Модели и алгоритмы анализа информационных рисков при проведении аудита безопасности информационной системы персональных данных тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Сагитова Валентина Владимировна
- Специальность ВАК РФ05.13.19
- Количество страниц 229
Оглавление диссертации кандидат наук Сагитова Валентина Владимировна
Введение
ГЛАВА 1. Анализ современного состояния проблемы аудита информационной безопасности информационных систем персональных данных
1.1 Специфика персональных данных как объекта защиты. Нормативно-правовая база по защите ПДн
1.2 Концепция обеспечения информационной безопасности ИСПДн. Анализ существующих подходов к аудиту ИБ ИСПДн
1.2.1 Жизненный цикл системы защиты персональных данных
1.2.2 Государственные стандарты в области аудита ИБ
1.2.3 Анализ способов проведения аудита ИБ ИСПДн
1.3 Методы и алгоритмы поддержки принятия решений при проведении аудита ИБ ИСПДн
1.4 Анализ инструментальных средств автоматизации этапов проведения
аудита ИБ ИСПДн
Выводы по первой главе. Цели и задачи исследования
ГЛАВА 2. Разработка системных моделей и методики оценки защищенности ИСПДн
2.1 Системное моделирование процесса аудита ИБ ИСПДн на основе IDEF-технологий
2.2 Построение онтологии процесса аудита ИБ ИСПДн
2.3 Модель ИСПДн как объекта аудита ИБ на основе построения профиля защиты
2.3.1 Требования к защищенности ИСПДн на основе нормативно-методических материалов ФСТЭК России
2.3.2 Модель ИСПДн как объекта аудита ИБ на основе построения профиля защиты
2.4. Методика оценки соответствия уровня защищенности ИСПДн
требованиям нормативных документов
Выводы по второй главе
ГЛАВА 3. Разработка алгоритма принятия решений по оценке рисков ИБ информационным активам ИСПДн с применением технологий интеллектуального анализа данных
3.1 Оценка рисков ИБ информационным активам ИСПДн на основе нечетких продукционных правил
3.2 Принятие решений на этапе оценки и обработки рисков ИБ информационным активам ИСПДн с использованием нечеткой нейронной сети
3.3 Оценка эффективности системы защиты ПДн на основе модели
системы защиты информации с полным перекрытием
Выводы по третьей главе
ГЛАВА 4. Разработка исследовательского прототипа интеллектуальной системы поддержки принятия решений (ИСППР) при проведении аудита
ИБ ИСПДн
4. 1 Разработка архитектуры ИСППР
4.2 Координация совместной работы базы правил и базы прецедентов в процессе применения ИСППР для различных исходных данных
4.3 Результаты применения ИСППР в процессе аудита ИБ ИСПДн медицинского учреждения
4.4 Результаты применения ИСППР в процессе аудита ИБ ИСПДн
госучреждения
Выводы по четвертой главе
Заключение
Список использованных источников
Приложения
Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Минимизация рисков нарушения безопасности при построении системы защиты персональных данных2018 год, кандидат наук Шинаков Кирилл Евгеньевич
Автоматизация выбора средств защиты персональных данных на основе анализа их защищенности2013 год, кандидат технических наук Голембиовская, Оксана Михайловна
Методы и алгоритмы построения информационных систем персональных данных в защищенном исполнении2013 год, кандидат технических наук Куракин, Александр Сергеевич
Алгоритмы категорирования персональных данных для систем автоматизированного проектирования баз данных информационных систем2012 год, кандидат технических наук Корнев, Павел Александрович
Модели технологии и методика оценки состояния системы обеспечения информационной безопасности в органе власти, организации2014 год, кандидат наук Люльченко, Андрей Николаевич
Введение диссертации (часть автореферата) на тему «Модели и алгоритмы анализа информационных рисков при проведении аудита безопасности информационной системы персональных данных»
ВВЕДЕНИЕ
Актуальность исследования. Защита персональных данных (ПДн) физических лиц является одной из важнейших задач обеспечения информационной безопасности (ИБ) любой организации. Украденные ПДн используются злоумышленниками для получения кредитов, налоговых вычетов, для использования агрегированных сведений о физических лицах в маркетинговых, коммерческих и иных целях. В соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» (с изменениями и дополнениями от 31.12.2017), оператор обязан выполнить ряд организационных и технических мер, касающихся процессов обработки ПДн. Для эффективной защиты ПДн на предприятии необходимо создание системы защиты персональных данных, способной противостоять реализации актуальных угроз безопасности ПДн, и ее поддержание в актуальном состоянии.
Следует отметить, что ценность ПДн увеличивается год от года. По сведениям Аналитического центра компании InfoWatch, в первом полугодии 2017 года зафиксирован восьмикратный рост объема утечек ПДн, включая номера социального страхования, реквизиты пластиковых карт и иной критически важной информации, по сравнению с аналогичным периодом прошлого года. Доля утечек ПДн составила 66% от общего количества утечек информации [30]. А в первом полугодии 2018 года доля утечек ПДн составила 69% от общего количества утечек информации [31]. За последнее время нормативная база в области защиты ПДн претерпела существенные дополнения и изменения, которые отражены в частности в Постановлении Правительства РФ №1119 от 1 ноября 2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и соответствующих документах Федеральной службы по техническому и экспортному контролю (ФСТЭК) России.
Одним из важнейших компонентов непрерывного цикла процессов управления безопасностью ПДн является аудит ИБ информационных систем
персональных данных (ИСПДн). Под аудитом информационной безопасности понимается процесс получения объективных качественных и количественных оценок о текущем состоянии ИБ организации в соответствии с определенными критериями и показателями безопасности. Аудит ИБ ИСПДн позволяет руководству организации определить реальное состояние информационных активов, оценить их защищенность, провести анализ информационных рисков и, следовательно, повысить эффективность управления ИБ компании.
Вместе с тем, существующие подходы к аудиту ИБ в значительной мере не учитывают специфики ПДн, обуславливающей особенность проведения аудита ИБ ИСПДн. Сложность обеспечения защиты ПДн объясняется и тем, что такие данные являются разнородными, привязанными к субъекту ПДн, их утеря может быть выявлена лишь спустя некоторое время, сложно определить последствия утери ПДн. В связи с этим при аудите ИБ ИСПДн часто возникает неопределенность, неоднозначность принимаемых решений, связанная с оценкой влияния указанных факторов на уровень защищенности ИСПДн и с учетом требований существующей нормативной базы, что определяет актуальность проведения исследований в данной области.
Степень разработанности темы. Проблеме защиты ПДн посвящены работы
B. И. Аверченкова, А. А. Герасимова, О. М Голембиовской., О. А. Зеленского, А.
C. Куракина, И. В. Найхановой, А. А. Шелупанова, Р. В. Шередина, К. Е. Шинакова и др. Вопросы аудита ИБ и интеллектуальной поддержки принятия решений по ЗИ в информационных системах на основе анализа и управления рисками ИБ отражены в трудах П. Д. Зегжды, А. А. Замулы, И. В. Котенко, С. А. Петренко, И. М. Ажмухамедова, А. Н. Атаманова, Т. И. Булдаковой, В. И. Васильева, М. Б. Гузаирова, И. В. Машкиной, В. М. Шишкина, И. В. Аникина, Т. Ю. Зыряновой, С. А. Глушенко, С. С. Ерохина, Д. С. Корнеева, А. С. Кочетковой, И. И. Лившица и др.
Анализ работ в рассматриваемой предметной области показал, что при всей значимости проведенных исследований, проблема защиты ПДн нуждается в дальнейшей проработке. Необходимо разработать модели, алгоритмы, методики и
инструментальные средства анализа рисков безопасности ИСПДн, применение которых позволило бы повысить оперативность и эффективность принимаемых решений в процессе аудита ИБ ИСПДн как с учетом специфики конкретной ИСПДн, так и с учетом последних изменений в нормативно-законодательной базе.
Объектом исследования в диссертационной работе являются процессы аудита информационной безопасности ИСПДн.
Предметом исследования являются модели и алгоритмы анализа рисков при проведении аудита информационной безопасности ИСПДн.
Целью диссертационной работы является повышение эффективности процессов защиты ПДн на основе разработки и применения моделей и алгоритмов анализа рисков в процессе аудита информационной безопасности ИСПДн.
Задачи исследования:
1. Разработка системной и онтологической моделей процесса аудита информационной безопасности ИСПДн.
2. Разработка методики комплексной оценки уровня защищенности ИСПДн на основе построения и экспертной оценки профиля защиты ИСПДн.
3. Разработка алгоритма оценки рисков ИБ информационным активам ИСПДн на основе нечеткой нейронной сети.
4. Разработка алгоритма оценки эффективности системы защиты ПДн на основе схемы Клементса-Хоффмана с полным перекрытием.
5. Разработка исследовательского прототипа интеллектуальной СППР и оценка эффективности ее применения при решении ряда конкретных прикладных задач.
