- •1. Основные понятия и принципы в области лицензирования.
- •2. Полномочия и права лицензирующих органов.
- •3. Правовые основы лицензирования деятельности в области тзи и порядок её проведения.
- •Переч. Док-тов, необх-ых для получ лиц-ии на осуществление деят-сти по тз конф-ной и:
- •Исполнение государственной функции по лицензированию деятельности по тзи конфиденциальной информации включает в себя следующие административные процедуры:
- •4. Правовые основы лицензирования деят-сти в обл. Гос. Тайны и порядок её проведения.
- •5. Основные понятия в обл. Сертификации и виды сертификации.
- •6. Система сертификации в России.
- •7. Правовые основы сертификации деятельности в области тзи.
- •Уполномоченные федеральные органы по сертификации в области защиты информации
- •Формы оценки соответствия
- •Формы подтверждения соответствия
- •Сертификация сзи
- •Средства защиты информации, подлежащие сертификации
- •Средства защиты информации
- •Средства защиты информации от утечки по техническим каналам
- •Средства защиты от несанкционированного доступа
- •Средства контроля защищённости
- •Защищённые средства обработки информации
- •На соответствие каким документам проводится сертификация
- •Схемы сертификации
- •Организационная структура системы сертификации
- •8. Условия и порядок проведения сертификации в области тзи.
- •9. Содержание самооценки обработки и защиты персональных данных.
- •Содержание проведения самооценки обработки и защиты пДн
- •Содержание Программы самооценки (проверки) обработки и защиты пДн
- •Содержание Справки о самооценке (проверке) пункта X.XX. Программы
- •Содержание заключения (акта) о результатах самооценки (проверки) обработки и защиты пДн
- •Содержание Плана устранения недостатков, выявленных в ходе самооценки (проверки) обработки и защиты пДн в организации
- •10. Содержание результатов самооценки обработки и защиты персональных данных.
- •Критерии оценок обработки и защиты пДн
- •Частные показатели обработки и защиты пДн
- •11. Сущность и содержание организационных основ защиты информации.
- •12. Организационные мероприятия по обеспечению информационной безопасности.
- •Организация мероприятия в отношении сотрудников всех уровней:
- •Организация мероприятия в отношении технических средств:
- •13. Основные понятия гос. Контроля (надзора) и муниципального контроля.
- •Основные понятия
- •14. Принципы з прав юл и ип при проведении гос. Контроля и муниципального контроля.
- •Принципы защиты прав юл и ип при осуществлении госконтроля (надзора):
- •15. Виды проверок, сроки и продолжительность их проведения.
- •Виды проверок
- •Сроки и продолжительность проверок
- •16. Порядок организации проверки и проведения, ограничения при их проведении.
- •Порядок проведения:
- •Ограничения при проведении проверок
- •17. Оформление результатов проверки.
- •Обязанности органов государственного контроля (надзора) при выявлении нарушений
- •18. Организация контрольно-пропускного режима на предприятии.
- •19. Содержание модели угроз в области защиты информации.
- •20. Сущность и содержание временных, территориальных, пространственных, частотных и энергетических ограничений для обеспечения зи.
-
10. Содержание результатов самооценки обработки и защиты персональных данных.
-
Критерии оценок обработки и защиты пДн
-
Макс.оценка
-
Критерии
-
0
-
Обязательные требования (ОТ) НПА не установлены во внутренних организационно-распорядительных документах (ОРД) и не выполняются
-
0
-
ОТ НПА частично установлены во внутренних ОРД, но не выполняются
-
0.25
-
ОТ НПА полностью установлены во внутренних ОРД, но не выполняются
-
0.25
-
ОТ НПА не установлены во внутренних ОРД и выполняются в неполном объёме
-
0.25
-
ОТ НПА частично установлены во внутренних ОРД и выполняются в неполном объёме
-
0.5
-
ОТ НПА полностью установлены во внутренних ОРД и выполняются в неполном объёме
-
0.5
-
ОТ НПА не установлены во внутренних ОРД, но выполняются в полном объёме
-
0.75
-
ОТ НПА частично установлены во внутренних ОРД, но выполняются в полном объёме
-
1
-
ОТ НПА полностью установлены во внутренних ОРД и выполняются в полном объёме
-
-
Их нужно утвердить у руководителя организации, или обозначить их в приказе, чтобы они имели в организации какую-то силу.
-
-
Частные показатели обработки и защиты пДн
-
Определены ли в организации, зафиксированы ли документально и утверждены ли руководством организации цели обработки ПДн?
-
Определена ли в организации необходимость направления уведомления в Уполномоченный орган по защите прав субъектов ПДн об обработке ПДн?
-
Определены ли в организации для каждой цели обработки ПДн, зафиксированы ли документально и утверждены ли руководством организации:
-
Объём и содержание ПДн;
-
Сроки обработки, в т.ч. сроки хранения ПДн;
-
Необходимость получения согласия субъектов ПДн?
Проводится ли в организации классификация персональных данных в соответствии со степенью тяжести последствий потери свойств безопасности ПДн для субъекта ПДн?
Выделяется ли при проведении классификации ПДн следующие категории:
-
Специальные категории ПДн;
-
Биометрические ПДн;
-
Общедоступные или обезличенные ПДн;
-
Геномные ПДн;
-
Общие ПДн?
-
Осуществляется ли организацией передача ПДн третьему лицу с согласия СПДн? В том случае, если организация поручает обработку ПДн третьему лицу на основании договора – включается ли в такой договор обязанность обеспечения третьим лицом конфиденциальности ПДн и безопасности ПДн при их обработке?
-
Прекращается ли в организации обработка ПДн и уничтожаются ли собранные ПДн в следующих случаях и в сроки, установленные законодательством РФ:
-
По достижении целей обработки или при утрате необходимости в их достижении;
-
По требованию субъекта ПДн или Уполномоченного органа по защите прав субъектов ПДн – если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
-
При отзыве субъектом ПДн согласия на обработку своих ПДн, если такое согласие требуется в соответствии с законодательством РФ;
-
При невозможности устранения оператором допущенных нарушений при обработке ПДн?
11. Сущность и содержание организационных основ защиты информации.
Организационная ЗИ (ОЗИ) – составная часть системы ЗИ, определяющая порядок функционирования объектов защиты и деятельности должностных лиц в целях обеспечения ЗИ.
ОЗИ в организации – регламентация производственной деятельности информационных взаимоотношений субъектов (сотрудников предприятия) на нормативно-правовой основе, исключающая или ослабляющая нанесение ущерба данному предприятию.
Система ЗИ – совокупность органов ЗИ (структурных подразделений или должностных лиц), используемых ими средств и методов ЗИ, а также мероприятий, планируемых и проводимых в этих целях.
Принципы (правила):
Принцип комплексного подхода – эффективное использование сил, средств, способов и методов ЗИ для решения поставленных задач, в зависимости от конкретной складывающейся ситуации и наличия факторов, ослабляющих или усиливающих угрозу защищаемой информации.
Принцип оперативности – принятие управленческих решений в соответствии с установленным порядком и в установленное время.
Принцип персональной ответственности – эффективное распределение задач по ЗИ между руководством и персоналом организации, определение ответственности за полноту и качество их выполнения.
Система менеджмента защиты:
-
Проведение анализа рисков (угроз) в области ЗИ на основе модели нарушителя и модели угроз.
-
Планирование по устранению рисков (угроз).
-
Реализация запланированных мероприятий.
-
Проверка (аудит), самооценка ЗИ (внутренний и внешний).
-
Совершенствование ЗИ.