Вопросы_к_экзамену_ПДн_ИСПДн
.pdfВопросы к экзамену по дисциплине «Защита ПДн в ИСПДн»
Экзаменационный билет содержит три вопроса: два вопроса из теоретической части и одно задание из практической части.
Теоретическая часть:
1)Определение и категории персональных данных (ПДн);
2)Определение информационной системы персональных данных (ИСПДн);
3)Нормативно-правовая база в сфере защиты и обработки ПДн (№ 149-ФЗ, № 152-ФЗ): основные положения и требования;
4)Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
5)Принципы обеспечения безопасности ПДн;
6)Обезличивание ПДн. Абсолютное обезличивание и относительное обезличивание. Приказ Роскомнадзора от 5 сентября 2013 г. №996 «Об утверждении требований и методов по обезличиванию ПДн»;
7)Свойства обезличенных данных;
8)Свойства методов обезличивания;
9)Методы обезличивания персональных данных. Сравнительный анализ методов обезличивания;
10)Формальное описание алгоритма обезличивания ПДн методом перемешивания с помощью циклических перестановок;
11)Анализ эффективности алгоритма перемешивания ПДн с помощью циклических перестановок;
12)Государственные информационные системы (ГИС). Уровни значимости. Классы ГИС;
13)Методы описания ПБ. Сравнительный анализ методов описания
ПБ;
14)Пример графового метода описания ПБ: визуальный язык объектных ограничений «Language on Objects for Security Constraints» (LaSCO);
15)Определение гарантированной (верифицируемой) защиты. Методы обеспечения гарантированности защиты;
16)Каналы несанкционированного доступа, утечки информации и деструктивных воздействий на информационную среду (НСДУВ). Вероятностная оценка реализации канала НСДУВ;
17)Контексты выполнения операций в информационных системах. Способы сохранения состояния сеанса. Фиксация сессий;
18)Модель ACID: свойства транзакций. Уровни изоляции;
19)Методы интеграции. Основные архитектуры по способу взаимодействия;
20)Модели доступа: дискреционная, мандатная и ролевая модели;
21)Формальные модели безопасности открытых распределѐнных информационных систем;
22)Принципы обеспечения информационной безопасности в ИС (ГОСТ Р ИСО/МЭК 15408);
23)Модели COM и DCOM. Защита активизации и защита вызовов;
24)Стандарт CORBA. Архитектура распределѐнных приложений. Стаб, скелетон, маршалинг;
25)Сериализация и десериализация данных. Формат XML и JSON. Структура XML и JSON документов;
26)Стек веб-сервисов. Протокол SOAP. Язык определения вебсервисов WSDL. Универсальная интеграция поиска описаний UDDI;
27)Аудит информационных систем: анализ рисков и построение системы управления информационной безопасностью.
Практическая часть:
Задания предоставляются в соответствии с конкретными информационными системами (ИС), обрабатывающими ПДн и имеющими ИСПДн.
1)Определите категории ПДн и уровень защищѐнности ИСПДн;
2)Подготовьте документ «Перечень ИСПДн»;
3)Обезличьте ПДн методом перемешивания с помощью циклических перестановок;
4)Обезличьте ПДн методом изменения состава и/или семантики. Проиллюстрируйте отсутствие однозначного указания на субъект ПДн после проведение метода обезличивания;
5)Постройте и проанализируйте граф атак на основании модели угроз информационной системы;
6)Определите класс предложенной государственной информационной системы;
7)Продемонстрируйте работу метода Делфи для количественной оценки рисков безопасности.