РАДИОТЕХНИКА И СВЯЗЬ ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 2 (110) 2012
2. Adel A. M. Saleh and Donald C. Cox, «Improving the Power-Added Efficiency of FET Amplifiers Operating with Varying-Envelope Signals», IEEE Transactions on Microwave Theory and Techniques, vol. 31, January 1989, pp. 51 — 56.
3. Harold S. Black, «Translating System», U.S Patent No. 1 686 792, October 1928.
4. Harold S. Black, «Wave Translation System», U.S Patent No. 2 102 671, December 1937.
5. S. Tomisato, K. Chiba and K. Murota, «Phase Error Free LINC Modulator», IEE Electronic Letters, vol. 25, No. 9, April 1989, pp. 576-577.
6. S. A. Hetzel, A. Bateman and J. P. McGeehan, «A LINC Transmitter», IEE Electronic Letters, vol. 25, No. 10, 1991, pp. 844-845.
7. A. Bateman, «The Combined Analogue Locked Loop Universal Modulator», in Proceedings of the 42nd IEEE Vehicular Technology Conference, Denver, USA, VTC-92, May 1992, pp. 759-763.
8. Donald C. Cox, «Linear Amplification by Sampling Techniques: A New Application for Delta Coders», IEEE Transactions on Communications, vol. COM-23, August 1975, pp. 793-798.
9. Michael Faulkner and Mats Johansson, «Adaptive Linearisation using Predistortion Experimental Results», IEEE Transactions on Vehicular Technology, vol.43, No. 2, May 1994, pp. 323-332.
10. James K. Cavers, «Amplifier Linearization Using a Digital Predistorter with Fast Adaptation and Low Memory Requirements», IEEE Transactions on Vehicular Technology, vol.39, No. 4, November 1990, pp. 374-382.
11.Yoshinori Nagata, «Linear Amplification Technique for Digital Mobile Communications», in Proceedings of the 39th IEEE Vehicular Technology Conference, USA, VTC-89, May1989 pp. 159-164.
12. V. Petrovic and A. N. Brown, «Application of Cartesian Feedback to HF SSB Transmitters», in Proceedings of IEE Conference on HF Communications Systems and Techniques», February 1985, pp. 81-85.
13. A New Linnerization Method for Cancellation of Third Order Distortion, Konrad Miehle, the University of North Carolina, Charlotte, USA, 2003.
МОЛОДЦОВ Александр Сергеевич, аспирант кафедры «Радиотехнические устройства и системы диагностики».
Адрес для переписки: [email protected]
Статья поступила в редакцию 12.12.2011 г.
© А. С. Молодцов
УДК 004 056 В. А. МАИСТРЕНКО
И. В. АЮТОВА
Омский государственный технический университет
Сургутский государственный университет
ПРОГРАММНЫЙ КОМПЛЕКС АНАЛИЗА ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ ВУЗА
Рассматривается решение актуальной задачи приведения информационной системы персональных данных вуза в соответствие с требованиями законодательства. Применение разработанного программного комплекса на этапе предпроектного обследования позволяет оптимизировать решение задачи защиты персональных данных в вузе.
Ключевые слова: персональные данные, вуз, защита информации, программный комплекс.
Вопросы информационной безопасности, в том числе касающиеся защиты персональных данных (ПДн), необходимость их эффективного решения, признаются в числе приоритетных и требуют мобилизации усилий как на основе анализа ситуации и использования накопленного за предыдущие годы опыта работы, так и посредством применения новых подходов в деятельности, связанной с защитой информации [1].
С 1 января 2007 г. вступил в силу Федеральный закон «О персональных данных» [2]. ПДн — это важная и ценная информация о человеке, поэтому, заботясь о соблюдении прав своих граждан, государство требует от организаций и физических лиц обеспечить надежную защиту ПДн [3].
В рамках реализации функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации, Уполномоченным органом в 2010 году проведены 1253 проверки в отношении операторов, осуществляющих обработку персональных данных, из них 804 плановые и 449 внеплановых проверок [1].
По результатам проведенных проверок выдано 1908 предписаний об устранении выявленных нарушений, составлено и направлено на рассмотрение в суды 2996 протоколов об административных правонарушениях [1].
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, орга-
низующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных [2].
