Экзамен НОЗИ
.pdfтакже анализ локальных организационно-распорядительных документов оператора, регламентирующих обработку и защиту персональных данных в организации.
Цели предпроектного обследования ИСПДн:
Оценка текущего уровня соответствия ИСПДн требованиям нормативных документов по защите персональных данных.
Сбор сведений, необходимых для построения СЗПДн.
Создание замысла и стратегии защиты персональных данных.
Определение объёма и стоимости работ по внедрению СЗПДн.
Выработка технических решений по защите персональных данных.
Результаты предпроектного обследования ИСПДн:
Отчёт об обследовании ИСПДн.
Частная модель угроз безопасности ПДн — включает перечень угроз с оценкой их актуальности для конкретного оператора.
Техническое задание на создание СЗПДн — содержит обоснование разработки, исходные данные создаваемой ИСПДн, уровень защищённости ПДн и другие данные.
Проекты локальных организационно-распорядительных актов оператора по защите персональных данных.
Результаты предпроектного обследования лежат в основе будущей СЗПДн, обеспечивающей заданный уровень защищённости ПДн.
7. Последовательность действий при определении уровня защищенности. Какой документ составляется по итогу определения уровня защищенности?
Уровень защищенности – комплексный показатель, характеризующий выполнение требований направленных на нейтрализацию угроз безопасности информации.
1.Определение категорий обрабатываемых персональных данных. Есть четыре категории: биометрические, специальные, общедоступные и иные (обычные).
2.Определение типа субъекта персональных данных.
3.Определение количества обрабатываемых субъектов. Нужно проанализировать, сколько субъектов данных обрабатывается в информационной системе.
4.Определение типов актуальных угроз. Для этого используют документ «Модель угроз безопасности персональных данных в информационной системе».
5.Определение уровня защищённости персональных данных. По результатам предыдущих шагов определяют уровень защищённости и фиксируют его в «Акте установления уровня защищённости персональных данных в информационной системе».
8.Какие требования согласно Постановлению Правительства, необходимо выполнить в зависимости от установленного уровня
защищенности? Периодичность проведения контроля за выполнением требования постановления правительства.
Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности
неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей; г) использование средств защиты информации, прошедших процедуру оценки
соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований для 4 уровня, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных для 4-УЗ и 3-УЗ, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных для 4-УЗ, 3-УЗ и 2-УЗ, необходимо выполнение следующих требований:
а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе; б) создание структурного подразделения, ответственного за обеспечение
безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.
Периодичность проведения контроля за выполнением требования постановления правительства – не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом)
9. Какие меры необходимо реализовать для защиты персональных данных при их обработке с использованием средств криптографической защиты информации?
Приказ ФСБ 378
Меры для 4 уровня защищенности:
1.Организация режима обеспечения безопасности помещений:
Оснащение входных дверей замками, постоянное закрытие дверей на замок и их открытие только для санкционированного прохода.
Опечатывание помещений по окончании рабочего дня или оборудование их техническими устройствами (сигнализацией) о несанкционированном вскрытии.
Утверждение правил доступа в помещения (в рабочее, нерабочее время, в нештатных ситуациях).
Утверждение перечня лиц, имеющих право доступа в помещения, где размещены СКЗИ, хранятся СКЗИ и/или носители ключевой, аутентифицирующей и парольной информации СКЗИ.
2.Обеспечение сохранности носителей персональных данных:
Хранение съемных машинных носителей ПДн в сейфах (металлических шкафах) с внутренними замками (с дубликатами ключей) и приспособлениями для опечатывания или кодовыми замками.
Исключение: Если на носителе хранятся только зашифрованные СКЗИ ПДн, допускается хранение вне сейфов.
Поэкземплярный учет машинных носителей ПДн.
3.Утверждение перечня лиц, имеющих доступ к ПДн: Руководителем
оператора утверждается документ, определяющий перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей.
4. Использование сертифицированных средств защиты информации: Применение средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ в области обеспечения безопасности информации, если их применение необходимо для нейтрализации актуальных угроз.
*Для угроз 3 типа: СКЗИ класса КС1 и выше.
*Для угроз 2 типа: СКЗИ класса КС2 и выше.
*Для угроз 1 типа: СКЗИ класса КС3 и выше.
Дополнительные меры для 3 уровня защищенности (в дополнение к мерам
4 уровня):
1.Назначение ответственного лица: Назначение должностного лица (работника), обладающего достаточными навыками, ответственного за обеспечение безопасности ПДн в ИСПДн.
2.Требования к СКЗИ:
* Для угроз 3 типа: СКЗИ класса КС1 и выше.
* Для угроз 2 типа: СКЗИ класса КВ и выше.
Дополнительные меры для 2 уровня защищенности (в дополнение к мерам
4 и 3 уровней):
1. Доступ к электронному журналу сообщений: Доступ к содержанию электронного журнала сообщений возможен исключительно для должностных
лиц (работников) оператора или уполномоченного лица, которым сведения из журнала необходимы для выполнения служебных (трудовых) обязанностей.
Утверждение списка лиц, допущенных к содержанию электронного журнала, и поддержание его в актуальном состоянии.
Обеспечение автоматизированными средствами регистрации запросов пользователей на получение ПДн и фактов предоставления ПДн в электронном журнале.
Исключение доступа к содержанию электронного журнала для лиц, не указанных в утвержденном списке.
Периодический контроль работоспособности этих средств (не реже 1 раза в полгода).
2.Требования к СКЗИ:
* Для угроз 1 типа: СКЗИ класса КА.