Методы исследования
При решении поставленных в работе задач использовались методы интеллектуального анализа данных, системного моделирования, построения онтологий, экспертных оценок, теории принятия решений, оценки рисков информационной безопасности, теории нечетких множеств и нейронных сетей, имитационного моделирования.
Положения, выносимые на защиту
1. Модели представления знаний в области защиты ПДн, основанные на построении системной модели на основе IDEF-технологий и построении онтологий рассматриваемой предметной области, позволяющие систематизировать предметную область, отобразить основные взаимосвязи и этапы процесса аудита ИБ ИСПДн.
2. Методика комплексной оценки уровня защищенности ИСПДн на основе построения и экспертной оценки профиля защиты ИСПДн, применение которой позволяет принять обоснованное решение о соответствии защищенности системы предъявляемым нормативным требованиям.
3. Алгоритм оценки рисков ИБ информационным активам ИСПДн на основе нечеткой нейронной сети, отличающийся методом декомпозиции нечетких продукционных правил, применение которого позволяет уменьшить не менее чем в 1,5 раза число используемых продукционных правил и существенно упростить процедуру построения и обучения нечеткой нейронной сети.
4. Алгоритм оценки эффективности системы защиты ПДн, основанный на модели системы защиты информации с полным перекрытием, применение которого позволяет обеспечить выбор эффективных решений средств защиты ИСПДн.
5. Архитектура исследовательского прототипа интеллектуальной СППР, позволяющая получить оперативную качественную и количественную оценку защищенности и показателей рисков ИБ, вызванных несоответствием защищенности отдельных активов ИСПДн нормативным требованиям и результаты вычислительных экспериментов по оценке эффективности ее применения при проведении аудита ИБ ИСПДн.
Обоснованность и достоверность результатов диссертации основана на использовании известных положений и нормативных документов в области защиты информации, а также подтверждается результатами имитационного моделирования и апробации разработанного исследовательского прототипа
интеллектуальной СППР, реализующего предложенные в работе модели и алгоритмы.
Научная новизна
1. Предложены модели представления знаний в области аудита ИБ ИСПДн, основанные на использовании IDEF-технологий и построении онтологий, отличающиеся от существующих моделей процесса аудита ИБ учетом специфики нормативных документов в области защиты ПДн, позволяющие формализовать процесс аудита ИБ ИСПДн для более полного отражения требований к системе защиты ПДн.
2. Разработана методика комплексной оценки уровня защищенности ИСПДн, отличающаяся построением системы частных и групповых показателей профиля защиты ИСПДн с использованием метода экспертных оценок, применение которой позволяет принять обоснованное решение о соответствии защищенности ИСПДн предъявляемым нормативным требованиям.
3. Разработан алгоритм оценки рисков ИБ информационным активам ИСПДн на основе нечеткой нейронной сети, отличающийся способом декомпозиции нечетких продукционных правил, применение которого позволяет уменьшить не менее чем в 1,5 раза число используемых продукционных правил и существенно упростить процедуру построения и обучения нечеткой нейронной сети.
4. Предложен алгоритм оценки эффективности системы защиты ПДн на основе схемы Клементса-Хоффмана с полным перекрытием, отличающийся возможностью выбора рационального состава средств защиты информации по критериям «риски ИБ - стоимость затрат на ЗИ», применение которого позволяет обеспечить выбор эффективных решений средств защиты ИСПДн.
Практическая значимость и внедрение результатов
Практическая ценность результатов, полученных в диссертации, заключается в разработке:
- методики комплексной оценки уровня защищенности ИСПДн;
- алгоритма оценки рисков ИБ информационным активам ИСПДн на основе нечеткой нейронной сети;
- алгоритма оценки эффективности системы защиты ПДн на основе модели системы защиты информации с полным перекрытием;
- исследовательского прототипа интеллектуальной СППР, реализующей предложенные модели, методику и алгоритмы принятия решений при проведении аудита ИБ ИСПДн, что позволяет получить оперативную качественную и количественную оценку защищенности и показателей рисков ИБ, вызванных несоответствием защищенности отдельных активов ИСПДн нормативным требованиям, на уровне знаний и опыта экспертов в данной области.
Предложенные модели, методика и алгоритмы позволяют повысить объективность принятия решений в процессе аудита ИБ ИСПДн, снизить материальные и временные затраты на выбор необходимого состава средств защиты ПДн, и как следствие, повысить эффективность управления информационной безопасностью организации.
Основные результаты диссертационной работы приняты к использованию в ГБУЗ «Республиканский клинический противотуберкулезный диспансер» (г. Уфа) при организации и проведении аудита ИБ ИСПДн в виде системы поддержки принятия решений.
Результаты диссертационного исследования внедрены в учебном процессе кафедры «Вычислительная техника и защита информации» при проведении лекционных курсов, а также при выполнении курсового и дипломного проектирования по направлению бакалаврской подготовки «Информационная безопасность», специальности «Безопасность информационных технологий в правоохранительной сфере», магистерской программе «Информационная безопасность».
Соответствие диссертации паспорту научной специальности
Отраженные в диссертации научные положения соответствуют формуле паспорта специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность». Диссертация включает исследования проблем
разработки, совершенствования и применения методов и средств защиты информации в процессе ее сбора, хранения, обработки, передачи и распространения, а также обеспечения информационной безопасности объектов в различных сферах деятельности от внешних и внутренних угроз.
Результаты исследования соответствуют следующим пунктам паспорта специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность»:
- анализ рисков нарушения информационной безопасности и уязвимостей процессов переработки информации в информационных системах любого вида и области применения (п. 7);
- модели и методы оценки защищенности информации и информационной безопасности объекта (п. 9);
- модели и методы управления информационной безопасностью (п. 15).
Апробация результатов
Основные научные и практические результаты диссертационной работы докладывались и обсуждались на следующих конференциях и семинарах: Всероссийской молодежной научной конференции «Мавлютовские чтения», г. Уфа, 2012, 2013, 2014; 2-й Международной конференции «Информационные технологии и системы», г. Челябинск, 2013; 8-й и 9-й Всероссийских зимних школах-семинарах аспирантов и молодых ученых (с международным участием) «Актуальные проблемы науки и техники», г. Уфа, 2013, 2014; 6-й и 7-й Межрегиональных научно-практических конференциях «Информационная безопасность и защита персональных данных: проблемы и пути их решения», г. Брянск, 2014, 2015; Научно-практическом семинаре по безопасности в рамках IX форума "Безопасность-2015", г. Уфа, 2015; Международной конференции «Компьютерные науки и информационные технологии» (CSIT'2015), г. Рим, Италия, 2015; 2-й, 5-й, 7-й Международных конференциях «Информационные технологии интеллектуальной поддержки принятия решений» (ITIDS), г. Уфа, 2014, 2017, 2018; 7-й Всероссийской заочной Интернет-конференции «Проблемы информационной безопасности», г. Ростов-на-Дону, 2018.
Публикации
Результаты диссертационной работы отражены в 18 публикациях, в том числе в 5 статьях в изданиях из перечня ВАК РФ и в 13 материалах докладов Международных и Российских конференций.
Структура и объем диссертации
Диссертация состоит из введения, четырех глав, заключения, списка литературы, приложений. Работа содержит 229 страниц машинописного текста, включающего 71 рисунок, 51 таблицу, 2 приложения. Список литературы включает 162 наименования.
ГЛАВА 1. АНАЛИЗ СОВРЕМЕННОГО СОСТОЯНИЯ ПРОБЛЕМЫ
АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.1 Специфика персональных данных как объекта защиты.
Нормативно-правовая база по защите ПДн
В соответствии с федеральным законом ФЗ-152 «О персональных данных», персональными данными (ПДн) является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн) [125]. К персональным данным могут относиться фамилия, имя, отчество, дата и место рождения, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, принадлежащая субъекту ПДн.
Требованиями федерального закона ФЗ-152 «О персональных данных» устанавливается ряд организационных и технических мер, касающихся процессов обработки ПДн. Однако, так как к системе защиты ПДн предъявляются достаточно жесткие требования в связи с их спецификой, многие операторы ИСПДн сталкиваются с проблемами приведения процесса обработки ПДн своих сотрудников и клиентов в соответствие с требованиями законодательства.
ПДн как объект защиты имеют следующие особенности:
- требования федерального закона ФЗ-152 «О персональных данных» распространяются на все государственные и коммерческие организации, а также на физических лиц, обрабатывающих в своих информационных системах ПДн независимо от размера и формы собственности;
- ПДн являются привязанными к конкретному субъекту ПДн. В случае нарушения конфиденциальности, целостности или доступности ПДн может быть нанесен значительный ущерб субъекту ПДн;
- ПДн являются разнородными, переходящими из одной категории в другую;
- утеря ПДн может быть выявлена не сразу, а спустя некоторое время;
- ущерб от неправомерных действий над ПДн труднооценим, он может проявляться как на уровне субъекта, так и в ряде случаев на уровне государства;
- ПДн обрабатываются, как правило, в открытых системах множеством разных операторов, передаются и хранятся на различных носителях, в том числе в электронных документах наряду с другой информацией, не относящейся к ПДн;
- среди других препятствий можно отметить имеющиеся бюджетные ограничения на обеспечение безопасности ПДн и нехватку квалифицированного персонала.
