 |
|
Практическое занятие №1.
МИНИCTEPCTBO ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Федеральное государственное автономное образовательное учреждение
Высшего профессионального образования
«СЕВЕРО-КАВКАЗСКИЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ»
Институт сервиса, туризма и дизайна (филиал) СКФУ в г.Пятигорске
УТВЕРЖДАЮ
Проректор по учебной работе
________________ В. И. Шипулин
«___»___________________2015 г.
ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
УЧЕБНОЕ ПОСОБИЕ
(ЛАБОРАТОРНЫЙ ПРАКТИКУМ)
Направление подготовки 10.04.01. «Информационная безопасность»
Квалификация (степень) выпускника
магистр
Изучается в 3 семестре
| СОГЛАСОВАНО: | РАЗРАБОТАНО: |
| Зав. кафедрой комплексной защиты информации и стандартизации ____________ А.М. Макаров "__" _____________ 20______ г. Декан инженерного факультета ____________ Э.Г. Янукян "__" _____________ 20______ г. Рассмотрено УМК ИСТиД (филиал) СКФУ в г. Пятигорске "__" _____________ 20_____ г. протокол №____________ Председатель УМК ________ | Зав. кафедрой комплексной защиты информации и стандартизации ___________ А.М. Макаров "__" ____________ 20_____ г. ст.преподаватель кафедры комплексной защиты информации и стандартизации __________________ И.В. Калиберда "__" ____________ 20_____ г. ст.преподаватель кафедры комплексной защиты информации и стандартизации __________________ К.О. Бондаренко "__" ____________ 20_____ г. |
Ставрополь
МИНИCTEPCTBO ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Федеральное государственное автономное
Образовательное учреждение высшего профессионального образования
«СЕВЕРО-КАВКАЗСКИЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ»
Институт сервиса, туризма и дизайна (филиал) в г.Пятигорске
А.М. Макаров
И.В. Калиберда
К.О. Бондаренко
ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
УЧЕБНОЕ ПОСОБИЕ
(ЛАБОРАТОРНЫЙ ПРАКТИКУМ)
Направление подготовки 10.04.01. «Информационная безопасность»
Квалификация (степень) выпускника
магистр
Ставрополь
| Печатается по решению Учебно-методического совета Северо-Кавказского федерального университета |
УДК 004.056
| Рецензенты: канд. техн. наук, зав. кафедрой ИСТ В. Ф. Антонов генеральный директор ООО «Комби-Сервис» М. В. Грицаев |
Макаров А.М., Калиберда И. В., Бондаренко К.О. Организация защиты персональных данных: учебное пособие (лабораторный практикум). – Ставрополь: Изд-во СКФУ, 2015. – 102с.
Учебное пособие (лабораторный практикум) предназначено для студентов очно-заочной формы обучения направления 10.04.01 «Информационная безопасность».
В учебном пособии (лабораторном практикуме) содержатся рекомендации по изучению курса и выполнению лабораторных работ.
Состав и оформление отчётов приводится в соответствие с действующими на сегодняшний день нормами и требованиями государственных стандартов РФ.
УДК 004.056
© ФГАОУ ВПО «Северо-Кавказский
федеральный университет», 2015
СОДЕРЖАНИЕ
Стр
Введение……………………………………………………….……….……………4
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ № 1.Определение перечня угроз безопасности персональных данных при их обработке в информационных системах персональных данных…………………………………………..……..………...... 10
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ № 2.Определение уровня исходной защищённости (Y1)……………………………………….…………….………...... 17
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ № 3. Определения частоты (вероятности) реализации рассматриваемой угрозы (Y2)……………….………….………...... 22
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ № 4.Определения коэффициента реализуемости угрозы (Y) и возможности реализации……………………...... 26
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ № 5. Определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных……………………………….……….……...... 31
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ № 6.Определение типа актуальной угрозы ……………………………………………………………..…………..…….…...... 39
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ № 7.Определение уровня защищенности ПДн……………………………………..……………..……………….…….…...... 40
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ № 8.Определение состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах ПДн ………………………………………………...…………..………………….…...... 44
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ № 9.Составление акта определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных ………………….………………….……………. 50
Приложения……………………………………………………………………….56
Литература ………………………….…….………………………………………61
Введение
Основной целью современного высшего образования является развитие компетентностного подхода.
Профессиональные компетенции – готовность и способность целесообразно действовать в соответствии с предъявляемыми требованиями, методически организованно и самостоятельно решать задачи и профессионально трактовать проблемы.
Практическая работа должна быть оформлена в электронном виде и на листах формата А4. Печатная работа выполняется в сброшюрованных листах.