* Для угроз 2 типа: СКЗИ класса КВ и выше.
Дополнительные меры для 1 уровня защищенности (в дополнение к мерам
4, 3 и 2 уровней):
1.Автоматическая регистрация изменений полномочий: Автоматическая регистрация в электронном журнале безопасности изменений полномочий сотрудника оператора по доступу к ПДн.
Отражение полномочий в журнале, их соответствие должностным обязанностям.
Назначение лица, ответственного за периодический контроль ведения журнала и соответствия полномочий (не реже 1 раза в месяц).
2.Создание отдельного структурного подразделения: Создание отдельного
структурного подразделения, ответственного за обеспечение безопасности ПДн в ИСПДн, либо возложение его функций на одно из существующих подразделений.
Проведение анализа целесообразности создания такого подразделения.
3.Усиленные меры физической защиты помещений:
Оборудование окон помещений (на первых/последних этажах, у пожарных лестниц и других мест возможного проникновения) металлическими решетками или
ставнями, охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению.
Оборудование окон и дверей помещений, в которых размещены серверы ИСПДн, металлическими решетками, охранной сигнализацией или другими средствами.
4.Требования к СКЗИ:
* Для угроз 1 типа: СКЗИ класса КА.
* Для угроз 2 типа: СКЗИ класса КВ и выше.
10. Для чего разрабатывается модель угроз безопасности информации? Какая информация содержится в данном документе?
Цели разработки модели угроз безопасности информации:
Выявить существующие угрозы, на основе которых разрабатывается система защиты.
Повысить эффективность применяемых контрмер.
Оптимизировать затраты на систему защиты.
Информация, содержащаяся в модели угроз безопасности информации:
Описание существующих угроз ИБ, их актуальности, возможности их реализации и последствий, а также уязвимости, используемые источниками угроз.
Термины и определения.
Вводная часть.
Основная часть.
Определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации.
Определение возможных объектов воздействия угроз безопасности информации.
Оценку возможности реализации (возникновения) угроз безопасности информации и определение их актуальности.
Определение типа актуальных угроз (первого, второго, третьего типа).
11. Как осуществляется классификация Государственных информационных систем (ГИС)? Какой документ составляется для фиксации установленного класса?
Выделяют три класса защищённости ГИС:
Класс К1 — высокий уровень защищённости. Включает системы, которые обрабатывают критическую информацию государственного значения, например, государственные тайны или данные о стратегических объектах. Такие системы требуют жёстких мер безопасности, поскольку нарушение их работы может привести к серьёзным последствиям для государства.
Класс К2 — средний уровень защищённости. В эту категорию попадают системы, обрабатывающие информацию, которая не критична для национальной безопасности, но всё же важна для функционирования государственных или региональных органов. Например, данные о госслужащих или финансовая информация государственных учреждений.
Класс К3 — наименьший уровень защищённости. Применяется к системам, обрабатывающим менее значимую информацию. Хотя такие системы также подлежат защите, требования к ним менее строгие по сравнению с К1 и К2.
Класс защищённости ГИС определяется в зависимости от уровня значимости информации (УЗ) и масштаба системы
Уровень значимости информации определяется степенью возможного ущерба для обладателя информации и (или) оператора от нарушения конфиденциальности, целостности или доступности информации. Степень ущерба определяется обладателем информации или оператором экспертным или иными методами.
Масштаб системы может быть федеральным, региональным или объектовым:
Федеральный — система функционирует на территории РФ (в пределах федерального округа) и имеет сегменты в субъектах РФ, муниципальных образованиях и (или) организациях.
Региональный — система функционирует на территории субъекта РФ и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
Объектовый — система функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта РФ, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
!!!!! С 1 марта 2026 года для всех ГИС действует Приказ ФСТЭК России №117 !!!!!
Результаты классификации оформляются актом, который утверждается оператором (обладателем информации).
Акт классификации должен содержать наименование классифицируемой системы и сегментов информационной системы при их наличии, УЗ или УЗ в сегментах информационной системы при их наличии, масштаб информационной системы и (или) сегментов информационной системы при их наличии, присвоенный класс защищенности информационной системе или сегментам информационной системы при их наличии. Допускается оформление единого акта классификации на несколько сегментов информационной системы одного оператора (обладателя информации).
12. Что такое показатель Кзи? Для чего необходим расчет данного значения? С какой периодичностью проводится оценка данного показателя?
Показатель защищенности КЗИ: характеризует текущее состояние защиты информации (обеспечения безопасности значимых объектов КИИ) в органе (организации).
• Показатель КЗИ характеризует степень достижения органом (организацией) минимально необходимого уровня ЗИ (обеспечения безопасности ЗО КИИ) от типовых актуальных УБИ во временном интервале оценивания и заданных условиях эксплуатации ИС, АСУ, информационно-телекоммуникационных сетей, иных объектов информатизации.
Расчёт показателя КЗИ необходим для следующих целей:
Оценка готовности системы к прохождению аттестации. Если КЗИ
≥ 1,0, система может быть представлена к аттестации. Если КЗИ < 1,0
— необходимо устранить невыполненные меры.
Определение приоритетности мер по защите информации.
Мониторинг текущего состояния защиты информации.
Разработка плана мероприятий по обеспечению информационной безопасности.
Периодичность проведения оценки данного показателя:
• Оценка показателя КЗИ проводится не реже одного раза в шесть месяцев. Периодичность и порядок проведения оценки показателя КЗИ устанавливается органом (организацией) во внутренних регламентах.