Главная страница
Навигация по странице:

  • БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ Методические указания для самостоятельной работы Для студентов, обучающихся по направлению

  • Безопасность персональных данных

  • 2. Домашнее задние №1

  • 3. Домашнее задание №2

  • Список рекомендуемой литературы

    		•

    МЕТОДИЧЕСКИЕ УКАЗАНИЯ. Методические указания для самостоятельной работы Для студентов, обучающихся по направлению 10. 05. 03 Информационная безопасность автоматизированных систем


    Скачать 49.89 Kb.
    НазваниеМетодические указания для самостоятельной работы Для студентов, обучающихся по направлению 10. 05. 03 Информационная безопасность автоматизированных систем
    Дата19.06.2019
    Размер49.89 Kb.
    Формат файлаdocx
    Имя файлаМЕТОДИЧЕСКИЕ УКАЗАНИЯ.docx
    ТипМетодические указания
    #82291

    министерство образования и науки РФ

    фГбОУ ВО

    «воронежский государственный

    университет инженерных технологий»
    кафедра информационной безопасности

    БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
    Методические указания для самостоятельной работы
    Для студентов, обучающихся по направлению

    10.05.03– «Информационная безопасность автоматизированных систем»,

    очной формы обучения

    воронеж

    2016

    УДК 681.142.37
    Безопасность персональных данных [Текст] : методические указания для самостоятельной работы студентов / Воронеж.гос. ун-т инж. технол. ; сост. А. В. Скрыпников, В.А. Хвостов. - Воронеж: ВГУИТ, 2016. – 36 с.
    Методические указания разработаны в соответствии с требованиями ФГОС ВО подготовки выпускников по направлению 10.05.03 – «Информационная безопасность автоматизированных систем». Они предназначены для закрепления теоретических знаний дисциплины «Безопасность персональных данных». Предложены методики выполнения домашних заданий, методику подготовки доклада.

    Библиогр.: 6 назв.
    Составители: профессор А.В.СКРЫПНИКОВ,

    ДоцентВ.А. ХВОСТОВ
    Научный редактор профессор А.В. СКРЫПНИКОВ
    Рецензент доцент С. В. БЕЛОКУРОВ

    (Воронежский институт ФСИН России)
    Рекомендуется к размещению

    в ЭОС и ЭБ ВГУИТ


    ©
    Скрыпников А.В.,

    Хвостов В.А., 2016

    ©
    ФГБОУ ВО «Воронеж.гос. ун-т инж. технол.», 2016

    Оригинал-макет данного издания является собственностью Воронежского государственного университета инженерных технологий, его репродуцирование (воспроизведение) любым способом без согласия университета запрещается.
    Целями и задачами освоения дисциплины «Безопасность персональных данных» являются:

    освоение специалистами актуальных изменений в вопросах профессиональной деятельности, обновление их теоретических знаний и умений, развитие навыков практических действий по планированию, организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах в условиях существования угроз безопасности информации.

    Поставленная цель достигается решением следующих задач:

    изучением нормативных правовых и организационных основ обеспечения безопасности персональных данных в информационных системах персональных данных;

    изучением методов и процедур выявления угроз безопасности персональных данных в информационных системах персональных данных и оценки степени их опасности;

    практической отработкой способов и порядка проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

    Самостоятельная работа студента направлена на формирование следующих компетенций:

    ПК-11 Способен разрабатывать и исследовать модели автоматизированных систем;

    ПК-15 Способен проводить анализ, предлагать и обосновывать выбор решений по обеспечению требуемого уровня эффективности применения автоматизированных систем;

    ПК-19 Способность участвовать в разработке компонентов автоматизированных систем в сфере профессиональной деятельности.
    1. Доклад по теме «Система документов по защите персональных данных в Российской федерации»

    Разделы дисциплины:Правовые и организационные вопросы технической защиты информации ограниченного доступа

    Доклад по результатам выполнения домашних заданий это форма организации, учебно-исследовательской деятельности обучающегося. Его назначение – развитие познавательной самостоятельности слушателя, его умений самому приобретать, углублять, творчески перерабатывать и осмысливать значимые знания.

    Доклад это письменная работа, где кратко изложено исследование заданной темы на основе изучения и переработки теоретического или эмпирического материала.

