Jоссииhttps://ви.мвд.рф/upload/site132/document_file... · 2016-02-18 ·

Воронежский институт МВД России

Факультет переподготовки и повышения квалификации

СОГЛАСОВАНО

Начальник ГУ МВД России

по Воронежской области

генерал-лейтенант полиции

А.Н. Сысоев

«___» ______________ 2016 г.

УТВЕРЖДАЮ

Начальник института

полковник полиции

А.П. Нахимов

«___» ____________ 2016 г.

Рассмотрена и одобрена

на заседании Ученого

совета института

протокол №_______

от «___»____________2016 г.

Рабочая дополнительная профессиональная программа

повышения квалификации

сотрудников подразделений защиты информации по специализации «Защита

персональных данных, содержащихся в информационных системах»

Воронеж

2016 г.

Рабочая программа разработана в соответствии с требованиями, предъявляемыми

Департаментом государственной службы и кадров МВД России к системе высшего

образования.

Рабочая программа разработана старшим преподавателем кафедры

информационной безопасности, кандидатом технических наук, доцентом

подполковником полиции Д.Ю. Лиходедовым.

Рецензенты: Бокова О.И., начальник кафедры инфокоммуникационных

систем и технологий Воронежского института МВД России,

д.т.н., профессор полковник полиции.

Сячин А.В., начальник центра информационных

технологий, связи и защиты информации ГУ МВД России по

Воронежской области, полковник внутренней службы.

Настоящая рабочая программа обсуждена и одобрена

на заседании кафедры информационной безопасности

«____» _______ 20__ года. Протокол № __.

на заседании методического совета института

«___» ________ 20__ года. Протокол №____

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Нормативные документы для разработки рабочей программы повышения

квалификации

Рабочая программа повышения квалификации сотрудников органов внутренних

дел по специализации «Защита персональных данных, содержащихся в

информационных системах» разработана на основе следующих нормативных

документов:

- федеральный закон от 29 декабря 2012 г. № 273- ФЗ «Об образовании в

Российской Федерации»;

- приказ Министерства образования и науки Российской Федерации от 1

июля 2013 г. № 499 «Об утверждении Порядка организации и осуществления

образовательной деятельности по дополнительным профессиональным программам».

1.2. Цель повышения квалификации

Целью рабочей программы повышения квалификации является

совершенствование и актуализация компетенций, необходимых для профессиональной

деятельности сотрудников ОВД по защите персональных данных, содержащихся в

информационных системах.

1.3. Планируемые результаты освоения программы

Повышение квалификации сотрудников органов внутренних дел по

специализации «Защита персональных данных, содержащихся в информационных

системах» направлено на совершенствование и актуализацию необходимых в их

деятельности компетенций.

1. Профессиональные компетенции:

- способность прогнозировать, ранжировать, моделировать информационные

угрозы телекоммуникационных систем и оценивать уровни риска (ПК-21);

способность осуществлять аудит уровня защищенности и аттестацию

телекоммуникационных систем (ПК-25).

2. Профессионально-специализированные компетенции:

- способность применять технические средства защиты информации в сетях

специальной связи и на объектах информатизации ОВД (ПСК-3.4).

В результате повышения квалификации слушатели должны:

Знать:

- требования законодательной и нормативной правовой базы, регламентирующей

защиту персональных данных в ОВД;

- структуру единой системы информационно-аналитического обеспечения

деятельности МВД России;

- классификацию угроз безопасности персональных данных и каналы утечки

информации;

- основные этапы организации обработки и защиты персональных данных;

- основные методы, способы, программно-аппаратные и технические средства

защиты персональных данных.

Уметь:

- выполнять служебные обязанности по обеспечению безопасности

персональных данных в информационных системах ОВД в соответствии с

требованиями регуляторов;

- разрабатывать организационно-распорядительную документацию на

эксплуатируемые информационные системы;

- создавать систему защиты персональных данных, обеспечивающую

конфиденциальность, целостность и доступность персональных данных во всех

структурных элементах, на технологических участках обработки и во всех режимах

функционирования информационной системы.

Владеть:

- навыками администрирования средств защиты информации, используемых для

защиты персональных данных в ОВД.

1.4. Нормативный срок освоения программы

По данному направлению подготовки нормативный срок освоения рабочей

программы повышения квалификации составляет 100 академических часов по очной

форме обучения.

1.5. Трудоемкость

Объем аудиторной учебной нагрузки обучающихся в неделю при освоении

рабочей программы за период обучения составляет 40 академических часов, не включая

самостоятельную работу.

2. ОРГАНИЗАЦИОННО-ПЕДАГОГИЧЕСКИЕ УСЛОВИЯ

2.1. Требования к условиям реализации программы

Образовательная деятельность обучающихся предусматривает следующие

виды учебных занятий и учебных работ: лекции, практические, лабораторные

занятия, а также семинары.

Реализация компетентностного подхода предусматривает широкое

использование активных и интерактивных форм проведения занятий в сочетании с

внеаудиторной работой с целью формирования и развития профессиональных

навыков обучающихся. В рамках аудиторных и факультативных занятий

предусмотрены встречи с представителями разработчиков программного

обеспечения и ведущими специалистами в данной области знаний.

Для всех видов аудиторных занятий академический час устанавливается

продолжительностью 45 минут.

Консультация перед итоговой аттестацией проводится в последний учебный

день, предшествующий итоговой аттестации.

Освоение рабочей программы завершается итоговой аттестацией в форме

квалификационного экзамена.

Лицам, успешно освоившим программу повышения квалификации и

прошедшим итоговую аттестацию, выдаются документы о квалификации –

удостоверение о повышении квалификации.

Оценка качества освоения рабочей программы проводится в отношении:

- соответствия результатов рабочей программы повышения квалификации

заявленным целям и планируемым результатам обучения;

- соответствия организации образовательной деятельности в Воронежском

институте МВД России и реализации дополнительной профессиональной

программы повышения квалификации установленным требованиям к структуре,

порядку и условиям реализации образовательных программ;

- способности Воронежского института МВД России результативно и

эффективно выполнять деятельность по предоставлению образовательных услуг.

