом от 27 декабря 2009 года «ЗбЗ-ФЗ», обуславливает возрастание значимости обеспечения защиты обрабатываемых персональных данных. При этом эффективность использования государственных и частных денежных средств, направленных на создание и модернизацию систем информационной безопасности является неотъемлемой и приоритетной задачей организаций и подразделений, обеспечивающих информационную безопасность. Вследствие этого, резко возрастает актуальность решения задачи защиты информации, а также разработки методов и алгоритмов построения информационных систем персональных данных (ИСПДн) в защищенном исполнении. В свою очередь, нормативно-правовая база Российской Федерации, регламентирующая обработку персональных данных и требования к обеспечению защиты персональных данных, однозначно не определяет методику построения ИСПДн в защищенном исполнении.

В связи с этим, для выполнения возложенных на организацию требований по защите ИСПДн необходимо разработать методы и алгоритмы, применение которых обеспечит необходимую защищенность обрабатываемых им персональных данных (ПДн), снизит вероятность несанкционированного доступа (НСД) к персональным данным (ПДн) и сократит затраты на разработку системы защиты от несанкционированного доступа.

В рамках настоящей диссертационной работы предлагается решение задачи обеспечения информационной безопасности информационных систем персональных данных при помощи применения методики разработки ИСПДн в защищенном исполнении. утвержденный Высшей Аттестационной комиссией «Перечень ведущих рецензируемых научных журналов и изданий, выпускаемых в Российской Федерации, в которых должны быть опубликованы основные научные результаты диссертаций на соискание ученой степени доктора и кандидата наук».

Структура работы. Настоящая диссертационная работа состоит из введения, четырех глав, заключения, приложений и списка литературы.

1.8 Выводы

В результате проведенного анализа в рамках первой главы диссертационных исследований можно сделать следующие выводы:

1. Защита персональных данных является обязательной для всех ИСПДн и регламентируется законами и правовыми актами РФ.

2. Проблема защиты ИСПДн от НСД является актуальной.

3. Информационными рисками при построении системы защиты ИСПДН являются нарушения конфиденциальности, целостности и доступности ПДн.

4. Классификация нарушителей ИБ является иерархической и содержит четыре уровня нарушителей, отличающихся функциональными возможностями.

5. Основные угрозы безопасности информации включают: кражу ПО, подмену информации, уничтожение и (или) модификацию данных, вирусные атаки, перехват информации, кража ресурсов, нарушение нормальной работы каналов связи, непредсказуемые потери.

6. Тенденция развития алгоритмов и методов защиты определяется выполнением требований законодательных актов, таких как №152-ФЗ, № № 781-ФЗ, № 687-ФЗ.

7. Средства защиты подразделяются на технические и аппаратные средства, программные средства, программно-технические средства, организационные средства.

8. Описанным в данной главе существующим методам и практикам защиты присущи как свои достоинства, так и недостатки относительно применения к конкретной ИСПДн и на данный момент нельзя определить универсального метода защиты.

9. Показателями оценки эффективности мер и средств защиты информационных систем персональных данных от НСД являются надежность применяемых средств защиты, суммарный ущерб в результате НСД, суммарная стоимость применяемых средств защиты.

10.В результате проведенного анализа поставлена задача разработки методов, алгоритмов и методики построения ИСПДн в защищенном исполнении.

Российской Федерации [47]. Данная классификация проводится на основании информации о категории и объеме обрабатываемых в системе персональных данных. В соответствии с порядком, указанным в Приказе, выделяют следующие классы ИСПДн:

- класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

- класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

- класс 3 (КЗ) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;

- класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

Категории ПДн разделяются по характеру и полноте сведений о субъекте, хранящихся в классифицируемой ИСПДн [48]. Параметр объема обрабатываемых в информационной системе персональных данных характеризует количество субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом [49]. Данный параметр принимает следующие значения:

- 1 - в информационной системе одновременно обрабатываются персональные данные более чем 100000 субъектов ПДн;

- 2 - от 1000 до 100000 субъектов ПДн;

- 3 - менее 1000 субъектов ПДн.