    Доклад должен быть самостоятельным исследованием и решать следующие задачи:

    1. развить навыки работы с научной литературой и другими источниками информации;

    2. расширить и углубить знания в одном из частных вопросов маркетинга в здравоохранении;

    3. овладеть методами научных исследований;

    4. научиться самостоятельно излагать результаты исследований;

    5. делать соответствующие выводы.

    При подготовке доклада студент должен:

    1. уметь пользоваться библиографическим указателем и каталогами при работе с литературой;

    2. подобрать и изучить литературу по теме домашнего задания;

    3. изложить состояние заданного вопроса и сделать заключение.

    Титульный лист доклада в соответствии с установленными в университете требованиями.

    Общий объем доклада должен составлять не менее 10 страниц печатного текста (шрифт 14, интервал 1,5; поля сверху, снизу, справа, слева по 20 мм); нумерация страниц обязательна.

    В докладедолжны быть отражены следующие разделы:

    1. Содержание (оглавление).

    2. Введение.

    3. Краткое содержание изученного материала.

    4. Заключение.

    5. Список использованной литературы (библиографический указатель).

    Содержание (оглавление, план)точный указатель заголовков всех разделов доклада и номеров страниц, на которых напечатаны данные заголовки в тексте.

    Заголовки и подзаголовки отделяются от основного текста и располагаются посередине полосы. При этом точка в конце заголовка не ставится, перенос слов не допускается.

    Во введениидается краткая характеристика состояния исследуемого вопроса, цель и задачи работы. Объем введения 2-3 страницы.

    В кратком содержании изученного материала, который должен содержать не только констатацию фактов, но и критические замечания к ним, излагается анализ изученного материала по теме, выделяются основные теоретические и практические положения.

    Доклад иллюстрируется необходимым количеством рисунков, таблиц, графиков.

    Все иллюстративные материалы (технические рисунки, чертежи, графики, фотографии, диаграммы и т.п.) обозначаются как «Рисунок», например, «(рис. 5)». Тематическое название рисунка с необходимыми пояснениями помещается под иллюстрацией. Для рисунков, фотографий и диаграмм дается общая нумерация, отдельно от нумерации таблиц.

    Заключение доклада включает обсуждение полученных данных, выводы и рекомендации по их использованию. Обсуждение результатов собственного исследования должно проводиться в соответствии с данными литературы. Выводы и рекомендации должны логически вытекать из проведенного обсуждения. При этом выводы должны соответствовать цели и задачам работы и характеризовать ее результаты. Заключение к контрольной работе дается в виде общего анализа исследования объемом 1 страницу или в виде выводов в количестве 3-5.

    В библиографический списокобязательно включаются все использованные при выполнении домашнего задания литературные источники, которые располагаются в алфавитном порядке в соответствии с требованиями библиографического описания.

    В докладе должны бать отражены результаты изучения и анализа требованийФедерального закона от 28.12.2010 № 390-ФЭ «О безопасности», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

    Также необходимо дать краткий анализ следующих документов: ПостановлениеПравительства РоссийскойФедерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные приказом ФСТЭК России от 18.02.2013 № 21, а также документов, регламентирующих вопросы обеспечения безопасности персональных данных: «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

    2. Домашнее задние №1

    Разделы дисциплины:Выявление угроз безопасности информации на объектах информатизации, основные организационные меры, технические и программные средства защиты информации от несанкционированного доступа

    Выявление угроз безопасности информации на объектах информатизации, основные организационные меры, технические и программные средства защиты информации от несанкционированного доступа.

    В работе должны быть разработаны документы«Модель угроз персональных данных» и «Техническое задание на разработку системы защиты персональных данных».

    Документ «Модель угроз персональных данных» (Далее «Модель угроз...»разрабатывается в соответствии с используемыми технологическими решениями (однопользовательский/многопользовательский режим работы, подключение к ЛВС, подключение к сети Интернет, использование технологии удаленного доступа) и от функционального назначения конкретной информационной системы.

    «Модель угроз...» разрабатывается на основании «Методики составления частной модели угроз». Для каждой информационной системынеобходимо разрабатывать свою модель угроз.

    При разработке документа необходимо присвоить информационной системе соответствующий класс и его документально оформить. Результаты классификации информационных систем оформляются соответствующим актом. Далее необходимо документально оформить частную модель угроз, на основе которой была произведена классификация информационной системы.

    «Модель угроз...» должна:

    1) Быть утверждена Руководителем Учреждения.

