| Закреплена за кафедрой | Кафедра информационной безопасности |
|---|---|
| Направление подготовки | 10.03.01. Информационная безопасность |
| Профиль | Безопасность автоматизированных систем (в сфере профессиональной деятельности) |
| Форма обучения | Очная |
| Общая трудоемкость | 5 ЗЕТ |
| Учебный план | 10_03_01_Информационная безопасность_БАС-2023 |
|
|
||||||||||||
Распределение часов по семестрам
| Курс (семестр) | 4 (7) | Итого | ||
|---|---|---|---|---|
| Недель | 16 | |||
| Вид занятий | УП | РПД | УП | РПД |
| Лекции | 20 | 20 | 20 | 20 |
| Лабораторные | 36 | 36 | 36 | 36 |
| Сам. работа | 124 | 124 | 124 | 124 |
| Итого | 180 | 180 | 180 | 180 |
Визирование РПД для исполнения в очередном учебном году
Рабочая программа пересмотрена, обсуждена и одобрена для
исполнения в 2023-2024 учебном году на заседании
кафедры
Кафедра информационной безопасности
Протокол от 28.06.2023 г. № 11-2022/23
Заведующий кафедрой д.ф.-м.н., профессор Поляков В.В.
| 1.1. | Формирование знаний и навыков, необходимых для организации и обеспечения безопасности персональных данных, обрабатываемых в информационных системах государственных, муниципальных органов, органов местного самоуправления и организаций различных форм собственности, физических лиц, организующих и (или) осуществляющих обработку персональных данных. |
|---|
| Цикл (раздел) ООП: Б1.В.01 |
| ПК-2 | Способен проводить разработку организационно-распорядительных документов по защите информации в автоматизированных системах |
| ПК-2.1 | Знает методики формирования правил и процедур принятия мер по обеспечению защиты информации в автоматизированных системах. |
| ПК-2.2 | Знает принципы разработки организационно-распорядительной документации по защите информации. |
| ПК-2.3 | Умеет определять и разрабатывать комплекс правил и процедур по защите информации в автоматизированных системах. |
| ПК-2.4 | Умеет выполнять интеграцию средств защиты информации в автоматизированные системы. |
| ПК-2.5 | Умеет вырабатывать рекомендации по модернизации систем защиты автоматизированных систем. |
| ПК-2.6 | Владеет навыками формирования и работы с организационно-распорядительной документацией по защите информации. |
| В результате освоения дисциплины обучающийся должен | |
| 3.1. | Знать: |
|---|---|
| 3.1.1. | ПК-2.1. Знает методики формирования правил и процедур принятия мер по обеспечению защиты информации в автоматизированных системах. ПК-2.2. Знает принципы разработки организационно-распорядительной документации по защите информации. |
| 3.2. | Уметь: |
| 3.2.1. | ПК-2.3. Умеет определять и разрабатывать комплекс правил и процедур по защите информации в автоматизированных системах. |
| 3.3. | Иметь навыки и (или) опыт деятельности (владеть): |
| 3.3.1. | ПК-2.6. Владеет навыками формирования и работы с организационно-распорядительной документацией по защите информации. |
| Код занятия | Наименование разделов и тем | Вид занятия | Семестр | Часов | Компетенции | Литература |
|---|---|---|---|---|---|---|
| Раздел 1. Основы защиты персональных данных (ПДн). Вопросы правового и технического регулирования | ||||||
| 1.1. | Анализ международного и Российского законодательства по вопросам обработки ПДн и обеспечения безопасности ПДн. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Права субъекта персональных данных, обязанности оператора. | Лекции | 7 | 4 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 1.2. | Работа в программе Консультант Плюс. Поиск правовых документов в программе Консультант Плюс. Изучение ФЗ № 152-ФЗ «О персональных данных». | Лабораторные | 7 | 4 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 1.3. | Анализ международного и Российского законодательства по вопросам обработки ПДн и обеспечения безопасности ПДн. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Права субъекта персональных данных, обязанности оператора. | Сам. работа | 7 | 12 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 1.4. | Особенности обработки персональных данных, осуществляемой без использования средств автоматизации. Постановление Правительства РФ от 15.09.2008 № 687. | Лекции | 7 | 2 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 1.5. | Изучение Постановление Правительства РФ от 15.09.2008 № 687. Разработка Положения об обработке персональных данных сотрудников организации. | Лабораторные | 7 | 8 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 1.6. | Особенности обработки персональных данных, осуществляемой без использования средств автоматизации. Постановление Правительства РФ от 15.09.2008 № 687. | Сам. работа | 7 | 26 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| Раздел 2. Основные этапы обработки и защиты ПДн | ||||||