Согласно определению вуз — оператор ПДн. Вуз как объект защиты обладает рядом особенностей:
— публичность;
— непостоянство аудитории;
— широкое внедрение средств вычислительной техники;
— территориальная разобщенность отдельных объектов;
— использование современных информационных технологий;
— развитие различных форм дистанционного обучения;
— значительные наработки в области интеллектуальной собственности.
При обработке ПДн оператор обязан принимать необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и копирования и иных непра-
Шэг1 |шаг2 Шаг 3 Шаг 4 | Шаг 5 | Шаг 6 | Шаг 7 | Шаг 8 |
Категория обрабатываемых в информационной системе персональных данных (X гтд)
( Категория 1
• Категория Z
г Категория 3
1 Категория 4
next
категория 1 • персональные данные, касающиеся расовой, национальной принадлежности, политических взгляаов, религиозных и философских убеждений, состояния здоровья, интимной жизни
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных категория 4 • обезличенные и (или) общедоступные персональные данные
Рис. 1. Экранная форма работы первого модуля
Нам! 1)1% Ff«i
Глшчіі С-:гжі Гіннпі сгрішш Ссриул* Днььн ft иніш реніні
' I J 'ІгрІНиЧІчШЇ р-Г.-СІИІ / ІІІНШГІ
I jJnpa:riii4ik*M "ілп
J ГОЕЧРГТТЧПОіі| ■ HiffOJC ‘І і" іидсірзі»и
[Нижнії Рігігчш
n№frtu.
■f "ІТПЕ+* е-:р* v’ І* J -'і
1 I -J
/ ІґСіЛСІГІІ
Uej
JBDI
МкклаГ 1СО*і Г/ЬсииЕ-ирэнгь
Win™*»
сЕ'г.чіь ьінгії
йі - ШІИСР^НИШІН
HH^cC*4LLHDH4Dft СлгтсАЧя: nppcciHj.,nSHfcJi j#hh: ■:
ВіїМШіШНШІіІЯЙАіІЗІ
t ■ ч йг»іІВЯ6і*чйЄ Чі • «Я- шт:Цті і ти ваш
D Е F й Я І 4
і L
ArtT классификации инфйр^лацИОННйй Системы персональны:*, данных
2А
КіТСгГОіїНЯ й6,МЙЛТо:ЬКЛ(ьіл й к цйй(ЇК%Ьаг*-інСіД СгіЛЯМ Персональный Дй^ЬГі IX пд;.
OfojW гЧЇЇК0*'>п:?ч!?;Ч др^чьф
■ІЮЛлМйСТМ СїЙ'ЬічТйй Пйр£)£ЫЗЛЬМв№ ДЙ-іі-умК. ПЄРО№0НЬІ-»9ІЄ WTCpcJSf сбрибвТЪЯ-ф-СТСП Я
нифОйМіцнйг- -,йк. - ХнПЛ.
Кл«С
Структури лі-ІО.йМіи,лйі-!-4ййС^СтйМьі
НіЛНчк* "ОДі--1"- ■€'- і -і г- її К Cfl’HM -:ІЇАЇ,І ййшДґй -innpSOBJH^H р, ‘ІИ.Г^І- С(ГП№ ■иенфіунарол.1-0г0 к -■ С: й р f:. ■> _і кй ч - С■' О СЙіЛічіі
Сгібчмал&наї»
JlfirJ/la-m*
■' -t-t L 0 и Й r.V гІгО ьі'
СнНйЫЫ
ГЧ£^.'^«Ї"НЇ г: СiW 1Ч*ЧМ(ВИпЙ Ч |Н*М!
Рис. 2. Результат работы первого модуля
ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 2 (110) 2012 РАДИОТЕХНИКА И СВЯЗЬ
323
РАДИОТЕХНИКА И СВЯЗЬ ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 2 (110) 2012
Рис. 3. Экранная форма работы второго модуля
ЕЪ , їг ^ Е-тші Гінігігі ггрініш ДЬгіМН РИЛИШр-ЗНМЛ Ні 1,3 ІЧДЕІЕ-З Й
Зій - 'А ■ л" л" І І ■ 9 ■Ті?1 ^ ^
Стать ^ ж г ч _ • 4 т ш т ір оі -•1 <л ж
Ліфч? и^ні-і ■ . ЇЙ*. _ ■ ірчіииіяр
і і
3 І Л і
3 1
•і 1
1 1
" ■і 1
■І І
— 11] 1
і: 9
_ іг
- Ч {
- і-
- іл !