    2) Быть составлена в соответствии с «Методикой составления частной модели угроз».

    3) В Модели должны быть перечислены названиях всех выявленных информационных систем.

    4) Для каждой выявленной информационной системы должен быть выделен раздел в «Модели угроз...».

    5) Для каждой информационной системы должна быть определена ее структура, в которой определяются характеристики режима обработки как показано в таблице 1.

    Таблица 1.Характеристики режима обработки персональных данных в информационной системе

    Заданные характеристики безопасности персональных данных
    Типовая информационная система/специальная информационная система

    Структура информационной системы
    Автоматизированное рабочее место/Локальная информационная система/Распределенная информационная система

    Подключение информационной системы к сетям общего пользования и/или сетям международного информационного обмена
    Имеется/не имеется

    Режим обработки персональных данных
    Однопользовательская/многопользовательская система

    Режим разграничения прав доступа пользователей
    Система с разграничением доступа/без разграничения доступа

    Местонахождение технических средств информационной системы
    Все технические средства находятся в пределах Российской Федерации/технические средства частично или целиком находятся за пределами Российской Федерации

    Дополнительныеинформация
    К персональным данным предъявляется требование целостности и/или доступности

    Структура информационной системы может быть представлена как:

    • Автоматизированное рабочее место, если вся обработка персональных данных производится в рамках одного рабочего места.

    • Локальная информационная система, если вся обработка персональных данных производится в рамках одной локальной вычислительной сети.

    • Распределенная информационная система, если обработка персональных данных производится в рамках комплекса автоматизированных рабочих мест и/или локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа. Т.е. элементы информационной системы разнесены территориально, например, винформационная система включена сеть филиала, и связь между территориально удаленными элементами осуществляется по каналам сетей общего пользования и/или международного обмена.

    • Подключение информационной системы к сетям общего пользования и/или сетям международного информационного обмена. Если информационная система или ее элементы имеют подключение к Интернету или другим сетям, вне зависимости обусловлено ли это служебной необходимостью или нет, то информационная система имеет подключение.

    • Режим обработки персональных данных. Система является однопользовательской, если сотрудник обрабатывающий персональные данные совмещает в себе функции администратора и оператора. Во всех других случаях информационная система является многопользовательской.

    • Режим разграничения прав доступа пользователей. Если в системе все пользователи (администраторы, операторы, разработчики) обладают одинаковым набором прав доступа или осуществляют вход под единой учетной записью и вход под другими учетными записями не осуществляется, то информационная система не имеет системы разграничения прав доступа. Во всех других случаях информационная система имеет систему разграничения прав доступа.

    • Местонахождение технических средств информационной системы. Все информационные системы находятся на территории Российской Федерации.

    • Дополнительная информация. К информационной системе предъявляются требования целостности. Если также должно обеспечиваться требование доступности, то необходимо внести соответствующие изменения.

    6) Для каждой информационной системы должен быть определен перечень обрабатываемых персональных данных, а так же состав объектов защиты. Примерный состав обрабатываемых персональных данных и объектов защиты описан в «Перечнеперсональных данных», подлежащих защите.

    7) На основании состава персональных данных должен быть сделан вывод о категории обрабатываемых персональных данных.

    8) Должно быть определен объем записей персональных данных. В информационной системе объем персональных данных может принимать значение:

    • в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

    • в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

    • в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

    9) Для каждой информационной системы должна быть нарисована конфигурация информационной системы - схематичное взаиморасположение элементов системы. Конфигурация может быть нарисована в любом графическом редакторе.

    10) Для каждой информационной системы должно быть нарисовано территориальное расположение информационной системы относительно контролируемой зоны. Расположение информационной системы относительно контролируемой зоны может быть нарисовано в любом графическом редакторе.

    11) Для каждой информационной системы должна быть описана структура обработки персональных данных. Структура обработки должна включать всю последовательность шагов по вводу персональных данных, их обработке, передаче в другие информационные системы и другим процессам. Структура обработки персональных данных может быть описана как в текстовом, так и в графическом виде.

    12) Для каждой информационной системы должны быть определены группы пользователей участвующие в обработке персональных данных. Список групп берется из Политики информационной безопасности. Для всех групп должен быть определен перечень прав и уровень доступа. Все это необходимо отразить в Матрице доступа.

    13) Для каждой информационной системы должен быть определен поименный список сотрудников, участвующих в обработке.

