Криптографический механизм блокчейн-технологий. Способы достижения безопасности.

В условиях активного развития информационных технологий все более значительное место в развитии общества занимает информационная безопасность. Обеспечение безопасности информации при ее обработке в информационных системах является высокорентабельным бизнесом, отличающимся высоким рыночным потенциалом и эффективностью инвестиций. С учетом положений Указа Президента [1] в качестве одного из основных направлений обеспечения информационной безопасности можно выделить защиту персональных данных (ПДн). В соответствии с Федеральным законом [2] примерами таких данных являются паспортные данные, сведения о доходах, состоянии здоровья, политических взглядах, религиозных и философских убеждениях. Нарушение безопасности ПДн может привести к материальному и моральному ущербу как для субъекта ПДн, так и для организации, осуществляющей обработку ПДн.

---

Если вам нужно подготовить билеты к экзаменам , с этим вам помогут профессионалы Work5.

---

. Таким образом, обеспечение безопасности ПДн при их обработке в информационной системе является важной и актуальной задачей. В настоящее время существует множество подходов к обеспечению безопасности информации при ее обработке в информационной системе. К недостаткам классических подходов относится недостаточная проработка решений по обеспечению доступности и целостности данных при репликации: значительное повышение вероятности зависаний системы с увеличением числа узлов [1]; возможность отказа и потери данных [2]; высокие показатели сложности разрешения конфликтов, времени синхронизации, а также сложности реализации [3]; значительное увеличение нагрузки на магистральные каналы передачи данных при выходе из строя аппаратного обеспечения централизованных хранилищ (кластеров), высокая сложность планирования проведения регламентных работ по обслуживанию инфраструктуры [4]. Одним из подходов к повышению безопасности информации является распределенная обработка, основанная на применении технологии цепочки блоков — блокчейн (англ. block chain). Блокчейн — это технология обработки данных, в основе которой можно выделить следующие основные принципы: структура хранения данных представляет собой выстроенную по определенным правилам цепочку блоков, содержащих информацию; каждый блок цепочки связан с соседними блоками криптографическими методами; сами по себе блоки и содержащаяся в них информация являются общедоступными; копии цепочки блоков хранятся на разных компьютерах. Примерами решений, построенных на использовании технологии блокчейн, и предназначенных для обработки ПДн, являются проекты DACC [3], Goldilock [4], Decenturion [5]. В целом отличительными характеристиками современных информационных систем персональных данных (ИСПДн) являются: наличие одного или нескольких централизованных хранилищ данных, вывод из строя которых может привести к значительному нарушению доступности ПДн; ограниченные возможности оперативного доступа к ПДн. В данной работе предлагается метод обеспечения безопасности ПДн при их обработке (в том числе накоплении, хранении, передаче и т.п. в соответствии с Федеральным законом «О персональных данных») в распределенном реестре, основанном на технологии блокчейн, и обеспечивающий повышенные доступность и целостность ПДн за счет отсутствия подверженного отказу единого центра обработки данных; повышенную доступность за счет распределенной обработки ПДн и объединения разнородных ПДн в единую взаимоувязанную систему. Несмотря на активное развитие технологии «блокчейн», в том числе в области обработки и защиты персональных данных, методы и подходы к ее применению на сегодняшний день изучены не в полной мере. Построение распределенного реестра обработки ПДн (РРПДн) сводится к решению следующих задач: определение состава ПДн, обработку которых целесообразно осуществлять в распределенной системе; определение общей архитектуры РРПДн; определение порядка хранения данных; определение порядка вознаграждения пользователей РРПДн, обеспечивающих его работу; определение механизма достижения консенсуса; выбор способа вычисления хеш-функции. Для примера в качестве района эксплуатации РРПДн предлагается рассмотреть условный субъект Российской Федерации (РФ), численность населения которого составляет 1 млн человек.