2.2. Информационное обеспечение образовательного процесса

при реализации рабочей программы повышения квалификации

Обучающиеся по программе повышения квалификации в Воронежском

институте МВД России обеспечиваются доступом к современным

профессиональным базам данных, информационным справочным и поисковым

системам, что позволяет в полной мере обеспечить реализацию программы.

2.2.1. Библиотечно-информационное обеспечение учебного процесса

Обучающимся по программе повышения квалификации предоставлена

возможность пользоваться фондами общей библиотеки Воронежского института

МВД России, включающей читальный зал и зал, предоставляющий услуги по

доступу к сети Интернет.

Общая библиотека Воронежского института МВД России удовлетворяет

требованиям Примерного положения о формировании фондов библиотеки высшего

учебного заведения, утвержденного приказом Минобразования России от 27 апреля

2000 г. № 1246, соответствует нормативам обеспеченности высших учебных

заведений согласно приказу Минобразования России от 11 апреля 2001 г. № 1623,

Приказу МВД России от 24 декабря 2008 г. № 1146 «О совершенствовании

деятельности библиотек органов внутренних дел Российской Федерации» и Приказу

МВД России от 12 декабря 2012 г. № 1097 «Об утверждении Порядка организации

работы по формированию фондов библиотек образовательных учреждений системы

МВД России».

Кроме того, для обучающихся по программе повышения квалификации

организован доступ к полнотекстовым ресурсам электронно-библиотечной системы

– электронной библиотеке с возможностью неограниченного доступа к изданиям по

техническим дисциплинам.

2.2.2. Информационно-справочные и поисковые системы

Для подготовки обучающихся к занятиям в общей библиотеке оборудован зал,

предоставляющий услуги по доступу к сети Интернет на 8 рабочих мест с

возможностью бесплатного выхода в сеть. Здесь же организована возможность

доступа к информационно-правовым системам «Консультант Плюс» и «Гарант».

На территории Воронежского института МВД России организован

беспроводной доступ в сеть Интернет.

2.3. Основные материально-технические условия реализации

рабочей программы повышения квалификации

В целях обеспечения практической направленности обучения на кафедре

информационной безопасности института имеются оборудованные специальными

средствами: лаборатория электронной подписи и программно-аппаратных средств

защиты; лаборатория по криптографии; лаборатория по техническим средствам

защиты информации.

3. СОДЕРЖАНИЕ ПРОГРАММЫ

3.1. Учебный план

№

п/п Наименование разделов и тем

Все

го ч

асо

в

Из них

Лек

ци

и

Пр

ак

ти

чес

ки

е

зан

яти

я

Лабор

атор

ны

е

зан

яти

й

Сем

ин

ар

ы

Кон

тр

ол

ьн

ая

работа

Раздел 1. Антикоррупционный стандарт поведения и

психологические аспекты профессионального общения сотрудников ОВД

1.1. Организационно-методическое собрание

слушателей. 2 2

1.2. Входной контроль. 2 2

1.3 ААннттииккооррррууппццииоонннныыйй ссттааннддаарртт ппооввееддеенниияя

ссооттррууддннииккоовв ООВВДД.. 2 2

1.4

Психологические аспекты

профессионального общения сотрудников

ОВД.

4 2 2

1.5 Основы управления персоналом в органах

внутренних дел. 2 2

Раздел 2. Правовые основы защиты персональных данных

2.1. Правовой режим персональных данных. 6 4 2

2.2. Нормативные правовые акты регуляторов

в области защиты ПДн. 4 2 2

Раздел 3. Методика создания информационных систем персональных

данных

3.1. Основы построения IP сетей. 4 2 2

3.2. Базы данных. 4 2 2

Раздел 4. Угрозы безопасности персональных данных. Защита от угроз

4.1.

Угрозы безопасности персональных

данных. Технические каналы утечки

информации.

6 2 4

4.2. Системы контроля, управления и

разграничения доступа. 4 2 2

4.3

Методы и способы защиты персональных

данных от утечки по техническим

каналам.

4 2 2

Раздел 5. Организация работ по обеспечения безопасности персональных данных

5.1 Основные этапы создания системы

защиты персональных данных. 6 2 4

5.2 Разработка модели угроз безопасности

персональных данных. 4 2 2

№

п/п Наименование разделов и тем

Все

го ч

асо

в

Из них

Лек

ци

и

Пр

ак

ти

чес

ки

е

зан

яти

я

Лабор

атор

ны

е

зан

яти

й

Сем

ин

ар

ы

Кон

тр

ол

ьн

ая

работа

5.3

Оценка соответствия ИСПДн

требованиям по безопасности

персональных данных.

4 2 2

Раздел 6. Технические средства и методы защиты персональных данных

6.1 Основы компьютерной безопасности. 10 2 8

6.2 Методы и способы защиты ПДн,

обрабатываемых техническими

средствами информационной системы, от

несанкционированного доступа.

6 2 4

Раздел 7. Обеспечение безопасности персональных данных с использованием средств

криптографической защиты информации и средств электронной подписи

7.1 Средства криптографической защиты

конфиденциальной информации. 6 2 4

7.2 Использование средств обеспечения ЭП

для функционирования электронного

документооборота в органах внутренних

дел.

10 2 8

7.3 Защита ПДн с использованием

программно-аппаратного комплекса

ViPNet CUSTOM.