Порядок определения класса типовой ИСПДн приведен в таблице 1. Таблица 1 - Порядок определения типовой ИСПДн

Категории ПДн Параметр объема ПДн

3 2 1

Категория 4 К4 К4 К4

Категория 3 КЗ КЗ К2

Категория 2 КЗ К2 К1

Категория 1 К2 К1 К1

Для примера можно рассмотреть информационную систему, в которой обрабатываются данные 50000 субъектов и по характеру хранимой информации можно только идентифицировать субъекта ПДн. Тогда в соответствии с приведенной методикой классификации обрабатываемые данные относятся к категории 3, параметр объема принимает значение 2, соответственно рассматриваемой ИСПДн присваивается класс КЗ.

2.1.2 Оценка текущего уровня защищённости ИСПДн

После сбора необходимой информации о ИСПДн проводится её анализ с целью оценки текущего уровня защищённости системы. Общий уровень защищенности определяется на основании данных о защищенности по каждой из характеристик ИСПДн [50].

Все технические и эксплуатационные характеристики систем делятся на следующие категории:

1) по территориальному размещению;

2) по наличию соединения с сетями общего пользования;

3) по встроенным (легальным) операциям с записями баз ПДн;

4) по разграничению доступа к ПДн;

5) по наличию соединений с другими базами ПДн иных ИСПДн;

6) по уровню обобщения (обезличивания) ПДн;

7) по объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки.

Для каждой характеристики ИСПДн из вышеперечисленных категорий определяется уровень защищенности: высокий, средний или низкий. Итоговая оценка получается в результате сложения полученных оценок по всем категориям [51].

В соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн [52] расчет уровня исходной защищенности все системы определяется по следующим критериям:

1) высокий, если не менее 70% характеристик ИСПДн соответствуют уровню высокий, а остальные - среднему уровню защищенности;

2) средний, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний», а остальные - низкому уровню защищенности;

3) низкий, если не выполняются условия по пунктам 1 и 2.

Определяемый таким образом уровень исходной защищенности

ИСПДн является одним из показателей для оценки возможности реализации угрозы НСД [53]. Другим показателем вероятность реализации рассматриваемой угрозы. Для построения адекватной модели угроз НСД к ИСПДн, используемой в дальнейшем для построения СЗИ, необходимо выделить перечень актуальных угроз ИБ [54].

Таким образом, на основании перечисленных этапов можно формализовать алгоритм сбора и анализа информации в ИСПДн (рис. 10).

После сбора и анализа информации о рассматриваемой ИСПДн необходимо принять решение, касающееся выбора применяемых методов и технических средств защиты системы от НСД.

Начало ж

Окончание

Рисунок 10 - Алгоритм сбора и анализа информации в ИСПДн

2.2 Разработка алгоритма деперсонализации персональных данных

Выбираемые средства защиты ПДн и принимаемые организационные меры, как правило, влекут за собой значительные материальные затраты, что зачастую не предусмотрено бюджетом операторов. Альтернативным законным способом решения данной проблемы является обезличивание персональных данных [55,56], так как оно позволяет снизить требования к уровню защищенности данных, что влечет за собой соответствующее сокращение расходов на обеспечение их информационной безопасности. Под обезличиванием персональных данных, как правило, понимают алгоритмы, в результате выполнения которых невозможно определить принадлежность персональных данных их владельцу [57,58].

В алгоритме деперсонализации ПДн в качестве решения данной проблемы предлагается перестановка персональных данных, хранящихся в ИСПДн, относящихся к различным субъектам. Данный способ обладает следующими преимуществами: персональные данные хранятся в одной информационной системе и значительно снижается вероятность успеха контекстного анализа.

Предлагаемый алгоритм деперсонализации построен на следующих принципах:

- разбиение исходного множества данных на подмножества, что позволяет сократить размерность и упростить его практическую реализацию;

- использование циклических перестановок, что реализует собственно перемешивание данных.

