В соответствии с ФГОС ВПО выпускник с квалификацией «специалист» должен обладать профессиональными навыками, знаниями и умениями, необходимыми для решения задач, соответствующих квалификационной характеристике, компетентностной модели и требованиям профессионального стандарта.

Уровень подготовки выпускника должен обеспечивать возможность самостоятельно проводить теоретические и практические исследования, аналитическую и консультационную работу на предприятиях.

1. ОБЩИЕ ПОЛОЖЕНИЯ И ПОРЯДОК ВЫПОЛНЕНИЯ КУРСОВОЙ РАБОТЫ

При подготовке к завершающему этапу обучения – защите выпускной квалификационной работы (для чего можно у нас заказать дипломную работу), будущий специалист планомерно осваивает навыки подготовки, проведения, написания, оформления и защиты научно-исследовательской работы, в которой курсовая работа является одним из  этапов. Она представляет собой важный элемент учебного процесса подготовки высококвалифицированного специалиста, должна быть самостоятельным научно-практическим исследованием, имеющим целью закрепить и систематизировать знания, полученные в период обучения.

В процессе написания курсовой работы обучающийся:

1) формулирует и решает задачи, требующие профессиональных знаний;

2) выбирает методы исследований;

3) осуществляет обработку и анализ полученных результатов, формулирует выводы и рекомендации;

4) оформляет итоги курсовой работы в виде текстовой разработки, отвечающей требованиям к отчету о научно-исследовательской работе;

5) представляет итоги исследования в ходе защиты курсовой работы.

 

Тематика курсовых работ разрабатывается преподавателем и является примерной. Обучающийся может самостоятельно предложить тему, предварительно согласовав ее с преподавателем.

Сроки выполнения курсовой работы определяются учебным графиком.

Курсовая работа выполняется во второй половине семестра после изучения терминологии и базовых положений по организации защиты персональных данных.

Выполнение курсовой работы начинается с изучения литературы. Обучающийся знакомится с учебной литературой, рекомендованной по выбранной теме теоретического раздела (главы 1), после чего анализирует другие источники по теме. Обязательным является использование информации, представленной производителями систем защиты, а также в ведущих периодических изданиях по информационной безопасности, системам защиты данных от утечек, организации бизнес-процессов компании на основе комплексного подхода к организации защиты данных.

По итогам анализа литературы обучающийся выбирает тему теоретической части курсовой работы, разрабатывает обоснование актуальности темы для выбранного предприятия и согласовывает тему с преподавателем. Для обоснования актуальности темы требуется подготовить краткое (0,5 страницы формата А4) описание предприятия (сфера деятельности, основные бизнес-процессы).

Следующим этапом обучающийся составляет план курсовой работы, разрабатывая структуру изложения материала теоретической части. Количество параграфов теоретической части исследования — от одного до трех.

Глава 2 работы разрабатывается по представленной в данных методических указаниях структуре и содержанию.

Формы документов, разрабатываемых обучающимся в процессе выполнения курсовой работы, даются преподавателем и обсуждаются на практических занятиях.

Защита курсовой работы

Защита курсовой работы проводится на практических занятиях. К защите требуется подготовить доклад на 3-4 минуты (ориентировочно 2 страницы текста формата А4, кегль 14). Структура доклада следующая.

1.                 Цель работы.

2.                 Актуальность темы курсовой работы.

3.                 Выводы по теоретической части курсовой работы.

4.                 Результаты практической части курсовой работы.

Отразить основные параметры, использованные для решения задачи защиты данных от утечек.

По желанию, дополнительно к докладу может быть подготовлена презентация.

Критерии оценки курсовой работы следующие:

—                                       качество пояснительной записки (соответствие требованиям к оформлению, структуре, обоснованность выводов, полнота разработки проектов нормативных документов,

—                                       качество доклада.

2. СОДЕРЖАНИЕ КУРСОВОЙ РАБОТЫ

Целью курсовой работы является проверка базовых теоретических знаний и практических навыков в области обеспечения информационной безопасности персональных данных, приобретенных в процессе изучения дисциплины.

Разрабатываются локальные нормативные документы по безопасности персональных данных рассматриваемого в работе предприятия.

Структура курсовой работы представлена в таблице 1.