Законодательства многих стран содержат принципы защиты неприкосновенности частной жизни, защиты личной тайны, запрет на сбор информации о человеке без его согласия [140,146,148,150-156,159,161,162]. В настоящее время в мире различаются два направления защиты ПДн: американская и европейская модели защиты ПДн.
Американская модель характеризуется отсутствием общефедерального законодательства, касающегося защиты ПДн, и ведомства, осуществляющего надзор за неприкосновенностью частной жизни. Имеющиеся акты: Privacy Act (1974) и Privacy Protection Act (1980) - являются обязательными только для государственных организаций, проверка операторов ПДн на соответствие требованиям ИБ не осуществляется, ответственность наступает при утечке конфиденциальной информации, и в случае нарушения прав субъектов ПДн применяется практика прецедентного права [153,154]. В качестве рекомендаций по обеспечению защиты ПДн применяется документ Национального Института стандартов и технологий (The National Institute of Standards and Technology, NIST) «Руководство по защите персональных данных» (SP 800-122) [150], который помогает правильно задействовать нормативно-правовые акты внутреннего законодательства США. В нормативных актах США широко распространены рекомендации по минимизации используемых данных и их обезличиванию, которые позволяют упростить процесс защиты ПДн. В США используется
«зонтичный» подход, обеспечивающий адекватную защиту данных в отдельных областях, который основан на использовании общего законодательства.
Страны Евросоюза характеризуются наличием федерального законодательства по защите ПДн, ответственного регулятора и ответственности за невыполнение требований законодательства в области ПДн. Объединяющим началом соответствующего национального законодательства является Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» [62], в которой определяется порядок сбора и обработки данных о личности, принципы хранения и доступа к ним, способы физической защиты данных о личности. Конвенция гарантирует соблюдение прав человека при обработке ПДн и запрещает обработку данных о расе, политических взглядах, здоровье, религии без соответствующих юридических оснований. Вопросы защиты ПДн детально регламентируются директивами Европарламента и Совета Европейского Союза, которые определяют:
- принципы и критерии автоматизированной обработки данных;
- права и обязанности субъектов и держателей ПДн;
- вопросы трансграничной передачи ПДн;
- ответственность и санкции за нанесение ущерба [51-53].
Российская Федерация присоединилась к европейской конвенции в 2001 году. Россия реализует механизмы защиты ПДн на основе развития ранее сформированных базовых подходов к обеспечению ИБ [101,102,158]. Основным нормативным документом, регламентирующим защиту ПДн в Российской Федерации, является федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» [125]. Целью принятия данного закона является обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. В данном нормативном акте устанавливаются требования к обеспечению безопасности ПДн при их обработке в ИСПДн, описываются принципы и условия обработки ПДн, права субъекта ПДн, обязанности оператора ПДн, права и обязанности уполномоченного органа по защите прав субъектов
ПДн, а также ответственность за нарушение требований закона. Помимо федерального закона, имеется ряд других нормативно-правовых актов по защите ПДн, включающий в себя Постановления Правительства, приказы и методические материалы Федеральной службы по техническому и экспортному контролю (ФСТЭК) России, Федеральной службы безопасности (ФСБ) России. На рисунке 1.1 представлены основные нормативно-методические документы, относящиеся к области защиты ПДн.
Постановление Правительства РФ от 15.09.2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" устанавливает требования к обработке ПДн, осуществляемой без использования средств автоматизации и меры по обеспечению безопасности таких ПДн [89].
Постановление Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [88] отменило ранее действовавшее Постановление Правительства РФ от 17.11.2007 № 781-е «Об обеспечении безопасности ПДн при их обработке в информационных системах персональных данных» и повлекло за собой создание Приказа ФСТЭК от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн» [90], предлагающего перечень мер защиты, необходимых для обеспечения каждого из уровней защищенности ПДн/ Указанным Постановлением Правительства РФ устанавливаются четыре уровня защищенности ПДн, обрабатываемых в ИСПДн, и соответствующие требования для каждого из них. Под уровнем защищенности ПДн (УЗ) понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности ПДн при их обработке в ИСПДн [88]. Относить системы к тому или иному уровню защищенности предлагается в зависимости от категории обрабатываемых ПДн, формы отношений между организацией и субъектами, количества обрабатываемых ПДн, типа актуальных угроз.
ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных"(от 25.07.2011)
Постановления Правительства
Л
Постановление Правительства от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Постановление Правительства от 6.06.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
Постановление Правительства от 18.09.2012 №940 «Об утверждении Правил согласования проектов решений ассоциаций, союзов и иных объединений операторов об определении дополнительных угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с ФСБ РФ и ФСТЭК» Постановление Правительства от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден ФСТЭК 14.02.2008)
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден ФСТЭК 15.02.2008) Приказ ФСТЭК от 18 февраля 2013 г.№ 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн»
Приказ ФСБ от 10 июля 2014 г. №378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством российской федерации требований к защите персональных данных для каждого из уровней защищенности»
Рисунок 1.1 - Нормативно-методические документы в области защиты ПДн
Определение типа угроз безопасности ПДн, актуальных для ИСПДн, производится с учетом оценки возможного вреда, нанесенного потенциальным нарушителем, и возможных способах реализации угроз безопасности ПДн. Построение модели нарушителя и модели угроз регламентируется следующими нормативными правовыми актами ФСТЭК и ФСБ России:
- «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» [77];
- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» - содержит систематизированный перечень угроз безопасности ПДн при их обработке в ИСПДн [12]. Эти угрозы обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций, а также криминальных группировок, создающих условия для нарушения безопасности ПДн, которое ведет к ущербу жизненно важных интересов личности, общества и государства;
- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» -описывает порядок определения актуальных угроз безопасности ПДн в ИСПДн [76].
Приказ ФСТЭК № 21 от 18.02.2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн» устанавливает требования к обеспечению безопасности ПДн, к исполнителям работ по защите ПДн, к проведению оценки эффективности мер, определяет состав и содержание мер по обеспечению безопасности ПДн и требования к применению средств вычислительной техники (СВТ) и средств защиты информации (СЗИ) определенных классов в ИСПДн разных уровней защищенности [90].
Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК
Модели, методы и алгоритмы интеллектуальной поддержки принятия решений в задачах разработки и оценки системы физической защиты объектов информатизации2015 год, кандидат наук Боровский, Александр Сергеевич
Оценка рисков информационной безопасности АСУ ТП промышленных объектов с использованием методов когнитивного моделирования2023 год, кандидат наук Кириллова Анастасия Дмитриевна
Управление защитой информации в сегменте корпоративной информационной системы на основе интеллектуальных технологий2009 год, доктор технических наук Машкина, Ирина Владимировна
Методика аудита информационной безопасности информационно-телекоммуникационной системы2015 год, кандидат наук Кураленко Алексей Игоревич
Метод и алгоритмы гарантированного обезличивания и реидентификации субъекта персональных данных в автоматизированных информационных системах2013 год, кандидат технических наук Волокитина, Евгения Сергеевна
Список литературы диссертационного исследования кандидат наук Сагитова Валентина Владимировна, 2019 год
Список использованных источников
1. Абденов А. Ж., Трушин В. А., Абденова Г. А., Иноземцева Ю. А. Методика расчета рисков на основе объективных и субъективных оценок в соответствующих узлах SIEM-системы // Искусственный интеллект и принятие решений, № 3 - М: Федеральный исследовательский центр "Информатика и управление" Российской академии наук, 2016. - С. 87-99.
2. Абдулхаков А. Р., Катасев А. С., Кирпичников А. П. Методы редукции нечетких правил в базах знаний интеллектуальных систем // Вестник Казанского технологического ун-та, т.17, №23, 2014. - С. 389-392.
3. Аверченков В. И. Аудит информационной безопасности: Учебное пособие. - М.: Флинта, 2016. - 269 с.
4. Аверченков В. И., Рытов М. Ю., Гайнуллин Т. Р. Оптимизация выбора состава средств инженерно-технической защиты информации на основе модели Клементса-Хоффмана // Вестник Брянского государственного технического университета, 2008, №1 (17). - С. 61-66.
5. Ажмухамедов И. М., Князева О. М. Унификация подходов к управлению уровнем информационной безопасности в организациях различного профиля // Вестник Астраханского государственного технического университета, 2015, № 1. - С. 66-77.
6. Аникин И. В. Методология количественной оценки и управления рисками информационной безопасности // Информация и безопасность. - 2016. -Т.19, № 4. - С. 539-542.
7. Аникин И. В. Методы оценки и управления рисками информационной безопасности в корпоративных информационных сетях. - Казань, РИЦ «Школа», 2015. - 224 с.
