Дипломная работа о защите персональных данных (ПД) потребует от автора совершенно иного подхода, чем другие работы по прикладной информатике. Такую работу нельзя будет отнести к разряду практических, поскольку, в соответствии с законодательством РФ, разработкой систем информационной безопасности (СИБ) могут заниматься только люди, имеющие соответствующую лицензию. Поэтому, какой бы актуальной ни казалась тема диплома, связанная с защитой информации, эта работа останется академической. Для написания подобного диплома выпускнику придется изучить нормативно-правовую базу, регламентирующую само понятие ПД, допустимые методы и средства защиты информации, их классификацию и предъявляемые к ним требования. Таким образом, будущему специалисту в области прикладной информатики потребуется серьезно заняться изучением вопросов юриспруденции.
Дипломнику придется определиться с понятием ПД. В различных источниках можно найти хотя и не противоречащие друг другу определения этого понятия, тем не менее, существенно различающиеся и во многом дополняющие друг друга. Какое из определений будет использовано в дипломной работе, зависит от предметной области, которую выпускник выберет для своей работы. Если это будет банковская система, то к ПД можно отнести сведения о вкладчиках, составляющие банковскую тайну; если это будет система здравоохранения, то составляющие врачебной тайны будут отнесены к ПД пациента и т.д. Скорее всего, на основании имеющихся определений дипломнику придется сформулировать собственное определение ПД, которым он будет руководствоваться в рамках своей работы. Понадобится также классифицировать сведения, отнесенные к ПД, по степени доступности для пользователей ИС.
Следующая задача, которую предстоит решить, это задача выявления потенциальных угроз информационной безопасности. Следует иметь в виду, что в рамках дипломной работы потребуется моделировать эти угрозы (поскольку проверить работоспособность системы в реальных условиях невозможно). Естественно, что выбор методов и способов защиты информации будет определяться типом ИС и возможными угрозами, поскольку основная задача СИБ – нейтрализация потенциальных угроз.
Для защиты ПД реализуется разрешительная система допуска пользователей с разграничением их доступа к ресурсам системы; ведется регистрация всех действий в ИС; вводится запрет на копирование информации; применяются криптографические алгоритмы защиты информации; используются методы предотвращения внедрения в информационные системы вредоносных программ (вирусов).
Минимальный набор функций, который должен быть реализован в любой системе защиты ПД, включает в себя следующие элементы.
- Функции управления доступом, которые обеспечивают идентификацию и проверку подлинности при входе пользователя в систему. Обычно реализуются за счет использования паролей условно-постоянного действия.
- Функции регистрация и учета. Может осуществляться либо регистрация входа пользователя, либо регистрация загрузки операционной системы или конкретного программного обеспечения. При регистрации указываются дата и время события.
- Функции обеспечения целостности ИС и СИБ. Целостность системы проверяется при ее загрузке. В простейшем случае для этого используется метод контрольных сумм.
В зависимости от класса ИС набор этих функций может быть расширен. Кроме того, изменяются и дополняются и методы, используемые для реализации основных функций. Так, например, если ИС взаимодействует с сетями международного информационного обмена, то дополнительно в ней должны быть реализованы такие функции:
- Функция анализа защищенности. Для этого требуется разработка специализированных программных продуктов – сканеров безопасности.
- Функция обеспечения безопасного межсетевого взаимодействия. Для реализации этой функции применяются средства межсетевого экранирования, которые обеспечивают возможность фильтрации на сетевом уровне пакетов, протоколов, интерфейсов, запросов.
- Функция обнаружения вторжений. Эта функция реализуется за счет использования в ИС специализированных программно-аппаратных средств.
Для обеспечения безопасности ПД при удаленном доступе к ИС рекомендуется применять также и криптографические методы защиты передаваемой информации. При этом выбор конкретного алгоритма должен определяться степенью важности передаваемых данных и адекватной оценкой возможных посягательств на них.
Таким образом, дипломная работа о защите ПД потребует от выпускника готовности к изучению норм права, способности к аналитическому мышлению, глубоких знаний в области математики и творческого подхода к реализации системы!