Таблица 1

Структура курсовой работы

Название раздела	Содержание раздела	Объем, страниц
Титульный лист	Образец приведен в приложении 1. Тема курсовой работы соответствует теме теоретической части	1
Содержание	Образец приведен в приложении 2. Указание названия всех разделов работы и страниц, на которых они изложены.	1
Введение	Образец приведен в приложении 3. Кратко формулируется актуальность исследования: проблемы, стоящие перед предприятиями в  области обеспечения безопасности персональных данных с акцентом на вопросы, которые рассматриваются в теоретической части работы; определяются цель исследования, основные задачи для ее достижения; объект и предмет исследования, краткое содержание параграфов курсовой работы. Обоснование актуальности темы курсовой работы для выбранного предприятия — необходимость соответствия требованиям законодательства, наличие подобных (смежных) задач по защите данных, обусловленных спецификой работы компании.	1
1. Теоретическая часть	Состоит из двух-трех параграфов и содержит результаты анализа литературы по теме курсовой работы	15
2. Практическая часть	Разработка локальных нормативных документов по обеспечению безопасности персональных данных. Содержание параграфов практической части курсовой работы представлено после таблицы	10
Заключение	Выводы о выполнении целей и задач работы	1
Список источников	Не менее 15 источников, использованных при выполнении работы. Оформление - по ГОСТ Р 7.05-2008	1

Содержание разделов практической части курсовой работы

2.                 Разработка локальных нормативных документов по обеспечению безопасности персональных данных

2.1.          Определение уровня защищенности персональных данных и требований к защите

 

2.1.1.    Характеристика предприятия

Дать общую характеристику рассматриваемого предприятия, в том числе:

−                 вид деятельности;

−                 количество подразделений и их географическая распределенность;

−                 необходимость обработки персональных данных субъектов, не являющихся сотрудниками предприятия (клиенты, посетители, партнеры) и количество субъектов персональных данных, чьи данные обрабатываются;

−                 количество сотрудников предприятия;

−                 характеристика используемых компанией информационных систем. Форма представлена в Приложении 4. Примерный перечень информационных систем, обрабатывающих персональные данные, следующий:

­                   CRM;

­                   биллинговые системы;

­                   автоматизированные банковские системы (данные о сотрудниках, о клиентах);

­                   автоматизированные медицинские системы (данные о пациентах и т.п.);

­                   Call-центр;

­                   ERP, модуль «Кадры»;

­                   бухгалтерские системы;

­                   системы документооборота, EDI;

­                   почтовые системы;

­                   автоматизированные системы бюро пропусков;

−                 перечень персональных данных. Форма представлена в Приложении 5. Пример перечня приведен в разделе «Курсовая работа» дисциплины «Информационная безопасность персональных данных» moodle. Перечень персональных данных определяется также на основании федеральных законов, регулирующих сферу деятельности предприятия. Например, ФЗ-16 «О транспортной безопасности», данные о пассажирах предполагает обработку следующих персональных данных:

­                   фамилия, имя, отчество;

­                   дата и место рождения;

­                   вид и номер документа, удостоверяющего личность, по которому приобретается проездной документ (билет);

­                   пункт отправления, пункт назначения, вид маршрута следования (беспересадочный, транзитный);

­                   дата поездки.

Другие нормативные акты, определяющие перечень персональных данных:

­                   Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела(утв. Указом Президента РФ от 30 мая 2005 г. N 609)

­                   ФЗ-218 «О кредитных историях»

­                   Для авиационного транспорта – Воздушный кодекс

­                   Для торговых организаций (Интернет-магазинов и т.п.) – Постановление Правительства Российской Федерации от 27 сентября 2007 г. N 612 «Об утверждении Правил продажи товаров дистанционным способом»

­                   Для туристического бизнеса – Постановление Правительства Российской Федерации от 18 июля 2007 г. N 452 «Об утверждении Правил оказания услуг по реализации туристского продукта» и т.п.

­                   ФЗ-143 «Об актах гражданского состояния»

 

2.1.2.    Определение категорий персональных данных

Категории персональных данных, обрабатываемые информационной системой, определяются по описанию, представленному в статье 5 Постановления Правительства №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [3]:

«Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных".

Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах первом - третьем настоящего пункта.

Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора».

 

2.1.3. Определение типа угроз

Тип угроз определяется по описанию, представленному в статье 6 Постановления Правительства №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [3]:

«Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится с учетом оценки возможного вреда».

Обосновать выбранный тип угроз по описанию с учетом оценки возможного вреда предприятию от наличия неддокументированных возможностей в системном и прикладном программном обеспечении.

 

2.1.4.    Определение уровня защищенности персональных данных и требований при их обработке в информационных системах

Правила определения уровня защищенности персональных данных при их обработке в информационной системе предприятия представлены в таблице 2 [3, составлено по положениям статьи 8].

Таблица 2

Определение уровня защищенности персональных данных при их обработке в информационной системе

 

Уровень защищенности персональных данных (хотя бы одно из следующих условий)	Категории персональных данных, обрабатываемые в информационной системе	Тип угроз	Количество субъектов персональных данных, не являющихся сотрудниками предприятия
1-й уровень защищенности	специальные, либо биометрические, либо иные	1	не установлено
	специальные	2	более 100 000
2-й уровень защищенности	общедоступные	1	не установлено
	специальные	2	для сотрудников — не установлено; для не сотрудников — менее 100 000
	биометрические	2	не установлено
	общедоступные	2	для сотрудников — не установлено; для не сотрудников — более 100 000
	иные	2	для сотрудников — не установлено; для не сотрудников — более 100 000
	специальные	3	для сотрудников — не установлено; для не сотрудников — более 100 000
3-й уровень защищенности	общедоступные	2	для сотрудников — не установлено; для не сотрудников — менее 100 000
	иные	2	для сотрудников — не установлено; для не сотрудников — менее 100 000
	специальные	3	для сотрудников — не установлено; для не сотрудников — менее 100 000
	биометрические	3	не установлено
	иные	3	для сотрудников — не установлено; для не сотрудников — более 100 000
4-й уровень защищенности	общедоступные	3	не установлено
	иные	3	для сотрудников — не установлено; для не сотрудников — менее 100 000

Требования к защищенности персональных данных при их обработке в информационных системах

Определяются по статьям 13 — 17 [3] с учетом выбранного для предприятия уровня защищенности.

 

2.2.          Выявление актуальных угроз безопасности персональных данных

«Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия» [3].

Перечень актуальных угроз безопасности персональных данных определяется по методике и с использованием ресурса ...

В параграфе приводятся параметры информационной системы предприятия, указанные в форме ресурса ... при создании модели угроз.

Результат приводится в приложении к курсовой работе по форме, указанной в таблице 3.

Таблица 3

Актуальные угрозы безопасности персональных данных

 

№	Название угрозы	Описание угрозы	Источники угрозы	Объект воздействия

2.3.          Противодействие угрозам утечки данных с использованием систем класса DLP

2.3.1.    Назначение и функциональность систем противодействия утечкам данных

2.3.2.    Краткая характеристика системы StaffCop

2.3.3.    Пример выявления утечки данных с помощью системы StaffCop

Приводятся описание сценария утечки, описание процедуры выявления утечки с помощью системы StaffCop (параметры фильтра, последовательность действий офицера безопасности), иллюстрированное снимками экранов.

3. ТРЕБОВАНИЯ К ОФОРМЛЕНИЮ КУРСОВОЙ РАБОТЫ

В тексте курсовой работы приводятся ссылки на используемую литературу, оформленные как [номер в списке литературы, страницы]. Не менее 15 источников не старше двух лет.

Общий объем курсовой работы – 25-30 страниц текста шрифта 14 пт, гарнитура Times New Roman, межстрочный интервал – 1,5.

Курсовая работа должна иметь сквозную нумерацию страниц. Номер ставится в середине нижней части страницы. На титульном листе номер страницы не указывается.

Заголовки разделов указываются прописными буквами, располагаются симметрично тексту; заголовки подразделов – строчными буквами.

Переносы слов и подчеркивание в заголовках не допускаются, точка в конце заголовка не ставится. Расстояние между заголовком и текстом – 2 интервала.

