Модели и алгоритмы защиты информационной системы персональных данных

Министерство науки и высшего образования Российской Федерации 

 
 

Федеральное государственное бюджетное образовательное учреждение  

высшего образования 

«Оренбургский государственный университет» 

 
 

 
 
 
 

Е.В. Бурькова, А.А. Рычкова   

 
 
 
 

МОДЕЛИ И АЛГОРИТМЫ 

ЗАЩИТЫ ИНФОРМАЦИОННОЙ 

СИСТЕМЫ ПЕРСОНАЛЬНЫХ 

ДАННЫХ 

 

 

Учебное пособие 

 
 
 

 

Рекомендовано 
ученым 
советом 
федерального 
государственного 

бюджетного 
образовательного 
учреждения 
высшего 
образования 

«Оренбургский государственный университет» для обучающихся по 
образовательным программам высшего образования по направлению 
подготовки 10.03.01 Информационная безопасность 

 

 

 
 
 
 

 

Оренбург   

2023 

 

УДК 004.891 
ББК 32.965   
     Б 91 
 
 

Рецензент  –  кандидат технических наук, доцент Р.Р. Галимов 

 
 
 

 

Бурькова, Е.В 

 

Б 91 
Модели 
и 
алгоритмы 
защиты 
информационной 
системы 

персональных  данных [Электронный ресурс]: учебное  пособие / 
Е.В. Бурькова, А.А. Рычкова;  – Оренбургский гос. ун-т . – Электрон. 
текстовые дан. (1 файл: 3,7 Мб). – Оренбург: ОГУ, 2023. – 1 
электрон. опт. диск (CD-R): зв., цв.; 12 см. – Системные требования: 
Intel Core или аналогич.; Microsoft Windows 7, 8, 10; 512 Mб; 
монитор, поддерживающий режим 1024х768; мышь или аналогич. 
устройство – Загл. с этикетки диска.  

.  

ISBN 978-5-7410-2968-8 

 
                    

Учебное пособие предназначено для обучающихся по направлению 

подготовки 10.03.01 Информационная безопасность при изучении 
дисциплин «Организационное и правовое обеспечение информационной 
безопасности», «Организация работ по защите персональных данных», 
«Проектирование систем информационной безопасности», «Безопасность 
информационных систем и баз данных» 

                                                                                       

                                                                                                                           

УДК 004.891 
ББК 32.965 

 
 

© Бурькова Е.В.,  
Рычкова А.А., 2023 

 ISBN 978-5-7410-2968-8  
 
 
 
 
 
© ОГУ, 2023  

 

Содержание 

 

Введение ....................................................................................................... 5 
Список сокращений и обозначений................................................................. 7 
1 Нормативно-правовая база защиты ИСПДн .................................................. 8 

1.1 Нормативно-правовые документы защиты персональных данных в России
 ..................................................................................................................11 
Приказ Федеральной службы по надзору в сфере связи, информационных 
технологий и массовых коммуникаций "Об утверждении Требований к оценке 
вреда, который может быть причинен субъектам персональных данных в 
случае нарушения Федерального закона "О персональных данных"..............14 
1.2 Регуляторы  в области защиты персональных данных .............................15 

2 Обзор и классификация существующих подходов к защите персональных 
данных на основе компьютерных моделей .....................................................20 
3 Этапы проектирования системы защиты ИСПДн .........................................29 

3.1 Оценка обстановки на объекте информатизации .....................................29 
3.2 Обоснование требований к защите ПДн .................................................33 
3.3 Формирование замысла защиты ПДн при их обработке в ИСПДн ...........35 
3.4 Выбор способов защиты ........................................................................37 
3.5 Решение вопросов управления защитой .................................................39 
3.6 Обеспечение защиты ИСПДн.................................................................41 

4 Модели и алгоритмы защиты ИСПДн .........................................................46 

4.1 Методы принятия решений при выборе средств защиты .........................46 
4.2 Модели информационной безопасности ИСПДн ....................................48 
4.3 Концептуальные модели защиты ИСПДн ...............................................49 
4.4 Модели потоков данных ........................................................................57 

4.5 Информационные модели ........................................................................67 

4.6 Функциональные модели выбора средств защиты ИСПДн ......................76 

4.7 Выбор дополнительных сертифицированных средств защиты ИСПДн.......81 

4.8 Математическая модель задачи выбора средств защиты персональных 
данных на основе метода анализа иерархий .................................................82 
4.9 Математическая модель задачи оптимального выбора дополнительных 
средств защиты персональных данных на основе теории игр ........................85 

