В качестве результата пришлите ответы на вопросы в личном кабинете студента на сайте netology.ru.
В каждом задании сформулирован один (или несколько вопросов), и вам нужно найти ответы в соответствующем нормативно-правовом акте (далее – НПА).
Обратите внимание:
- там, где требуется указать понятие, необходимо привести это понятие целиком
- там, где необходимо описать иное (например, ответить на вопрос "в течение какого времени", "какая ответственность" и т.д.) достаточно ответа собственными словами (как вы поняли) и указания номера статьи и пункта.
Обратите внимание, что справочная система КонсультантПлюс в бесплатной редакции не даёт копировать текст документа.
Важно: правовые системы предлагают платную подписку на комментарии, аналитические материалы и подборки ссылок. В рамках нашего курса платная подписка не требуется. Все ДЗ рассчитаны на работу исключительно с бесплатной версией. Поэтому, пожалуйста, нигде не вводите данные своих карт и т.д.
Наверняка многие из вас задают вопрос "Почему мы только рассматриваем модель угроз, но не разрабатываем её?". Ответ достаточно прост: наших технических знаний пока не достаточно, для того, чтобы разработать её на приемлемом уровне. Собственно, получению технический знаний и навыков и будет посвящена оставшаяся часть нашей профессии.
Тот документ, что мы рассматривали на лекции, пока находится в стадии проекта. Это значит, что он официально ещё не принят (хотя мы все этого ожидаем).
Поэтому в качестве ДЗ мы с вами рассмотрим уже принятый документ 2008 года "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных", а именно выписку из этого документа. Как вы понимаете, с 2008 года многое изменилось, но документ по-прежнему действует.
На базе Базовой модели разрабатываются Частные модели (применимые к конкретной ИС).
Вам нужно внимательно изучить первые 30 страниц (остальные можете просто пролистать - нам пока недостаёт технических знаний для их обсуждения) и ответить на следующие вопросы:
- Что является основными элементами канала реализации угроз безопасности ПДн?
- Возникновение каких угроз безопасности ПДн возможно за счёт реализации ТКУИ?
- Что может являться источниками угроз НСД в ИСПДн?
- На какие два типа подразделяются нарушители исходя из наличия права постоянного или разового доступа в КЗ?
- На сколько категорий подразделяются внутренние потенциальные нарушители? Перечислите эти категории.
- Что является причиной возникновения уязвимостей ИСПДн?
Примечание*: обратите внимание, что в рамках документа выделяются:
- акустическая (речевая) информация
- видовая информация
- информация, в виде электрических, электромагнитных или оптических сигналов
- информация, представленная в виде бит, байт, файлов и других логических структур
Для полноты картины мы настоятельно рекомендуем вам ознакомиться с Методическими рекомендациями Минздрава. Понятно, что они действуют для организаций, находящихся в сфере компетенции Минздрава, но будут полезны для общего кругозора.
Осторожно! Документы достаточно большие, поэтому будьте готовы.
Кроме того, можете ознакомиться с Банком данных угроз безопасности информации ФСТЭК. Опять-таки, наших технических знаний ещё недостаёт для полноценного его использования, но посмотреть ради общей картины стоит.