10 4 6

Выходной контроль. 2 2

Итоговая аттестация. 6 6

Итого: 100 40 10 40 18

РРААББООЧЧААЯЯ ППРРООГГРРААММММАА УУЧЧЕЕББННЫЫХХ ППРРЕЕДДММЕЕТТООВВ,, ККУУРРССООВВ,,

ДИСЦИПЛИН (МОДУЛЕЙ)

РАЗДЕЛ 1. АНТИКОРРУПЦИОННЫЙ СТАНДАРТ ПОВЕДЕНИЯ И

ПСИХОЛОГИЧЕСКИЕ АСПЕКТЫ ПРОФЕССИОНАЛЬНОГО ОБЩЕНИЯ

СОТРУДНИКОВ ОВД

Тема 1 Антикоррупционный стандарт поведения сотрудников ОВД

Коррупционно-опасное поведение и его предупреждение. Понятие

«коррупция». История происхождения. Типы коррупционного поведения и их

социальные последствия. Способы преодоления коррупции. Правовое воспитание

как фактор, препятствующий коррупционно-опасному поведению. Нравственная

необходимость следования профессионально-этическому стандарту

антикоррупционного поведения.

Тема 2 Психологические аспекты профессионального общения

сотрудников ОВД

Основы профессиональной психологии сотрудников ОВД. Психологическая

характеристика профессионального общения сотрудников ОВД. Психология

деятельности сотрудников ОВД в экстремальных условиях. Психотехника решения

познавательных задач в деятельности сотрудника ОВД. Психология

конструктивного поведения в аспекте урегулирования конфликта. Эмоциональная

регуляция в конфликте. Понятие и психологические приемы. Психологическая

рефлексия как условие управления конфликтной ситуацией. Конфликтная

аналитика. Психология конструктивного противодействия в конфликте.

Переговорный процесс как способ разрешения конфликта. Управленческая

деятельность в органах внутренних дел. Основы управления персоналом в органах

внутренних дел. Организация и методика планирования деятельности сотрудников

подразделений по технической защите информации.

РАЗДЕЛ 2. ПРАВОВЫЕ ОСНОВЫ ЗАЩИТЫ

ПЕРСОНАЛЬНЫХ ДАННЫХ

Тема 1 Правовой режим персональных данных

Персональные данные как вид защищаемой информации. Понятие и виды

защищаемой информации в Российской Федерации. Правовое регулирование

защиты персональных данных в РФ. Нормативные правовые акты международного

уровня. Основы правовой защиты персональных данных. Понятие и виды

персональных данных. Правовой механизм ограничения доступа к персональным

данным. Ответственность за нарушения защиты персональных данных. Уголовная

ответственность за разглашение персональных данных. Административная

ответственность в сфере защиты персональных данных. Иные виды ответственности

в сфере защиты персональных данных.

Тема 2 Нормативные правовые акты регуляторов

Нормативные правовые акты Роскомнадзора России, ФСТЭК России

(Гостехкомиссии) и ФСБ России. Государственные стандарты в области

обеспечения безопасности информации. Приказы МВД России.

РАЗДЕЛ 3. МЕТОДИКА СОЗДАНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ


Тема 1 Основы построения IP сетей Основы маршрутизации. Сетевые ресурсы. Классы каналов связи. Основы IP-

адресации и маршрутизации. Технические и программные средства сетевой

передачи данных. Основы управления сетевыми ресурсами. Формирования следов

при использовании сетевых ресурсов. Создание информационных систем

персональных данных. Техническое задание на создание автоматизированной

системы. Стадии создания автоматизированных систем. Порядок создания

автоматизированных систем в защищенном исполнении. Создание системы защиты

информационных систем и подсистемы защиты информации: обеспечения

регистрации и учета, анализа защищенности, обнаружения вторжений, межсетевого

взаимодействия, криптографической защиты, антивирусной защиты, управления

доступом, обеспечения целостности.

Тема 2 Базы данных

Основные базы данных и их особенности. Основы работы с базами данных.

Способы поиска и конвертирования информации из баз данных. Базы данных

электронных почтовых сообщений. Особенности обеспечения безопасности

персональных данных, обрабатываемых в базах данных.

РАЗДЕЛ 4. УГРОЗЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

ЗАЩИТА ОТ УГРОЗ

Тема 1 Угрозы безопасности персональных данных. Технические каналы

утечки информации

Классификация угроз безопасности персональных данных. Угрозы утечки по

техническим каналам. Угрозы утечки акустической (речевой) информации. Угрозы

утечки видовой информации. Угрозы утечки информации по каналам побочных

электромагнитных излучений и наводок. Основные понятия об источниках и

каналах утечки информации. Обобщенная модель канала утечки информации.

Принцип формирования акустических (речевых) сигналов и основные

характеристики средств акустической разведки. Принцип формирования и основные

характеристики акустических (речевых) сигналов. Проводные системы.

Акустические закладки. Направленные микрофоны. Классификация технических

средств акустической разведки. Характеристика технических средств акустической

разведки.

Методы и средства съема информации с проводных линий связи.

Классификация и характеристика технических каналов перехвата информации при

ее передаче по каналам связи. Средства перехвата телефонных разговоров. Средства

перехвата факсимильных передач. Методы и средства радио- и радиотехнической

разведки. Классификация методов и средств радио- и радиотехнической разведки.

Основные технические характеристики средств радио- и радиотехнической

разведки. Методика применения средств радио- и радиотехнической разведки.

Тема 2 Системы контроля, управления и разграничения доступа

Системы контроля, управления и разграничения доступа. Основные понятия о

ключах, идентификаторах и блокирующих устройствах. Принципы построения

систем СКУД. Разграничение доступа в компьютерных системах. Формирование

безопасной среды при работе на ПЭВМ и в ЛВС. Варианты мониторинга сетевых

действий.

Тема 3 Методы и способы защиты персональных данных от утечки

по техническим каналам

Требования ФСТЭК России по методам и способам защиты персональных

данных. Методы и способы защиты ПДн от утечки по техническим каналам. Методы

и способы защиты акустической (речевой) информации. Методы и способы защиты

видовой информации. Методы и способы защиты информации от утечки по каналам

побочных электромагнитных излучений и наводок.