5 Методы автоматизированной оценки уровня защищенности ИСПДн и 
построения модели угроз ИСПДн ..................................................................98 

5.1 Автоматизированная оценка уровня защищенности ИСПДн ...................98 
5.2 Метод автоматизированной оценки актуальности угроз безопасности  
ИСПДн .................................................................................................... 101 
5.3 Математическая модель метода автоматизированной оценки актуальности 
угроз безопасности ИСПДн....................................................................... 103 
5.4 Разработка алгоритма метода автоматизированной оценки актуальности 
угроз безопасности ИСПДн....................................................................... 107 

5.5 Разработка программы метода автоматизированной оценки актуальности 
угроз безопасности ИСПДн....................................................................... 113 

Вопросы для самоконтроля ......................................................................... 119 
Практические задачи................................................................................... 125 
Контрольные вопросы ................................................................................. 127 
Заключение ................................................................................................ 133 
Список использованных источников............................................................ 134 
 
 
 

Введение 

 

Современный 
этап 
развития 
постиндустриального 
общества 

характеризуется высоким уровнем цифровизации, возрастающим объемом 

обрабатываемой 
конфиденциальной 
информации, 
передачей 
данных 
с 

использованием информационно-коммуникационных сетей,  с одной стороны, 

и ростом технической подготовленности злоумышленников, реализующих 

угрозы 
информационной 
безопасности, 
с 
другой. 
В 
общем 
объеме 

обрабатываемой информации  угрозам подвергаются персональные данные 

граждан, утечка которых может повлечь ущерб различного рода и масштаба. В 

связи 
с 
этим 
защита 
персональных 
данных, 
обрабатываемых 
в 

информационных системах, является актуальной задачей. В соответствии с 

Федеральным законом № 152-ФЗ «О персональных данных» все организации 

обязаны обеспечить безопасность обрабатываемых персональных данных, по  

требованиям 
законодательных 
документов 
к 
категории 
защищаемой 

информации и классу информационных систем персональных данных 

(ИСПДн). 

Организация работ по защите персональных данных, создание комплекса 

мероприятий, включающего как организационные, так  и технические меры 

защиты проводится в строгом соответствии с требованиями федеральных 

нормативно-правовых документов, устанавливающих требования к системе 

защиты обрабатываемых персональных данных, которые необходимо изучить и 

применять при проектировании системы защиты персональных данных в 

организациях.  

Актуализируется задача обоснованного выбора структуры и состава 

системы 
защиты 
информационной 
системы 
персональных 
данных. 

Оптимальным решением данной задачи является создание автоматизированной 

системы поддержки принятия решения (СППР) при выборе структуры и 

состава системы защиты ПДн. Поддержка принятия решений для защиты ПДн 

позволяет осуществлять проектирование системы защиты с минимизацией 

трудовых и временных затрат.  

При проектировании системы защиты ИСПДн целесообразно применять 

методы моделирования. Основу проектирования при выборе структуры и 

состава системы защиты ИПДН составляет формализация на основе моделей:  

− модели угроз и нарушителя безопасности персональных данных;  

− концептуальные модели, определяющие объекты защиты, угрозы, 

направления и способы защиты; 

− функциональные модели;  

− математические модели, позволяющие реализовать автоматизацию 

процессов построения модели угроз и выбора средств защиты ИСПДн.  

Данное 
учебное 
пособие 
предназначено 
для 
изучения 
курсов 

«Организационное и правовое обеспечение информационной безопасности»,  

«Организация работ по защите персональных данных», «Проектирование 

систем информационной безопасности» для обучающихся по образовательной 

программе высшего образования по направлению подготовки  10.03.01  

Информационная безопасность. В результате изучения материалов учебного 

пособия обучающиеся получат знания законодательных основ защиты ИСПДн, 

основ построения моделей и алгоритмов проектирования и выбора средств 

защиты персональных данных, ознакомятся с методами автоматизированной 

оценки уровня защищенности ИСПДн и построения модели угроз ИСПДн. 

