СПИСОК ОБОЗНАЧЕНИЙ И СОКРАЩЕНИЙ 3
ВВЕДЕНИЕ 4
ГЛАВА 1 АНАЛИЗ УЯЗВИМОСТЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ УНИВЕРСИТЕТА 6
1.1 Использование персональных данных в информационной системе университета 6
1.2 Модель угроз безопасности для высших учебных заведений 11
1.3 Описание нормативного регулирования информационной системы персональных данных университета 23
1.4 Формирование требований для разработки компонента информационной системы 25
ГЛАВА 2 РАЗРАБОТКА КОМПОНЕНТА ОБЕЗЛИЧИВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЕЙ 28
2.1 Техническое описание и функциональные требования к компоненту системы персональных данных 28
2.2 Создание баз данных для информационной системы 33
2.3 Реализация прототипа компонента обезличивания на PHP с графическим интерфейсом 37
2.4 Вывод по главе 2 42
ГЛАВА 3 ВНЕДРЕНИЕ РАЗРАБОТАННОГО КОМПОНЕНТА В СТРУКТУРУ УНИВЕРСИТЕТА 44
3.1 Порядок внедрения компонента. 44
3.2 Порядок добавления новых персональных данных 47
3.3 Сценарии использования нарушителем. 50
3.4 Вывод по главе 3 53
ЗАКЛЮЧЕНИЕ 54
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 55
ПРИЛОЖЕНИЕ А 59
В современном мире информационные технологии пронизывают все сфера нашего общества. Система образования не осталась в стороне. Университеты собирают и хранят огромное количество персональных данных студентов, преподавателей и сотрудников. Однако защита конфиденциальности, целостности и доступности этих данных становится все более актуальной в свете растущих угроз кибербезопасности и законодательных требований.
Законодательство в области защиты персональных данных устанавливает строгие правила и требования к обработке, хранению и передаче таких данных [1]. Требования к оператору персональных данных описаны в статьях 18-22 федерального закона от 27 июля 2006 года 152-ФЗ «О персональных данных» (далее – 152-ФЗ). Нарушение этих требования может привести к серьезным последствиям для университета, в том числе к штрафам и ущербу репутации. Выполнение требований по обработке персональных данных связано с высокими финансовыми и кадровыми затратами, вызванных созданием системы защиты информации (СЗИ), что не всегда возможно для образовательных организаций.
Таким образом, проблема является актуальной.
Одним из способов обеспечения защиты персональных данных пользователей информационной системы университета является обезличивание этих данных, а также безопасное обращение к этим данным. Обезличивание позволяет сохранить функциональность системы, но при этом скрыть личную информацию пользователей. Это особенно важно в случаях, когда данные необходимы для анализа или статистики, но при этом не должны быть связаны с конкретными пользователями.
В данной работе будет рассмотрена информационная система университета, который готовит специалистов, связывающих свою работу с объектами критической информационной инфраструктуры.
Объектом исследования является деятельность по обеспечении безопасности персональных данных, связанная с разработкой компонента по обезличиванию данных пользователей.
Предметом исследования являются методы и алгоритмы для построения системы защиты персональных данных.
Целью работы является реализация требования законодательства, а также повышения уровня защищенности системы персональных данных университета.
Для выполнения цели были поставлены следующие задачи:
1. Выполнить анализ уязвимостей информационной системы университета.
2. Разработать прототип СЗИ - компонента обезличивания персональных данных пользователей.
3. Описать внедрение прототипа в информационную систему университета.
В текущей дипломной работе рассмотрена задача по обеспечению защиты персональной информации в университете. Для выполнения требований регуляторов было предложено разработать компонент по обезличиванию персональных данных, которое обеспечивает конфиденциальность при разных уровнях доступа пользователей системы.
Для реализации решения были использованы современные технологии и подходы к разработке ПО, такие как MVC, API и микросервисная архитектура. Использованы популярные решения с открытым исходным кодом в сфере СУБД, отечественные продукты (AltLinux), позволяющие реализовать нормативные требования.
Разработанное решение закрывает угрозы НСД от внутренних нарушителей путем обезличивания сессии пользователя, регистрации событий безопасности для дальнейшего реагирования и обезличенного обращения с персональными данными. Реализация разделения на защищенный и обезличенный сегменты позволяет ослабить требования к защите основной составляющей системы, тем самым обеспечивая удешевление системы защиты информации. Данное решение может быть полезным для университета, так как множество персональных данных проходит через высшие учебные заведения, а дальнейшее развитие подходов может улучшить безопасность персональных данных в информационных системах.
Поставленные задачи выполнены, цель достигнута.
1. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» // СПС «КонсультантПлюс».
2. Федеральный закон от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» // СПС «КонсультантПлюс».
