Экзамен НОЗИ
.pdf13. Какие документы необходимы для проведения аттестации информационной системы? Что является результатом прохождения аттестации?
Документы, необходимые для проведения аттестации информационной системы:
Модель угроз безопасности информации.
Акт классификации автоматизированной системы управления.
Техническое задание на создание (модернизацию) автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты АСУ.
Проектная и эксплуатационная документация на систему защиты АСУ.
Организационно-распорядительные документы по ЗИ.
Результаты анализа уязвимостей АСУ.
Материалы предварительных и приемочных испытаний системы защиты АСУ.
Результат прохождения аттестации:
Положительное заключение в акте приемки о соответствии ее системы защиты установленным требованиям к защите информации (или при наличии аттестата соответствия) для ввода в действие автоматизированной системы управления.
14. Какие мероприятия реализуются в рамках контроля за обеспечением уровня защищенности информации, содержащейся в ГИС?
Обязательное расследование инцидентов. При выявлении инцидентов безопасности организация обязана задокументировать события и результаты расследования, принять меры по локализации, нейтрализации и предотвращению повторного возникновения.
Полный жизненный цикл безопасности и безопасная разработка программного обеспечения. Требования информационной безопасности (ИБ) должны учитываться на всех этапах жизненного цикла информационных систем: при проектировании и закупке, в эксплуатации, при модернизации, при выводе из эксплуатации.
Сроки устранения уязвимостей. Вводятся чёткие временные рамки для устранения выявленных уязвимостей:
критические уязвимости — не более 24 часов; уязвимости высокого уровня — 7 календарных дней;
уязвимости среднего и низкого уровня — сроки определяются внутренними регламентами организации.
Обязательная отчётность. Приказ вводит регулярную отчётность перед ФСТЭК:
показатель защищённости — ежегодно, раз в 6 месяцев; показатель уровня зрелости системы защиты — ежегодно; дополнительный годовой отчёт по итогам календарного года.
Взаимодействие с внешними организациями. Усиливается контроль за безопасностью при работе с подрядчиками и партнёрами. Например, обязательна разработка политик информационной безопасности у организаций-партнёров, включение в договоры обязательств по обеспечению безопасности информации.
15. Этапы лицензирования. Какой результат лицензирования?
Лицензирование деятельности в сфере информационной безопасности
(ИБ) включает несколько этапов, а результат — выдача лицензии, которая подтверждает право организации заниматься работами в области защиты данных.
*Лицензирование осуществляется, например, Федеральной службой по техническому и экспортному контролю (ФСТЭК России)
Процесс лицензирования ИБ включает несколько этапов:
Подготовка документации — сбор и оформление необходимых бумаг в соответствии с требованиями законодательства.
Аттестация персонала и оборудования — проверка соответствия сотрудников и технических средств установленным требованиям.
Подача заявления в лицензирующий орган — взаимодействие с ФСТЭК для рассмотрения заявки и получения лицензии.
Проверка и оценка — прохождение проверочных мероприятий со стороны государственных органов.
!!!Официальный срок рассмотрения заявления на выдачу лицензии у ФСТЭК
— 45 рабочих дней!!!
16.Этапы сертификации средств защиты информации. Какой результат
сертификации?
Этапы сертификации средств защиты информации:
1.Подача заявки на сертификацию.
2.Принятие решения о проведении сертификации средства защиты информации.
3.Сертификационные испытания средства защиты информации.
4.Оформление экспертного заключения по результатам сертификации средства защиты информации и проекта сертификата соответствия.
5.Выдача (отказ в выдаче) сертификата соответствия.
6.Предоставление дубликата сертификата соответствия.
7.Маркирование средств защиты информации.
8.Внесение изменений в сертифицированное средство защиты информации.
9.Переоформление сертификата соответствия.
10.Продление срока действия сертификата соответствия.
11.Приостановление действия сертификата соответствия.
12.Прекращение действия сертификата соответствия.
