- •1. Основные понятия и принципы в области лицензирования.
- •2. Полномочия и права лицензирующих органов.
- •3. Правовые основы лицензирования деятельности в области тзи и порядок её проведения.
- •Переч. Док-тов, необх-ых для получ лиц-ии на осуществление деят-сти по тз конф-ной и:
- •Исполнение государственной функции по лицензированию деятельности по тзи конфиденциальной информации включает в себя следующие административные процедуры:
- •4. Правовые основы лицензирования деят-сти в обл. Гос. Тайны и порядок её проведения.
- •5. Основные понятия в обл. Сертификации и виды сертификации.
- •6. Система сертификации в России.
- •7. Правовые основы сертификации деятельности в области тзи.
- •Уполномоченные федеральные органы по сертификации в области защиты информации
- •Формы оценки соответствия
- •Формы подтверждения соответствия
- •Сертификация сзи
- •Средства защиты информации, подлежащие сертификации
- •Средства защиты информации
- •Средства защиты информации от утечки по техническим каналам
- •Средства защиты от несанкционированного доступа
- •Средства контроля защищённости
- •Защищённые средства обработки информации
- •На соответствие каким документам проводится сертификация
- •Схемы сертификации
- •Организационная структура системы сертификации
- •8. Условия и порядок проведения сертификации в области тзи.
- •9. Содержание самооценки обработки и защиты персональных данных.
- •Содержание проведения самооценки обработки и защиты пДн
- •Содержание Программы самооценки (проверки) обработки и защиты пДн
- •Содержание Справки о самооценке (проверке) пункта X.XX. Программы
- •Содержание заключения (акта) о результатах самооценки (проверки) обработки и защиты пДн
- •Содержание Плана устранения недостатков, выявленных в ходе самооценки (проверки) обработки и защиты пДн в организации
- •10. Содержание результатов самооценки обработки и защиты персональных данных.
- •Критерии оценок обработки и защиты пДн
- •Частные показатели обработки и защиты пДн
- •11. Сущность и содержание организационных основ защиты информации.
- •12. Организационные мероприятия по обеспечению информационной безопасности.
- •Организация мероприятия в отношении сотрудников всех уровней:
- •Организация мероприятия в отношении технических средств:
- •13. Основные понятия гос. Контроля (надзора) и муниципального контроля.
- •Основные понятия
- •14. Принципы з прав юл и ип при проведении гос. Контроля и муниципального контроля.
- •Принципы защиты прав юл и ип при осуществлении госконтроля (надзора):
- •15. Виды проверок, сроки и продолжительность их проведения.
- •Виды проверок
- •Сроки и продолжительность проверок
- •16. Порядок организации проверки и проведения, ограничения при их проведении.
- •Порядок проведения:
- •Ограничения при проведении проверок
- •17. Оформление результатов проверки.
- •Обязанности органов государственного контроля (надзора) при выявлении нарушений
- •18. Организация контрольно-пропускного режима на предприятии.
- •19. Содержание модели угроз в области защиты информации.
- •20. Сущность и содержание временных, территориальных, пространственных, частотных и энергетических ограничений для обеспечения зи.
7. Правовые основы сертификации деятельности в области тзи.
Закон РФ «О гос. тайне», ст. 28.
Закон РФ «Об И, ИТ и ЗИ», ст. 14, 16.
Положение о сертификации средств ЗИ.
ПП РФ от 15.05.2010 №330.
ПП РФ от 21.04.2010 №266.
Уполномоченные федеральные органы по сертификации в области защиты информации
Системы сертификации создаются:
-
ФСТЭК России.
-
ФСБ России.
-
Министерство обороны РФ.
-
Служба внешней разведки РФ.
-
Межведомственная комиссия по защите гос. тайны это всё регулирует. Её работу обеспечивает ФСТЭК России.
-
Под сертификацией СЗИ по требованиям БИ понимается деятельность по подтверждению характеристик СЗИ требованиям гос. стандартов или иных нормативных документов по ЗИ.
-
Формы оценки соответствия
-
Государственный контроль (надзор)
-
Аккредитация
-
Испытания
-
Регистрация
-
Подтверждение соответствия
-
Приёмка и ввод в эксплуатацию объекта, строительство которого закончено
-
В иной форме
-
Формы подтверждения соответствия
-
Добровольное подтверждение соответствия
-
Добровольная сертификация
-
Обязательное подтверждение соответствия
-
Декларирование соответствия
-
Обязательная сертификация
-
Сертификация сзи
-
1. Обязательная
-
СЗИ, предназначенные для защиты сведений, составляющих государственную тайну
-
СЗИ для защиты информации с ограниченным доступом, подлежащей защите в соответствии с действующим законодательством (государственные информационные ресурсы конфиденциального характера)
-
СЗИ систем управления экологически опасными производствами, объектами, имеющими важное оборонное или экономическое значение и влияющими на безопасность государства
-
СЗИ ИСПДн
-
2. Добровольная - в остальных случаях
-
Средства защиты информации, подлежащие сертификации
-
СЗИ – технические, криптографические, программные и другие средства, предназначенные для ЗИ, средства, в которых они реализованы, а также средства контроля эффективности ЗИ.
-
Можно разбить на 3 большие группы:
-
Средства защиты информации;
-
Средства контроля защищённости;
-
Защищённые средства обработки информации (технические, программные, программно-технические).
-
Средства защиты информации
-
От утечки по техническим каналам;
-
От несанкционированного доступа, блокировки доступа и нарушения целостности.
-
Средства защиты информации от утечки по техническим каналам
-
От перехвата оптических сигналов;
-
За счёт побочных электромагнитных излучений и наводок;
-
От перехвата акустических сигналов;
-
От перехвата сигналов, являющихся следствием эффекта акустоэлектрического преобразования.
-
Средства защиты от несанкционированного доступа
-
Пассивной защиты;
-
Обеспечивающие разграничение доступа к информации;
-
Идентификации и аутентификации терминалов и пользователей;
-
Контроля целостности информационных массивов;
-
Антивирусной защиты;
-
Уничтожения остаточной информации;
-
Имитации работы системы или её блокировки при обнаружении фактов НСД;
-
Предотвращения несанкционированного копирования информации;
-
Межсетевые экраны;
-
Стирания данных;
-
Средства организации защищённых виртуальных сетей;
-
Базовые системы ввода/вывода;
-
Программные средства идентификации изготовителя программного (информационного) продукта, средства.