Разработка системы защиты персональных данных в облачных сервисах

Современное стремительное развитие информационных технологий предъявляет новые требования к хранению и обработки данных. От традиционных носителей информации и от выделенных серверов компании и частные лица постепенно переходят к дистанционным технологиям. Главным инструментом для подобного рода хранения стали облачные сервисы, которые позволяют накапливать данные на распределенных серверах и обрабатывать их в «облаке».

Однако, переход к распределенному хранению данных в глобальной сети требует построения системы эффективной защиты данных. Вопросы информационной безопасности в свете развития облачных сервисов выходят на первый план и требуют всестороннего анализа. Именно поэтому тема исследования актуальна.

Объект исследования – организация защиты персональных данных в облачных сервисах.

Предмет исследования - способы разработки системы защиты персональных данных в облачных сервисах.

Цель исследования - на основе анализа рисков защиты персональных данных в облачных сервисах разработать модель системы защиты информации.

Для достижения цели необходимо решение ряда задач:

• изучить литературу и Интернет-источники по вопросам организации защиты персональных данных в облачных сервисах;
• провести анализ рисков защиты персональных данных в облачных сервисах;
• рассмотреть методы информационной безопасности в облачных сервисах;
• изучить современное состояние законодательного уровня защиты персональных данных;
• разработать практические рекомендации по выбору и применению организационных, программно-аппаратных и технических мер защиты персональных данных, а облачных сервисах;
• разработать модель системы защиты персональных данных в облачных сервисах;
• дать экономическое обоснование разработанной модели.

Вопросам защиты персональных данных в облачных сервисах посвящены научные статьи авторов Вик Дж. Р. Уинклера, Е. Кожемяка, Удо Шнайдера и других.

Курсовая работа состоит из введения, трех глав и заключения.

В первой главе дано теоретическое обоснование проблемы защиты персональных данных в облачных сервисах – определена необходимость защиты, построена модель нарушителя, проведен анализ рисков в облачных вычислениях.

Вторая глава посвящена определению пути по защите персональных данных в облачных сервисах – рассмотрена законодательная основа, выбраны методы и средства защиты данных, разработаны практические рекомендации по реализации мер защиты персональных данных в облачных сервисах.

В третьей главе дана экономическая оценка разработанной системы.

1.1 Проблемы защиты персональных данных в облачных сервисах

Задача обеспечения безопасности персональных данных сегодня выходит на первый план, так как информация превращается в дорогой товар, а в руках мошенника может стать орудием преступления. В настоящее время в России участились случаи неправомерного использования баз персональных данных, расширился круг способов их незаконного получения и распространения.

Необходимость принятия мер по обеспечению безопасности персональных данных в облачных сервисах обусловлена дистанционной организацией работы с документами. Основная проблема – это контроль и управление «облаками». Для построения комплексной эффективной системы защиты в облачных сервисах следует учитывать широкий круг факторов – отсутствие неконтролируемых виртуальных машин; ограничение на запуск лишних процессов; регулярная проверка конфигурации элементов «облака» и т.д.

Поставщики услуг облачных сервисов должны ориентироваться на сохранение конфиденциальности информации и выполнение всех требований безопасности. Это связано с тем, что хранение ресурсов в «облаке» существенно отличается от традиционных способов. И это отличие заключается в первую очередь в наличии таких элементов как виртуализация, масштабируемость, автоматическая установка и настройка приложений, которые и являются объектами атак.

...

1.2 Модель нарушителя безопасности персональных данных

Для построения эффективной системы защиты персональных данных необходима разработка модели нарушителя.

Федеральная служба по техническому и экспертному контролю (ФСТЭК) предлагает следующую модель нарушителя персональных данных (см. рис.1)

...

Таблица 1 - Потенциальные нарушители безопасности персональных данных в облачных сервисах

...

1.4 Методы обеспечения информационной безопасности в облачных сервисах

На основе анализа технической литературы, касающейся вопросов информационной безопасности, а также Интернет-источников, содержащих публикации специалистов в области защиты персональных данных в облачных сервисах, были выделены следующие методы обеспечения информационной безопасности в облачных сервисах:

...