В качестве исходных данных возьмем таблицу персональных данных й2,., ¿¿м), где N число атрибутов, а М - число строк таблицы.

Далее рассмотрим множество данных, относящееся к одному атрибуту - 6.1(1 = 1,2,. Это множество атрибута с^ - Аг, содержит М элементов. Все элементы каждого множества А£ пронумерованы от 1 до М, и в таблице —,с1ы) совокупность элементов множеств разных атрибутов с одинаковыми номерами будем называть записью с соответствующим номером. При этом в исходной таблице каждая запись имеет определенный смысл, связанный с конкретным субъектом (физическим лицом), т.е. содержит персональные данные конкретного лица, определенного в этой же записи.

Разработанный алгоритм представлен ниже (рис. 11). и? Г

1,1*

Алгоритм обеспечивает деперсонализацию данных каждого множества атрибутов исходной таблицы пошагово. На каждом шаге используется принцип циклических перестановок.

Шаг первый.

Проведем разбиение множества А; на > 1) непересекающихся подмножеств Ау, где число элементов подмножества Ац равно > Мц > 1),у = 1,2,., КВсе элементы каждого подмножества Ау считаем пронумерованными от 1 до Мц, эти номера будем называть внутренними номерами элементов подмножества. Внешний номер элемента в подмножестве Ац, имеющего внутренний номер к, обозначим Щ]к( 1 ^ тчк — М). Так, что míyk - это порядковый номер элемента во множестве соответствующий элементу с внутренним номером к.

Разбиение каждого множества должно обладать следующими свойствами:

1) Л* = и^Ац - подмножества разбиения включают все элементы множества

2) тщ = Щи-ЪЩц-!) + 1 для всех 1 = 2'3' -'К1 ~ для любых ДВУХ подмножеств Ау и Ах/-1) элемент с первым внутренним номером подмножества Ац имеет внешний номер на единицу больший, чем внешний номер элемента с наибольшим внутренним номером подмножества

3) если кг> к2, то тцк > т^к для всех I = 1,2, ) — 1,2,., Кг -упорядоченность внешней и внутренней нумераций для всех множеств и подмножеств их разбиения совпадают;

К'

4) М = Л/^— суммарное число элементов всех подмножеств Ац равно общему числу элементов множества А^

Начало

N - число атрибутов таблицы ПДн, М-число строк; I -номер атрибута таблицы.

1. Разбиение множества данных, относящихся к /-ому атрибуту на непересекающиеся подмножества

2. Генерация вектора параметров перестановки первого уровня I

3. Применение перестановки первого уровня к элементам всех подмножеств разбиения

4. Генерация параметра перестановки второго уровня I т

5. Применение перестановки второго уровня к подмножествам разбиения = 1 + 1

Нет

Окончание

Рисунок 11 - Алгоритм деперсонализации ПДн

Для каждого подмножества Ац определим циклическую перестановку (подстановку) VijiSij)) задаваемую следующим образом: Pij(rij) = 1 2 3 . (MtJ- 1) Mtj \ 1 - тф (Mij + 2- гф (Ми + 3 - гф - (Мц - 1 - гф{Мц - тфJ'

Здесь элементы первой строки матрицы, стоящей в правой части равенства, соответствуют внутренним номерам элементов подмножества A до перестановки (в исходной таблице), а элементы, стоящие во второй строке, соответствуют внутренним номерами элементов подмножества Ац, стоящим на местах, с номерами, определенными в верхней строке, после перестановки.

Таким образом, в перестановке (подстановке) Pij(^ij) производится циклический сдвиг всех элементов подмножества на число ri; ( 1 < rt;- < Mtj — 1). Будем называть величину ri;- параметром перестановки Vijijij)-Данный параметр задается генератором случайных чисел (ГСЧ) в интервале [1; Mjy — 1]. Теперь все перестановки для всех подмножеств множества Ai можно задать набором (вектором) параметров rt = (ril, ri2,., riKi). Вектор параметров перестановок ri задает первый уровень алгоритма перемешивания, т.е. перестановки первого уровня.

