УДК 004.056 (075.8)
ББК 22.193 я73
О 64
Печатается по решению
редакционно-издательского совета
Северо-Кавказского федерального
университета
Рецензенты:
канд. техн. наук, зав. кафедрой ИСТ В. Ф. Антонов
генеральный директор ООО «Комби-Сервис» М. В. Грицаев
О 64 Организация защиты персональных данных: лабораторный
практикум / авт.-сост. А. М. Макаров, И. В. Калиберда,
К. О. Бондаренко. – Ставрополь: Изд-во СКФУ, 2015. – 92 с.
Пособие представляет лабораторный практикум, содержащий
рекомендации по изучению курса и выполнению лабораторных
работ.
Состав и оформление отчётов приводится в соответствие с
действующими на сегодняшний день нормами и требованиями
государственных стандартов РФ
Предназначено для студентов, обучающихся по направлению
090900.62 (10.03.01) – Информационная безопасность.
УДК 004.056 (075.8)
ББК 22.193 я73
Авторы-составители:
д-р техн. наук, профессор А. М. Макаров
ст. преподаватель И. В. Калиберда
ст. преподаватель К. О. Бондаренко
© ФГАОУ ВПО «Северо-Кавказский
федеральный университет», 2015
2
Стр.2
ПРЕДИСЛОВИЕ
Основной целью современного высшего образования является
развитие компетентностного подхода.
Профессиональные компетенции – готовность и способность
целесообразно действовать в соответствии с предъявляемыми требованиями,
методически организованно и самостоятельно решать
задачи и профессионально трактовать проблемы.
При подготовке бакалавров по направлению 090900.62
(10.03.01) – Информационная безопасность необходимо сформировать
у обучаемого ряд профессиональных компетенций, среди
которых важную роль играют:
ОК-1 - способностью осознавать необходимость соблюдения
Конституции Российской Федерации, прав и обязанностей гражданина
своей страны, гражданского долга и проявления патриотизма;
ОК-2
- способностью осуществлять свою деятельность в различных
сферах общественной жизни с учетом принятых в обществе
моральных и правовых норм;
ОК-3 - способностью уважительно и бережно относиться к
историческому наследию и культурным традициям, толерантно
воспринимать социальные и культурные различия;
ОК-4 - способностью понимать и анализировать политические
события, мировоззренческие, экономические и социально значимые
проблемы и процессы, применять основные положения и методы
социальных, гуманитарных и экономических наук при решении
социальных и профессиональных задач;
ОК-5 - способностью к кооперации с коллегами, работе в коллективе;
ОК-6
- способностью находить организационно-управленческие
решения в нестандартных ситуациях и готовностью нести за
них ответственность;
ОК-7 - способностью осознавать социальную значимость своей
будущей профессии, обладать высокой мотивацией к выполнению
профессиональной деятельности в области обеспечения информационной
безопасности, готовностью и способностью к активной
состязательной деятельности в условиях информационного
противоборства;
3
Стр.3
ОК-8 - способностью к обобщению, анализу, восприятию информации,
постановке цели и выбору путей её достижения, владеть
культурой мышления;
ОК-9 - способностью логически верно, аргументировано и ясно
строить устную и письменную речь, публично представлять
собственные и известные научные результаты, вести дискуссии;
ОК-10 - способностью к чтению и переводу текстов по профессиональной
тематике на одном из иностранных языков, владеть
им на уровне не ниже разговорного;
ОК-11 - способностью к саморазвитию, самореализации, приобретению
новых знаний, повышению своей квалификации и мастерства;
ОК-12
- способностью критически оценивать свои достоинства
и недостатки, определять пути и выбрать средства развития
достоинств и устранения недостатков;
ПК-1 - способностью использовать основные естественнонаучные
законы, применять математический аппарат в профессиональной
деятельности, выявлять сущность проблем, возникающих
в ходе профессиональной деятельности ;
ПК-2 - способностью понимать сущность и значение информации
в развитии современного общества, применять достижения
информатики и вычислительной техники, перерабатывать большие
объемы информации проводить целенаправленный поиск в различных
источниках информации по профилю деятельности, в том
числе в глобальных компьютерных системах;
ПК-3 - способностью использовать нормативные правовые
документы в своей профессиональной деятельности;
ПК-27 - способностью принимать участие в организации контрольных
проверок работоспособности и эффективности применяемых
программно-аппаратных, криптографических и технических
средств защиты информации.
Активное формирование данных умений происходит при изучении
курса «Организации защиты персональных данных».
При выполнении лабораторного практикума студенты приобретают
необходимые навыки, которые пригодятся в научно исследовательской
и профессиональной деятельности.
Целями лабораторных работ является теоретическая и практическая
подготовка студентов в области защиты персональных
4
Стр.4
данных, формирование набора общекультурных и профессиональных
компетенций будущего бакалавра по направлению подготовки
090900.62.
Работа в лаборатории для студентов является одной из важнейших
форм учебной работы, при которой формируются личностные
качества будущего специалиста:
- самостоятельность в принципиальных решениях;
- проявление инициативы;
- умение логически мыслить.
При построении курса важной задачей являлся отбор содержания
материала, подлежащего изучению. При изучении курса «Организации
защиты персональных данных», а так же закрепления полученных
теоретических знаний предлагается последовательно выполнить
лабораторные работы данного учебного пособия.
