Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных (ПК-5)

Федеральные законы, осуществляющие правовое регулирование обработки и защиты информации. Порядок ограничения доступа к информации. Виды информации ограниченного доступа. Структура нормативно-правовых и методических документов в области персональных данных. Государственные регуляторы в сфере защиты информации и прав субъектов персональных данных, их функции и полномочия. Лицензируемые виды деятельности в области защиты конфиденциальной информации. Нормативно-правовые документы по вопросам лицензирования. Лицензионные требования. Функции участников системы лицензирования. Общий порядок получения лицензии. Заявительные документы. Угрозы утечки информации по техническим каналам: физические основы их возникновения. Угрозы несанкционированного доступа к информации. Виды нарушителей. Основные направления технической защиты конфиденциальной информации. Меры и средства защиты от утечек за счет ПЭМИН. Требования и рекомендации по защите конфиденциальной информации, обрабатываемой в автоматизированных системах. Концепция защиты средств вычислительной техники и автоматизированных систем от НСД к информации. Классификация АС. Требования к системе защиты информации от НСД. Основные механизмы защиты от НСД. Классы защищенности средств защиты информации от НСД.

Федеральный закон №152-ФЗ "О персональных данных". Цели и правовые основания обработки ПДн. Обязанности оператора ПДн. Категории персональных данных. Способы обработки ПДн и их особенности. Согласия на обработку, способы и необходимость их получения. Ответственный за организацию обработки. Общие меры по обеспечению безопасности ПДн. Содержание уведомления о намерении осуществлять обработку ПДн. Требования Постановления Правительства от 12.03.2012 г №211 и порядок их реализации. Документы, утверждаемые государственными операторами ПДн. Требования к защите ПДн при их неавтоматизированной обработке. Классификация угроз безопасности ПДн. Источники угроз. Основные типы угроз и их характеристика. Классификация нарушителей. Понятие актуальной угрозы. Угрозы утечки информации по техническим каналам. Угрозы несанкционированного доступа к информации. Способы реализации угроз. Методика определения актуальных угроз безопасности ПДн. Оценка вероятности реализации и опасности угрозы. Частная модель угроз. Особенности моделирования угроз при использовании криптографических средств защиты информации. Модель угроз и нарушителя. Уровни защищенности ПДн и порядок их определения (Постановление Правительства РФ 2012г №1119). Типы угроз. Требования по защите ПДн в зависимости от уровня защищенности. Порядок разработки системы защиты ПДн: обзор сложившихся подходов к построению систем защиты информации. Рекомендации по обследованию информационных ресурсов ИСПДн. Документирование требований по защите персональных данных, структура технического задания на систему защиты. Ввод системы защиты в эксплуатацию и формы оценки эффективности защиты.

Характеристика и содержание мер защиты ИАФ (идентификация и аутентификация субъектов доступа и объектов доступа), УПД (управление доступом субъектов доступа к объектам доступа) и ОПС (ограничение программной среды), ЗНИ (защита носителей информации) и других мер, предусмотренных Приказом ФСТЭК от 18.02.1013г №21. Возможные компенсационные меры и меры усиления защиты ПДн. Содержание базового набора мер защиты ПДн. Характеристики информационной системы, исходя из которых осуществляется адаптация базового набора мер. Порядок уточнения и дополнения адаптированного базового набора мер защиты. Взаимосвязь модели угроз безопасности и уточненного набора мер защиты. Выбор средств защиты информации для реализации выбранного набора мер защиты. Документальное оформление ввода в эксплуатацию системы защиты ПДн. Обеспечение защиты информации в ходе эксплуатации ИСПДн. Администрирование системы защиты ПДн. Создание и удаление учетных записей пользователей, управление полномочиями пользователей. Порядок обновления программного обеспечения СЗИ. Основы управления инцидентами информационной безопасности. Порядок проведения мероприятий государственного контроля и надзора в сфере ПДн. Сферы компетенции регуляторов. Требования регуляторов, обзор сложившейся практики. Основные документы операторов ПДн, необходимые при проверках регуляторов. Содержание основных документов по организации защиты ПДн.