]<5
і ■
ІЗ І
ІЗ 1
|= X
- е:
- Е?
ТцррнГ'йДОйЛьк-йй рій г,-.-глип не
КВДгічМ: соедін мин іІН ССІІЙМ* А&ШЧГ© пр^ИРН*»*
Пґтрс^нь.іг! |,гнг гал^ндо) епчр+ции С
-шґ^ей/нк ІШі миргРМилькм* рйп нь-л
Р'іГрЛ ЧИМ^ЧМ* ррс-углі Е П40£йМЛм(ЫМ Аиішм
НЦьдеЧМ* *озді* нпнчй € йруг|*ии і1 ві х я.■нк- ПІДИ м р іі?. НСГВДіч
ЛОнЛЛЬні= 'ЧіЬМП-^мія) ИСГіДч
ИСПДч, Сх ЗкмЄСКгі йґіД*.П*чк** ОТ СйТКі ОишйГй гслнпмИип
Мцдофжрц^п. передоив
ИСПДч, к накрой ДРПУП Определеннее
■-йрамчак1!сйгрудмнин оргіг- лыиии, пдоС^Яст&падельцдм ИСЛДч, лН5о субьскг
Иі-Т*Г£ифййіьчйй ИСДДМ
Рис. 4. Результат работы второго модуля
вомерных действии, а следовательно, руководство вуза должно обеспечивать безопасность ПДн при их обработке в информационной системе персональных данных (ИСПДн).
Наличие большого объема рутинной работы, данных и информации об ИСПДн диктует потребность создания программного комплекса для управления информационной безопасностью ИСПДн. Для решения этой задачи разработан программный комплекс «ПЕРС», позволяющий оперативно проводить классификацию ИСПДн, определять степень исходной защищенности, строить модель угроз для ИСПДн вуза.
Для разработки данного программного обеспечения использована среда разработки Бе1рЫ 7.
Программный комплекс включает в себя три модуля:
— классификация ИСПДн;
— определение степени исходной защищенности ИСПДн;
— построение модели угроз вуза.
Пользователь с использованием программного обеспечения проводит классификацию ИСПДн. Классификация осуществляется в ходе последовательного опроса пользователя в соответствии с критериями классификации [4]:
1. Категория обрабатываемых в информационной системе персональных данных — Хпд.
2. Объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) — Хнпд.
3. Заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе.
4. Структура информационной системы.
5. Наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена.
6. Режим обработки персональных данных.
7. Режим разграничения прав доступа пользователей информационной системы.
Таблица 1
Полный перечень угроз
Наименование угрозы
1. Угрозы от утечки по техническим каналам
1.1. Угрозы утечки акустической информации
1.2. Угрозы утечки видовой информации
1.3. Угрозы утечки информации по каналам ПЭМИН
2. Угрозы несанкционированного доступа к информации
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ
2.1.2. Кража носителей информации
2.1.3. Кража ключей доступа
2.1.4. Кражи, модификации, уничтожения информации
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи
2.1.6. Несанкционированное отключение средств защиты
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий)
2.2.1. Действия вредоносных программ (вирусов)
2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных
2.2.3. Установка ПО, не связанного с исполнением служебных обязанностей
2.3. Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера
2.3.1. Утрата ключей и атрибутов доступа
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками
2.3.3. Непреднамеренное отключение средств защиты
2.3.4. Выход из строя аппаратно-программных средств
2.3.5. Сбой системы электроснабжения
2.3.6. Стихийное бедствие
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лицами, не допущенными к ее обработке
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке
2.5. Угрозы несанкционированного доступа по каналам связи
2.5.1. Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации
2.5.1.1. Перехват за пределами с контролируемой зоны
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями
2.5.1.3. Перехват в пределах контролируемой зоны внутренними нарушителями
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.
2.5.3. Угрозы выявления паролей по сети
2.5.4. Угрозы навязывания ложного маршрута сети
2.5.5. Угрозы подмены доверенного объекта в сети
2.5.6. Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях.