Все лабораторные работы посвящены организации защиты
персональных данных в информационных системах персональных
данных в соответствии с:
- Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных
данных».
- Базовой модели угроз безопасности персональных данных
при их обработке в информационных системах персональных данных.
(Утверждена заместителем директора ФСТЭК России
15.02.2008 г. ДСП.);
- Приказом ФСТЭК №21 от 18.02.13 г. «Состав и содержание
организационных и технических мер по защите ПДн при их обработке
в информационных системах персональных данных»;
- Методикой определения актуальных угроз безопасности
персональных данных при их обработке в информационных системах
персональных данных (Утверждена заместителем директора
ФСТЭК России 14.02.2008 г.);
- Постановлением Правительства Российской Федерации от 1
ноября 2012 г. № 1119 «Об утверждении требований к защите
персональных данных при их обработке в информационных системах
персональных данных».
В учебном пособии использованы следующие термины,
определения и сокращения:
Персональные данные (ПДн)– это любая информация о людях.
Это могут быть персональные данные сотрудников, данные паци5
Стр.5
ентов (если речь идет о медучреждении), данные граждан (если
речь идет о госучреждении) и т.д.
Контролируемая зона (КЗ) – пространство (территория, здание,
часть здания, помещение), в котором исключено неконтролируемое
пребывание посторонних лиц, а также транспортных, технических
и иных материальных средств.
Информационная система персональных данных (ИСПДн) –
это совокупность программных и технических средств (компьютеры,
принтеры, сканеры, коммутационное оборудование и т.д.) на
которых обрабатываются персональные данные.
Угрозы безопасности персональных данных – совокупность
условий и факторов, создающих опасность несанкционированного,
в том числе случайного, доступа к персональным данным, результатом
которого может стать уничтожение, изменение, блокирование,
копирование, распространение персональных данных, а также
иных несанкционированных действий при их обработке в информационной
системе персональных данных.
Модель угроз (безопасности информации) – физическое, математическое,
описательное представление свойств или характеристик
угроз безопасности информации.
ИСПДн-С - информационная система, обрабатывающая специальные
категории персональных данных, если в ней обрабатываются
персональные данные, касающиеся расовой, национальной
принадлежности, политических взглядов, религиозных или философских
убеждений, состояния здоровья, интимной жизни субъектов
персональных данных;
ИСПДн-О – информационная система, обрабатывающая общедоступные
персональные данные, если в ней обрабатываются
персональные данные субъектов персональных данных, полученные
только из общедоступных источников персональных данных,
созданных в соответствии со статьей 8 Федерального закона
"О персональных данных".
ИСПДн-Б - информационная система, обрабатывающая биометрические
персональные данные, если в ней обрабатываются
сведения, которые характеризуют физиологические и биологические
особенности человека, на основании которых можно установить
его личность и которые используются оператором для установления
личности субъекта персональных данных, и не обраба6
Стр.6
тываются сведения, относящиеся к специальным категориям персональных
данных.
ИСПДн-И - информационная система, обрабатывающая иные
категории персональных данных, если в ней не обрабатываются
персональные данные специальные, общедоступные и биометрические.
«Базовая
модель» - Базовая модель угроз безопасности персональных
данных при их обработке в информационных системах
персональных данных. (Утверждена заместителем директора
ФСТЭК России 15.02.2008 г. ДСП.).
АРМ - автоматизированное рабочее место.
ПО - программное обеспечение.
7
Стр.7
СОДЕРЖАНИЕ
ПРЕДИСЛОВИЕ ……………………………………………
ЛАБОРАТОРНАЯ РАБОТА 1. Определение перечня
угроз безопасности персональных данных при их обработке
в информационных системах персональных данных …………
ЛАБОРАТОРНАЯ РАБОТА 2. Определение уровня
исходной защищённости (Y1) ………………………………………
ЛАБОРАТОРНАЯ РАБОТА 3. Определения частоты
(вероятности) реализации рассматриваемой угрозы (Y2) …….
ЛАБОРАТОРНАЯ РАБОТА 4. Определения
коэффициента реализуемости угрозы (Y) и возможности
реализации ……………………………………………………….
ЛАБОРАТОРНАЯ РАБОТА 5. Определения актуальных
угроз безопасности персональных данных при их обработке
в информационных системах персональных данных …………
ЛАБОРАТОРНАЯ РАБОТА 6. Определение типа
актуальной угрозы ………………………………………………
ЛАБОРАТОРНАЯ РАБОТА 7. Определение уровня
защищенности ПДн ……………………………………………..
ЛАБОРАТОРНАЯ РАБОТА 8. Определение состава и
содержания организационных и технических мер по
обеспечению безопасности персональных данных при их
обработке в информационных системах ПДн………………….
ЛАБОРАТОРНАЯ РАБОТА 9. Составление акта
определения уровня защищенности персональных данных
при их обработке в информационной системе персональных
данных ……………………………………………………………
ЛИТЕРАТУРА ………………………………………………
ПРИЛОЖЕНИЯ ……………………………………………..
3
8
23
30
38
46
54
60
68
75
84
85
91
Стр.91