Таблицы, если их несколько, нумеруются арабскими цифрами в пределах всего текста. Над правым верхним углом таблицы помещается надпись «Таблица…» с указанием порядкового номера таблицы (например, Таблица 3) без символа «№» перед номером. Точка после номера таблицы не ставится. Таблицы снабжаются тематическими заголовками, которые располагаются по центру страницы. Точка после заголовка таблицы не ставится. При переносе таблицы на следующую страницу заголовок таблицы  повторяется, над заголовком указывается фраза «Продолжение таблицы 3».

Нумерация иллюстраций сквозная. Под иллюстрацией помещается надпись «Рис.12. ….». В конце тематического заголовка точка не ставится.

Работа проверяется в системе антиплагиат. Допускается не менее 75% собственного текста. Результат проверки на плагиат вкладывается последним листом курсовой работы.

К курсовой работе прикладывается диск с электронной копией текста работы.

4. РЕКОМЕНДУЕМЫЙ ПЕРЕЧЕНЬ ТЕМ КУРСОВОЙ РАБОТЫ

Тема курсовой работы выбирается обучающимся самостоятельно и согласовывается с преподавателем. Тема может быть выбрана из предоставленного преподавателем списка тем либо сформулирована обучающимся в соответствии с его (ее) интересами. Одна тема может быть выбрана несколькими обучающимися (предпочтительно - двумя). Выбор темы обосновывается обучающимся при согласовании с преподавателем (интерес к теме, наличие материалов, др.). 

Перечень тем теоретической части курсовой работы в СПбГАСУследующий.

Темы курсовой работы в СПбГАСУ:

1.                 Управление средствами идентификации и аутентификации.

2.                 Идентификация и аутентификация пользователей, не являющихся сотрудниками оператора персональных данных.

3.                 Управление доступом к персональным данным.

4.                 Аттестация информационной системы персональных данных.

5.                 Система менеджмента по защите персональных данных.

6.                 Разработка политики безопасности персональных данных.

7.                 Взаимодействие оператора персональных данных с регулирующими органами.

8.                 Нормативно-правовая база по обеспечению безопасности персональных данных в РФ.

9.                 Принципы организации системы защиты персональных данных на предприятии.

10.            Тенденции и перспективы развития технологий обеспечения безопасности персональных данных.

11.            Особенности защиты персональных данных в интернет.

12.            Управление инцидентами информационной безопасности.

13.            Организация системы безопасности персональных данных на предприятии.

14.            Назначение и функции DLP-систем.

15.            Международные нормативно-правовые акты по обеспечению безопасности персональных данных.

16.            Разработка программы тестирования системы безопасности персональных данных.

17.            Регулирование защиты персональных данных для банковских организаций.

18.            Регулирование защиты персональных данных для небанковских организаций.

19.           Локальная нормативная база предприятия в области обеспечения безопасности персональных данных (состав и структура документов).

СПИСОК ИСТОЧНИКОВ

1.     Конституция РФ, статья 24.

2.     Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 31.12.2017) "О персональных данных".

3.     Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

4.     Приказ ФСТЭК России от 18 февраля 2013 г. №21.

5.     Официальный сайт компании-разработчика системы StaffCop — ... (дата обращения — 01.12.2018).

6.     Официальный сайт компании Searchinform — ... (дата обращения — 01.12.2018).

7.     Официальный сайт юридической компании, оказывающей услуги по защите персональных данных — ... (дата обращения — 01.12.2018).

8.     ФСТЭК. Банк данных угроз безопасности информации — ... (дата обращения — 01.12.2018).

9.     Модель угроз. Методика оределения актуальных угроз — ... (дата обращения — 01.12.2018).

10.                       Tadviser: Государство. Бизнес. IT — ... (дата обращения — 01.12.2018).

ПРИЛОЖЕНИЯ

Приложение 1

 

Министерство образования и науки Российской Федерации   Федеральное государственное бюджетное образовательное учреждение высшего образования   САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ АРХИТЕКТУРНО-СТРОИТЕЛЬНЫЙ УНИВЕРСИТЕТ

 

 

Факультет       Экономики и управления
Кафедра    Правового обеспечения экономической безопасности

 

 

 

КУРСОВАЯ РАБОТА

 

Дисциплина    ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

Тема               НАЗНАЧЕНИЕ И ФУНКЦИИ DLP-СИСТЕМ

 

 

 

                                                                Выполнил(а):

                                                                студент(ка) _ курса, д/о (з/о)

                                                                группы_____

                                                                Иванов Петр Иванович                                          

 

                                                                 Проверил(а):

                                                                 к.э.н., доцент Петров А.А.