8. Астахов А. М. Искусство управления информационными рисками. -М: ДМК-Пресс, 2010. - 312 с.
9. Атаманов А. Н. Динамическая итеративная оценка рисков информационной безопасности в автоматизированных системах // Дисс. канд.
техн. наук, спец-ть 05.13.19 - Методы и системы защиты информации, информационная безопасность. - М., 2012.
10. Аудит информационной безопасности. - URL: http://www.sovit.net/articles/methodics/information_security_audit1/ (дата обращения: 06.10.2018).
11. Бадамшин Р. А., Черняховская Л. Р., Ильясов Б. Г. Проблемы управления сложными динамическими объектами в критических ситуациях на основе знаний. - М.: Машиностроение, 2003. - 240 с.
12. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России / Утв. зам. дир-ра ФСТЭК России 15.02.2008 г.
13. Баранова Е. К. Анализ и управление рисками в сфере информационной безопасности // Безопасность информационных технологий -М.: Национальный исследовательский ядерный университет «МИФИ», № 1, 2009. - С. 60-77.
14. Баранова Е. К., Гусев А. М. Методика анализа рисков информационной безопасности с использованием нечеткой логики на базе инструментария Matlab // Образовательные ресурсы и технологии, №1(13), 2016. -С. 88-96.
15. Берштейн Л. С., Мелехин В. Б. Планирование поведения интеллектуального робота. - М: Энергоатомиздат, 1994. - 240 с.
16. Болотова Л. С. Системы искусственного интеллекта: модели и технологии, основанные на знаниях. - М.: Финансы и статистика, 2012. - 664 с.
17. Булдакова Т. И., Миков Д. А. Методика анализа информационных рисков с применением нейро-нечеткой сети // Научно-техническая информация. Серия 2. Информационные процессы и системы, №4, 2015. - С. 13-17.
18. Булдакова Т. И., Миков Д. А. Оценка информационных рисков в автоматизированных системах с помощью нейро-нечеткой модели // Наука и образование : эл-ное научно-техн. издание, №11, 2013. - С. 295-310.
19. Булдакова Т. И., Миков Д. А. Реализация методики оценки рисков информационной безопасности в среде Matlab // Вопросы кибербезопасности, №4(12), 2015. - С. 53-61.
20. Васильев В. И., Вульфин А. М., Кудрявцева Р. Т. Анализ и управление рисками информационной безопасности с использованием технологии когнитивного моделирования // Доклады ТУСУРа, том 20, № 4, 2017 - C. 61-66.
21. Васильев В. И. Интеллектуальные системы защиты информации : Учеб. пособие. 3-е изд., испр. и доп. — М.: Машиностроение, 2017. — 201 с.
22. Васильев В. И., Бакиров А. А., Бабиков А. Ю. Математическая модель для анализа защищенности взаимосвязанных информационных объектов // Проблемы информационной безопасности. Компьютерные системы. - СПб., 2000, №1 - С.13-19.
23. Васильев В. И., Кириллова А. Д., Сагитова В. В. Об эволюции понятия «Профиль защиты» в сфере информационной безопасности // Вестник УрФО. Безопасность в информационной сфере, №2 (28) - Екатеринбург, 2018. - С. 53-59.
24. Вендров А. М. CASE-технологии. Современные методы и средства проектирования информационных систем : Электронное издание. - М.: Финансы и статистика, 1998. - 98 с.
25. Воробьев А. А. Анализ уязвимостей вычислительных систем на основе алгебраических структур и потоков данных National Vulnerability Database // Интернет-журнал «Науковедение» №5, 2013. URL: https://naukovedenie.ru/PDF/33tvn513.pdf (дата обращения: 25.01.2019).
26. Воронцова Т. Н. Разработка онтологии кибербезопасности в энергетике // Кибербезопасность-2013. Материалы Международной научно-практической конференции. - Ялта, 2013.
27. Гаврилова Т. А. Онтологический подход к управлению знаниями при разработке корпоративных систем автоматизации // Технологии менеджмента знаний центр компетенции по технологиям менеджмента на основе знаний. -2010. - URL: http://kmtec.ru/publications/library/authors/ontol_podhod_to_uz.shtml (дата обращения: 06.10.2018).
28. Гаврилова Т. А., Хорошевский В. Ф. Базы знаний интеллектуальных систем. - СПб.: Питер, 2001. - 384 с.
29. Герасимов А. А., Жучков Р. Э. Математические модели механизмов защиты информации в автоматизированных информационных системах персональных данных органов государственного управления // Вестник Воронежского института МВД России, №4, 2015. - С. 163-169.
30. Глобальное исследование утечек конфиденциальной информации в I полугодии 2017 года. Аналитический центр InfoWatch, 2017. URL: https://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_Global_Re port_2017_half_year.pdf?rel=1 (дата обращения: 25.01.2019).
31. Глобальное исследование утечек конфиденциальной информации в I полугодии 2018 года. Аналитический центр InfoWatch, 2018. URL: https://www.infowatch.ru/sites/default/files/report/analytics/russ/infowatch_global_repo rt_2018_half_year.pdf?rel=1 (дата обращения: 25.01.2019).
32. Глушенко С. А. Применение системы Matlab для оценки рисков информационной безопасности организации // Бизнес-информатика, №4(26), 2013. - С. 35-42.
33. Глушенко С. А., Долженко А. И. Система поддержки принятия решений нечеткого моделирования рисков информационной безопасности организации // Информационные технологии, т.21, №1, 2015. - С. 68-74.
34. Голембиовская О. М. Автоматизация выбора средств защиты персональных данных на основе анализа их защищенности / Дисс. канд. техн. наук, спец. 05.13.19. - СПб, 2013. - 167 с.
35. ГОСТ Р ИСО 19011-2012. Руководящие указания по аудиту систем менеджмента. - М.: Стандартинформ, 2013. - 35 с.
36. ГОСТ Р ИСО/МЭК 15408-2008. Информационная технология. Методы и средства обеспечения информационной безопасности. Критерии оценки безопасности информационных технологий. - М.: Стандартинформ, 2009. - 35 с.
37. ГОСТ Р ИСО/МЭК 15408-3-2008. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности
информационных технологий. - Часть 3. Требования доверия к безопасности. -М.: Стандартинформ, 2009.
38. ГОСТ Р ИСО/МЭК 18045-2008. Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий. - М.: Стандартинформ, 2009. - 223 с.
39. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. - М. : Стандартинформ, 2008. - 25 с.
40. ГОСТ Р ИСО/МЭК 27002-2012. Информационная безопасность. Методы и средства обеспечения безопасности. Практические правила управления информационной безопасностью. - М.: Стандартинформ, 2014. - 106 с.
41. ГОСТ Р ИСО/МЭК 27005-2010. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. -М.: Стандартинформ, 2011. - 45 с.
42. ГОСТ Р ИСО/МЭК 27007-2014. Информационная безопасность. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента ИБ. - М.: Стандартинформ, 2015. - 23 с.
43. ГОСТ Р ИСО/МЭК 31000-2010. Менеджмент риска. Принципы и руководство. - М.: Стандартинформ, 2012. - 20 с.
44. ГОСТ Р ИСО/МЭК 31010-2011. Менеджмент риска. Методы оценки риска. - М.: Стандартинформ, 2012. - 69 с.
45. ГОСТ Р ИСО/МЭК ТО 15446-2008. Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности. - М.: Стандартинформ, 2010. -100 с.
46. ГОСТ Р ИСО/МЭК 18044-2007. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности. - М.: Стандартинформ, 2009. - 45 с.
47. Гузаиров М. Б., Машкина И. В. Управление защитой информации на основе интеллектуальных технологий. - М.: Машиностроение, 2013. - 241 с.
48. Гузаиров М. Б., Машкина И. В., Степанова Е. С. Метод определения ценности информации с использованием аппарата нечеткой логики // Безопасность информационных технологий, № 1 - М: КлАССное снаряжение, 2012. - С. 18-29.
49. Гуцыкова С. В. Метод экспертных оценок. Теория и практика. -М.: Институт психологии РАН, 2015. - 170 с.
50. Датская Л. В., Кожевникова И. С., Ананьин Е. В., Оладько В. С. Автоматизация проведения аудита информационной безопасности на основе профиля защиты // Национальная ассоциация ученых (НАУ), № VI (11), 2015. Технические науки. - С. 18-22.
51. Директива 2002/58/ЕС Европейского Парламента и Совета от 12.07.2002 г. об обработке ПДн и охране частной жизни в сфере электронных коммуникаций.
52. Директива 95/46/ЕС Европейского Парламента и Совета от 24.10.1995 г. о правовой охране граждан относительно обработки ПДн и свободного перемещения таких данных.
53. Директива № 97/66/EC Европейского парламента и Совета Европейского Союза от 15 декабря 1997 г. об использовании персональных данных и защите неприкосновенности частной жизни в сфере телекоммуникаций.