РАЗДЕЛ 5. ОРГАНИЗАЦИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ

БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Тема 1 Основные этапы создания системы защиты персональных данных

Инвентаризация информационных ресурсов оператора. Определение состава

обрабатываемых ПДн, целей и условий обработки. Согласие субъекта на обработку

ПДн. Разработка правил обработки ПДн. Классификация информационных систем

и определение уровня защищенности ПДн.

Порядок защиты персональных данных. Анализ внутренних документов,

регламентирующих защиту информации. Определение используемых СЗПДн и

оценка их соответствия требованиям нормативных документов. Определение

степени участия персонала в обработке ПДн и режима доступа к ним. Определение

перечня автоматизированных рабочих мест, обрабатывающих ПДн. Определение

перечня серверного, коммутационного и сетевого оборудования. Определение

используемого в ИСПДн системного и прикладного программного обеспечения.

Определение ответственных за организацию обработки и обеспечение безопасности

персональных данных. Уведомление ДИТСиЗИ о начале обработки ПДн.

Организация деятельности подразделений, на которые возложены вопросы

обеспечения безопасности персональных данных: организация и планирование

работы, порядок взаимодействия с другими подразделениями, порядок

осуществления контроля. Оформление документации на эксплуатируемые ИСПДн.

Тема 2 Разработка модели угроз безопасности персональных данных

Угрозы безопасности персональных данных при их обработке в ИСПДн.

Классификация угроз безопасности персональных данных. Типовые модели угроз

безопасности ПДн, обрабатываемых в ИСПДн. Разработка модели угроз ИСПДн.

Определение исходных данных. Оценка степени исходной защищенности ИСПДн.

Методика выбора актуальных угроз безопасности ПДн. Разработка модели угроз при

использовании для обеспечения безопасности персональных данных криптосредств.

Методология формирования модели угроз верхнего уровня. Методология

формирования детализированной модели угроз. Методология формирования

модели нарушителя.

Тема 3 Оценка соответствия ИСПДн требованиям по безопасности

персональных данных

Получение лицензии на защиту конфиденциальной информации.

Требования к соискателям лицензии. Требования к нормативно-методическому

обеспечению. Требования к производственному, испытательному и контрольно-

измерительному оборудованию, средствам контроля защищенности информации,

средствам защиты информации. Подготовка к проведению специальной экспертизы.

Проведение специальной экспертизы.

Аттестация ИСПДн по требованиям безопасности информации.

Подготовка к аттестации со стороны оператора. Основные этапы аттестационных

испытаний ИСПДн.

РАЗДЕЛ 6. ТЕХНИЧЕСКИЕ СРЕДСТВА И МЕТОДЫ ЗАЩИТЫ


Тема 1 Основы компьютерной безопасности

Угрозы безопасности информации в компьютерных системах. Классификация

угроз безопасности информации. Случайные угрозы безопасности информации в

компьютерных системах. Преднамеренные угрозы безопасности информации в

компьютерных системах. Удаленные атаки на компьютерную сеть. Классификация

и характеристика каналов утечки компьютерной информации. Методы и средства

защиты от несанкционированного доступа. Основные задачи защиты от

несанкционированного доступа. Средства и системы защиты информации от

несанкционированного доступа. Физическая безопасность информационных

ресурсов. Аппаратные и механические средства защиты ПЭВМ. Способы и средства

опознавания пользователей. Электронные ключи.

Тема 2 Методы и способы защиты ПДн, обрабатываемых техническими

средствами информационной системы, от несанкционированного доступа

Организационные вопросы защиты программ и данных компьютерных систем

и сетей. Общая характеристика организационных методов защиты ин-формации в

КС. Организационно-технические меры защиты локальной рабочей станции. Меры

по обеспечению надежности функционирования СЗИ. Методы и средства

обеспечения информационной безопасности информационно-вычислительных

сетей. Цели, функции и задачи защиты информации в сетях ЭВМ. Принципы

обеспечения информационной безопасности вычислительных сетей. Современные

средства обеспечения информационной безопасности вычислительных сетей.

РАЗДЕЛ 7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПДн

С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ

ЗАЩИТЫ ИНФОРМАЦИИ И СРЕДСТВ ЭЛЕКТРОННОЙ ПОДПИСИ

Тема 1 Средства криптографической защиты конфиденциальной информации

Обзор средств криптографической защиты конфиденциальной информации.

Средства криптографической защиты конфиденциальной информации DioNIS FW

16000 КВ2. Подключение криптомаршрутизатора DioNIS FW 16000 КВ2 к ТСР/IР-

сетям. Специальные настройки интерфейсов. Настройка функций маршрутизации

DioNIS FW 16000 КВ2. Конфигурирование ODI-интерфейса. Настройка функций

защиты «DioNIS FW». Функции защиты DioNIS FW. Фильтры. Трансляция адресов

(NAT). Стратегии формирования фильтров. Создание и редактирование фильтров.

Настройка NAT-обработчика. Настройка криптографических функций. Работа с

ключевой информацией. Инициализация шифратора DioNIS FW. Настройка

статических туннелей. Оперативное управление туннелями.

Тема 2 Использование средств обеспечения ЭП для функционирования

электронного документооборота в органах внутренних дел

Основы электронной подписи. Понятие электронной подписи. Взаимосвязь

между протоколами аутентификации и электронной подписи. Хэш - функция и ее

использование в системах электронной подписи. Схемы ЭП. Подготовка рабочего

места к работе с электронной подписью. Выработка и проверка электронной

подписи. Установка и настройка совместной работы КриптоПро CSP, ПКСЗИ

ШИПКА, Rutoken, eToken.

