Удк 004. 056 Разработка экспертной системы для оценки защищенности персональных данных в компьютерных системах
Скачать 279.42 Kb.
|
323 УДК 004.056 РАЗРАБОТКА ЭКСПЕРТНОЙ СИСТЕМЫ ДЛЯ ОЦЕНКИ ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМПЬЮТЕРНЫХ СИСТЕМАХ И.Ю. Попов 1 Научный руководитель – к.т.н., доцент Б.А. Крылов 1 1 Университет ИТМО Рассматривается принцип работы экспертной системы. Предлагается способ оценки соответствия выполненных требований по защите персональных данных в информационных системах. Ключевые слова: информационная система персональных данных, экспертная система, оценка защищенности. Введение. Сегодня практически во всех отраслях человеческой деятельности обрабатываются персональные данные (ПД). При создании соответствующих информационных систем обработки и хранения персональных данных следует предпринимать меры по предотвращению угроз от несанкционированного доступа, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней. При проектировании информационных систем персональных данных (ИСПДн) и выборе мер защиты требуется приложить немало усилий и времени, но чаще всего из-за нехватки знаний у операторов ИСПДн или штатных сотрудников допускаются ошибки, которые могут привести к потере ПД. Чтобы максимально предотвратить ошибки при проектировании защиты для ИСПДн, разработана экспертная система для оценки защищенности персональных данных в информационных системах. Описание функций экспертной системы. Разработанная экспертная система имеет следующие функции: разработка модели ИСПДн и оценка защищенности. Далее описаны функции подробно. На первом шаге оператор выбирает, создана ли ИСПДн или нет. Если ИСПДн создана, то проводится оценка защищенности данной системы. Под оценкой защищенности понимается оценка соответствия выполненных мероприятий и требований согласно нормативным актам Российской Федерации в области защиты персональных данных. Экспертная система проводит оценку соответствия следующих мер защиты: ‒ уровень защищенности ИСПДн; ‒ требования по защищенности в соответствии с постановлением № 1119 [2]; ‒ организационные и технические меры по обеспечению безопасности ПД; ‒ оценка соответствия средств защиты по уровню защищенности; ‒ оценка соответствия средств криптографической защиты информации (СКЗИ). Выходными данными являются оценка защищенности по 3-х бальной шкале «Низкая», «Средняя», «Высокая» и список действий для повышения оценки защищенности. Если пройдены все этапы проверки, то оценка защищенности «Высокая». В случае если не пройден один этап проверки, то оценка защищенности «Средняя», два и более – оценка «Низкая». При неправильном выборе уровня защищенности – система автоматически переходит к этапу разработки модели ИСПДн. Если информационная система персональных данных не создана, то оператор на предпроектном проектировании сможет определить основные требования и мероприятия защиты персональных данных. Для этого необходимо ввести следующие входные данные: ‒ тип актуальных угроз; 324 ‒ категория ПД; ‒ число субъектов ПД; ‒ обрабатываются ли данные сотрудников. Выходными данными в этом случае будут являться: ‒ уровень защищенности; ‒ список обязательных требований; ‒ список базовых мер; ‒ классы сертификатов СЗИ; ‒ класс сертификата СКЗИ. Реализация экспертной системы. Для разработки экспертной системы выбрана продукционная модель представления знаний. Для программной реализации использовалась оболочка экспертной системы Drools [5]. Оболочка Drools основана на продукционной модели представления знаний, язык программирования экспертной системы – Java. Для реализации экспертной системы необходимо создать базу знаний, которая состоит из фактов (классов), полей фактов (переменные класса) и правил, где прописаны все действия с переменными. Реализованная система имеет: ‒ 24 факта; ‒ 91 поле фактов; ‒ 71 правило. На рисунке показан интерфейс экспертной системы. Рисунок. Интерфейс экспертной системы Опытная эксплуатация проводилась на двух автоматизированных системах. Результаты проверки на первой автоматизированной системе – оценка «Низкая»: системой обнаружены ошибки в выборе обязательных требований согласно [2], а также неправильный выбор средств защиты информации. Результат проверки на второй автоматизированной системе – оценка «Высокая»: ошибок в данной системе не обнаружено. Заключение. Была реализована экспертная система для оценки защищенности персональных данных в информационных системах. Данная экспертная система позволяет устранить уязвимости в выборе требований и мероприятий согласно нормативным актам в области защиты персональных данных. Литература 1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» // Собрание законодательства РФ. – 2006. – № 31 (1 ч.). – Ст. 3448. 325 2. Постановление Правительства «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 01.11.2012 г. № 1119. 3. Приказ «Об утверждении требований и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18 февраля 2013 г. Федеральная служба по техническому и экспортному контролю № 21. 4. Муромцев Д.И., Колчин М.А. Разработка экспертных систем в Drools Guvnor. – СПб.: НИУ ИТМО, 2013. – 54 с. 5. Drools Documentation [Электронный ресурс]. – Режим доступа: http://docs.jboss.org/drools/release/6.1.0.Final/drools-docs/ своб. УДК 004.056.53 АНАЛИЗ КАНАЛОВ УТЕЧКИ ИНФОРМАЦИИ, ПЕРЕДАВАЕМОЙ ПО ОПТОВОЛОКОННОМУ КАНАЛУ СВЯЗИ, ПРИ ПОДКЛЮЧЕНИИ БЕЗ НАРУШЕНИЯ ЦЕЛОСТНОСТИ Н.С. Ральникова 1 Научный руководитель – д.в.н., профессор Ю.Ф. Каторин 1 1 Государственный университет морского и речного флота им. адмирала С.О. Макарова В работе кратко описываются основные преимущества волоконно-оптических линий связи, проводится анализ основных каналов утечки информации, передаваемой по оптоволоконному каналу связи, при подключении без нарушения целостности, и приводится альтернативная классификация каналов утечки информации, передаваемой по волоконно-оптическим линиям связи. Ключевые слова: волоконно-оптические линии связи, ВОЛС, оптоволокно, каналы утечки, несанкционированный доступ, информационная безопасность. Информация, передаваемая от источника к получателю, всегда подвержена риску утечки. В последнее время все большую популярность набирают волоконно- оптические линии связи (ВОЛС). ВОЛС применяются для создания сетей различных уровней. Их используют для создания простых домашних сетей, так и для создания единого канала передачи данных для всей страны. В связи с этим исследование каналов утечки информации из оптоволоконных линий связи является весьма актуальной задачей. Оптоволоконный канал связи представляет собой канал связи, основанный на использовании оптических диэлектрических волноводов, известных как «оптическое волокно». Само оптоволокно представляет собой прозрачную нить из стекла или пластика, которая переносит внутри себя свет посредством явления полного внутреннего отражения. Оптоволоконный канал связи имеет множество преимуществ над другими каналами связи. Это широкая полоса пропускания, которая достигается благодаря высокой частоте несущей, что дает возможность передачи по одному оптическому волокну потока информации в несколько терабит в секунду; малое затухание сигнала – позволяет строить участки линий без ретрансляции протяженностью до 100 км и более; низкий уровень шумов – позволяет увеличить полосу пропускания; высокая помехозащищенность – оптоволокно невосприимчиво к электромагнитным помехам со стороны окружающих медных кабельных систем и электрического оборудования; малый вес и объем по сравнению с медными кабелями в расчете на одну и ту же пропускную способность; высокая защищенность от несанкционированного доступа. Подробнее остановимся на последнем из них. До недавнего времени считалось, |