Шаг второй.

Рассмотрим теперь множество at = (aii,CLi2,. ,aiK.), состоящее из Ki элементов. Здесь элемент а¿у соответствует подмножеству A^J = 2,3, .,Ki. Для этого множества определим циклическую перестановку Poi(ro/): PoiOoi) 1 2 3 (Kt- 1) Kt \

Kt - roi + 1) {Kt - roi + 2) - roi + 3) - (Kt - roi - 1 )(Ki ~ roi))' где элементы верхней строки матрицы перестановки соответствуют исходным номерам элементов множества а/ (подмножеств Аф, а элементы нижней строки матрицы соответствуют номерам элементов множества щ, стоящим на местах с номерами, определенными в верхней строке, после перестановки.

Таким образом, в перестановке PoiOoi) производится циклический сдвиг элементов множества аг (подмножеств множества i4t) на число r0l(l < r0l < Kt — 1) - параметр перестановки. Данный параметр r0l задается ГСЧ в интервале [1;/Q — 1]. Эту перестановку будем называть перестановкой второго уровня.

В результате последовательного проведения перестановок первого и второго уровней получается перемешивание элементов множества At так, что меняется нумерация этих элементов по отношению к исходной нумерации.

Определим теперь нумерацию элементов множества At после проведения всех перестановок. Имеем, с учетом правил перемножения перестановок, следующую результирующую перестановку: Pifopn) Л1 - M^-r-d+l) ] [(MtOf.-roi+D + 1) - {Щк,-г0<+1) + М^-г^+2))]

VHiOr.-nu+Dl •■■mi(Kt-r01+l)M((ifiroi+l)] [ml(^[-r01+2)l - mi(Ki-roi+2)MliKirQi+2]] [м - Ml0firoi) . M] \ . [ml(if{roi)1 . mt{к^гоОм^^])

Здесь верхняя строка матрицы содержит порядковые номера элементов множества атрибута i, в соответствии с их размещением в столбце после перемешивания, а нижняя строка содержит внешние номера элементов множества этого атрибута, соответствующие их размещению в исходной

Заключение

На основе результатов, полученных в ходе работе, можно сделать вывод, что цель диссертации, сформулированная во введении, а именно разработка алгоритма обезличивания персональных данных, разработка алгоритма выбора СЗИ и определение методов построения ИСПДн, образующих по совокупности применения методику построения ИСПДн в защищенном исполнении, применение которой позволит решить задачи обеспечения ИБ от НСД, в основном достигнута и поставленные задачи решены.

Диссертация охватывает все основные проблемные аспекты при обработке персональных данных в информационных системах, пути их решения с помощью разработанного алгоритма деперсонализации и методики построения системы защиты для ИСПДн в целом.

В работе был проведен тщательный анализ существующей нормативно-правовой базы в части ИСПДн и предлагаемых средств защиты информации, что позволило разработать адекватную методику, которая может быть востребована во многих государственных и коммерческих организациях.

В ходе выполнения работы была разработана программа на языке С# для ОС семейства Microsoft Windows ХР/7 (регистрационный номер №2012618608), реализующая алгоритм деперсонализации ПДн.

Проведено практическое исследование разработанных алгоритмов, методов и методики в целом, показана эффективность предложенного подхода, приведено практическое применение полученных результатов.

Результаты диссертационной работы позволяют достичь:

1. Оптимизации задачи формирования требований к защищенности ИСПДн от НСД на основе параметров конкретной ИСПДн;

2. Снижения уровня требований к защищенности ИСПДн благодаря деперсонализации обрабатываемых в ней ПДн;

I к

- VI > tv \ tl й i

V/

109, г V I 11 !

I" г t

3. Оптимизации задачи выбора организационных мер и технических СЗИ для ИСПДн на основе использования модифицированного жадного алгоритма;

4. Возможности вычисления адекватной оценки общей защищенности ИСПДн по разработанному алгоритму;

5. Построения ИСПДн организации в защищенном исполнении, используя совокупность разработанных методов и алгоритмов.