Тема 3 Защита ПДн с использованием программно-аппаратного

комплекса ViPNet CUSTOM

ННааззннааччееннииее ппррооггррааммммнноо--ааппппааррааттннооггоо ккооммппллееккссаа VViiPPNNeett CCUUSSTTOOMM.. ККллююччееввыыее

ффууннккццииии ккооммппллееккссаа.. ССппееццииффииккаа ззаащщииттыы ккооммппььююттееррнноойй ссееттии ооррггааннииззааццииии сс

ппооммоощщььюю VViiPPNNeett CCUUSSTTOOMM.. ССооссттаавв ии ннааззннааччееннииее ккооммппооннееннттоовв ккооммппллееккссаа VViiPPNNeett

CCUUSSTTOOMM.. ППееррввооннааччааллььннааяя ннаассттррооййккаа ккррииппттооггррааффииччеессккоойй ссееттии.. ООссооббееннннооссттии

ррааббооттыы ЦЦееннттрраа УУппррааввллеенниияя ССееттььюю.. ООссооббееннннооссттии ррааббооттыы УУддооссттооввеерряяюющщееггоо

ККллююччееввооггоо ЦЦееннттрраа.. ААппппааррааттнныыее ммооддууллии HHWW CCoooorrddiinnaattoorr..

РЕКОМЕНДУЕМАЯ ЛИТЕРАТУРА

Нормативные правовые акты:

1. О персональных данных : федер. закон от 27 июля 2006 г. № 152-ФЗ //

Собрание законодательства Российской Федерации. - 2006. - № 31 (1 ч.). Ст. 3451.

2. Об утверждении Перечня сведений конфиденциального характера: указ

Президента Российской Федерации, 6 марта 1997 г. - № 188 // Собр. законодательства

Российской Федерации. – 1997. - № 10. Ст. 1127.

3. Об утверждении перечня мер, направленных на обеспечение выполнения

обязанностей, предусмотренных Федеральным законом «О персональных данных» и

принятыми в соответствии с ним нормативными правовыми актами, операторами,

являющимися государственными или муниципальными органами : постановление

Правительства Российской Федерации, 21 марта 2012 г. № 211 // Собр.

законодательства Рос. Федерации. - 2012. - № 14. - Ст. 1626.

4. Об утверждении требований к защите персональных данных при их

обработке в информационных системах персональных данных : постановления

Правительства Российской Федерации, 1 ноября 2012 г. № 1119 // Собр.

законодательства Рос. Федерации. - 2012. - № 45. - Ст. 6257.

5. Об утверждении требований к материальным носителям биометрических

персональных данных и технологиям хранения таких данных вне информационных

систем персональных данных : постановление Правительства Российской

Федерации, 6 июля 2008 г. № 512 // Собр. законодательства Рос. Федерации. - 2008.

- № 28. - Ст. 3384.

6. Об утверждении Положения об особенностях обработки персональных

данных, осуществляемой без использования средств автоматизации : Постановление

Правительства Российской Федерации, 15 сентября 2008 г. № 687 // Собр.

законодательства Российской Федерации - 2008. - № 38. - Ст. 4320.

7. Об утверждении Положения о разработке, производстве, реализации и

эксплуатации шифровальных (криптографических) средств защиты информации

(Положение ПКЗ-2005) : приказ Федеральной службы безопасности России, 9

февраля 2005 г. - № 66 // Бюллетень нормативных актов федеральных органов

исполнительной власти - 2005. - № 11.

8. Об утверждении Административного регламента исполнения

Федеральной службой по надзору в сфере связи, информационных технологий и

массовых коммуникаций государственной функции по осуществлению

государственного контроля (надзора) за соответствием обработки персональных

данных требованиям законодательства Российской Федерации в области

персональных данных : приказ Министерства связи и массовых коммуникаций

Российской Федерации, 14 ноября 2011 г. - № 312 // Бюллетень нормативных актов

федеральных органов исполнительной власти - 2012. - № 9.

9. Об утверждении Состава и содержания организационных и технических

мер по обеспечению безопасности персональных данных при их обработке в

информационных системах персональных данных с использованием средств

криптографической защиты информации, необходимых для выполнения

установленных Правительством Российской Федерации требований к защите

персональных данных для каждого из уровней защищенности : приказ ФСБ России,

10 июля 2014 г. - N 378. Зарегистрирован в Минюсте РФ 18 августа 2014 г.

регистрационный N 33620 // Российская газ. - 2014. – 17 сентября.

10. Об утверждении Требований о защите информации, не составляющей

государственную тайну, содержащейся в государственных информационных

системах : приказ Федеральной службы по техническому и экспортному контролю

России, 11 февраля 2013 г. - № 17 // Российская газ. - 2013. - 26 июня.

11. Об утверждении состава и содержания организационных и технических

мер по обеспечению безопасности персональных данных при их обработке в

информационных системах персональных данных : приказ Федеральной службы по

техническому и экспортному контролю России, 18 февраля 2013 г. - № 21 //

Российская газ. - 2013. - 22 мая.

12. Об утверждении требований и методов по обезличиванию персональных

данных : приказ Федеральной службы по надзору в сфере связи, информационных

технологий и массовых коммуникаций, 05 сентября 2013 г. - № 996 // Российская газ.

- 2013. – 18 сентября.

13. Методика определения актуальных угроз безопасности персональных

данных при их обработке в информационных системах персональных данных.

Утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.

[Электронный ресурс] - URL : http://fstec.ru/component/attachments/download/290

(дата обращения 25.03.2014).

14. Базовая модель угроз безопасности персональных данных при их

обработке в информационных системах персональных данных (выписка).

Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.

[Электронный ресурс] - URL : http://fstec.ru/component/attachments/download/289

(дата обращения 25.03.2014).

15. Меры защиты информации в государственных информационных системах.

Утверждены ФСТЭК России 11 февраля 2014 г. [Электронный ресурс] - URL :

http://fstec.ru/component/attachments/download/675 (дата обращения 25.03.2014).

16. Приказ МВД России от 17.06.2013 № 031 «О нормах положенности на

средства защиты информации для органов внутренних дел Российской Федерации».

17. Приказ МВД России от 06.07.2012 № 678 «Об утверждении Инструкции по

организации защиты персональных данных, содержащихся в информационных

системах органов внутренних дел Российской Федерации.