    14) Для каждой персональных данных должен быть дополнен список внутренних нарушителей в соответствии с уточненным списком групп в Политике информационной безопасности.

    15) Для каждой персональных данных должен быть определен исходный уровень защищенности, по параметрам как показано в таблице 2.

    16) Для каждой информационной системы должны быть определены вероятности реализации угроз безопасности персональных данных.

    17) Для каждой информационной системы должна быть определена реализуемость угроз безопасности персональных данных.

    18) Для каждой информационной системы должна быть определена опасность реализации угроз безопасности персональных данных.

    Таблица 2. Уровень защищенности персональных данных

    Позиция
    Технические и эксплуатационные характеристики
    Уровень

    защищенности

    1
    По территориальному размещению



    2
    По наличию соединения с сетями общего пользования



    3
    По встроенным (легальным) операциям с записями баз персональных данных



    4
    По разграничению доступа к персональным данным



    5
    По наличию соединений с другими базами персональных данных иных информационных систем



    6
    По уровню (обезличивания) персональных данных



    7
    По объему персональных данных, которые предоставляются сторонним пользователям информационных систем без предварительной обработки



    19) Для каждой информационной системы должна быть определена актуальность угроз безопасности персональных данных.

    20) Для каждой информационной системы должны быть определены необходимые меры по снижению опасности актуальных угроз.

    21) Для каждой информационной системы должны быть составлена обобщенная таблица «Модели угроз...».

    Техническое задание на разработку системы обеспечения безопасности информации объекта вычислительной техники (далее «Техническое задание...») определяет требования к системе защиты персональных данных.

    Техническое задание должно:

    1) Быть оформлено в соответствии с внутренним порядком документооборота.

    2) Быть утверждено Руководителем или руководителем подразделения ответственного за обеспечение режима безопасности или специально уполномоченным сотрудником.

    3) Техническое задание может быть изменено с учетом специфики конкретнойОрганизации.

    Далее представлено типовое «Техническое задание...»

    1 Общие сведения

    1.1. Заказчик: ____________________________ (далее Заказчик).

    1.1.1. Исполнитель: ____________________________ (далее - Исполнитель) (Лицензия ФСТЭК России рег. N от "__" _________ 20___ г. на деятельность по технической защите конфиденциальной информации), аттестат аккредитации N СЗИ RU.____.____.____ от "__".__.____ г. (продлен до "__" _________ 20___ г.).

    1.1.2. Основание для выполнения работ: Договор N___ от "__" __________20___ г.

    1.2. Плановые сроки начала и окончания работы определяются Договором.

    2 Цели и задачи выполнения работ

    Основной целью проведения работ является приведение порядка обработки, хранения и передачи персональных данных сотрудников, клиентов и контрагентов учреждения здравоохранения, социальной сферы, труда и занятости в соответствие требованиям перечисленных в Разделе 3 данного Технического Задания нормативно-правовых документов, в том числе и в части требований к технической защите автоматизированных систем, обрабатывающих персональные данные.

    В рамках проекта будут решены следующие задачи:

    - определены места и способы обработки персональных данных;

    - составлен актуальный для Заказчика перечень требований, предъявляемых к защите персональных данных;

    - реализованы организационные и технические меры по защите персональных данных, доработана нормативная документация Заказчика.

    - проведены аттестационные испытания информационных систем персональных данных;

    - оказаны консультационные услуги по подготовке предприятия (организации) к выполнению лицензионных требований и условий, определенных постановлением Правительства Российской Федерации от 15 августа 2006 г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации».

    3 Требования к составу и содержанию работ

    Работы должны проводиться в соответствии с положениями нижеследующих нормативно-правовых документов:

    - Федеральный закон от 27.07.2006 г. N 152-ФЗ «О персональных данных»;

    - «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное Постановлением Правительства РФ от 17.11.2007 г. N 781;

    - «Порядок проведения классификации информационных систем персональных данных», утвержденный совместным Приказом ФСТЭК России N 55, ФСБ России N 86 и Мининформсвязи РФ N 20 от 13.02.2008 г.;

    - «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства РФ от 15.09.2008 г. N 687;

    - «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утвержденные Постановлением Правительства РФ от 06.07.2008 г. N 512;

    - Нормативно-методические документы Федеральной службы по техническому и экспертному контролю Российской Федерации (далее - ФСТЭК России) по обеспечению безопасности персональных данных при их обработке в информационных системах.