2.5.7. Угрозы типа «Отказ в обслуживании»
2.5.8. Угрозы удаленного запуска приложений
2.5.9. Угрозы внедрения по сети вредоносных программ
ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 2 (110) 2012 РАДИОТЕХНИКА И СВЯЗЬ
РАДИОТЕХНИКА И СВЯЗЬ ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 2 (110) 2012
Таблица 2
Правила отнесения угрозы безопасности ПДн к категории актуальных
Возможность реализации угрозы Показатель опасности угрозы
Низкая Средняя Высокая
Низкая Неактуальная Неактуальная Актуальная
Средняя Неактуальная Актуальная Актуальная
Высокая Актуальная Актуальная Актуальная
Очень высокая Актуальная Актуальная Актуальная
|3*Чотї±
:ІІ .Ч-ИШ-ІІ-. Иі|І Е-Н 1
і 4.1.1 ■ -ІГХІКСТ^ -х-зи ™ Ьс-: :-:тп ■ к юх ■ _*] ІПХТ 1£Э1 |
-:'Т Д * 1 ■ =■ ■ ^ 3. Р . : ► .и . І : |
СГ’ГНТСЛ.- ЗгХНС«Та-:-Х4Ы _^_|[е*:-:ттхг=- сн+і.-ви+ _^| С -КЇ1- ІС+зІЇ
Чм-'їрм *■ •у*' і |ЭгКНС<Т=.__Х!Ы _^|Ссехт>хт=. вэг-гк-»м-1- ж|
Хагзсср-ап г:ч-п: І-Ігкікет^ _х-м.і •■|Ьссхті і к юх і "• | Ь кл д-: ■ л? |
1-І. Р : і- .іг-ш—л-і |
[и
Рис. 5. Экранная форма работы третьего модуля
8. Местонахождение технических средств информационной системы.
Экранная форма работы первого модуля и результат классификация ИСПДн представлены на рис. 1, 2.
Определение исходной защищенности ИСПДн (У1) происходит согласно следующим критериям [5]:
1. Территориальное размещение.
2. Наличие соединения с сетями общего пользования.
3. Встроенные операции с записями баз персональных данных.
4. Разграничение доступа к персональным данным.
5. Наличие соединений с другими базами ПДн иных ИСПДн.
6. Уровень обобщения ПДн.
7. Объем персональных данных, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки.
Экранная форма работы второго модуля по определению уровня исходной защищенности и отчет по обследованию представлены на рис. 3, 4.
При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент У1Г а именно:
0 — для высокой степени исходной защищенности;
5 — для средней степени исходной защищенности;
10 — для низкой степени исходной защищенности.
Учитывая особенности вуза как объекта защиты, можно выделить шесть основных типов злоумышленников для информационной системы вуза, которые отличаются по своим целям, мотивам и возможному потенциалу [6]:
— студент;
— сотрудник;
— посетитель;
— хакер-одиночка;
— хакерская группа;
— конкуренты.
Возможность возникновения угрозы (У2) относительно каждого нарушителя содержит четыре возможных значения:
0 — для маловероятной угрозы;
2 — для низкой вероятности угрозы;
5 — для средней вероятности угрозы;
10 — для высокой вероятности угрозы.
Согласно [4], с учетом оценки возможности возникновения угрозы и степени исходной защищенности коэффициент реализуемости угрозы У будет определяться соотношением:
У=(У1 + У2)/20.
По значению коэффициента реализуемости угрозы У формируется интерпретация реализуемости угрозы согласно методике [5]:
1. если 0• У* 0,3, то возможность реализации угрозы признается низкой;
2. если 0,3<У*0,6, то возможность реализации угрозы признается средней;
3. если 0,6<У* 0,8, то возможность реализации угрозы признается высокой;
4. если У>0,8, то возможность реализации угрозы признается очень высокой.
Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:
— низкая опасность — если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
— средняя опасность — если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
— высокая опасность — если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
Затем осуществляется выбор из общего перечня угроз безопасности, приведенных в табл. 1, тех угроз, которые относятся к актуальным для данной ИСПДн. Выбор осуществляется в соответствии с разработанными правилами отнесения угроз безопасности персональных данных к категории актуальных при их обработке в ИСПДн, представленными в табл. 2.
Таким образом, относительно каждого типа злоумышленника определяется актуальность угрозы для частной информационной системы персональных данных путем автоматизированного расчета степени исходной защищенности и экспертной оценки опасности и возможности реализации угрозы. На основе изложенного алгоритма происходит построение модели угроз, целью которой является выявление актуальных угроз. Экранная форма работы третьего модуля комплекса представлена на рис. 5.
