Модели и алгоритмы защиты информационной системы персональных данных

Министерство науки и высшего образования Российской Федерации 

 
 

Федеральное государственное бюджетное образовательное учреждение  

высшего образования 

«Оренбургский государственный университет» 

 
 

 
 
 
 

Е.В. Бурькова, А.А. Рычкова   

 
 
 
 

МОДЕЛИ И АЛГОРИТМЫ 

ЗАЩИТЫ ИНФОРМАЦИОННОЙ 

СИСТЕМЫ ПЕРСОНАЛЬНЫХ 

ДАННЫХ 

 

 

Учебное пособие 

 
 
 

 

Рекомендовано 
ученым 
советом 
федерального 
государственного 

бюджетного 
образовательного 
учреждения 
высшего 
образования 

«Оренбургский государственный университет» для обучающихся по 
образовательным программам высшего образования по направлению 
подготовки 10.03.01 Информационная безопасность 

 

 

 
 
 
 

 

Оренбург   

2023 

 

УДК 004.891 
ББК 32.965   
     Б 91 
 
 

Рецензент  –  кандидат технических наук, доцент Р.Р. Галимов 

 
 
 

 

Бурькова, Е.В 

 

Б 91 
Модели 
и 
алгоритмы 
защиты 
информационной 
системы 

персональных  данных [Электронный ресурс]: учебное  пособие / 
Е.В. Бурькова, А.А. Рычкова;  – Оренбургский гос. ун-т . – Электрон. 
текстовые дан. (1 файл: 3,7 Мб). – Оренбург: ОГУ, 2023. – 1 
электрон. опт. диск (CD-R): зв., цв.; 12 см. – Системные требования: 
Intel Core или аналогич.; Microsoft Windows 7, 8, 10; 512 Mб; 
монитор, поддерживающий режим 1024х768; мышь или аналогич. 
устройство – Загл. с этикетки диска.  

.  

ISBN 978-5-7410-2968-8 

 
                    

Учебное пособие предназначено для обучающихся по направлению 

подготовки 10.03.01 Информационная безопасность при изучении 
дисциплин «Организационное и правовое обеспечение информационной 
безопасности», «Организация работ по защите персональных данных», 
«Проектирование систем информационной безопасности», «Безопасность 
информационных систем и баз данных» 

                                                                                       

                                                                                                                           

УДК 004.891 
ББК 32.965 

 
 

© Бурькова Е.В.,  
Рычкова А.А., 2023 

 ISBN 978-5-7410-2968-8  
 
 
 
 
 
© ОГУ, 2023  

 

Содержание 

 

Введение ....................................................................................................... 5 
Список сокращений и обозначений................................................................. 7 
1 Нормативно-правовая база защиты ИСПДн .................................................. 8 

1.1 Нормативно-правовые документы защиты персональных данных в России
 ..................................................................................................................11 
Приказ Федеральной службы по надзору в сфере связи, информационных 
технологий и массовых коммуникаций "Об утверждении Требований к оценке 
вреда, который может быть причинен субъектам персональных данных в 
случае нарушения Федерального закона "О персональных данных"..............14 
1.2 Регуляторы  в области защиты персональных данных .............................15 

2 Обзор и классификация существующих подходов к защите персональных 
данных на основе компьютерных моделей .....................................................20 
3 Этапы проектирования системы защиты ИСПДн .........................................29 

3.1 Оценка обстановки на объекте информатизации .....................................29 
3.2 Обоснование требований к защите ПДн .................................................33 
3.3 Формирование замысла защиты ПДн при их обработке в ИСПДн ...........35 
3.4 Выбор способов защиты ........................................................................37 
3.5 Решение вопросов управления защитой .................................................39 
3.6 Обеспечение защиты ИСПДн.................................................................41 

4 Модели и алгоритмы защиты ИСПДн .........................................................46 

4.1 Методы принятия решений при выборе средств защиты .........................46 
4.2 Модели информационной безопасности ИСПДн ....................................48 
4.3 Концептуальные модели защиты ИСПДн ...............................................49 
4.4 Модели потоков данных ........................................................................57 

4.5 Информационные модели ........................................................................67 

4.6 Функциональные модели выбора средств защиты ИСПДн ......................76 

4.7 Выбор дополнительных сертифицированных средств защиты ИСПДн.......81 

4.8 Математическая модель задачи выбора средств защиты персональных 
данных на основе метода анализа иерархий .................................................82 
4.9 Математическая модель задачи оптимального выбора дополнительных 
средств защиты персональных данных на основе теории игр ........................85 