    - Работы должны проводиться в один этап:

    - Этап 1. Приведение в соответствие порядка обработки персональных данных.

    3.1 Этап 1. Первая очередь приведения в соответствие порядка обработки персональных данных

    Следующие работы должны быть проведены в отношении всех существующих у Заказчика информационных систем:

    - Определение категорий субъектов персональных данных.

    - Определение перечня (состава) персональных данных, обрабатываемых в информационной системе.

    - Определение целей обработки персональных данных.

    - Определение срока, в течение которого производится обработка персональных данных (в том числе их хранение).

    - Определение перечня действий с персональными данными, которые производятся в ходе их обработки.

    - Определение используемых оператором способов обработки персональных данных.

    - Уточнение степени участия персонала в обработке персональных данных, характера их взаимодействия между собой.

    - Определение условий расположения информационной сети передачи данных относительно границ контролируемой зоны.

    - Определение конфигурации и топологии информационной сети персональных данных в целом и ее отельных компонент, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения.

    - Определение исходных данных для классификации информационных систем персональных данных.

    - Сбор сведений об имевших место инцидентах информационной безопасности, связанных с персональными данными.

    - Изучение существующих организационных мер обеспечения безопасности персональных данных.

    - Разработка актуализированной модели угроз.

    - Разработка перечня требований по защите персональных данных.

    - Определение необходимости аттестации системы.

    - Выявление имеющихся средств технической защиты информации, которые могут быть использования для обеспечения безопасности персональных данных.

    - Изучение применяемых в информационной системе технических мер обеспечения безопасности персональных данных.

    - Анализ соответствия применяющихся мер и средств технической защиты предъявляемым требованиям нормативно-правовой базы Российской Федерации в области защиты персональных данных.

    - Разработка рекомендаций по технической защите системы.

    - Определение необходимости сертификации имеющихся технических средств и программного обеспечения защиты системы.

    - Определение необходимости аттестации системы.

    - Определение необходимости получения соответствующих лицензий на осуществление деятельности по защите системы.

    - Разработка Эскизного проекта по защите системы.

    - Доработка нормативной и рабочей документации системы в части приведения в соответствие требованиям нормативно-правовых документов.

    В отношении систем, для которых выявлена необходимость аттестации, должны быть проведены аттестационные испытания.

    Состав и порядок проведения работ по аттестации должен определяться Частным Техническим заданием, разрабатываемым Исполнителем в соответствии с данным Техническим заданием.

    В рамках работ первого этапа должны быть оказаны консультационные услуги по подготовке предприятия (организации) к выполнению лицензионных требований и условий.

    Состав и порядок оказания услуг должен определяться Частным Техническим заданием, разрабатываемым Исполнителем в соответствии с данным Техническим Заданием.

    В рамках первого этапа работ должна быть проведена доработка нормативно-распорядительных документов Заказчика в части приведения в соответствие порядка обработки персональных данных требованиям законодательства.

    В случае отсутствия у Заказчика необходимых нормативных документов должны быть разработаны проекты таких документов.

    Перечень дорабатываемых и разрабатываемых документов должен быть определен после обследования текущего состояния организационных мер по обеспечению безопасности персональных данных.

    4 Порядок контроля и приемки работ

    4.1. Критериями для приемки работ является настоящее техническое задание (далее - ТЗ) и соответствующие Частные Технические задания, разрабатываемые в процессе выполнения работ.

    4.2. Приемка работ осуществляется единовременно, приемке подлежат предоставляемые Заказчику документы согласно разделу 6 настоящего ТЗ.

    4.3. Завершение работ оформляется актом приема-сдачи работ (услуг).

    4.4. Не позднее последнего дня согласно календарному плану работ, Заказчику предоставляется итоговая версия отчетных документов в электронном виде.