Таким образом, полученные в диссертации результаты позволяют осуществить решение актуальной задачи, имеющей важное прикладное значение.

1. Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных: постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 // Российская газета 2007. -21 ноября.

2. Стратегия развития информационного общества в Российской Федерации: утверждена приказом №212 от 7 февраля 2008 г. // Российская газета 2008. 16 февраля.

3. Конявский В. А. Основные направления обеспечения информационной безопасности в информационных системах и сетях // Управление защитой информации. 2001. №2. С. 147-157.

4. Конявский В. А., Фролов Г. В. Компьютерная преступность и информационная безопасность. Мн.: АРИЛ, 2000. 230 с.

5. Саксонов Е.А., Шередин Р.В. Центры обработки персональных данных // Проблемы передачи и обработки информации в сетях и системах телекоммуникаций. Материалы 16 международной научно-технической конференции. Рязань, 2010. С. 158-160.

6. Минниханов Р.Н. Защита от несанкционированного доступа в специализированных информационных системах. Казань, 1999. 199с.

7. Гатчин Ю.А., Куракин A.C., Краснов А.Г. Анализ проблем защиты персональных данных // Сборник ИТМО. СПб.: СПб ГУ ИТМО.

8. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М.: Радио и связь, 2001. 376 с.

9. Протасевич A.A., Зверянская Л.П. Борьба с киберпреступностью как актуальная задача современной науки // Криминологический журнал Байкальского государственного университета экономики и права. 2011. № 3. С. 28-33.

10. Мельников В.П. Информационная безопасность и защита информации: под ред. С.А.Клейменова. М.: Издательский центр «Академия», 2008. 336 с.

11. Защита от несанкционированного доступа к информации: РД ГТК Российской Федерации. М., 1992.

12. Калайда И. А., Трубачев А. П. Современное состояние и направления совершенствования нормативной базы в области IT-безопасности // Информационная безопасность. 2004. № 3. С. 32-35.

13. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации: РД ГТК Российской Федерации. М., 1992. 12 с.

14. Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации:постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 // Российская газета.- 2008. 24 сентября.

15. Сидоров А.О. Модель и метод структурированной оценки риска при анализе информационной безопасности: автореф. дис. канд. тех. наук: 05.13.19: защищена 17.02.2009 г. / Сидоров Алексей Олегович. СПб., 2008,- С. 24.

16. Симонов С. Анализ рисков, управление рисками // Информационный бюллетень Jet Info. 1999. № 1(68). С. 1-28.

17. Петренко С.А, Симонов C.B. Управление информационными рисками. М.: ДМК Пресс, 2004. 392 с.

18. Жуков В.Г., Жукова М.Н. , Стефаров А.П. Модель нарушителя прав доступа в автоматизированной системе // Программные продукты и системы. 2012. № 2. С. 75-78.

19. Вихорев С., Кобцев Р. Как определить источники угроз // Открытые системы. 2002. № 7-8. 56 с.

20. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных: нормативно-методический документ ФСТЭК России от 15 февраля 2008 г.

21. Вихорев C.B. Классификация угроз информационной безопасности. Кишинев: Ruxanda, 2003. 260 с.

22. Пархоменко Н., Яковлев С., Пархоменко П., Мисник Н. Угрозы информационной безопасности. Новые реалии и адекватность классификации // Защита информации. Конфидент. 2003. № 6. С. 15-18.

23. PC БР ИББС-2.2-2009. Обеспечение информационной безопасности банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности: введен 11 ноября 2009 г. М., 2009. 23 с.

24. Петренко С.А., Симонов C.B. Экономически оправданная безопасность. М.: Изд. ДМК, 2003. 218 с.изu > t ; ' I >, , '' '' , ' » . t I • * I >

25. Сёмкин С. H., Беляков Э. В., Гребенев С. В., Козачок В. И. Основы организационного обеспечения информационной безопасности объектов информатизации. М.: «Гелиос АРБ», 2005. 324 с.