5 Методы автоматизированной оценки уровня защищенности ИСПДн и 
построения модели угроз ИСПДн ..................................................................98 

5.1 Автоматизированная оценка уровня защищенности ИСПДн ...................98 
5.2 Метод автоматизированной оценки актуальности угроз безопасности  
ИСПДн .................................................................................................... 101 
5.3 Математическая модель метода автоматизированной оценки актуальности 
угроз безопасности ИСПДн....................................................................... 103 
5.4 Разработка алгоритма метода автоматизированной оценки актуальности 
угроз безопасности ИСПДн....................................................................... 107 

5.5 Разработка программы метода автоматизированной оценки актуальности 
угроз безопасности ИСПДн....................................................................... 113 

Вопросы для самоконтроля ......................................................................... 119 
Практические задачи................................................................................... 125 
Контрольные вопросы ................................................................................. 127 
Заключение ................................................................................................ 133 
Список использованных источников............................................................ 134 
 
 
 

Введение 

 

Современный 
этап 
развития 
постиндустриального 
общества 

характеризуется высоким уровнем цифровизации, возрастающим объемом 

обрабатываемой 
конфиденциальной 
информации, 
передачей 
данных 
с 

использованием информационно-коммуникационных сетей,  с одной стороны, 

и ростом технической подготовленности злоумышленников, реализующих 

угрозы 
информационной 
безопасности, 
с 
другой. 
В 
общем 
объеме 

обрабатываемой информации  угрозам подвергаются персональные данные 

граждан, утечка которых может повлечь ущерб различного рода и масштаба. В 

связи 
с 
этим 
защита 
персональных 
данных, 
обрабатываемых 
в 

информационных системах, является актуальной задачей. В соответствии с 

Федеральным законом № 152-ФЗ «О персональных данных» все организации 

обязаны обеспечить безопасность обрабатываемых персональных данных, по  

требованиям 
законодательных 
документов 
к 
категории 
защищаемой 

информации и классу информационных систем персональных данных 

(ИСПДн). 

Организация работ по защите персональных данных, создание комплекса 

мероприятий, включающего как организационные, так  и технические меры 

защиты проводится в строгом соответствии с требованиями федеральных 

нормативно-правовых документов, устанавливающих требования к системе 

защиты обрабатываемых персональных данных, которые необходимо изучить и 

применять при проектировании системы защиты персональных данных в 

организациях.  

Актуализируется задача обоснованного выбора структуры и состава 

системы 
защиты 
информационной 
системы 
персональных 
данных. 

Оптимальным решением данной задачи является создание автоматизированной 

системы поддержки принятия решения (СППР) при выборе структуры и 

состава системы защиты ПДн. Поддержка принятия решений для защиты ПДн 

позволяет осуществлять проектирование системы защиты с минимизацией 

трудовых и временных затрат.  

При проектировании системы защиты ИСПДн целесообразно применять 

методы моделирования. Основу проектирования при выборе структуры и 

состава системы защиты ИПДН составляет формализация на основе моделей:  

− модели угроз и нарушителя безопасности персональных данных;  

− концептуальные модели, определяющие объекты защиты, угрозы, 

направления и способы защиты; 

− функциональные модели;  

− математические модели, позволяющие реализовать автоматизацию 

процессов построения модели угроз и выбора средств защиты ИСПДн.  

Данное 
учебное 
пособие 
предназначено 
для 
изучения 
курсов 

«Организационное и правовое обеспечение информационной безопасности»,  

«Организация работ по защите персональных данных», «Проектирование 

систем информационной безопасности» для обучающихся по образовательной 

программе высшего образования по направлению подготовки  10.03.01  

Информационная безопасность. В результате изучения материалов учебного 

пособия обучающиеся получат знания законодательных основ защиты ИСПДн, 

основ построения моделей и алгоритмов проектирования и выбора средств 

защиты персональных данных, ознакомятся с методами автоматизированной 

оценки уровня защищенности ИСПДн и построения модели угроз ИСПДн. 