54. Ерохин С. С. Методика аудита информационной безопасности объектов электронной коммерции / Дисс. канд. техн. наук, спец. 05.13.19. -Томск, 2010. - 128 с.
55. Зак Ю. А. Принятие решений в условиях нечетких и размытых данных : Fuzzy-технологии. - М. : Книжный дом «ЛИБРОКОМ», 2013. - 352 с.
56. Замула А. А., Северинов А. В., Корниенко М. А. Анализ моделей оценки рисков информационной безопасности для построения системы защиты информации // Наука i техшка Повггряних Сил Збройних Сил Украши, № 2 (15), 2014. - С. 133-138.
57. Зегжда П. Д., Ивашко А. М. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000. — 452 с.
58. Зеленский А. Г., Зеленский О. А. Построение математической модели для анализа и оценки уровня угроз безопасности персональных данных в информационных системах // Образовательные ресурсы и технологии. - 2013. -№ 1. - С. 83-87.
59. Зырянова Т.Ю. Сравнительный анализ методов оценки и прогнозирования рисков в информационных системах // Вестник УРФО. Безопасность в информационной сфере. - 2017. - № 1 (23). - С. 28-35.
60. Карпов Л. Е., Юдин В. Н. Методы добычи данных при построении локальной метрики в системах вывода по прецедентам. - М.: Институт системного программирования РАН, 2006. - 33 с.
61. Катасёв А. С. Методы, модели и алгоритмы формирования баз знаний мягких экспертных систем диагностики состояния сложных объектов // XVI Международная конференция по мягким вычислениям и измерениям. - СПб,
2013. - С. 23-26.
62. Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» от 28.01.1981 г.
63. Корбин М. В., Скичко В. В., Вороной М. Ф. Развитие метода определения ценности информационных активов организации для нескольких экспертов // Ukrainian Scientific Journal of Information Security, vol. 20, issue 3,
2014. - pp. 274-278.
64. Корнеев Д. О., Татаринцев А. Ю., Яковлев Д. С., Заряев А. В. Идентификация параметров нечетких моделей оценки информационных рисков информационных систем // Информационная безопасность, № 1, 2010. - С. 37-42.
65. Корнеев Д. С. Использование аппарата нейронных сетей для создания модели оценки и управления рисками предприятия. - URL: https://cyberleninka.ru/article/n/ispolzovanie-apparata-neyronnyh-setey-dlya-sozdaniya-modeli-otsenki-i-upravleniya-riskami-predpriyatiya (дата обращения: 05.10.2018)
66. Королёв О. Л., Круликовский А. П. Моделирование бизнес-процессов : Учеб. пособие. - Симферополь: ТНУ, 2011. — 231 с.
67. Котенко И. В., Саенко И. Б., Полубелова О. В., Чечулин А. А. Применение технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах // Труды СПИРАН, № 1(20), 2012. - С. 27-56.
68. Кочеткова А. С. Применение нейронных сетей для мониторинга безопасности информационных систем // Вестник ВолГУ, Серия 9, Вып. 6, 2007. -С. 163-166.
69. Крюков К. В., Панкова Л. А., Пронина В. А., Суховеров В. С., Шипилина Л.Б. Меры семантической близости в онтологии // Проблемы управления, №5, 2010. - С. 2-14.
70. Куракин А. С. Методы и алгоритмы построения информационных систем персональных данных в защищенном исполнении / Дисс. канд. техн. наук , спец. 05.13.19. - СПб, 2013. - 123 с.
71. Леденева Т. М., Моисеев С. А. Формализация свойств интерпретируемости лингвистических шкал и термов нечетких моделей // Прикладная информатика, №4(40), 2012. - С. 126-132.
72. Леоненков А. В. Нечеткое моделирование в среде МаАаЬ и ^уТЕСН. - СПб. : БХВ - Петербург, 2005. - 736 с.
73. Лившиц И. И. Методы оценки защищённости систем менеджмента информационной безопасности, разработанных в соответствии с требованиями международного стандарта ИСО/МЭК 27001:2005 / Дисс. канд. танх. Наук, спец. 05.13.19. - СПб, 2012. - 187 с.
74. Лихоносов А., Денисов Д. Основы аудита информационной безопасности : Учеб. пособие. - М. : МФПА, 2010. - 305 с.
75. Машкина И. В., Степанова Е. С., Вишнякова Т. О. Анализ риска объекта информатизации : Учеб. пособие. - Уфа : УГАТУ, 2011. - 112 с.
76. Методика определения актуальных угроз безопасности персональных данных. ФСТЭК России / Утв. зам. дир-ра ФСТЭК России 14.02.2008 г.
77. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в
информационных системах персональных данных с использованием средств автоматизации / Утв. ФСБ России 21.02.2008 г., № 149/5-144.
78. Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности. ФСБ России / Утв. руководством ФСБ России 31.03.2015 г., № 149/7/2/6-432.
79. Найханова И. В. Иерархическая структура показателей аудита безопасности персональных данных // Глобальный научный потенциал, № 2(35), 2014. - С. 75-78.
80. Нестерук Ф. Г. Разработка модели адаптивной системы защиты информации на базе нейро-нечетких сетей / Дисс. канд. техн. наук. Спец-ть 05.13.19. - Спб., 2005. - 164 с.
81. Нурдинов Р. А. Определение вероятности нарушения критических свойств информационного актива на основе CVSS метрик уязвимостей // Современные проблемы науки и образования, № 3, 2014. - С. 76-78.
82. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации. Рекомендации в области стандартизации ЦБР РС БР ИББС-2.4-2010 // Приняты ЦБР 21.06.2010 г., № Р-705.
83. Орлов А. И. Организационно-экономическое моделирование. Экспертные оценки: учебник. - М.: Изд-во МГТУ им. Н. Э. Баумана, 2011. - 486с.
84. Пащенко И. Н., Васильев В. И., Гузаиров М. Б. Защита информации в сетях SMART GRID на основе интеллектуальных технологий: проектирование базы правил // Известия ЮФУ. Технические науки. № 5(166), 2015. - С. 28-37.
85. Першина Е. Л., Попова О. А., Чуканов С. Н. Интеллектуальные системы поддержки принятия решений: комплексы программ, модели, методы, приложения. Монография. - Омск: СибАДИ, 2010. - 204 с.
86. Петренко, С. А., Петренко А. А. Аудит безопасности Intranet. - М.: ДМК Пресс, 2002. - 416 с.
87. Попов Э.В. Экспертные системы: решение неформализованных задач в диалоге с ЭВМ. - М.: Наука, 1987. - 288 с.
88. Постановление Правительства от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // Утв. постановлением Правительства РФ 01.11.2012 г.
89. Постановление Правительства РФ от 15.09.2008 г. № 687 ""Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"" // Утв. постановлением Правительства РФ 15.09.2008 г. "
90. Приказ ФСТЭК №21 от 18.02.2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» // Утв. дир-ром ФСТЭК России 18.02.2013 г.
91. Реестр операторов, осуществляющих обработку персональных данных. URL: https://rkn.gov.ru/personal-data/register/?id=09-0051904 (дата обращения: 06.10.2018).
92. РискМенеджер. URL: http://www.srisks.ru/ (дата обращения: 06.10.2018).
93. Родина Ю. В. Оценка риска нарушения информационной безопасности по модели нечеткой логики с корректировкой параметров ее терм-множеств // Управление экономическими системами : электронный научный журнал, №30, 2011. - С. 10-20.
94. Сагитова В. В., Васильев В. И. Автоматизация оценки рисков безопасности информационных систем персональных данных // Межвузовский
научный сборник «Вычислительная техника и новые информационные технологии»,2015.
95. Сагитова В. В., Васильев В. И. Интеллектуальная поддержка принятия решений по аудиту информационных систем персональных данных на основе построения онтологий // Научно-технический и прикладной журнал «Известия ЮФУ. Технические науки», тематич. выпуск «Информационная безопасность, синергетика и кибернетика» № 5(166) - Таганрог: Изд-во ЮФУ, 2015. - С. 6-17.
96. Сагитова В. В., Васильев В. И. Онтология проблемной области аудита информационных систем персональных данных // Материалы УП-ой Межрегиональной научно-практической конференции «Информационная безопасность и защита персональных данных: проблемы и пути их решения» -Брянск, 2015. - С. 100-105.
97. Сагитова В. В., Васильев В. И. Оценка рисков ИБ на основе модели процесса защиты информации с полным перекрытием // VII Всероссийская заочная Интернет-конференция «Проблемы информационной безопасности» -Ростов-на-Дону: Изд-во ООО «Азов принт», 2018 - С. 14-19.
98. Сагитова В. В., Васильев В. И. Применение метода экспертных оценок для автоматизации аудита информационных систем персональных данных // Вестник УГАТУ, т.21, №3 (77) - Уфа: Изд-во УГАТУ, 2017. - С. 105-112.