18. Приказ МВД России от 15 июля 2013 г. № 538 «О внесении изменений в

«Инструкцию по организации защиты персональных данных, содержащихся в

информационных системах органов внутренних дел Российской Федерации».

19. Перечень информационных систем персональных данных органов

внутренних дел Российской Федерации. Утвержден распоряжением МВД России от

26.08.2013 № 1/7928.

20. Базовая модель нарушителя безопасности информации «Единой системы

информационно-аналитического обеспечения деятельности МВД России» при

обработке информации, не содержащей государственную тайну. Утверждена

заместителем Министра внутренних дел России 3 апреля 2014 ДСП.

21. Базовая модель угроз «Единой системы информационно-аналитического

обеспечения деятельности МВД России» при обработке информации, не

содержащей государственную тайну. Утверждена заместителем Министра

внутренних дел России 17 марта 2014 ДСП.

22. Частная модель нарушителя безопасности информации ИСОД МВД

России при обеспечении доступа сотрудников МВД России с использованием

мобильных устройств. Утверждена заместителем Министра внутренних дел России

3 апреля 2014 ДСП.

23. Частная модель угроз ИСОД МВД России с использованием мобильных

устройств. Утверждена заместителем Министра внутренних дел России 17 марта

2014 ДСП.

Основная:

1. О персональных данных: Комментарий к Федеральному закону от 27 июля

2006 года № 152-ФЗ (постатейный) / Р. В. Амелин [и др.] // Консультант Плюс, 2013.

2. Вихорев С. В. Диалоги о безопасности информации, или введение в основы

построения систем обеспечения информации : пособие // С. В. Вихорев, А.

М. Сычев. - Москва : Медиа Группа «Авангард», 2015. - 640 с.

3. Мещеряков В. А. Персональные данные: организация обработки и

обеспечения безопасности в органах государственной власти и местного

самоуправления : научно-методическое пособие //В. А. Мещеряков [и др.] –

Воронеж : ВИ МВД России, 2014. - 189 с.

4. Лиходедов Д. Ю. Организация безопасности персональных данных в

подразделениях органов внутренних дел : учебное пособие // Д. Ю. Лиходедов. -

Воронеж: ВИ МВД России, 2014. - 43 с.

ДДооппооллннииттееллььннааяя::

1. Хорев А. А. Защита информации от утечки по техническим каналам : учеб.

пособие. / А. А. Хорев. - Москва : МО РФ, 2006. – 436 с.

2. Змеев С. А. Методы и средства повышения защищенности

автоматизированных систем на основе задания требований к механизмам защиты :

учеб. пособие / С. А. Змеев [и др.]. - Воронеж : Воронежский институт МВД РФ, 2013.

- 105 с.

3. Зайцев А. П. Техническая защита информации : учебник для вузов /

А. П. Зайцев [и др.]. - 5-е изд., перераб. и доп. - Москва : Горячая линия-Телеком,

2009. - 616 с.

Материально-техническое обеспечение

Программное обеспечение:

1. Операционная система Microsoft Windows.

2. Пакет офисных программ Microsoft Office.

3. Программное обеспечения для чтения файлов в формате PDF.

4. Система дистанционного обучения STELLUS.

5. Криптомаршрутизаторы DioNIS TS/FW/16000/КВ2.

6. ПАК «Навигатор».

7. ПАК «Спрут - Мини».

8. ПАК «Соболь»

9. ПАК «Secret Net»

10. ПАК «Dallas Lock».

Информационные справочные системы:

1. Справочная правовая система «Консультант Плюс».

2. Информационно-правовое обеспечение Гарант.

ПЕРЕЧЕНЬ РЕСУРСОВ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАИОННОЙ СЕТИ

«ИНТЕРНЕТ», НЕОБХОДИМЫХ ДЛЯ ОСВОЕНИЯ ПРОГРАММЫ

1. Информационно-правовой портал Гарант – URL: http://www.garant.ru

2. Официальный сайт компании – КонсультантПлюс».URL:

http://www.consultant.ru

3. Электронно-библиотечная система «КнигаФонд – URL:

http://www.knigafundt.ru

4. Электронно-библиотечная система – URL: http://www.iprbookshop.ru

«IPRbooks».

5. Официальный сайт Федеральной службы по техническому и экспортному

контролю –URL: http://fstec.ru

6. Официальный сайт Федеральной службы безопасности – URL:

http://www.fsb.ru

7. Официальный сайт Федеральной службе по надзору в сфере связи,

информационных технологий и массовых коммуникаций – URL: http://rkn.gov.ru

http://www.knigafundt.ru/

http://www.iprbookshop.ru/

4. ФОРМЫ АТТЕСТАЦИИ

Контроль успеваемости обучающихся – важнейшая форма контроля

образовательной деятельности, включающая в себя целенаправленный

систематический мониторинг освоения обучающимися рабочей программы

повышения квалификации в целях:

- получения необходимой информации обучающимися дополнительной

профессиональной программы повышения квалификации;

- оценки уровня знаний, умений и приобретенных (усовершенствованных)

компетенций;

- стимулирования самостоятельной работы обучающихся.

Итоговая аттестация (квалификационный экзамен) для обучающихся

проводится в соответствии с требованиями, установленными Федеральным законом

от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации», приказом

Минобрнауки России от 01.07.2013 № 499 «Об утверждении Порядка организации

и осуществления образовательной деятельности по дополнительным

профессиональным программам».

Освоение рабочей программы повышения квалификации завершается

итоговой аттестацией в форме квалификационного экзамена.

К итоговой аттестации допускаются лица, выполнившие требования,

предусмотренные курсом обучения по программе повышения квалификации и

успешно прошедшие все промежуточные аттестационные испытания,

предусмотренные учебным планом.

Итоговая аттестация проводится в сроки, предусмотренные учебным планом

и календарным графиком учебного процесса.