26. Галатенко В.А. Современная трактовка сервисов безопасности // Информационный бюллетень Jet Info. 1999. №5. С. 13-18.

27. Сердюк В.А. Аудит информационной безопасности основа эффективной защиты предприятия // BYTE/Россия. 2006. №4(92). С. 32-35.

28. Чарушников A.B., Командерюс С.Р., Воля A.B., Куракин A.C. Программный комплекс компьютерных форм оперативной подготовки // МО РФ, Сборник алгоритмов и программ типовых задач: под ред. И.А. Кудряшова. СПб.: BKA им. А.Ф. Можайского, 2007. №26. С. 306314.

29. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. М.: Стандартинформ, 2007.

30. Герасименко В. А. Защита информации в автоматизированных системах обработки данных: в 2 кн. М.: Энергоатомиздат, 1994. Кн.1. 440 с.

31. Малюк A.A. Информационная безопасность: концептуальные и методологические основы защиты информации Текст. М.: Горячая линия Телеком, 2004. 280с., ил.

32. Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных: приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010г. № 58 // Российская газета- 2010. 5 марта.

33. Куракин A.C., Краснов А.Г. Анализ методов и средств защиты персональных данных // Сборник тезисов докладов конференции молодых ученых. Труды молодых ученых. СПб: СПбГУ ИТМО, 2011. №1. С. 134-136.

34. Гвоздик Я.М., Кусов Е.В., Марков О.Н. Оценка соответствия информационной безопасности объекта аудита требованиям нормативных документов // Проблемы информационной безопасности. Компьютерные системы. 2006. №3. С. 80-85.

35. ГОСТ Р ИСО/МЭК 13335-3-2007. Информационная технология. Методы и средства обеспечения безопасности. Ч. 1. Концепция имодели менеджмента безопасности информационных и телекоммуникационных технологий: введен 1 июня 2007 г. М.: Стандартинформ, 2007. 23 с.

36. Кобзарь М., Сидак А. Методология оценки безопасности информационных технологий по общим критериям // Информационный бюллетень Jet Info. 2004. №6. С. 38-43.

37. Прытков С.Ф., Горбачева В.М., Борисов A.A. Надежность ЭРИ: Справочник // 22 ЦНИИИ МО РФ, 2006. 674 с.

38. Смирнов С. Н. Вероятностные модели обеспечения информационной безопасности автоматизированных систем // Безопасность информационных технологий. 2006. №2. С. 12-17.

39. Завгородний В.И. Комплексная защита информации в компьютерных системах. М.: Логос, 2001. 264 с.

40. Никитин Е.В., Саксонов Е.А., Шередин Р.В., Нгуен Нгок Хуэ. Классификация информационных систем // Качество. Инновации. Образование. 2010. №6. С. 64-70.

41. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. М.: Стандартинформ, 2006.

42. Гвоздик Я.М. Оценка состояния безопасности информации в автоматизированных системах // Материалы 18 Межвузовской научно-технической конференции. СПб.: ВМИРЭ. 2007. С. 14-17.

43. Галатенко В.А. Оценка безопасности автоматизированных систем. Обзор и анализ предлагаемого проекта технического доклада ISO/IECк »I . *116'Л

44. PDTR 19791 // Информационный бюллетень Jet Info. 2005. № 7. С. 2128.

45. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных: утверждена Федеральной службой по техническому и экспортному контролю Российской Федерации 14 февраля 2008 г.

46. Грушо A.A. Применко Э.А., Тимонина Е.Е. Теоретические основы компьютерной безопасности: учебное пособие для студентов высших учебных заведений. М.: Издательский центр «Академия», 2009. 272 с.

47. Гадасин В. А., Давыдова Т. В., Конявский В. А. Системные основы технологии защиты электронной информации // Управление защитой информации. 2001. Т. 5. №1.

48. Царев Е. Информационная безопасность по-русски Электронный ресурс. // День 4. Обезличивание персональных данных 2009. URL: http://www.tsarev.biz/news/den-4-obezlichivanie-personalnyx-dannyx (дата обращения: 29.03.12).