В рамках первой стадии предлагается выделить три этапа: 1) формирование ЦБ-И как основы РРПДн, содержащей уникальные идентификаторы пользователей; 2) формирование ЦБ-П как основы для создания конкуренции в вычислительной среде пользователей РРПДн; 3) формирование ЦБ-А и ЦБ-К. Поскольку идентификационные данные субъекта являются ключевыми данными РРПДн, регистрация в ЦБ-И должна осуществляться на основании документа, удостоверяющего личность гражданина РФ. При этом вновь зарегистрированные пользователи получают уникальный идентификатор (УИД) и равное количество БСН за регистрацию. Формирование новых блоков на этом этапе должно осуществляться силами разработчика РРПДн. Сразу после регистрации пользователю должна предоставляться возможность выбора степени своего участия в работе ЦБ-И [19]: — простая регистрация; — предоставление услуг хранения распределенной базы данных ЦБ-И. В первом случае пользователь просто переносит свои ПДн в распределенный реестр и получает доступ к функционалу РРПДн посредствам легкого клиента. Во втором случае пользователь, выбирая приемлемый объем данных, который он готов хранить на личном устройстве, становится узлом аудита. Размер вознаграждения за хранение данных (дополнительные БСН) зависит от выбранного пользователем объема данных. Регистрация пользователей и передача ПДн в ЦБ-П должны осуществляться с использованием УИД ЦБ-И. Переданные в ЦБ-П ПДн пользователя (сведения об образовании, профессиональных навыках) должны быть подтверждены соответствующими официальными документами. Вновь зарегистрированные пользователи получают равное количество БСН за регистрацию, а также дополнительные БСН и БСЭ, количество которых зависит от достижений пользователя в профессиональной деятельности (в том числе образовательной, научно-исследовательской и т. п.). Формирование новых блоков должно осуществляться силами разработчика РРПДн до достижения определенного количества пользователей, обладающих необходимым количеством БСН и БСЭ. После этого таким пользователям должна быть предоставлена возможность стать узлами консенсуса и принять участие в создании новых блоков. Возможность формирования нового блока (с получением вознаграждения в виде социальных монет) должна зависеть от количества БСН и БСЭ, которыми обладает узел консенсуса. Процедура ознакомления узлов консенсуса с вносимыми в реестр ПДн пользователей может быть проведена двумя способами, выбор между которыми должен предоставляться субъекту ПДн: — субъект сам определяет критерии узлов консенсуса, которые могут получить доступ к его ПДн с целью подтверждения (работники конкретной организации, владельцы конкретных УИД и т. п.); — пользователь делает свои ПДн общедоступными для узлов консенсуса на время подтверждения. Формирование ЦБ-А и ЦБ-К предлагается начать после достижения необходимого количества узлов консенсуса в среде пользователей РРПДн. Регистрация и передача ПДн в ЦБ-А и ЦБ-К должны осуществляться с использованием УИД ЦБ-И. Переданные в ЦБ-А сведения о находящихся в собственности активах должны быть подтверждены соответствующими официальными документами. Подтверждение данных, передаваемых в ЦБ-К, предлагается осуществлять без предъявления официальных документов. При этом пользователю, по аналогии с процедурой подтверждения ЦБ-П, должна предоставляться возможность «фильтрации» узлов консенсуса, которые могут подтвердить передаваемые данные. Вновь зарегистрированные пользователи получают равное количество БСН за регистрацию. В качестве альтернативного подхода или в качестве меры, повышающей достоверность вносимых ПДн, подтверждение данных может осуществляться с участием уполномоченных органов государственной власти. Предлагаемое решение может найти применение как на уровне организаций различных форм собственности, так и на уровне государства в целом. Использование предложенного метода как дополнительной меры1 защиты персональных данных, позволит повысить: доступность и целостность персональных данных за счет отсутствия подверженного отказу единого центра обработки данных; доступность персональных данных за счет распределенной обработки данных и объединения разнородных персональных данных в единую взаимосвязанную систему; достоверность персональных данных за счет регулярного хеширования данных с использованием хорошо изученных криптографических методов, а также автоматизированной оценки рисков недостоверности обрабатываемых персональных данных. Метод позволит обеспечить высокую степень конфиденциальности за счет применения средств криптографической защиты информации по отношению ко всем обрабатываемым персональным данным; снизить расходы на обеспечение обработки персональных данных за счет привлечения вычислительных ресурсов граждан – субъектов персональных данных. Кроме того, построение единой взаимосвязанной системы, дающей объективную оценку индивидууму, создаст предпосылки для культивирования общей добропорядочности граждан, формирования атмосферы доверия, гармонизации общественных отношений и повышения безопасности субъекта Российской Федерации в целом.

1. Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера». http://www.kremlin.ru/acts/bank/10638 (дата обращения: 21.02.2021). 2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». https://rg.ru/2006/07/29/personaljnyedannye-dok.html (дата обращения: 21.02.2021). 3. ISO 7498-2:1989. Системы обработки информации. Взаимодействие открытых систем. Базовая эталонная модель. Часть 2: Архитектура защиты от 15.02.1989 г. [Электронный ресурс]. – Режим доступа: https://standartgost.ru/g/ISO_7498-2:1989 (дата обращения: 21.02.2021). 4. Беззатеев С.В., Волошина Н.В., Санкин П.С. Методика расчета надежности сложных систем, учитывающая угрозы информационной безопасности // Информационноуправляющие системы. 2014. № 3. С. 78–83. 5. Беззатеев С.В., Волошина Н.В. Маскирующее сжатие на основе модели взвешенной структуры изображения // Информационно-управляющие системы. 2017. № 6. С. 88–95. 6. Борисёнок, М. Технология блокчейн для повседневной жизни//Теплица социальных технологий [Электронный ресурс]. – Режим доступа: https://te-st.ru/reports/blockchain-meetup/ (дата обращения: 21.02.2021). 7. Генкин, А. Блокчейн. Как это работает и что ждет нас завтра / А. Генкин, А. Михеев. – М.: Альпина Паблишер, 2018. – 592 с 8. Кирносов В.Ю., Куржангулов Н.М. Сравнительный анализ механизмов репликаций данных в различных СУБД // Фундаментальные и прикладные исследования в современном мире. 2017. № 18-1. С. 84–91. 9. Козин И.C. Метод разработки автоматизированной системы управления информационной безопасностью региональной информационной системы // Сборник трудов «Региональная информатика и информационная безопасность. Выпуск 3». СПб.: СПОИСУ, 2017. С. 284–290. 10. Козин И.C. Метод разработки автоматизированной системы управления информационной безопасностью распределённой информационной системы // Информация и космос. 2018. № 3. С. 80–88. 11. Козин И.С. Метод обеспечения безопасности персональных данных при их обработке в информационной системе на основе анализа поведения пользователей // Информационно-управляющие системы. 2018. № 3. С. 69–78. 12. Колмогоров А.Н. О представлении непрерывных функций нескольких переменных в виде суперпозиций непрерывных функций одного переменного и сложения // Доклады АН СССР. 1957. Т. 114. № 5. С. 953–956. 13. Мыльников В.А., Елина Т.Н. Повышение оперативности и надежности облачной инфраструктуры на базе распределенной файловой системы // Актуальные вопросы естествознания. Сборник материалов III Всероссийской научно-практической конференции с международным участием, 5 апреля 2018 г. Иваново: ФГБОУ ВО «Ивановская пожарно-спасательная академия Государственной противопожарной службы МЧС России», 2018. С. 266–268. 14. Пельц-Шарп, А. Пришло время блокчейна для бизнеса / А. Пельц-Шарп, Н. Чекалкина. – 31 янв. 2018 г. [Электронный ресурс]. – Режим доступа: https://ecm-journal.ru/docs/Prishlo-vremja-blokchejjna-dlja-biznesa.aspx (дата обращения: 21.02.2021). 15. Преимущества Биткоин над обычными деньгами [Электронный ресурс]. – Режим доступа: https://mylektsii.ru/13-48222. html (дата обращения: 21.02.2021). 16. Райт, М. BitShares 101 [Электронный ресурс]. – Режим доступа: http://testzcrypto.gitbooks.io/bitshares101 (дата обращения: 21.02.2021). 17. Ринчинов А.Б. Перспективы внедрения системы социального кредита в Китае, опыт Ханчжоу // Социально-политическая ситуация накануне XIX съезда КПК: Материалы ежегодной научной конференции Центра политических исследований и прогнозов ИДВ РАН, 15-17 марта 2017 г. М.: Институт Дальнего Востока РАН, 2017. С. 348–357. 18. Свон, М. Блокчейн. Схема новой экономики / М. Свон. – М.: Олимп-Бизнес, 2017. – 240 с. 19. Тапскотт, Д. Блокчейн-революция. Как технология, стоящая за биткойном, меняет деньги, бизнес и мир / Д. Тапскотт, А. Тапскотт. – М.: Эксмо, 2017. – 210 с. 20. Технология Blockchain: что это и кому нужно//ФБ.ру [Электронный ресурс]. – Режим доступа: http://fb.ru/article/248921/ tehnologiya-blockchain-chto-eto-i-komu-nujno (дата обращения: 21.02.2021). 21. Улезло Д.С., Кадан А.М. Методы машинного обучения в решении задач информационной безопасности // Proc. 3rd International Conference Intelligent Technologies for Information Processing and Management (ITIPM’2015). Vol. 1. Ufa: USATU, 2015. С. 41–44.