Лицам, успешно освоившим программу повышения квалификации и

прошедшим итоговую аттестацию, выдается документ о квалификации –

удостоверение о повышении квалификации.

Лицам, не прошедшим итоговую аттестацию или получившим на итоговой

аттестации оценку «неудовлетворительно», а также лицам, освоившим часть

рабочей программы повышения квалификации и (или) отчисленным из

образовательной организации МВД России в ходе освоения рабочей программы

повышения квалификации, выдается справка об обучении или о периоде обучения.

5. ОЦЕНОЧНЫЕ МАТЕРИАЛЫ

ПЕРЕЧЕНЬ ВОПРОСОВ ДЛЯ ПОДГОТОВКИ

К КВАЛИФИКАЦИОННОМУ ЭКЗАМЕНУ

1. Правовое и нормативное обеспечение защиты ПДн.

2. Назначение и средства антивирусной защиты.

3. Категории ПДн.

4. Назначение и средства идентификации и аутентификации субъектов.

5. Контролирующие органы в области ПДн, их функции.

6. Назначение и способы ограничения программной среды.

7. Мероприятия по обеспечению защиты ПДн при их обработке в

информационных системах ПДн.

8. Согласие субъекта на обработку ПДн.

9. Назначение и способы физической защиты технических средств

компьютерной системы.

10. Документы, предусмотренные постановлением Правительства 211, вид и

краткое содержание.

11. Назначение и способы обеспечения доступности персональных данных.

12. Назначение выявления инцидентов (одного события или группы событий),

которые могут привести к сбоям или нарушению функционирования

информационной системы и (или) к возникновению угроз безопасности

персональных данных, и реагирование на них.

13. Условия обработки персональных данных.

14. Назначение средств обнаружения (предотвращения) вторжений.

15. Модель угроз ИСПДн. Методика разработки.

16. Назначение и способы управление доступом субъектов доступа к объектам

доступа.

17. Классификация информационных систем.

18. Назначение и способы обеспечение целостности информационной

системы и персональных данных.

19. Определение уровня защищенности ПДн.

20. Назначение средств контроля (анализа) защищенности персональных

данных.

21. Аттестация ОИ, имеющего в своем составе ИСПДн.

22. Назначение и средства регистрация событий безопасности (аудит).

23. Контроль и надзор за выполнением требований по обеспечению

безопасности ПДн.

24. Назначение и способы защиты машинных носителей информации, на

которых хранятся и (или) обрабатываются персональные данные.

25. Особенности гарантированного уничтожения информации на магнитных

носителях с использованием магнитных воздействий.

26. Особенности гарантированного уничтожения информации на оптических

носителях с использованием редуцирующего механического воздействия.

27. Особенности гарантированного уничтожения информации на

полупроводниковых носителях с использованием термических воздействий.

28. Перечислить и описать угрозы безопасной передачи данных в

телекоммуникационных системах.

29. Перечислить и описать задачи защиты информации в


30. Перечислить и описать механизмы защиты информации в


31. Физический уровень модели OSI. Назначение, вид обрабатываемой

информации, механизмы защиты, протоколы.

32. Канальный уровень модели OSI. Назначение, вид обрабатываемой


33. Сетевой уровень модели OSI. Назначение, вид обрабатываемой


34. Транспортный уровень модели OSI. Назначение, вид обрабатываемой


35. Сеансовый уровень модели OSI. Назначение, вид обрабатываемой


36. Уровень представления модели OSI. Назначение, вид обрабатываемой


37. Прикладной уровень модели OSI. Назначение, вид обрабатываемой


38. Структура семиуровневой модели OSI с примерами протоколов на каждом

уровне.

39. Метод датаграмм. Схема и описание. Пример протокола, использующего

метод.

40. Метод с установлением логического соединения. Схема и описание.

Пример протокола, использующего метод.

41. Адресация в сетях. IP-адрес, IP-порт и MAC-адрес. Назначение, структура

адресов. Специальные и фиктивные IP-адреса.

42. IP-сети класса А. Характеристика класса: диапазон IP-адресов,

идентификатор сети, граница «сеть-узел», количество сетей и узлов.

43. IP-сети класса B. Характеристика класса: диапазон IP-адресов,


44. IP-сети класса C. Характеристика класса: диапазон IP-адресов,


45. Межсетевое экранирование. Принципы межсетевого экранирования.

46. Виды и варианты подключения межсетевых экранов.

47. Классовая и бесклассовая адресации. Назначение, особенности, примеры.

Параметры IP-сети. Специфика разбиения сети на подсети.

48. Понятие и назначение маршрутизации. Классы каналов связи. Прямая и

косвенная адресация.

49. Назначение маршрутизатора DioNIS. Варианты включения DioNIS в сеть.

50. Этапы первоначальной настройки маршрутизатора DioNIS.

51. Применение

ПРОФЕССИОНАЛЬНО-ПРИКЛАДНЫЕ ЗАДАНИЯ

1. Для информационной системы федерального масштаба от нарушения

конфиденциальности информации определена высокая степень ущерба. Определите

класс защищенности информационной системы.

2. Для информационной системы регионального масштаба от нарушения



3. Для информационной системы объектового масштаба, от нарушения



4. Для информационной системы федерального масштаба, от нарушения

конфиденциальности, целостности и доступности информации определена средняя

степень ущерба. Определите класс защищенности информационной системы.

5. Для информационной системы регионального масштаба, от нарушения







конфиденциальности, целостности и доступности информации определена низкая









конфиденциальности, целостности и доступности информации степень ущерба не

может быть определена. Определите класс защищенности информационной

системы.




системы.




системы.

13. Для информационной системы актуальны угрозы, связанные с

недекларированными возможностями в системном ПО. Определите тип угроз.


недекларированными возможностями в прикладном ПО. Определите тип угроз.


недекларированными возможностями как в системном, так и в прикладном ПО.

Определите тип угроз.