99. Салова В. В. Анализ методов оценки риска в информационных системах персональных данных // Восьмая Всероссийская зимняя школа-семинар аспирантов и молодых ученых: Сборник трудов. Том 1. Информационные и инфокоммуникационные технологии - Уфа: УГАТУ, 2013. - С. 289-292.
100. Салова В. В. Поддержка принятия решений по аудиту информационных систем персональных данных на основе онтологического подхода // Мавлютовские чтения: VIII Всероссийская молодежная научная конференция: сборник трудов, т. 3, УГАТУ, 2014. - С. 41-42.
101. Салова В. В. Правовое регулирование защиты персональных данных // Мавлютовские чтения: VII Всероссийская молодежная научная конференция: сборник трудов 7, УГАТУ, 2013.
102. Салова В. В. Применение Федерального Закона «О персональных данных» при проектировании системы защиты информации // Мавлютовские чтения: Всероссийская молодежная научная конференция: сборник трудов в 5 томах, т. 3 - Уфа: УГАТУ, 2012. - С. 34-36.
103. Салова В. В. Системное моделирование при аудите безопасности информационных систем персональных данных // Девятая Всероссийская зимняя школа-семинар аспирантов и молодых ученых: Сборник трудов. Том 1. Информационные и инфокоммуникационные технологии - Уфа: УГАТУ, 2014.
104. Салова В. В., Васильев В. И. Автоматизация аудита информационных систем персональных данных на основе построения онтологий и нечеткого вывода // Научно-технический журнал «Системы управления и информационные технологии», № 3(57) - Москва-Воронеж, 2014. - С. 41-45.
105. Салова В. В., Васильев В. И. Аудит информационных систем персональных данных на соответствие требованиям нормативных документов // Материалы VI-ой Межрегиональной научно-практической конференции «Информационная безопасность и защита персональных данных: проблемы и пути их решения» - Брянск, 2014. - С. 133-138.
106. Салова В. В., Васильев В. И. Интеллектуальная система поддержки принятия решений по оценке рисков безопасности информационных систем персональных данных // Proceedings of the 2nd International Conference on "Information Technologies for Intelligent Decision Making Support and the International Workshop on Robots and Robotic Systems", УГАТУ, 2014. - С. 39-47.
107. Салова В. В., Васильев В. И. Интеллектуальная система поддержки принятия решений по проведению аудита информационных систем персональных данных // Вестник УГАТУ, т.18, №3(64) - Уфа: Изд-во УГАТУ, 2014. - С. 261269.
108. Салова В. В., Васильев В. И. Система защиты персональных данных в информационной системе медицинского учреждения // Сборник трудов 2-ой международной конференции «Информационные технологии и системы» -Челябинск, 2013. - С. 146-148.
109. Сатыбалдина Д. Ж., Шарипбаев А. А. Оценка рисков информационной безопасности на основе нечеткой логики // Материалы. науч. конф. «Знания-Онтологии-Теории» (ЗОНТ-09), 2009. - URL: http://math.nsc.ru/conference/zont09/reports/62Sharipbaev-Satybaldina.pdf (дата обращения: 05.10.2018).
110. Сенцова, А. Ю., Машкина И. В. Методология экспертного аудита в системе облачных вычислений // Безопасность информационных технологий. -М.: Национальный исследовательский ядерный университет «МИФИ» ВНИИПВТИ, № 4, 2013. - С. 63-70.
111. Сенцова, А. Ю., Машкина И. В. Автоматизация экспертного аудита информационной безопасности на основе использования искусственной нейронной сети // Безопасность информационных технологий. - М.: Национальный исследовательский ядерный университет «МИФИ» ВНИИПВТИ, №2, 2014. - С. 118-126.
112. Сибикина И. В. Анализ рисков информационной безопасности с использованием системы нечеткого логического вывода // Научный вестник НГТУ, т.65, №4, 2016. - С. 121-134.
113. Специальные требования и рекомендации по технической защите конфиденциальной информации. Руководящий документ // Утв. Председателем Гостехкомиссии России 30.08.2002 г.
114. Средство оценки безопасности Microsoft Security Assessment Tool. -URL: https://technetmicrosoft.com/m-ra/security/cc185712.aspx (дата обращения: 06.10.2018).
115. Степанова Е. С. Методы и модели оценки рисков нарушения информационной безопасности с использованием нечетких когнитивных карт / Дисс. канд. техн. наук, спец. 05.13.19. - Уфа, 2013. - 188 с.
116. Степанова Е. С., Кансафаров И. В. Программный модуль реализации алгоритма численной оценки риска нарушения информационной безопасности // Безопасность информационных технологий. №1, 2011. С. 128 - 130.
117. СТО БР ИББС-1.0-2014. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. - М.: Издательство стандартов, 2014. - 43 с.
118. СТО БР ИББС-1.1-2007. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит ИБ. - М.: Издательство стандартов, 2007. - 14 с.
119. СТО БР ИББС-1.2-2014. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014. - М.: Издательство стандартов, 2014. - 101 с.
120. Таунсенд К., Фохт Д. Проектирование и программная реализация экспертных систем на персональных ЭВМ. - М.: Финансы и статистика, 1991. -320 с.
121. Тенетко М. И., Пескова О. Ю. Концепция оценивания информационных рисков на основе нечетких множеств // Известия ЮФУ. Технические науки / Тематич. Выпуск «Информационная безопасность», №8, август 2008 г., г. Таганрог, 2008. - С. 24-30.
122. Техническая защита. Документы по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации / Методические документы. URL: https://fstec.ru/technicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty (дата обращения: 06.10.2018).
123. Уринцов А. И., Дик В. В. Системы поддержки принятия решений. -М.: МЭСИ, 2008. - 244 с.
124. Фаритова Д. А. Алгоритм уменьшения объема нечеткой базы знаний для многофакторной задачи принятия решений // Экономика и управление в XXI веке: Тенденции развития, № 27, 2016. - С. 132-136.
125. Федеральный Закон № 152. О персональных данных. // Принят Гос. Думой 8.07.2006 г.
126. Хоффман Л. Д. Современные методы защиты информации / Пер. с англ. - М.: Советское радио, 1980
127. Черняховская Л. Р., Старцева Е. Б., Муксимов П. В. и др. Поддержка принятия решений при стратегическом управлении предприятием на основе инженерии знаний. - Уфа: АН РБ, Гилем, 2010. - 128 с.
128. Шелупанов А. А., Миронова В. Г., Ерохин С. С., Мицель А. А. Автоматизированная система предпроектного обследования информационной системы персональных данных "АИСТ-П" // Доклады Томского государственного университета систем управления и радиоэлектроники, №1-1(21), 2010. - С. 14-22.
129. Шередин Р. В. Защита персональных данных в информационных системах методом обезличивания / Дисс. канд. тенх. наук, спец. 05.13.19. -Москва, 2011. - 138 с.
130. Шинаков К. Е. Минимизация рисков нарушения безопасности при построении системы защиты персональных данных / Дисс. канд. техн. наук, спец. 05.13.19. - Брянск, 2017. - 256 с.
131. Шихалев А. М. Корреляционный анализ. Непараметрические методы: учебно-методическое пособие. - Казань: Казан. ун-т, 2015. - 58 с.
132. Шишкин В. М. Оценка рисков на сложных структурах факторов при дефиците информации // Труды международного симпозиума Надежность и качество, т. 1, 2011. - С. 273-277.
133. Ярушкина Н. Г. Нечеткие нейронные сети в когнитивном моделировании и традиционных задачах // Лекции по нейроинформатике / Научная сессия МИФИ - 2005. Нейроинформатика. - М. : МИФИ, 2005. - С. 166213.
134. Ярушкина Н. Г. Основы теории нечетких и гибридных систем : Учеб. пособие. - М. : Финансы и статистика, 2004. - 320 с.
135. 2013 Data Privacy, Information Security and Cyber Insurance Trends. URL: https://www.yumpu.com/en/document/read/9967346/2013-data-privacy-infor-mation-security-and-cyber-insurance-trends-report (дата обращения: 25.01.2019).
136. Amancei С. Practical Methods for Information Security Risk Management // Informatica Economicâ, Vol.15, No. 1, 2011. - P. 151-159.
137. Behnia A., Rashid R.A., Chaudhry J.A. A Survey of Information Security Risk Analysis Methods // Smart Computing Review, Vol. 2, No. 1, February 2012.
138. Breier J., Hudec L. Risk analysis supported by information security metrics // Proc. of the 12th International Conference on Computer Systems and Technologies, 2011.
139. Choosing the Right Information Security Assessment Framework. URL: https://searchsecurity.techtarget.com/magazineContent/Information-security-risk-assess ment-frameworks (дата обращения: 25.01.2019).
140. CMS Information Security Risk Assessment (is RA) Procedure (Centers for Medicare & Medicaid Services), March 19, 2009. URL: https: //www. cms. gov/Regulations-and-Guidance/Guidance/Manuals/downloads/117_ systems_security.pdf (дата обращения: 25.01.2019).