| 2.1. | Состав мероприятий по приведению информационных систем и процессов обработки персональных данных в соответствие с требованиями законодательства о персональных данных. Постановление правительства РФ от 01.11.2012 г. № 1119. | Лекции | 7 | 2 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 2.2. | Изучение Постановление правительства РФ от 01.11.2012 г. № 1119. | Лабораторные | 7 | 4 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 2.3. | Состав мероприятий по приведению информационных систем и процессов обработки персональных данных в соответствие с требованиями законодательства о персональных данных. Постановление правительства РФ от 01.11.2012 г. № 1119. | Сам. работа | 7 | 12 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 2.4. | Стадия предпроектного обследования. Составление перечня ПДн, перечня сотрудников, работающих с ПДн. Описание ИСПДн. Выявление угроз безопасности персональных данных при их обработке в ИСПДн. Разработка частной модели угроз безопасности ПДн. Базовая модель угроз безопасности ПДн при их обработке в ИСПДн. Определение актуальности угроз в соответствии с методическими документами ФСТЭК России. Разработка модели нарушителя. | Лекции | 7 | 2 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 2.5. | Разработка модели угроз и модели нарушителя организации. | Лабораторные | 7 | 12 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 2.6. | Стадия предпроектного обследования. Составление перечня ПДн, перечня сотрудников, работающих с ПДн. Описание ИСПДн. Выявление угроз безопасности персональных данных при их обработке в ИСПДн. Разработка частной модели угроз безопасности ПДн. Базовая модель угроз безопасности ПДн при их обработке в ИСПДн. Определение актуальности угроз в соответствии с методическими документами ФСТЭК России. Разработка модели нарушителя. | Сам. работа | 7 | 12 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| Раздел 3. Разработка и ввод в эксплуатацию системы защиты ПДн | ||||||
| 3.1. | Составление частного технического задания на разработку системы защиты персональных данных. Обоснование разработки системы защиты ПДн. Требования методических документов ФСТЭК и ФСБ России к составу и содержанию организационных и технических мер по обеспечению безопасности ПДн. Приказ ФСТЭК России от 18.02.2013 г. № 21, Приказ ФСБ России от 10.07.2014 г. № 378. | Лекции | 7 | 2 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 3.2. | Изучение Приказа ФСТЭК России от 18.02.2013 г. № 21, Приказа ФСБ России от 10.07.2014 г. № 378. | Лабораторные | 7 | 4 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 3.3. | Составление частного технического задания на разработку системы защиты персональных данных. Обоснование разработки системы защиты ПДн. Требования методических документов ФСТЭК и ФСБ России к составу и содержанию организационных и технических мер по обеспечению безопасности ПДн. Приказ ФСТЭК России от 18.02.2013 г. № 21, Приказ ФСБ России от 10.07.2014 г. № 378. | Сам. работа | 7 | 10 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 3.4. | Разработка системы защиты ПДн. Выбор средств защиты информации. Программно-технические комплексы защиты информации от несанкционированного доступа. Технические средства перекрытия технических каналов утечки информации. Организационные мероприятия. | Лекции | 7 | 2 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 3.5. | Этап внедрения. Обучение персонала. Установка, настройка, учет и контроль СЗИ. Описание системы защиты персональных данных. Проверка эффективности СЗПДн. | Лекции | 7 | 2 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 3.6. | Разработка системы защиты ПДн. Выбор средств защиты информации. Программно-технические комплексы защиты информации от несанкционированного доступа. Технические средства перекрытия технических каналов утечки информации. Организационные мероприятия. | Сам. работа | 7 | 14 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 3.7. | Этап внедрения. Обучение персонала. Установка, настройка, учет и контроль СЗИ. Описание системы защиты персональных данных. Проверка эффективности СЗПДн. | Сам. работа | 7 | 10 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| Раздел 4. Защита ПДн в ГИС. Контроль в области защиты ПДн | ||||||