    4.5. Заказчик направляет замечания в письменном виде не позднее 5 рабочих дней после предоставления итоговой версии отчетных документов.
    5 Требования к составу и содержанию мероприятий по подготовке объекта к выполнению работ

    5.1. При подготовке к проведению Исполнителем работ на территории Заказчика, со стороны Заказчика необходимо обеспечить следующее:

    - назначить ответственное лицо от Заказчика, наделенное соответствующими полномочиями, для обеспечения выполнения работ Исполнителем на территории Заказчика, а также для организации взаимодействия с должностными лицами Заказчика и для обеспечения дистанционного сбора информации (анкетирование, переписка и т.п.);

    - выделить рабочие места для членов рабочей группы со стороны Исполнителя, обеспеченные всем необходимым для работы;

    - определить сопровождающее лицо для организации и проведения интервьюирования;

    - обеспечить доступность лиц, с которыми необходимо провести интервьюирование (перечень лиц, подлежащих интервьюированию, определяется Заказчиком на основе перечня необходимой для проведения работ информации, запрашиваемой Исполнителем), а также лиц, экспертное мнение которых необходимо выяснять при проведении работ.

    6 Требования к документированию

    6.1. По результатам работ должны быть разработаны следующие документы:

    1) Положение о защите персональных данных.

    2) Положение о подразделении по защите информации.

    3) Приказ о назначении ответственных лиц за обработку ПДн.

    4) Концепция информационной безопасности персональных данных учреждения.

    5) Политика информационной безопасности персональных данных учреждения.

    6) Перечень персональных данных, подлежащих защите.

    7) Приказ о проведении внутренней проверки.

    8) Отчет о результатах проведения внутренней проверки.

    9) Акт классификации информационной системы персональных данных угроз для конкретной системы.

    10) Положение о разграничении прав доступа к обрабатываемым персональным данным.

    11) Модель угроз безопасности персональных данных угроз для конкретной ИСПДн.

    12) План мероприятий по обеспечению защиты персональных данных.

    13) Порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ.

    14) Должностные инструкции сотрудников, обрабатывающих персональных данных:

    - Должностная инструкция администратора информационной системы.

    - Инструкция пользователя информационнойсистмы.

    - Должностная инструкция администратора безопасности информационной системы.

    - Инструкция пользователя по обеспечению безопасности обработки персональных данных, при возникновении внештатных ситуаций.

    15) План внутренних проверок.

    16) Журнал по учету мероприятий по контролю состояния защиты персональных данных.

    17) Журнал учёта обращений субъектов персональных данных о выполнении их законных прав.

    18) Положение об Электронном журнале обращений пользователей информационной системы к персональных данных.

    6.2. Отчетные документы предоставляются Заказчику в электронном виде в формате документов MicrosoftOffice и на бумажных носителях.

    7 Порядок проведения работ


    7.1. Для выполнения работ Заказчик и Исполнитель по согласованию сторон формируют экспертную группу из специалистов Заказчика и Исполнителя, имеющих необходимую компетенцию.

    7.2. Специалисты Заказчика предоставляют всю необходимую информацию Исполнителю для проведения работ и, при необходимости, участвуют совместно с Исполнителем в проводимых работах.

    7.3. До начала проведения работ Заказчик предоставляет список и контактную информацию своих сотрудников, которые будут отвечать за взаимодействие с сотрудниками Исполнителя, за оперативное предоставление необходимой информации и согласование отчетных материалов Исполнителя.

    7.4 Исходные данные собираются Исполнителем в ходе проведения работ путем:

    - интервьюирования персонала Заказчика, в том числе руководителей и сотрудников структурных подразделений;

    - анкетирования и направления письменных запросов на предоставление информации;

    - анализа документов и записей результатов деятельности Заказчика в части обеспечения безопасности информационных систем персональных данных (нормативных документов, проектной и эксплуатационной документации, актов, журналов и пр.).

    8 Дополнительные условия и ограничения


    8.1. В случае поставки и внедрения технических средств защиты третьей стороной до начала работ по аттестации информационных систем, Заказчик согласует с Исполнителем следующее:

    - состав и спецификацию технических средств;

    - состав сопроводительной документации к техническим средствам и сертификатов;

    - схемы установки и подключения;

    - настройки аппаратно-программных средств;

    - рабочую документацию этапа внедрения.

    8.2. Срок поставки и внедрения технических средств защиты не входит в расчет сроков этапов работ.

    8.3. В случае задержки по срокам предоставления исходных данных при проведении работ, или неполного предоставления информации со стороны Заказчика, по согласованию сторон возможен перенос сроков выполнения работ по договору в сторону увеличения.
    3. Домашнее задание №2

    Разделы дисциплины:Основы организации и ведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

    В работе должны быть отражены результаты разработки комплекта эксплуатационных документов по защите персональных данных в организациях.