Структура учебного пособия включает пять глав. Первая глава посвящена 

обзору законодательной нормативно-правовой базы защиты персональных 

данных, во второй главе представлен анализ существующих подходов к защите 

персональных данных на основе компьютерных моделей, в третьей главе дано 

описание основных этапов проектирования системы защиты ИСПДн. Четвертая 

глава включает характеристику моделей и алгоритмов защиты ИСПДн, пятая 

глава содержит описание методов автоматизированной оценки уровня 

защищенности ИСПДн и построения модели угроз ИСПДн. 

 
 

Список сокращений и обозначений 

 

АИС - Автоматизированная информационная система 

АРМ - Автоматизированное рабочее место 

АС - Автоматизированная система 

АСЗИ - Автоматизированная система защищенного исполнения 

БД - База данных 

ГИС - Государственная информационная система 

ИС - Информационная система 

ИСПДн - Информационная система персональных данных 

ИТ - Информационные технологии 

КЗ  -  Контролируемая зона 

НСД-  Несанкционированный доступ 

ПДн - Персональные данные 

ПО - Программное обеспечение 

ПЭМИН - Побочные электромагнитные излучения и наводки 

СВТ - Средства вычислительной техники 

СЗПДн - Система защиты персональных данных 

СКЗИ - Средства криптографической защиты информации 

СКХ - Сведения конфиденциального характера 

СПД – Сети передачи данных 

СФ - Среда функционирования 

СФК - Среда функционирования криптосредств 

ТС - Техническое средство 

УБПДн - Угрозы безопасности персональных данных 

ЭП - Электронная подпись 

 
 

1 Нормативно-правовая база защиты ИСПДн 

 

Информационная сфера — сфера деятельности, связанная с созданием, 

распространением, преобразованием и потреблением информации.  

Основным объектом правоотношений в информационной сфере 

является информация. Основным законом, регулирующим отношения в сфере 

информационной безопасности, является Федеральный закон  № 149 от 

27.07.2006 «Об информации, информационных технологиях и о защите 

информации». Федеральный закон определяет информацию как «сведения 

(сообщения, данные) независимо от формы их представления» [37].  

Носитель информации - физическое лицо или материальный объект, в 

том числе физическое поле, в котором информация находит свое отображение в 

виде символов, образов, сигналов, технических решений и процессов, 

количественных характеристик физических величин. 

Защищаемая 
информация - информация, 
являющаяся 
предметом 

собственности и подлежащая защите в соответствии с требованиями правовых 

документов или требованиями, устанавливаемыми собственником информации. 

Собственником информации может быть:  

− государство,  

− юридическое лицо,  

− группа физических лиц,  

отдельное физическое лицо. 

Информация с точки зрения защиты делится на 2 группы: 

общедоступная и ограниченного доступа. В свою очередь информация 

ограниченного 
доступа 
делится 
на 
гостайну 
и 
конфиденциальную 

информацию. 
Перечень 
сведений, 
относящихся 
к 
конфиденциальной 

информации утвержден Указом Президента № 188 и включает:  

− персональные данные,  

− тайну следствия и судопроизводства,  

− служебную тайну,  

− коммерческую тайну,  

− профессиональную тайну,  

− тайну изобретения,  

− сведения о делах осужденных [50].  

Классификация информации представлена на рисунке 1. 

 

 

 

Рисунок 1 - Классификация информации 

 

Защищаемые свойства информации: конфиденциальность, целостность, 

доступность, адекватность, аутентичность, достоверность, представлены на 

рисунке 2. 

Рисунок 2 – Защищаемые свойства информации 

 

Конфиденциальность информации — обязательное для выполнения 

лицом, получившим доступ к определённой информации, требование не 

передавать такую информацию третьим лицам без согласия её обладателя. 

Целостность информации – состояние информации, при котором 

отсутствует любое ее изменение либо изменение осуществляется только 

преднамеренно субъектами, имеющими на него право.  

Доступность информации - состояние информации, при котором 

субъекты, имеющие право доступа, могут реализовывать их беспрепятственно.  

Достоверность 
информации 
– показатель 
качества 
информации, 

означающий её полноту и общую точность. Критериями достоверной 

информации 
являются: 
отсутствие ложных 
или искажённых 
данных, 

разборчивость речи (как устной, так и письменной), низкая вероятность 

ошибочного употребления единиц информации (буквы, цифры, символа, бита). 

Аутентичность – гарантия того, что источником информации является 

именно то лицо, которое заявлено как ее автор; нарушение этой категории 

также называется фальсификацией, но уже автора сообщения.  