| 4.1. | Особенности защиты персональных данных при их обработке в государственных информационных системах. | Лекции | 7 | 2 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 4.2. | Подготовка объекта к аттестации. Типовые формы документов. Изучение методов обезличивания персональных данных. | Лабораторные | 7 | 4 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 4.3. | Регуляторы в области защиты персональных данных. Проверки Роскомнадзора. Проверки ФСБ. Проверка ФСТЭК. | Лекции | 7 | 2 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 4.4. | Регуляторы в области защиты персональных данных. Проверки Роскомнадзора. Проверки ФСБ. Проверка ФСТЭК. | Сам. работа | 7 | 13 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 4.5. | Особенности организации обработки персональных данных в государственных информационных системах. Постановление Правительства РФ от 21.03.2012 г. №211 (с изм.). Обезличивание персональных данных при их обработке в ГИС. Аттестация ГИС. | Сам. работа | 7 | 15 | ПК-2.1, ПК-2.2, ПК-2.3, ПК-2.6 | Л2.1, Л1.1 |
| 5.1. Контрольные вопросы и задания для проведения текущего контроля и промежуточной аттестации по итогам освоения дисциплины |
| Оценочные материалы для текущего контроля по разделам и темам дисциплины в полном объеме размещены в онлайн-курсе на образовательном портале «Цифровой университет АлтГУ» – https://portal.edu.asu.ru/course/view.php?id=7253 ОЦЕНКА СФОРМИРОВАННОСТИ КОМПЕТЕНЦИИ: ПК-2: Способен проводить разработку организационно-распорядительных документов по защите информации в автоматизированных системах; Индикаторы достижения компетенции: ПК-2.1. Знает методики формирования правил и процедур принятия мер по обеспечению защиты информации в автоматизированных системах. ПК-2.2. Знает принципы разработки организационно-распорядительной документации по защите информации. ПК-2.3. Умеет определять и разрабатывать комплекс правил и процедур по защите информации в автоматизированных системах. ПК-2.6. Владеет навыками формирования и работы с организационно-распорядительной документацией по защите информации. ПРИМЕРЫ ЗАДАНИЙ ДЛЯ ПРОВЕДЕНИЯ ТЕКУЩЕГО КОНТРОЛЯ Вопрос 1. Автоматизированная обработка персональных данных – это а) Обработка персональных данных с использованием средств автоматизации; б) Обработка персональных данных с помощью средств вычислительной техники; в) Обработка персональных данных пользователя с применением компьютера. ОТВЕТ: б. Вопрос 2. Информационная система персональных данных – это а) Пользователь, средства автоматизации, базы данных; б) Контролируемое пространство, в котором происходит обработка персональных данных; в) Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. ОТВЕТ: в. Вопрос 3. Безопасность персональных данных – это а) Состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных; б) Состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность персональных данных; в) Состояние защищенности персональных данных, характеризуемое способностью технических средств обеспечить конфиденциальность персональных данных. ОТВЕТ: а. Вопрос 4. Оператор при сборе персональных данных через свой официальный сайт обязан в соответствии с ч.2 ст.18.1 152-ФЗ на сайте опубликовать документы: а) Политику в отношении обработки персональных данных б) Политику в отношении обработки персональных данных + Пользовательское соглашение в) Политику в отношении обработки персональных данных + Пользовательское соглашение + Согласие пользователя ОТВЕТ: а. Вопрос 5. Специальные категории персональных данных – это а) Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни; б) Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, интимной и личной жизни; в) Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, состояния здоровья, интимной жизни; г) Персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни и судимости. ОТВЕТ: г. Вопрос 6. Трансграничная передача персональных данных – это а) Передача персональных данных на территорию иностранного