 

 

 

 

Санкт-Петербург

2018

Приложение 2

СОДЕРЖАНИЕ

Стр.

ВВЕДЕНИЕ………………………………………………………………………3

1. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ. НАЗВАНИЕ..........……………..........................

1.1 Название параграфа строчными буквами…………………………...……….

1.2………………………………………………………………………….…….….

1.3………………………………………………………………………….………..

2. ПРАКТИЧЕСКАЯ ЧАСТЬ. РАЗРАБОТКА ЛОКАЛЬНЫХ НОРМАТИВНЫХ ДОКУМЕНТОВ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ…………………………..................................…..

2.1 Определение уровня защищенности персональных данных и требований к защите......................................………………………………………………….….

2.2 Выявление актуальных угроз безопасности персональных данных.........…

2.3. Противодействие угрозам утечки данных с сипользованием систем класса DLP................................................................................................................

ЗАКЛЮЧЕНИЕ……………………………………………………………………

СПИСОК ИСТОЧНИКОВ………………………………………….………….….

 

 

Приложение 3

 

ВВЕДЕНИЕ

 

Актуальность темы. (далее текст……. на 0,5-1 стр)…………………….

………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………

Целью исследования является выявление теоретических основ (или проанализировать, систематизировать, создать, рассмотреть, обосновать) (далее кратко по теме исследования) ..…………………………………………

………………………………………………………………………………………………………………………………………………………………………………

Для достижения сформулированной цели рассмотрены и решены следующие задачи:

·     выявлены (раскрыты, отражены,  охарактеризованы)………………

……………………………………………………………………………………..;

·     проанализированы (обобщены, систематизированы, уточнены) ………....................................................................................................................;

·     рассмотрены (разработаны, предложены, обоснованы, сформулированы)..............................................................................................

………………………………………………………………………………………

 

Объект исследования     (деятельность)

Предмет исследования    (методы, приемы, средства….)

Краткая характеристика разделов работы

Приложение 4

Перечень информационных систем персональных данных ООО «__________»

 

№	Наименование ресурса	Подразделение, ответственное за ресурс	Лицо, ответственное за ресурс(должность, ФИО)	Наименование места размещения ресурса (сервер, др.)	Основание включения в перечень	Основание исключения из перечня
1	1С-Бухгалтерия	Бухгалтерия	Главный бухгалтер Иванова А.А.		Генеральный директор Семенов С.С., 12.02.20__ вх.№ 11
2	Босс-кадровик	Служба персонала	Руководитель Службы Петрова П.П.		Генеральный директор Семенов С.С., 12.02.20__вх.№ 11
3	Система лояльности	Отдел маркетинга	Начальник отдела Сидорова С.С.		Генеральный директор Семенов С.С., 12.02.20__ вх.№ 11

Приложение 5

ПЕРЕЧЕНЬ

персональных данных,

обрабатываемых в ООО «______________________»

 

№	Содержание сведений	Цели обработки	Основания для обработки	Срок хранения, условия прекращения обработки
1	Фамилия, имя, отчество Дата и место рождения Гражданство ИНН Номер свидетельства государственного пенсионного страхования Пол Знание иностранного языка Образование Профессия Состояние в браке Состав семьи Номер паспорта, дата и место его выдачи Место жительства и дата регистрации Сведения о воинском учете Другие сведения, предусмотренные унифицированной формой № Т-2		Глава 14 Трудового кодекса РФ	75 лет
2	Фамилия, имя, отчество или псевдоним абонента-гражданина Адрес абонента или адрес установки оконечного             оборудования, Абонентские номера и другие данные, позволяющие   идентифицировать абонента или             его оконечное оборудование Сведения баз данных систем расчета за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонента.		ФЗ «О связи», Постановление Правительства от 27.08.2005 г. № 538	3 года с момента оказания последней услуги
3	Фамилия, имя, отчество Адрес места жительства Дата рождения Номер телефона Адрес электронной почты		Письменное согласие клиента	До окончания действия программы лояльности или отзыва согласия клиента