49. Саксонов Е.А., Шередин Р.В. Анализ проблемы обезличивания персональных данных // Межвузовский сборник научных трудов. Математическое и программное обеспечение вычислительных систем. Рязань, 2011. С. 118-126.

50. Качаев К. Разделение и обезличивание персональных данных. URL: http://1.brary.croc.ru/download/1058/4fe9df4al2bll67b57c6d432f4c68caf.pdf (дата обращения: 29.08.12).

51. Рассмотрение способа обезличивания персональных данных через разделение системы и присвоение идентификаторов Электронный ресурс. URL: http:// ispdn.ru/forum/index.php?PAGENAME=read&FID=l&TID= 1161.

52. Полный перебор Электронный ресурс. // Википедия — свободная энциклопедия. URL: http://ru.wikipedia.org/wiki/Пoлныйпepeбop (дата обращения: 15.04.2012).

53. Грушо А. А., Тимонина Е. Е. Теоретические основы защиты информации. М.: Яхтсмен, 1996. 187 с.

54. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий: руководящий документ ФСТЭК России, 2003.

55. Липаев В.В. Обеспечение качества программных средств. Методы и стандарты. Серия «Информационные технологии». М.: СИНТЕГ, 2001. 380 с.

56. Майерс Г. Надежность программного обеспечения. М.: Мир, 1980. 360 с.

57. Аграновский А., Зайцев В., Телеснин Б., Хади Р. Верификация программ с помощью моделей // Открытые системы. СУБД. 2003. №12. С. 24-28.

58. Ю.Абрамова Н. А., Баталина Т. С., Гегамов Н. А., Коврига С. В. Новый математический аппарат для анализа внешнего поведения и верификации программ. М.: Институт проблем управления, 1998. 109 с.

59. Задача о покрытии множества Электронный ресурс. // Википедия — свободная энциклопедия. URL: http:// т.\у11аресНа.о^/\у1к1/Задачаопокрытиимножества (дата обращения: 15.09.2012).

60. Иванов В.П. Математическая оценка защищенности информации от несанкционированного доступа // Специальная техника. 2004. №1. С. 21-25.

61. Арьков П.А. Подход к проектированию системы защиты информации автоматизированной системы // XI Региональная конференция молодых исследователей Волгоградской области: тезисы докладов. ВГТУ, Волгоград, 2006. 198 с.

62. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Основные положения: принят и введен в действие Постановлением Госстандарта России от 6 апреля 2000 г. № 95-ст. 12 с.

63. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищенном исполнении. Основные положения: принят и введен в действие Постановлением Госстандарта России от 30 июня 2000 г. № 175-ст.

64. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). М., 2001.

65. Ерохин С.С., P.B. Мещеряков, С.С. Бондарчук. Оценка защищенности информационных систем электронной коммерции. // Информация и безопасность. Воронежский государственный технический университет, 2009. №2. С. 195-206.

66. Зегжда Д.П., A.M. Ивашко. Как построить защищенную информационную систему. СПб.: НПО «Мир и семья-95», 1997.312 с.

67. Программа деперсонализации персональных данных

68. Правообладатель(ли): федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики» (ЯП)

69. Автор(ы): Куракин Александр Сергеевич (Ш1)1. Заявка № 2012616421

70. Дата поступления 27 ИЮЛЯ 2012 Г. Зарегистрировано в Реестре программ для ЭВМ 21 сентября 2012 г.

71. Руководитель Федеральной службы по интеллектуальной собственности1. Б.П. СимоновЖж ж ж ж ж ж ж ж ж ж ж ж ж ж ж ж ж ж ж ж ж ж ж ж ж ж жж ж ж ж ж ж ж ж ж ж ж ж1. ЦЦрж ж ж ж ж,ж ж ж ж ж ж.ж ж ж ж ж ж ж,ж ж,ж ж ж ж,ж,ж ж,ж ж ж ж ж