государства; б) Передача персональных данных на территорию другого субъекта РФ органу власти данного субъекта, физическому лицу или юридическому лицу данного субъекта РФ; в) Передача персональных данных на территорию иностранного государства или органу власти иностранного государства; г) Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. ОТВЕТ: г. Вопрос 7. Оператор персональных данных - это: а) Государственный орган, осуществляющий автоматизированную обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке; б) Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; в) Юридическое лицо, осуществляющее автоматизированную обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке; г) Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, но не определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. ОТВЕТ: б. Вопрос 8. Предоставление персональных данных это а) Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; б) Действия, направленные на раскрытие персональных данных по мотивированному запросу. ОТВЕТ: а. Вопрос 9. Оператор персональных данных – это: а) Физическое лицо; б) Юридическое лицо; в) Муниципальный орган; г) Государственный орган; д) Гражданин; е) Государственный служащий. ОТВЕТ: а, б, в, г. Вопрос 10. На каком этапе создания системы защиты персональных данных разрабатывается частная модель угроз?: а) предпроектная стадия б) стадия проектирования в) ввод в действие г) эксплуатация ОТВЕТ: а. Вопрос 11. Основные принципы и правила обеспечения безопасности персональных данных при обработке в информационных системах регулируются: а) Федеральным законом “О персональных данных” б) Федеральным законом “Об информации, информационных технологиях и о защите информации” в) Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных г) Конституцией РФ ОТВЕТ: в. Вопрос 12. От чего должны быть защищены персональные данные при их обработке в ИСПДн?: а) от утечки по техническим каналам утечки б) от стихийных бедствий в) от несанкционированного доступа, в том числе случайного г) от передачи по сети Интернет д) от передачи на носителях, открытых на запись ОТВЕТ: а, в. Вопрос 13. Какая подсистема в рамках СЗПД предназначена для защиты ПД при передаче по открытым каналам связи или в несегментированной сети?: а) подсистема антивирусной защиты б) подсистема обнаружения вторжений в) подсистема управления доступом, регистрации и учета г) подсистема обеспечения целостности д) подсистема безопасности межсетевого взаимодействия е) подсистема криптографической защиты информации ОТВЕТ: е. Вопрос 14. К организационным мерам по защите персональных данных можно отнести: а) выбор адекватных и достаточных технических средств защиты информации б) уведомление уполномоченного органа о намерении обрабатывать ПД в) определение должностных лиц, которые будут работать с ПД г) применение межсетевых экранов на границе локальной сети и Интернета д) обучение персонала е) опытная эксплуатация средств защиты информации ж) получение письменного согласия на обработку ПД от субъектов ПД ОТВЕТ: б, в, д, ж. Вопрос 15. Какой уполномоченный орган должен уведомить оператор о своем намерении обрабатывать ПДн?: а) ФСБ России б) ФСТЭК России в) Роскомнадзор г) Роспотребнадзор ОТВЕТ: в. ПРИМЕРЫ ЗАДАНИЙ ОТКРЫТОГО ТИПА Вопрос 1. Что определяет закон 152-ФЗ? ОТВЕТ: 152-ФЗ определяет следуюшие моменты: основные понятия, связанные с обработкой персональных данных; принципы и условия обработки персональных данных; обязанности оператора персональных данных; права субъекта персональных данных; виды ответственности за нарушение требований ФЗ-№152; государственные органы, осуществляющие контроль за соблюдением требований ФЗ-№152. Вопрос 2. Что относят к категории общедоступных ПДн? ОТВЕТ: Общедоступные ПД - данные, доступ к которым предоставлен неограниченному кругу лиц с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяются требования соблюдения конфиденциальности. Общедоступные источники персональных данных создаются в целях информационного обеспечения (например, справочники и адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных. Вопрос 3. Что понимается под актуальными угрозами безопасности ПДн? ОТВЕТ: Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Вопрос 4. Сколько существует типов угроз ПДн? ОТВЕТ: 3 типа согласно ПП1119 от 01.11.2012. Вопрос 5. Когда устанавливается