Адекватность информации - это определенный уровень соответствия 

создаваемого с помощью полученной информации образа реальному объекту, 

процессу, явлению и т.п. Адекватность информации может выражаться в трех 

формах: семантической, синтаксической, прагматической.  

Безопасность 
информации 
- 
состояние 
защищенности 
данных, 

характеризуемое 
способностью 
пользователей, 
технических 
средств 
и 

информационных технологий обеспечить конфиденциальность, целостность и 

доступность информации при обработке в информационных системах.  

Организационно-правовое 
обеспечение 
защиты 
информации 

представляет собой совокупность законов и других нормативно-правовых 

актов, а также организационных решений, которые регламентируют как общие 

вопросы 
обеспечения 
защиты 
информации, 
так 
и 
организацию 
и 

функционирование защиты конкретных объектов и систем [32]. 

 

1.1 Нормативно-правовые документы защиты персональных данных 

в России 

 

В Российской Федерации понятие персональных данных было закреплено 

в 1995 году Федеральным законом «Об информации, информатизации и защите 

информации» от 20 февраля 1995г. № 24-ФЗ. Далее были приняты другие 

нормативно-правовые документы, которые приведены в таблице 1.    

 

Таблица 1 - Нормативно-правовые документы по защите ПДн 

Наименование документа
Дата принятия

1
2

Указ Президента Российской Федерации № 188 «Об утверждении 
перечня сведений конфиденциального характера»

от 06 марта 1997

Трудовой кодекс Российской Федерации № 197-ФЗ - Глава 14 
«Защита персональных данных работника»

от 30 декабря 
2001 г.

Распоряжение Президента Российской Федерации № 366-РП «О 
подписании Конвенции о защите физических лиц при 
автоматизированной обработке персональных данных»

от 10 июля 2001 
г.

 

Продолжение таблицы 1 

1
2

Федеральный закон № 160-ФЗ «О ратификации Конвенции Совета 
Европы о защите физических лиц при автоматизированной 
обработке персональных данных»

от 19 декабря 
2005 г.

Указ Президента Российской Федерации № 609 «Об утверждении 
Положения о персональных данных государственного гражданского 
служащего Российской Федерации и ведении его личного дела»

от 30 мая 
2005 г.

Федеральный закон № 149-ФЗ «Об информации, информационных 
технологиях и о защите информации»

от 27 июля 
2006

Федеральный закон № 152-ФЗ «О персональных данных»
от 27 июля 
2006 г.

Указ Президента Российской Федерации № 351 «О мерах по 
обеспечению информационной безопасности Российской Федерации 
при использовании информационно-телекоммуникационных сетей 
международного информационного обмена»

от 17 марта 
2008

Постановление Правительства Российской Федерации № 512 «Об 
утверждении требований к материальным носителям 
биометрических персональных данных и технологиям хранения 
таких данных вне информационных систем персональных данных»

от 06 июля 
2008

Постановление Правительства Российской Федерации № 687 «Об 
утверждении положения об особенностях обработки персональных 
данных, осуществляемой без использования средств автоматизации»

от 15 сентября 
2008

Методические рекомендации по обеспечению с помощью 
криптосредств безопасности персональных данных при их 
обработке в информационных системах персональных данных с 
использованием средств автоматизации (утверждены 8 Центром 
ФСБ России № 149/54-144)

от 21 февраля 
2008

Постановление Правительства РФ N 125 «О перечне персональных 
данных, записываемых на электронные носители информации, 
содержащиеся в основных документах, удостоверяющих личность 
гражданина Российской Федерации, по которым граждане 
Российской Федерации осуществляют выезд из Российской 
Федерации и въезд в Российскую Федерацию»

от 4 марта 2010 
г.

Федеральный закон Российской Федерации N 261-ФЗ  «О внесении 
изменений в Федеральный закон "О персональных данных»

от 25 июля 
2011 г.

Постановление Правительства Российской Федерации № 1119«Об 
утверждении требований к защите персональных данных при их 
обработке в информационных системах персональных данных»

от 01 ноября 
2012

Постановление Правительства Российской Федерации № 211 «Об 
утверждении перечня мер, направленных на обеспечение 
выполнения обязанностей, предусмотренных Федеральным законом 
"О персональных данных" и принятыми в соответствии с ним 
нормативными правовыми актами, операторами, являющимися 
государственными или муниципальными органами»

от 21 марта 
2012 года