Результат сертификации:
Вслучае если в экспертном заключении сделан вывод о невозможности выдачи сертификата соответствия, ФСТЭК России в срок не позднее 5 рабочих дней со дня поступления материалов по сертификации средства защиты информации принимает решение об отказе в выдаче сертификата соответствия.
Вслучае если в экспертном заключении сделан вывод о возможности выдачи сертификата соответствия, ФСТЭК России в срок не более 30 календарных дней рассматривает материалы по сертификации средства защиты информации и при отсутствии недостатков принимает решение о выдаче сертификата соответствия.
Сертификат соответствия в течение 10 рабочих дней после подписания вручается заявителю или направляется ему заказным почтовым отправлением с уведомлением о вручении
17. Перечислите необходимые исходные данные для проведения классификации автоматизированных систем.
Исходные данные для классификации АС:
Перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности.
Перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий.
Матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС.
Режим обработки данных в АС.
18. Перечислите классы защищенности автоматизированных систем и их характеристики.
Выделяют девять классов защищенности АС, которые группируются в три группы:
Первая группа: Многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности, и не все пользователи имеют право доступа ко всей информации АС.
* 1 А, 1 Б, 1 В, 1 Г, 1 Д
Вторая группа: АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности.
*2 А – обработка информации, составляющую гос. тайну.
*2 Б - обработка служебной тайны или персональных данных. Третья группа: АС, в которых работает один пользователь,
допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности.
*3 А – обработка информации, составляющую гос. тайну.
* 3 Б – обработка служебной тайны или персональных данных.
19. Что является исходными данными для категорирования?
Исходные данные для категорирования:
Сведения об ОКИИ (Объектах КИИ).
Процессы, указанные в пункте 3 настоящих Правил, в рамках выполнения функций (полномочий) или осуществления видов деятельности субъекта КИИ.
Состав информации, обрабатываемой ОКИИ, сервисы по управлению, контролю или мониторингу, предоставляемые ОКИИ.
Декларация промышленной безопасности опасного производственного объекта, декларация безопасности гидротехнического сооружения и паспорт безопасности объекта топливно-энергетического комплекса в случае, если на указанных объектах функционирует ОКИИ.
Сведения о взаимодействии ОКИИ с другими ОКИИ и (или) о зависимости функционирования ОКИИ от других таких объектов.
Угрозы безопасности информации в отношении ОКИИ, а также имеющиеся данные, в том числе статистические, о компьютерных инцидентах, произошедших ранее на ОКИИ соответствующего типа.
Перечни типовых отраслевых ОКИИ.
20. Опишите процесс категорирования объектов. Что является результатом категорирования?
Процесс категорирования объектов критической информационной инфраструктуры (КИИ) по ФЗ №187 от 26.07.2017 включает несколько этапов:
Анализ процессов. Комиссия создаёт перечень всех сетей, систем и АСУ, которые используются в учреждении. Затем собирает информацию о работе каждого объекта: как он используется, с какими системами действует и т. д..
Определение критических процессов. Комиссия оставляет в списке только те объекты КИИ, без которых организация не сможет нормально работать.
Анализ показателей значимости. Определяется, насколько серьёзными будут последствия при сбоях работы объекта. Оценку проводят по 5 критериям:
социальная значимость: как сбой повлияет на жизнедеятельность населения;
политическая: как нарушится работа государственных органов;
экономическая: какие будут финансовые убытки;
экологическая: какой ущерб будет нанесён природе;
значимость для обороны страны, безопасности государства и правопорядка.
Установление категории. Всего можно присвоить 3 категории критической информационной инфраструктуры: III, II, I. Самая высокая — первая.
Оформление результатов:
Комиссия готовит акт категорирования. Документ объясняет,
почему выбрана та или иная категория.
Подготовка документации. Составляется полный пакет документов с паспортом объекта КИИ и планом защитных мер.
Направление сведений во ФСТЭК. Регулятор проверяет оценку и подтверждает правильность присвоенной категории.
21. Виды и основания государственного контроля критической информационной инфраструктуры (КИИ).