необходимость обеспечения 1 уровня защищенности ПДн? ОТВЕТ: Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий: а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных; б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора. Вопрос 6. Каковы классы и уровни доверия к применяемым средствам защиты в ИСПДн 1 уровня защищенности, сертифицированных по требованиям безопасности? ОТВЕТ: При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации в информационных системах 1 уровня защищенности персональных данных применяются средства защиты информации не ниже 4 класса и 4 уровня доверия, а также средства вычислительной техники не ниже 5 класса. Вопрос 7. В каком документе указаны применяемые организационные и технические меры по защите ПДн? ОТВЕТ: Приказ ФСТЭК №21 от 18.02.2013. Вопрос 8. Кто привлекается для выполнения работ по обеспечению персональных данных при их обработке в информационной системе? ОТВЕТ: Безопасность персональных данных при их обработке в информационной системе персональных данных (далее - информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации. Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации. Вопрос 9. Как и с какой периодичностью проводится оценка эффективности реализованных мер по защите ПДн? ОТВЕТ: Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года. Вопрос 10. Что должны обеспечивать меры под идентификации и аутентификации при защите ПДн ? ОТВЕТ: Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности). Вопрос 11. Что должны обеспечивать меры по управлению доступом при защите ПДн? ОТВЕТ: Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил. Вопрос 12. Что должны обеспечивать меры по контролю защищенности ПДн ? ОТВЕТ: Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных. Вопрос 13. Какие есть меры по ограничению на применение средств защиты информации в ИСПДн? ОТВЕТ: При использовании в информационных системах средств защиты информации, сертифицированных по требованиям безопасности информации, указанные средства должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности). Вопрос 14. Какие меры должен принимать оператор ПДн согласно 152-ФЗ ? ОТВЕТ: Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Вопрос 15. Где указана необходимость разработки модели угроз для ИСПДн? ОТВЕТ: 152-ФЗ, ст. 19 п. 2. Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Вопрос 16. Необходим ли учет машинных носителей ПДн? ОТВЕТ: Необходим, согласно 152-ФЗ, ст.19 п. 2/5. Вопрос 17. Необходимо ли согласие человека на обработку его биометрических данных? ОТВЕТ: Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением отдельных случаев, указанных в ч.2 ст 18 152-ФЗ. Вопрос 18. Кто является основным регулятором в области технической защиты ПДн в России? ОТВЕТ: Основным регулятором в области технической защиты ПДн в России является ФСТЭК России, кроме случаев, когда для защиты необходимо применение средств криптографической защиты. Вопрос 19. Кто является регулятором в части применения средств криптографической защиты в ИСПДн ? ОТВЕТ: Применение криптографических средств защиты в ИСПДн регулируется ФСБ России. Вопрос 20. Могут ли ПДн обрабатываться в ГИС или системах, связанных с работой КИИ и чем необходимо руководствоваться в данном случае? ОТВЕТ: Могут, в данном случае надо руководствоваться специальными приказами регуляторов /ФСТЭК относительно действий по защите тех ИС, в которых обрабатываются ПДн. КРИТЕРИИ ОЦЕНИВАНИЯ: Каждое задание оценивается 1 баллом. Оценивание выполненных заданий в целом: • «зачтено» – верно выполнено более 50% заданий; «не зачтено» – верно выполнено 50% и менее 50% заданий; • «отлично» – верно выполнено 85-100% заданий; «хорошо» – верно выполнено 70-84% заданий; «удовлетворительно» – верно выполнено 51-69% заданий; «неудовлетворительно» – верно выполнено 50% или менее 50% заданий. |
| 5.2. Темы письменных работ для проведения текущего контроля (эссе, рефераты, курсовые работы и др.) |
| Не предусмотрены |
| 5.3. Фонд оценочных средств для проведения промежуточной аттестации |