3. Межвузовский центр противодействия киберугрозам готов к запуску // Татар-информ: сайт. – URL: https://www.tatar-inform.ru/news/zaverseno-texniceskoe-osnashhenie-mezvuzovskogo-centra-protivodeistviya-kiberugrozam-5900437 (дата обращения: 25.03.2023)
4. Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // СПС «КонсультантПлюс».
5. Федеральный закон от 14.07.2022 N 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» // СПС «КонсультантПлюс».
6. Постановление Правительства РФ от 08.02.2018 г. №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» // СПС «КонсультантПлюс».
7. Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» // СПС «КонсультантПлюс».
8. Методический документ утвержден ФСТЭК России от 5 февраля 2021 г «Методика оценки угроз безопасности информации».
9. 5 крупнейших вузов России // Международный Издатель: сайт. – URL: http://123mi.ru/articles/5-krupneyshih-vuzov-Rossii.php (дата обращения: 07.02.2023)
10. Методический документ утвержден ФСТЭК России 14 февраля 2008 г «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
11. Банк данных угроз безопасности информации ФСТЭК России: сайт. – URL: https://bdu.fstec.ru/threat (дата обращения: 08.01.2023)
12. Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» // СПС «КонсультантПлюс».
13. НПО «Эшелон» SIEM-система «КОМРАД», версия Enterprise : ГК Softline : сайт. – URL: https://store.softline.ru/npo-echelon/komrad-siem-v4-ent-321044/ (дата обращения: 08.03.2023)
14. Программно-аппаратный комплекс «Соболь» 3.0 - Интернет-магазин 7000.ru : сайт. – URL: https://7000.ru/information_security/kod-bezopasnosti/kod-bezopasnosti-pak-sobol-3-0/ (дата обращения: 08.03.2023)
15. Сайт компании «Лаборатория Касперского» : сайт. – URL: https://www.kaspersky.ru/small-to-medium-business-security/endpoint-advanced (дата обращения: 08.05.2023)
16. ГОСТР 56546 — 2015. Защита информации. Классификация уязвимостей информационных систем. : дата введения 19.08.2015. – Москва : Стандартинформ, 2018. – 6 с.
17. Ричардсон Крис Микросервисы. Паттерны разработки и рефакторинга. — СПб.: Питер, 2019. — 544 с.: ил. — (Серия «Библиотека программиста»).
18. Руководство по PHP: сайт. – URL: https://www.php.net/manual/ru/ (дата обращения: 08.01.2023)
19. Oracle СНГ | Cloud Applications and Cloud Platform : сайт. – URL: https://www.oracle.com/database/ (дата обращения: 08.01.2023)
20. PostgreSQL: The world's most advanced open source database : сайт. – URL: https://www.postgresql.org/ (дата обращения: 10.02.2023)
21. Astra Server | ГК «Астра» : сайт. – URL: https://astralinux.ru/products/astra-server (дата обращения: 10.02.2023)
22. Simply Linux - Российская операционная система. | BaseALT : сайт. – URL: https://www.basealt.ru/simplylinux (дата обращения: 08.05.2023)
23. Зоткина А. А. ОБЗОР ИНТЕРФЕЙСА ПРИКЛАДНОГО ПРОГРАММИРОВАНИЯ-API КАК МЕТОДА ДЛЯ ВЗАИМОДЕЙСТВИЯ И ИЗВЛЕЧЕНИЯ ИНФОРМАЦИИ //ДОСТИЖЕНИЯ В НАУКЕ И ОБРАЗОВАНИИ 2022. – 2022. – С. 34-36.
24. Картузов, А. В. "Шаблон программирования MVC в разработке графических приложений на JavaFX." НАУЧНЫЕ ИССЛЕДОВАНИЯ В ОБЛАСТИ ТЕХНИЧЕСКИХ И ТЕХНОЛОГИЧЕСКИХ СИСТЕМ. 2018.
25. Девянин П.Н, Модели безопасности компьютерных систем. Управление доступом и информационными потоками. / П.Н, Девянин. – Москва : Горячая линия - Телеком, 2022. – 351 с. – ISBN 978-5-9912-0866-6.
26. Осипов Д. Л., Технологии проектирования баз данных. - М.: ДМК Пресс, 2019. — 498 с.: ил.
27. RFC 4122. A Universally Unique IDentifier (UUID) URN Namespace.
28. Balsamiq. Rapid, Effective and Fun Wireframing Software | Balsamiq : сайт. – URL: https://balsamiq.com/ (дата обращения: 10.02.2023)
29. Курочка В.С. Совершенствование системы образования в России в современных условиях // МНИЖ. 2019. №11-2 (89). URL: https://cyberleninka.ru/article/n/sovershenstvovanie-sistemy-obrazovaniya-v-rossii-v-sovremennyh-usloviyah (дата обращения: 19.04.2023).