Разработанное программное обеспечение, в отличие от аналогов, таких как программный комплекс «Wing Doc ПД» и автоматизированная система пред-проектного обследования «АИСТ-П», учитывает специфику образовательного учреждения. Применение данного программного комплекса на этапе предпро-ектного обследования позволяет оптимизировать решение задачи защиты персональных данных в вузе: сократить временные и финансовые затраты учебного заведения, уменьшить риски оператора. Комплекс «ПЕРС» позволяет оперативно проводить этапы классификации ИСПДн, определять степень исходной защищенности ИСПДн, строить модели угроз ИСПДн вуза.
Библиографический список
1. Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2010 год [Электронный ресурс]. — Режим доступа: http://www.rsoc.ru/docs/ 0tchet_2010.pdf (дата обращения: 30.10.12011 г.).
2. О персональных данных: Федеральный закон № 152-ФЗ, утвержден Президентом Российской Федерации 27 июля 2006 г. [Электронный ресурс]. — Режим доступа: http:// www.rg.ru/2006/07/29/personaljnye-dannye-dok.html (дата обращения: 30.10.12011 г.).
3. Автоматизированная система предпроектного обследования информационной системы персональных данных «АИСТ-ПА / А. Шелупанов [и др.] // Доклады Томского государственного университета систем управления и радиоэлектроники. — 2010. - № 1(21). - С. 14-22.
4. Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» [Электронный ресурс]. -Режим доступа: http://www.itsec.ru/articles2/Inf_security/ porjadok-klassifikatsii-personalnyh-dannyh (дата обращения: 30.10.12011 г.)..
5. Методика определения актуальных угроз безопасности
персональных данных при их обработке в информационных системах персональных данных // Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г. [Электрон-
ный ресурс]. - Режим доступа: http://www.fstec.ru/_spravs/ metodika.doc (дата обращения: 30.10.12011 г.)..
6. Кудрявцева, Р. Т. Управление информационными рисками с использованием технологий когнитивного моделирования : дис. ... канд. техн. наук / Р. Т. Кудрявцева ; Уфимский государственный авиационный технический университет. -Уфа, 2008. - 159 с.
МАЙСТРЕНКО Василий Андреевич, доктор технических наук, профессор кафедры «Средства связи и информационная безопасность» Омского государственного технического университета.
Адрес для переписки: [email protected] АЮТОВА Ирина Владимировна, аспирантка кафедры радиоэлектроники Сургутского государственного университета.
Адрес для переписки: [email protected]
Статья поступила в редакцию 23.01.2012 г.
© В. А. Майстренко, И. В. Аютова
Книжная полка
Попов, В. Ф. Методы и устройства формирования и обработки широкополосных сигналов : учеб. пособие/ В. Ф. Попов ; ОмГТУ. - Омск : Изд-во ОмГТУ, 2011. - 119 с. - ISBN 978-5-81491137-7.
В пособии излагаются основные теоретические положения формирования, оценки качества и обработки ФМ и частотно-дискретных широкополосных сигналов (ШПС) на основе линейных и нелинейных псевдослучайных последовательностей (ПСП). Эти положения необходимы для решения задач синтеза и анализа современных и перспективных помехозащищенных широкополосных систем радиолокации.
Справочник по вакуумной электронике. Компоненты и устройства / Под ред. Дж. Айхмайера ; пер. с англ. - М. : Техносфера, 2011. - 504 с. - ISBN 978-5-94836-301-1.
В написании книги приняли участие 36 известных специалистов по вакуумной электронике. Несмотря на ограниченный объём, авторам удалось изложить принцип работы, технические возможности и области применения основных электровакуумных приборов и устройств, что позволяет использовать книгу в качестве своеобразного справочника или учебного пособия для студентов высших учебных заведений и специалистов, занимающихся вопросами разработки и применения электронных компонентов в различных системах радиоэлектроники. Книга написана доступным языком, методически сбалансирована, что позволило при редактировании ограничиться минимальным количеством замечаний.
ОМСКИЙ НАУЧНЫЙ ВЕСТНИК № 2 (110) 2012 РАДИОТЕХНИКА И СВЯЗЬ