| К промежуточной аттестации допускаются студенты, выполнившие предусмотренные в составе дисциплины лабораторные работы. Промежуточная аттестация заключается в проведении в конце семестра зачета с оценкой по всему изученному курсу в форме онлайн-тестирования. Тест размещен в разделе «Промежуточная аттестация по дисциплине» онлайн-курса на образовательном портале «Цифровой университет АлтГУ». Количество заданий в контрольно-измерительном материале (КИМ) (тесте) для промежуточной аттестации, составляет 35 вопросов. КРИТЕРИИ ОЦЕНИВАНИЯ: Каждое задание оценивается 1 баллом. Оценивание КИМ в целом: Для зачета с оценкой: «отлично» – верно выполнено 85-100% заданий; «хорошо» – верно выполнено 70-84% заданий; «удовлетворительно» – верно выполнено 51-69% заданий; «неудовлетворительно» – верно выполнено 50% и менее 50% заданий. |
| 6.1. Рекомендуемая литература | ||||
| 6.1.1. Основная литература | ||||
| Авторы | Заглавие | Издательство, год | Эл. адрес | |
| Л1.1 | Петренко В. И. | Защита персональных данных в информационных системах: Учебники и учебные пособия для ВУЗов | СКФУ, 2016 // ЭБС "Университетская библиотека online" | biblioclub.ru |
| 6.1.2. Дополнительная литература | ||||
| Авторы | Заглавие | Издательство, год | Эл. адрес | |
| Л2.1 | Ахрамеева О.В., Дедюхина И.Ф., Жданова О.В. и др. | Правовое регулирование информационных отношений в области государственной и коммерческой тайны, персональных данных: Учебники и учебные пособия для ВУЗов | Ставропольский государственный аграрный университет, 2015 // ЭБС "Университетская библиотека online" | biblioclub.ru |
| 6.2. Перечень ресурсов информационно-телекоммуникационной сети "Интернет" | ||||
| Название | Эл. адрес | |||
| Э1 | курс на Moodle | portal.edu.asu.ru | ||
| 6.3. Перечень программного обеспечения | ||||
| Microsoft Office 2010 (Office 2010 Professional, № 4065231 от 08.12.2010), (бессрочно); Microsoft Windows 7 (Windows 7 Professional, № 61834699 от 22.04.2013), (бессрочно); Chrome (http://www.chromium.org/chromium-os/licenses), (бессрочно); 7-Zip (http://www.7-zip.org/license.txt), (бессрочно); AcrobatReader (http://wwwimages.adobe.com/content/dam/Adobe/en/legal/servicetou/Acrobat_com_Additional_TOU-en_US-20140618_1200.pdf), (бессрочно); ASTRA LINUX SPECIAL EDITION (https://astralinux.ru/products/astra-linux-special-edition/), (бессрочно); LibreOffice (https://ru.libreoffice.org/), (бессрочно); Веб-браузер Chromium (https://www.chromium.org/Home/), (бессрочно); Антивирус Касперский (https://www.kaspersky.ru/), (до 23 июня 2024); Архиватор Ark (https://apps.kde.org/ark/), (бессрочно); Okular (https://okular.kde.org/ru/download/), (бессрочно); Редактор изображений Gimp (https://www.gimp.org/), (бессрочно) | ||||
| 6.4. Перечень информационных справочных систем | ||||
| Профессиональные базы данных: 1. Электронная база данных «Scopus» (http://www.scopus.com); 2. Электронная библиотечная система Алтайского государственного университета (http://elibrary.asu.ru/); 3. Научная электронная библиотека elibrary (http://elibrary.ru) 4. Банк данных угроз ФСТЭК - https://bdu.fstec.ru/ | ||||
| Аудитория | Назначение | Оборудование |
|---|---|---|
| 106Л | помещение для хранения и профилактического обслуживания учебного оборудования | Стеллажи – 3 шт. осциллограф, паяльная станция, источник тока, переносные ноутбуки |
| 001вК | склад экспериментальной мастерской - помещение для хранения и профилактического обслуживания учебного оборудования | Акустический прибор 01021; виброизмеритель 00032; вольтметр Q1202 Э-500; вольтметр универсальный В7-34А; камера ВФУ -1; компьютер Турбо 86М; масспектрометр МРС -1; осциллограф ЕО -213- 2 ед.; осциллограф С1-91; осциллограф С7-19; программатор С-815; самописец 02060 – 2 ед.; стабилизатор 3218; терц-октавный фильтр 01023; шкаф вытяжной; шумомер 00026; анализатор АС-817; блок 23 Г-51; блок питания "Статрон" – 2 ед.; блок питания Ф 5075; вакуумный агрегат; весы; вольтметр VM -70; вольтметр В7-15; вольтметр В7-16; вольтметр ВУ-15; генератор Г-5-6А; генератор Г4-76А; генератор Г4-79; генератор Г5-48; датчик колебаний КВ -11/01; датчик колебаний КР -45/01; делитель Ф5093; измеритель ИМП -2; измеритель параметров Л2-12; интерферометр ИТ 51-30; источник "Агат" – 3 ед.; источник питания; источник питания 3222; источник питания ЭСВ -4; лабораторная установка для настройки газовых лазеров; лазер ЛГИ -21; М-кальк-р МК-44; М-калькул-р "Электроника"; магазин сопротивления Р4075; магазин сопротивления Р4077; микроскоп МБС -9; модулятор МДЕ; монохроматор СДМС -97; мост переменного тока Р5066; набор цветных стекол; насос вакумный; насос вакуумный ВН-01; осциллограф С1-31; осциллограф С1-67; осциллограф С1-70; осциллограф С1-81; осциллоскоп ЕО -174В – 2 ед.; пентакта L-100; пирометр "Промень"; пистонфон 05001; преобразователь В9-1; прибор УЗДН -2Т; скамья оптическая СО 1м; спектограф ДФС -452; спектограф ИСП -51; стабилизатор 1202; стабилизатор 3217 – 4 ед.; стабилизатор 3218; стабилизатор 3222 – 3 ед.; станок токарный ТВ-4; усилитель мощности ЛВ -103 – 4 ед.; усилитель У5-9; центрифуга ВЛ-15; частотомер Ч3-54А; шкаф металлический; эл.двигатель; электродинамический калибратор 11032 |