2.1 Законодательные основы защиты персональных данных (ФЗ-152 и приказ ФСТЭК №21)

В Российской Федерации основным законодательным актом по защите персональных данных является Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» .

В нем прописаны принципы осуществления обработки информации ограниченного доступа, в частности персональных данных, обязанности оператора, осуществляющего такую обработку, а также права субъекта персональных данных. Данным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими и физическими лицами ...

...

2.2 Технические меры по защите персональных данных в облачных сервисах

Согласно Приказа ФСТЭК №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и Постановления Правительства «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" технические меры по защите персональных данных разделяются на два класса:

...

2.3 Организационные способы защиты персональных данных в облачных сервисах

Организационные (административные) меры и методы защиты - это меры и методы организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Они основаны на принципах управления коллективом и предприятием (службой) и принципах законности .

...

2.4 Предложения по реализации мер защиты персональных данных

Существует множество способов реализации мер защиты персональных данных. Остановимся более подробно на более распространенных.

Как было уже сказано, для организации технических мер обеспечения, необходимо обеспечить сетевое экранирование, предотвращение вторжений, защиту от вредоносных программ, анализ журналов и контроль целостности. Так же в процессе разработки системы защиты следует учитывать обязательное наличие систем шифрования и идентификации и аутентификации. Организационные меры требуют грамотного юридического подхода.

...

2.5 Разработка модели защиты персональных данных в облачных сервисах

Модель защиты персональных данных в облачных сервисах основана на взаимодействии поставщика и потребителя услуг. Провайдер должен реализовать защиту своего аппаратно-программного комплекса от несанкционированного вторжения, модификации кода, взлома ИТ-системы, чтобы обеспечить защиту данных клиента.

...

Таблица 2 - Рекомендации по практическому применению средств защиты на стороне провайдера

...

3.1 Оценка единовременных затрат на создание и внедрение комплексной защиты персональных данных в облачных сервисах

Затраты на аппаратное и программное обеспечение для комплексной защиты персональных данных в облачных сервисах, а также расходы на проведение организационных мер можно представить в виде таблицы (см. Таблицу 3).

...

Таблица 3 - Затраты на внедрение комплексной защиты персональных данных в облачных сервисах

...

3.2 Оценка регуляторных рисков

Риск – это сочетание вероятности и последствий реализации угрозы. Управление рисками включает в себя идентификацию, оценку и снижение уровней риска.

При расчете риска следует грамотно оценить величину ущерба от реализации угрозы и вероятность того, что она нанесет урон системе.

Основой для оценки рисков в отношении оператора персональных данных являются нормы законодательства, представленные в таблице 5.

...

Таблица 4 - Оценка регуляторных рисков в отношении оператора персональных данных

...

Таблица 5 - Характеристика угроз и уязвимостей

...

Таблица 6 - Уровни вероятностей реализации угроз и критичность реализации угрозы

...

Таблица 7 - Расчёт уровней угроз

...

Таблица 8 - Расчет общего уровня угроз

...

Таблица 9 - Величина вероятностей

...

ЗАКЛЮЧЕНИЕ

Облачные сервисы – это современные технологии, основанные на виртуализации и сетецентрическом взаимодействии. При решении о переходе на облачные технологии руководители предприятий должные обязательно учитывать проблему защиты конфиденциальной информации (в частности, персональных данных). Значимость данного вопроса обусловлена и критической важностью информационных ресурсов, содержащих персональные данные, и необходимость строго соответствия нормативно-правовым актам, регулирующих отношения в этой сфере.

В рамках представленного исследования была определена проблема информационной безопасности в облачных сервисах и таким образом обусловлена необходимость защиты персональных данных в «облаке»; выделены трудности при построении системы защиты. Еще одно направление теоретической части – разработка модели потенциального нарушителя безопасности персональных данных (определены возможные неправомерные действия потенциальных внешних и внутренних нарушителей, к которым относятся провайдеры, операторы связи, конечные пользователи) и проведение анализа рисков (возникающих, например, в следствии виртуализации центров обработки данных).

...