141. David B. Leake (Ed.), Case-Based Reasoning: Experiences, Lessons, and Future Directions. Menlo Park , CA : AAAI Press/MIT Press, 1996, ISBN 0-262-62110-X.
142. Dr. Gary Hinson. Seven Myths About Information Security Metrics. Originally published in the ISSA Journal in July 2006.
143. Funahashi K. On the Approximate Realization of Continuous Mappings by Neural Networks // Neural Networks, 1989, Vol.2. - P. 183-192.
144. Gruber T. Toward, Principles for the Design of Ontologies Used for Knowledge Sharing // International Journal Human-Computer Studies - Elsevier, 1995.
145. Hornik K. M., Stinchombe M., White H. Multilayer Feedforward Networks are Universal Approximators // Neural Networks, 1989, Vol.2. - P. 359-366.
146. Information Security Risk Assessment: Practices of Leading Organizations / A Supplement to GAO's May 1998 Executive Guide on Information Security Management. URL: https://www.gao.gov/assets/200/199976.pdf (дата обращения: 25.01.2019).
147. Information Security Risk Assessment : Towards a Business Practice Perspective. Australia, 2010. URL: https://ro.ecu.edu.au/cgi/viewcontent. cgi?article=1097&context=ism (дата обращения: 25.01.2019).
148. Information Supplement: PCI DSS Risk Assessment Guidelines / PCI Security Standards Council, November 2012. URL: https://www.pcisecuritystandards.org/documents/PCI_DSS_Risk_Assmt_Guidelines_v 1.pdf (дата обращения: 25.01.2019).
149. Kosko B. Fuzzy Systems Are Universal Approximators // IEEE Transactions on Computers, Vol.43, No.4, November 1994. - P. 1329-1333.
150. NIST SP 800-122 "Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)", April 2010.
151. Personnel Security Risk Assessment: A Guide (CPNI - Centre for the Protection of National Infrastructure). The 4th Edition, June 2013. URL: https://www.cpni.gov.uk/system/files/documents/46/06/Personnel-security-risk-assess-ment-a-guide-4th-edition.pdf (дата обращения: 25.01.2019).
152. Prioritizing Information Security Risks with Threat Agent Risk Assessment: IT&Intel White Paper, December 2009. URL: https://www.intel.ru/content/dam/www/public/us/en/documents/best-practices/ prioritizing-information-security-risks-with-threat-agent-risk-assessment.pdf (дата обращения: 25.01.2019).
153. Privacy Protection Act of 1980 (PPA), Pub. L. No 96-440, 94 Stat. 1879, enacted October 13, 1980.
154. Privacy Act of 1974, Pub. L. No 93-579, 88 Stat. 1896, enacted December 31, 1974.
155. Risk Assessment and Risk Management Methods: Information Packages for Small and Medium Sized Enterprises (SMEs). March 30, 2006. URL: https://www.enisa.europa.eu/ (дата обращения: 25.01.2019).
156. Risk Assessment Process: Information Security (New Zealand Government, Internal Affairs), February 2014. URL:
https://www.ict.govt.nz/assets/ICT-System-Assurance/Risk-Assessment-Process-Information-Security.pdf (дата обращения: 25.01.2019).
157. Sagitova V. V., Vasilyev V. I. Intelligent decision support for risk assessment of personal data // Workshop on computer science and information technologies (CSIT'2015), Rome, Italy, Vol.1, USATU Pub., 2015. - P. 46-53.
158. Sagitova V. V., Vasilyev V. I. Legal regulation of privacy data protection // Proceedings of the 6th All-Russian Scientific Conference "Information Technologies for Intelligent Decision Making Support", Vol.3 - Ufa - Stavropol, 2018. - Р. 118-123.
159. Security Risk Assessment & Audit Guidelines [G51] (The Government of the Hong Kong Special Administrative Region), Version 5.0, September 2012. URL:https://www.ogcio.gov.hk/en/our_work/information_cyber_security/government/d oc/ISPG-SM01.pdf (дата обращения: 25.01.2019).
160. Sheela S., Rajasundari T. Information Flow Analysis Based On Security Metrics// International Journal of Innovative Research in Science, Engineering and Technology, Vol.3,Special Issue 3, March 2014, pp.2264-2269.
161. The Security Risk Assessment Handbook: A Complete Guide for Performing Security Risk Assessments. Second Edition 2nd Edition, May 20, 2011. URL: https://www. amazon. com/Security-Risk-Assessment-Handbook-Assessments/dp/1439821488 (дата обращения: 25.01.2019).
162. Under Cyber Attack : EY's Global information Security Survey, October, 2013. URL: https://www.ey.com/Publication/vwLUAssets/EY_-_2013_Global_ Information_Security_Survey/$FILE/EY-GISS-Under-cyber-attack.pdf (дата обращения: 25.01.2019).
Опросная анкета для оценки соответствия уровня защищенности ИСПДн требованиям нормативных документов для 1
уровня защищенности
№ Организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн Уровень выполнения мер
Да Частично Нет
М1 Идентификация и аутентификация субъектов доступа и объектов доступа
М1.1 Выполняется ли идентификация и аутентификация пользователей, являющихся работниками оператора?
М1.2 Выполняется ли идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных?
М1.3 Обеспечивается ли управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов?
М1.4 Обеспечивается ли управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации?
М1.5 Обеспечивается ли защита обратной связи при вводе аутентификационной информации?
М1.6 Выполняется ли идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)?
М2 Управление доступом субъектов доступа к объектам доступа
М2.1 Обеспечивается ли управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей?
М2.2 Реализованы ли необходимые методы (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа?
М2.3 Обеспечивается ли управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами
№ Организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн Уровень выполнения мер
Да Частично Нет
информационной системы, а также между информационными системами?
М2.4 Выполняется ли разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы?
М2.5 Назначаются ли минимально необходимые права и привилегии пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы?
М2.6 Ограничиваются ли неуспешные попытки входа в информационную систему (доступа к информационной системе)?
М2.7 Предупреждается ли пользователь при его входе в информационную систему о том, что в информационной системе реализованы меры по обеспечению безопасности персональных данных, и о необходимости соблюдения установленных оператором правил обработки персональных данных?
М2.8 Оповещается ли пользователь после успешного входа в информационную систему о его предыдущем входе в информационную систему? -
М2.9 Ограничивается ли число параллельных сеансов доступа для каждой учетной записи пользователя информационной системы? -
М2.10 Осуществляется ли блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу?
М2.11 Осуществляется ли разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации?
М2.12 Осуществляется ли поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки? -
ю о
а р
о л о л
й О)
к к
О)
п р
к л о
О)
к к
¡а
А
№ Организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн Уровень выполнения мер
Да Частично Нет
М2.13 Реализуется ли защищенный удаленный доступ субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети?
М2.14 Осуществляется ли регламентация и контроль использования в информационной системе технологий беспроводного доступа?
М2.15 Осуществляется ли регламентация и контроль использования в информационной системе мобильных технических средств?
М2.16 Осуществляется ли управление взаимодействием с информационными системами сторонних организаций (внешние информационные системы)?
М2.17 Обеспечивается ли доверенная загрузка средств вычислительной техники?
М3 Ограничение программной среды
М3.1 Осуществляется ли управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения?
М3.2 Осуществляется ли управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения?
М3.3 Обеспечивается ли установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов?
М3.4 Осуществляется ли управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов? -
М4 Защита машинных носителей персональных данных
М4.1 Осуществляется ли учет машинных носителей персональных данных?
М4.2 Осуществляется ли управление доступом к машинным носителям персональных данных?
М4.3 Осуществляется ли контроль перемещения машинных носителей персональных -
№ Организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн Уровень выполнения мер
Да Частично Нет
данных за пределы контролируемой зоны?
М4.4 Исключается ли возможность несанкционированного ознакомления с содержанием персональных данных, хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах?
М4.5 Осуществляется ли контроль использования интерфейсов ввода (вывода) информации на машинные носители персональных данных? -
М4.6 Осуществляется ли контроль ввода (вывода) информации на машинные носители персональных данных? -
М4.7 Осуществляется ли контроль подключения машинных носителей персональных данных? -
М4.8 Осуществляется ли уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания?
М5 Регистрация событий безопасности
М5.1 Определяются ли события безопасности, подлежащие регистрации, и сроки их хранения?
М5.2 Определяется ли состав и содержание информации о событиях безопасности, подлежащих регистрации?
М5.3 Осуществляется ли сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения?
М5.4 Обеспечивается ли реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти?
М5.5 Осуществляется ли мониторинг (просмотр, анализ) результатов регистрации
№ Организационные и технические меры по обеспечению безопасности ПДн при Уровень выполнения мер
их обработке в ИСПДн Да Частично Нет
событий безопасности и реагирование на них?