На титульном листе указывается фамилия, имя, отчество, наименование работы, вариант, курс, группа. Задание контрольной работы содержит 10 вариантов. Выбор варианта осуществляется по последней цифре номера зачетной книжки.
Специальные документы ФСТЭК РФ по защите ПДн:
· Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
· Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждена заместителем директора ФСТЭК России 15.02.2008 г. ДСП.);
· Приказ ФСТЭК №21 от 18.02.13г «Состав и содержание организационных и технических мер по защите ПДн при их обработке в информационных системах персональных данных»;
· Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных,утверждена заместителем директора ФСТЭК России 14.02.2008г.
· Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Термины и определения:
Персональные данные (ПДн)– это любая информация о людях. Это могут быть персональные данные сотрудников, данные пациентов (если речь идет о медучреждении), данные граждан (если речь идет о госучреждении) и т.д.
Контролируемая зона (КЗ) – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Информационная система персональных данных (ИСПДн) – это совокупность программных и технических средств (компьютеры, принтеры, сканеры, коммутационное оборудование и т.д.) на которых обрабатываются персональные данные.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Модель угроз (безопасности информации) – физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.
ИСПДн-С - информационная система, обрабатывающая специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;
ИСПДн-О – информационная система, обрабатывающая общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных".
ИСПДн-Б - информационная система, обрабатывающая биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.
ИСПДн-И - информационная система, обрабатывающая иные категории персональных данных, если в ней не обрабатываются персональные данные специальные, общедоступные и биометрические.
«Базовая модель» - Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. (Утверждена заместителем директора ФСТЭК России 15.02.2008 г. ДСП.).
АРМ - автоматизированное рабочее место.
ПО - программное обеспечение.
МИО – международный информационный обмен.
БПДн – безопасность персональных данных.
Характеристики ИСПДн, обусловливающие возникновение угроз БПДн:
1) структура ИСПДн:
a) автономные ИСПДн АРМ;
| ИСПДн |
| Контролируемая зона |
Рисунок 1. Автономные ИСПДн АРМ.
b) локальные ИСПДн:
| ИСПДн |
| Контролируемая зона |
Рисунок 2. Локальные ИСПДн АРМ.
c) распределенные ИСПДн):
| ИСПДн |
| Контролируемая зона |
| ИСПДн |
| Контролируемая зона |
| Контролируемая зона |
Рисунок 3. Распределенные ИСПДн АРМ.
2) категория обрабатываемых в ИСПДн персональных данных:
a) ИСПДн-С;
b) ИСПДн–Б;
c) ИСПДн-И;
d) ИСПДн-О.
3) Объем обрабатываемых в ИСПДн персональных данных:
a) менее чем 100 000 субъектов;
b) более чем 100 000 субъектов.
4) наличие подключений ИСПДн к сетям связи общего пользования/сетям МИО:
a) не имеющие подключение;
b) имеющие подключение.
5) характеристики подсистемы безопасности ИСПДн;
6) режимы обработки персональных данных:
a) однопользовательские ИСПДн;
b) многопользовательские ИСПДН.
7) режимы разграничения прав доступа пользователей ИСПДн:
a) с разграничением доступа;
b) без разграничения доступа;
8) условия размещения технических средств ИСПДн:
a) в пределах контролируемой зоны;
b) вне контролируемой зоны.
9) по территориальному размещению:
a) распределеннаяИСПДн, которая охватывает несколько областей, краев, округов или государство в целом;
b) городскаяИСПДн, охватывающая не более одного населенного пункта (города, поселка);
c) корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации;
d) локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий;
e) локальнаяИСПДн, развернутая в пределах одного здания.
Основные этапы расчётов.
1. Определение модели угроз безопасности ПДн.
2. Определение актуальных угроз ПДн.
3. Определение уровня защищенности ПДн.
4. Определение мер по защите ПДн от актуальных угроз.
| Перечень возможных угроз |
| Перечень актуальных угроз |
| Тип актуальной угрозы |
| Базовая модель угроз |
| Уровень защищённо-сти ПДн |
| Адаптация базового набора мер |
| Перечень мероприятий по Приказу №21 ФСТЭК |
| Коэффициент реализуемости угрозы (Y) |
| Частота (вероятность) реализации рассматриваемой угрозы (Y2) |
| Исходная защищенность ИСПДн. (Y1) |
| Значения опасности угрозы |
| Исх. Данные: -ТипИСПДн -Сотрудники оператора -Количество субъектов |
| Конкретные организационно-технические требования по защите ИСПДн |
| Уточнение адаптированного базового набора мер |
Рисунок 4. Схема определения организационно-технических мер по защите ПДн.
Практическое занятие №1.