| Учебная аудитория | для проведения занятий лекционного типа, занятий семинарского типа (лабораторных и(или) практических), групповых и индивидуальных консультаций, текущего контроля и промежуточной аттестации, курсового проектирования (выполнения курсовых работ), проведения практик | Стандартное оборудование (учебная мебель для обучающихся, рабочее место преподавателя, доска, мультимедийное оборудование стационарное или переносное) |
| Помещение для самостоятельной работы | помещение для самостоятельной работы обучающихся | Компьютеры, ноутбуки с подключением к информационно-телекоммуникационной сети «Интернет», доступом в электронную информационно-образовательную среду АлтГУ |
| 408К | лаборатория программно-аппаратных средств обеспечения информационной безопасности; лаборатория криптографических методов защиты информации - учебная аудитория для проведения занятий семинарского типа (лабораторных и(или) практических); проведения групповых и индивидуальных консультаций, текущего контроля и промежуточной аттестации | Учебная мебель на 15 посадочных мест; рабочее место преподавателя; компью-теры: модель Компьютер Парус 945 MSI PDualCore E2140/512Mb+1024/HDD80Gb/DVD-ROM/LCD17" LG/KM - 11 единиц; мо-ниторы: марка Samsung - 3 единицы; системный блок CTR Office Celeron 2533 MHz - 3 шт.; Аппаратные средства аутентификации пользователя: элек-тронные ключи Guardant Code (4 шт.); электронный ключ Guardant Time (1 шт.); электронные ключи Guardant Stealth (3 шт.); электронные ключи Alad-din eToken PRO (10 шт.). Программно-аппаратные комплексы защиты инфор-мации: Программно-аппаратный ком-плекс «Соболь» Версия 3.0 RU.403008570.501410.001; Программно-аппаратный комплекс «Соболь» Версия 2.1 УВАЛ 00030-58-01; система защиты информации «Secret Net 2000» версии 4.0 (автономный вариант). Комплекс проекционного оборудования для препо-давателя - проектор мультимедийный "Optoma W402", проектор мультимедиа "BenQ MP626 DLP". |
| Рекомендации по подготовке к лекционным занятиям - перед очередной лекцией необходимо просмотреть по конспекту материал предыдущей лекции. - бегло ознакомиться с содержанием очередной лекции по основным источникам литературы в соответствии с рабочей программой дисциплины; - обратить особое внимание на сущность и графическое сопровождение основных рассматриваемых теоретических положений. Рекомендации по подготовке к лабораторным работам - руководствоваться графиком лабораторных работ РПД; - накануне перед очередной работой необходимо по конспекту или в методических указаниях к работе просмотреть теоретический материал работы; - на лабораторном занятии, выполнив разработку алгоритма и реализовав задание на языке высокого уровня, необходимо проанализировать окончательные результаты и убедится в их достоверности; - обратить внимание на оформление отчета, в котором должны присутствовать: цель работы, описание алгоритма, журнал опытных данных, реализация в опыте, цели работы, необходимые графические зависимости (при их наличии) и их анализ, результаты работы и выводы; - при подготовке к отчету руководствоваться вопросами, приведенными в методических указаниях к данной работе, тренажерами программ на ЭВМ по отчету работ и компьютерным учебником. Рекомендации по подготовке к самостоятельной работе - руководствоваться графиком самостоятельной работы; - выполнять все плановые задания, выдаваемые преподавателем для самостоятельного выполнения, и разбирать на семинарах и консультациях неясные вопросы; - подготовку к экзамену необходимо проводить по экзаменационным теоретическим вопросам - при подготовке к экзамену параллельно прорабатываете соответствующие теоретические и практические разделы курса, все неясные моменты фиксируйте и выносите на плановую консультацию. |