Виды и основания государственного контроля критической информационной инфраструктуры (КИИ):
Плановая проверка: Осуществляется по истечению трех лет со дня:
*внесения сведений об ОКИИ в реестр ЗО КИИ; * окончания осуществления последней плановой проверки в отношении ЗО
КИИ.
Внеплановая проверка:
* Истечение срока выполнения субъектом КИИ выданного предписания об устранении выявленного нарушения требований по обеспечению безопасности ЗО КИИ.
*Возникновение компьютерного инцидента, повлекшего негативные последствия, на ЗО КИИ.
*Приказ руководителя федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности КИИ РФ, изданный на основании требования прокурора.
22. Что входит в обязанности руководителя и структурного подразделения субъекта КИИ?
Обязанности руководителя субъекта КИИ (согласно приказу ФСТЭК № 235):
Создает систему безопасности, организует и контролирует ее функционирование.
Определяет состав и структуру системы безопасности, функции ее участников при обеспечении безопасности ЗО КИИ в зависимости от количества ЗО и особенностей деятельности субъекта КИИ.
Определяет структурное подразделение, ответственное за обеспечение безопасности ЗО КИИ или назначает отдельных работников.
Функции структурного подразделения по обеспечению безопасности КИИ
(согласно приказу ФСТЭК № 235):
Разрабатывать предложения по совершенствованию ОРД по безопасности ЗО и представлять их руководителю субъекта КИИ.
Проводить анализ угроз безопасности информации в отношении ЗО КИИ и выявлять уязвимости в них.
Обеспечивать реализацию требований по обеспечению безопасности ЗО КИИ, установленных в соответствии Федеральным законом №187.
Обеспечивать в соответствии с требованиями по безопасности реализацию организационных мер и применение с эксплуатацией средств защиты информации.
Осуществлять реагирование на компьютерные инциденты в порядке, установленном в соответствии с Федеральным законом №187.
Организовывать проведение оценки соответствия ЗО КИИ требованиям по безопасности.
Готовить предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов КИИ.
23.Какой пакет внутренних документов предприятия должен быть разработан для информационной системы?
Пакет внутренних документов предприятия, которые должны быть разработаны для информационной системы:
Положение об обработке персональных данных
Политика оператора в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных
Положение «О постоянно действующей комиссии»
Приказ «О создании постоянно действующей комиссии»
Приказ «О назначении лица, ответственного за организацию обработки персональных данных».
Приказ «О назначении лица (подразделения), ответственного за обеспечение безопасности персональных данных».
Акт определения уровня защищенности информационной системы.
Акт классификации информационной системы (ГИС).
Акт категорирования объектов КИИ.
Модель угроз безопасности.
План мероприятий по приведению деятельности оператора и его ИСПДн в соответствие с требованиями законодательства в области персональных данных.
Порядок обработки персональных работников, а также их права и обязанности в этой области (согласно главе 14 Трудового кодекса).
Регламент по работе с обращениями и запросами субъектов ПДн или их представителей.
Уведомление об обработке персональных данных.
Перечень должностей работников оператора, допущенных к обработке персональных данных.
Регламент допуска работников оператора к обработке ПДн.
Форма Обязательства о неразглашении персональных данных работником.
Перечни персональных данных, обрабатываемых оператором.
Перечень информационных систем персональных данных.
Техническое задание на систему защиты персональных данных.
Технический паспорт информационной системы персональных данных.
Перечень средств защиты информации.
Правила обработки ПДн, осуществляемой без использования средств автоматизации.
Инструкция администратора информационной безопасности.
Инструкция администратора ИСПДн.
Инструкция пользователя ИСПДн.
Инструкция по резервному копированию персональных данных.
Регламент по реагированию на инциденты информационной безопасности.
Документы в соответствии с приказом ФСБ 378 (перечень лиц, допущенных в помещения, где хранятся СКЗИ; перечень лиц, допущенных к работе с данными в информационной системе с использованием СКЗИ; положение о контролируемой зоне; форма обязательства о неразглашении конфиденциальной информации; перечень обрабатываемых данных в информационной системе; перечень средств защиты информации; журнал учета машинных носителей).