М5.6 Осуществляется ли генерирование временных меток и (или) синхронизация системного времени в информационной системе? -
М5.7 Обеспечивается ли защита информации о событиях безопасности?
М6 Антивирусная защита
М6.1 Реализуется ли антивирусная защита?
М6.2 Обеспечивается ли своевременное обновление базы данных признаков
вредоносных компьютерных программ (вирусов)?
М7 Обнаружение вторжений
М7.1 Используются ли средства обнаружения вторжений?
М7.2 Обеспечивается ли своевременное обновление базы решающих правил?
М8 Контроль (анализ) защищенности персональных данных
М8.1 Осуществляется ли выявление, анализ уязвимостей информационной системы и
оперативное устранение вновь выявленных уязвимостей?
М8.2 Обеспечивается ли контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации?
М8.3 Контролируется ли работоспособность, параметры настройки и правильности функционирования программного обеспечения и средств защиты информации?
М8.4 Осуществляется ли контроль состава технических средств, программного обеспечения и средств защиты информации?
Осуществляется ли контроль правил генерации и смены паролей пользователей,
М8.5 заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе?
М9 Обеспечение целостности информационной системы и персональных данных
М9.1 Осуществляется ли контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации?
М9.2 Осуществляется ли контроль целостности персональных данных, содержащихся -
№ Организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн Уровень выполнения мер
Да Частично Нет
в базах данных информационной системы?
М9.3 Обеспечивается ли возможность восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций?
М9.4 Осуществляется ли обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)?
М9.5 Контролируется ли содержание информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и (или) контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключается ли неправомерная передача информации из информационной системы?
М9.6 Ограничиваются ли права пользователей по вводу информации в информационную систему? -
М9.7 Осуществляется ли контроль точности, полноты и правильности данных, вводимых в информационную систему? -
М9.8 Осуществляется ли контроль ошибочных действий пользователей по вводу и (или) передаче персональных данных и предупреждение пользователей об ошибочных действиях?
М10 Обеспечение доступности персональных данных
М10.1 Являются ли используемые технические средства отказоустойчивыми? -
М10.2 Обеспечивается ли резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы?
М10.3 Обеспечивается ли контроль безотказного функционирования технических средств, обнаружение и локализация отказов функционирования, принятие мер
№ Организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн Уровень выполнения мер
Да Частично Нет
по восстановлению отказавших средств и их тестирование?
М10.4 Осуществляется ил периодическое резервное копирование персональных данных на резервные машинные носители персональных данных?
М10.5 Обеспечивается ли возможность восстановления персональных данных с резервных машинных носителей персональных данных (резервных копий) в течение установленного временного интервала?
М11 Защита среды виртуализации
М11.1 Осуществляется ли идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации?
М11.2 Осуществляется ли управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин?
М11.3 Реализуется ли регистрация событий безопасности в виртуальной инфраструктуре?
М11.4 Осуществляется ли управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры?
М11.5 Осуществляется ли доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией? -
М11.6 Осуществляется ли управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных?
М11.7 обеспечивается ли контроль целостности виртуальной инфраструктуры и ее конфигураций?
М11.8 Осуществляется ли резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также
№ Организационные и технические меры по обеспечению безопасности ПДн при Уровень выполнения мер
их обработке в ИСПДн Да Частично Нет
каналов связи внутри виртуальной инфраструктуры?
М11.9 Обеспечивается ли реализация и управление антивирусной защитой в виртуальной инфраструктуре?
М11.10 Осуществляется ли разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей?
М12 Защита технических средств
М12.1 Осуществляется ли защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам? -
М12.2 Организуется ли контролируемая зона, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования?
М12.3 Осуществляется ли контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены?
М12.4 Обеспечивается ли размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр?
М12.5 Обеспечивается ли защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов)?
М13 Защита информационной системы, ее средств, систем связи и передачи данных
№ Организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн Уровень выполнения мер
Да Частично Нет
М13.1 Осуществляется ли разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты персональных данных, функций по обработке персональных данных и иных функций информационной системы?
М13.2 Осуществляется ли предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом?
М13.3 Обеспечивается ли защита персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи?
М13.4 Обеспечивается ли доверенные канал, маршрут между администратором, пользователем и средства защиты информации (функциями безопасности средств защиты информации)?
М13.5 Обеспечивается ли запрет несанкционированной удаленной активации видеокамер, микрофонов и иных периферийных устройств, которые могут активироваться удаленно, и оповещение пользователей об активации таких устройств?
М13.6 Осуществляется ли передача и контроль целостности атрибутов безопасности (меток безопасности), связанных с персональными данными, при обмене ими с иными информационными системами?
М13.7 Обеспечивается ли контроль санкционированного и исключение несанкционированного использования технологий мобильного кода, в том числе регистрация событий, связанных с использованием технологий мобильного кода, их анализ и реагирование на нарушения, связанные с использованием технологий мобильного кода?
1 о
а р
о й о л
й О)
к к
О)
а р
к л
о
О)
к к
¡а
А
№ Организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн Уровень выполнения мер
Да Частично Нет
М13.8 Обеспечивается ли контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи?
М13.9 Обеспечивается ли контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации?
М13.10 Подтверждается ли происхождение источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам?
М13.11 Обеспечивается ли подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов?
М13.12 Исключается ли возможность отрицания пользователем факта отправки персональных данных другому пользователю? -
М13.13 Исключается ли возможность отрицания пользователем факта получения персональных данных от другого пользователя? -
М13.14 Используются ли устройства терминального доступа для обработки персональных данных? -
М13.15 Осуществляется ли защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки персональных данных?
М13.16 Обеспечивается ли выявление, анализ и блокирование в информационной системы скрытых каналов передачи информации в обход реализованных мер или внутри разрешенных сетевых протоколов?
ю
а р
о
л
о л
* О)
к к
О)
п р
К л
о
О)
к к
¡а А
№ Организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн Уровень выполнения мер
Да Частично Нет
М13.17 Разбивается ли информационная система на сегменты (сегментирование информационной системы) и обеспечивается ли защита периметров сегментов информационной системы?
М13.18 Обеспечивается ли загрузка и исполняется ли программное обеспечение с машинных носителей персональных данных, доступных только для чтения, и контроль целостности данного программного обеспечения?
М13.19 Осуществляется ли изоляция процессов (выполнение программ) в выделенной области памяти? -
М13.20 Обеспечивается ли защита беспроводных соединений, применяемых в информационной системе?
М14 Выявление инцидентов и реагирование на них
М14.1 Определяются ли лица, ответственные за выявление инцидентов и реагирование на них?
М14.2 Осуществляется ли обнаружение, идентификация и регистрация инцидентов?
М14.3 Осуществляется ли своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами?
М14.4 Осуществляется ли анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий?
М14.5 Принимаются ли меры по устранению последствий инцидентов?
М14.6 Осуществляется ли планирование и принятие мер по предотвращению повторного возникновения инцидентов?
М15 Управление конфигурацией информационной системы и системы защиты персональных данных
М15.1 Определены ли лица, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных?
№ Организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн Уровень выполнения мер
Да Частично Нет
М15.2 Осуществляется ли управление изменениями конфигурации информационной системы и системы защиты персональных данных?
М15.3 Осуществляется ли анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных?
М15.4 Документируется ли информация (данные) об изменениях в конфигурации информационной системы и системы защиты персональных данных?
Голубым цветом выделены меры, носящие рекомендательный характер для 1 уровня защищенности.
О «
о к ч р к к
О)
п р
к л
о
й О)
К К
¡а А
Модель угроз безопасности ПДн при их обработке в ИСПДн «Пациенты» медицинского учреждения
№ Наименование угрозы Вероятность реализации угрозы (У2) Возможность реализации угрозы (У) Опасность угрозы Актуальность угрозы Меры по противодействию угрозе
1 Угрозы от утечки по техническим каналам
1.1 Угрозы утечки акустической информации Мало вероятная Средняя Низкая Неактуальная Обеспечение защиты технических средств
1.2 Угрозы утечки видовой информации
1.2.1 Просмотр информации на дисплее сотрудниками, не допущенными к обработке ПДн Мало вероятная Средняя Низкая Неактуальная Обеспечение защиты технических средств
1.2.2 Просмотр информации на дисплее посторонними лицами, находящимися в помещении в котором ведется обработка ПДн Мало вероятная Средняя Низкая Неактуальная Обеспечение защиты технических средств
1.2.3 Просмотр информации на дисплее посторонними лицами, находящимися за Низкая Средняя Низкая Неактуальная Обеспечение защиты технических средств
1
4
Я р
к л
о
О)
к к
О)
пределами помещения
в котором ведется
обработка ПДн
1.2.4 Просмотр информации с помощью Обеспечение защиты технических средств
специальных Мало вероятная
электронных Низкая Низкая Неактуальная
Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.