    Самостоятельно разрабатываются:

    1. Инструкции администратора информационной системы

    2. Инструкции пользователя информационной системы

    3. Инструкции администратора безопасности информационной системы

    4. Инструкции пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций

    Рекомендации по разработке Инструкции администратора информационной системы


    Инструкция администратора информационной системы определяет должностные обязанности администратора информационной системы.

    Инструкция должна:

    1) Быть утверждена Руководителем, ответственным за обеспечение безопасности персональных данных или руководителем отдела.

    2) В Инструкции должно быть указано лицо, которому непосредственно подчиняется Администратор информационной системы.

    3) В случае уточнения обязанностей администратора информационной системы, вследствие специфических особенностей Учреждения, в Инструкцию должны быть внесены соответствующие изменения.

    Рекомендации по разработке Инструкции пользователя информационной системы


    Инструкция пользователя информационной системы определяет должностные обязанности всех пользователей информационной системы.

    Инструкция должна:

    1) Быть утверждена Руководителем Учреждения, ответственным за обеспечение безопасности персональных данных или руководителем отдела.

    2) В случае уточнения обязанностей пользователя информационной системы, вследствие специфических особенностей Учреждения, в Инструкцию должны быть внесены соответствующие изменения.

    Рекомендации по разработке Инструкции администратора безопасности информационной системы


    Инструкция администратора безопасности информационной системы определяет должностные обязанности администратора безопасности информационной системы.

    Инструкция должна:

    1) Быть утверждена руководителем подразделения ответственного за обеспечение режима безопасности или специально уполномоченным сотрудником.

    2) В Инструкции должно быть прописано лицо, которому непосредственно подчиняется Администратор Безопасности информационной системы.

    3) В случае уточнения обязанностей Администратора безопасности информационной системы, вследствие специфических особенностей Учреждения, в Инструкцию должны быть внесены соответствующие изменения.

    Рекомендации по разработке Инструкции пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций


    Инструкция пользователя по обеспечению безопасности обработки персональных данных при возникновении внештатных ситуаций определяет порядок действий в случае возникновения внештатных ситуаций.

    Инструкция должна:

    1) Инструкция утверждается Руководителем Учреждения, ответственным за обеспечение безопасности персональных данных или руководителем отдела.

    2) В случае уточнения мер по ликвидации внештатных ситуаций, вследствие специфических особенностей Учреждения, в Инструкцию должны быть внесены соответствующие изменения.
    Список рекомендуемой литературы

    1. Белов Е.Б. Основы информационной безопасности: Учебн. пособие / Белов Е.Б., Лось В.П, Мещеряков Р.В, Шелупанов А.А. - М.: Горячая линия - Телеком, 2006. - 544 с.

    2. Бузов Г.А. Защита от утечки информации по техническим каналам: Учебн. пособие / БузовГ.А, Калинин СВ., Кондратьев А.В.- М.: Горячая линия - Телеком, 2005. - 416 с.

    3. Запечников С.В. Информационная безопасность открытых систем. Часть 1: Учебник для вузов / Запечников СВ., Милославская Н.Г, Толстой А.И, Ушаков Д.В. - М.: Горячая линия - Телеком, 2006. - 686 с.

    4. Снытников А.А. Лицензирование и сертификация в области защиты информации. - М.: Гелиос АРВ, 2003. - 192 с.

    5. Стрельцов А.А. Правовое обеспечение информационной безопасности России: теоретические и методологические основы. - Минск, 2005. - 304 с.

    6. Хорев А.А. Защита информации от утечки по техническим каналам: Учебн. пособие. - М.: МО РФ, 2006.


    Учебное издание
    Безопасность персональных данных
    Методические указания для самостоятельной работы студентов
    Для студентов, обучающихся по направлению

    10.05.03– «Информационная безопасность автоматизированных систем»,

    очной формы обучения
    Составители: СКРЫПНИКОВ Алексей Васильевич

    ХВОСТОВВиктор Анатольевич
    В авторской редакции

    Подписано в печать . Формат 60  84 1/16.

    Усл. печ. л. 2,0 . Тираж экз. Заказ С –20.
    ФГБОУ ВО «Воронежский государственный университет инженерных технологий»

    (ФГБОУ ВО «ВГУИТ»)

    Отдел полиграфии ФГБОУ ВО «ВГУИТ»

    Адрес университета и отдела полиграфии:

    394036, Воронеж, пр. Революции, 19

    написать администратору сайта