Структура учебного пособия включает пять глав. Первая глава посвящена 

обзору законодательной нормативно-правовой базы защиты персональных 

данных, во второй главе представлен анализ существующих подходов к защите 

персональных данных на основе компьютерных моделей, в третьей главе дано 

описание основных этапов проектирования системы защиты ИСПДн. Четвертая 

глава включает характеристику моделей и алгоритмов защиты ИСПДн, пятая 

глава содержит описание методов автоматизированной оценки уровня 

защищенности ИСПДн и построения модели угроз ИСПДн. 

 
 

Список сокращений и обозначений 

 

АИС - Автоматизированная информационная система 

АРМ - Автоматизированное рабочее место 

АС - Автоматизированная система 

АСЗИ - Автоматизированная система защищенного исполнения 

БД - База данных 

ГИС - Государственная информационная система 

ИС - Информационная система 

ИСПДн - Информационная система персональных данных 

ИТ - Информационные технологии 

КЗ  -  Контролируемая зона 

НСД-  Несанкционированный доступ 

ПДн - Персональные данные 

ПО - Программное обеспечение 

ПЭМИН - Побочные электромагнитные излучения и наводки 

СВТ - Средства вычислительной техники 

СЗПДн - Система защиты персональных данных 

СКЗИ - Средства криптографической защиты информации 

СКХ - Сведения конфиденциального характера 

СПД – Сети передачи данных 

СФ - Среда функционирования 

СФК - Среда функционирования криптосредств 

ТС - Техническое средство 

УБПДн - Угрозы безопасности персональных данных 

ЭП - Электронная подпись 

 
 

1 Нормативно-правовая база защиты ИСПДн 

 

Информационная сфера — сфера деятельности, связанная с созданием, 

распространением, преобразованием и потреблением информации.  

Основным объектом правоотношений в информационной сфере 

является информация. Основным законом, регулирующим отношения в сфере 

информационной безопасности, является Федеральный закон  № 149 от 

27.07.2006 «Об информации, информационных технологиях и о защите 

информации». Федеральный закон определяет информацию как «сведения 

(сообщения, данные) независимо от формы их представления» [37].  

Носитель информации - физическое лицо или материальный объект, в 

том числе физическое поле, в котором информация находит свое отображение в 

виде символов, образов, сигналов, технических решений и процессов, 

количественных характеристик физических величин. 

Защищаемая 
информация - информация, 
являющаяся 
предметом 

собственности и подлежащая защите в соответствии с требованиями правовых 

документов или требованиями, устанавливаемыми собственником информации. 

Собственником информации может быть:  

− государство,  

− юридическое лицо,  

− группа физических лиц,  

отдельное физическое лицо. 

Информация с точки зрения защиты делится на 2 группы: 

общедоступная и ограниченного доступа. В свою очередь информация 

ограниченного 
доступа 
делится 
на 
гостайну 
и 
конфиденциальную 

информацию. 
Перечень 
сведений, 
относящихся 
к 
конфиденциальной 

информации утвержден Указом Президента № 188 и включает:  

− персональные данные,  

− тайну следствия и судопроизводства,  

− служебную тайну,  

− коммерческую тайну,  

− профессиональную тайну,  

− тайну изобретения,  

− сведения о делах осужденных [50].  

Классификация информации представлена на рисунке 1. 

 

 

 

Рисунок 1 - Классификация информации 

 

Защищаемые свойства информации: конфиденциальность, целостность, 

доступность, адекватность, аутентичность, достоверность, представлены на 

рисунке 2. 

Рисунок 2 – Защищаемые свойства информации 

 

Конфиденциальность информации — обязательное для выполнения 

лицом, получившим доступ к определённой информации, требование не 

передавать такую информацию третьим лицам без согласия её обладателя. 

Целостность информации – состояние информации, при котором 

отсутствует любое ее изменение либо изменение осуществляется только 

преднамеренно субъектами, имеющими на него право.  

Доступность информации - состояние информации, при котором 

субъекты, имеющие право доступа, могут реализовывать их беспрепятственно.  

Достоверность 
информации 
– показатель 
качества 
информации, 

означающий её полноту и общую точность. Критериями достоверной 

информации 
являются: 
отсутствие ложных 
или искажённых 
данных, 

разборчивость речи (как устной, так и письменной), низкая вероятность 

ошибочного употребления единиц информации (буквы, цифры, символа, бита). 

Аутентичность – гарантия того, что источником информации является 

именно то лицо, которое заявлено как ее автор; нарушение этой категории 

также называется фальсификацией, но уже автора сообщения.