16. В ИСПДн обрабатываются ПДн, касающиеся состояния здоровья, более

100000 субъектов, не являющихся сотрудниками оператора. Для ИСПДн актуальны

угрозы 1-го типа. Определите уровень защищенности ПДн.

17. В ИСПДн обрабатываются ПДн, касающиеся состояния здоровья, более

100000 субъектов, являющихся сотрудниками оператора. Для ИСПДн актуальны


18. В ИСПДн обрабатываются ПДн, касающиеся состояния здоровья, менее









21. В ИСПДн обрабатываются биометрические ПДн более 100000 субъектов,

не являющихся сотрудниками оператора. Для ИСПДн актуальны угрозы 1-го типа.

Определите уровень защищенности ПДн.

22. В ИСПДн обрабатываются биометрические ПДн более 100000 субъектов,

являющихся сотрудниками оператора. Для ИСПДн актуальны угрозы 2-го типа.


23. В ИСПДн обрабатываются биометрические ПДн менее 100000 субъектов,









26. В ИСПДн обрабатываются общедоступные ПДн более 100000 субъектов,

не являющихся сотрудниками оператора. Для ИСПДн актуальны угрозы 1-го типа.


27. В ИСПДн обрабатываются общедоступные ПДн более 100000 субъектов,



28. В ИСПДн обрабатываются общедоступные ПДн менее 100000 субъектов,









ТЕМАТИКА РЕФЕРАТОВ

1. Организация работ по обработке персональных данных.

2. Права субъекта персональных данных.

3. Модель угроз безопасности ПДн.

4. Угрозы информации в КС.

5. Классификация ИСПДн.

6. Идентификация и аутентификация пользователей.

7. Организационные меры защиты информации в КС.

8. Методы обнаружения известных и неизвестных вирусов.

9. Функции администратора по созданию и управлению учетными записями

пользователей.

10. Защита ИСПДн при межсетевом экранировании.

11. Нормативная база обработки ПДн.

12. Принципы обработки ПДн.

13. Биометрические персональные данные.

14. Права субъекта персональных данных.

15. Обязанности оператора.

16. Меры по обеспечению безопасности персональных данных при их обработке.

17. Ответственность за нарушения в области обработки ПДн.

18. Организационный меры по защите ПДн.

19. Защита ПДн от НСД.

20. Обработка персональных данных, осуществляемая без использования средств

автоматизации.

21. Разработка модели угроз безопасности ПДн с учетом методических

документов ФСБ.

22. Требования к защите информации, содержащейся в информационной

системе.

23. Разработка системы защиты информации информационной системы.

24. Аттестация информационной системы.

25. Обеспечение защиты информации в ходе эксплуатации аттестованной

информационной системы.

26. Содержание мер по обеспечению безопасности персональных данных.

27. Требования и методы по обезличиванию ПДн.

ТЕСТЫ ВХОДНОГО-ВЫХОДНОГО КОНТРОЛЯ

УРОВНЯ ЗНАНИЙ

Профессиональные компетенции.

Способность прогнозировать, ранжировать, моделировать информационные

угрозы телекоммуникационных систем и оценивать уровни риска (ПК-21).

1. Угрозы безопасности ПДн:

а) совокупность условий факторов, создающих опасность

несанкционированного, в том числе случайного, доступа к ПДн, результатом

которого может стать уничтожение, изменение, блокирование, копирование,

распространение ПДн, а также иных несанкционированных действий при их

обработке в ИСПДн;

б) совокупность условий и факторов, создающих потенциальную или реально

существующую опасность нарушения безопасности персональных данных;

в) только стихийное или бедствие техногенного характера.

2. Несанкционированный доступ (НСД) к информации:

а) доступ к информации, нарушающий установленные правила разграничения

доступа, с использованием штатных средств, предоставляемых средствами

вычислительной техники (СВТ) или автоматизированными системами (АС);

б) доступ к информации, нарушающий установленные правила разграничения

доступа, с использованием специально разработанных технических средств;

в) копирование, искажение или модификация информации с нарушением

установленных правил разграничения доступа.

3. Какие из перечисленных угроз относятся к случайным угрозам

компьютерной информации:

а) несанкционированный доступ к информации, вредительские программы;

б) электромагнитные излучения и наводки, несанкционированная

модификация структур;

в) стихийные бедствия и аварии, сбои и отказы технических средств, ошибки

пользователей и обслуживающего персонала.

4. Для защиты от случайных угроз компьютерной информации

используют:

а) обучение пользователей правилам работы с КС, разрешительную систему

доступа в помещение;

б) межсетевые экраны, идентификацию и аутентификацию пользователей;

в) дублирование информации, создание отказоустойчивых КС, блокировка

ошибочных операций.

5. Системы анализа уязвимостей позволяют:

а) выявить злоумышленника работающего в компьютерной сети;

б) выявить уязвимости проектируемой системы защиты информации;

в) выявить уязвимости действующей системы защиты информации.

Профессионально-специализированные компетенции.

Способность использовать нормативно-правовые акты и нормативные

методические документы в области построения, эксплуатации и обеспечения

безопасности сетей специальной связи, а также при реализации требований

режима секретности в органах внутренних дел (ПСК-3.1).

6. Персональные данные:

а) информация, относящаяся к прямо или косвенно определенному или

определяемому физическому лицу;

б) данные, касающиеся состояния здоровья и религиозных взглядов человека;

в) информация о месте работы, паспортные данные, сведения о доходе.

7. Обработка персональных данных:

а) действие (операция) или совокупность действий (операций), совершаемых

с использованием средств автоматизации или без использования таких средств с

персональными данными, включая сбор, запись, систематизацию, накопление,

хранение, уточнение (обновление, изменение), извлечение, использование, передачу

(распространение, предоставление, доступ), обезличивание, блокирование,

удаление, уничтожение персональных данных;

б) накопление, хранение и передача персональных данных;

в) размещение персональных данных в информационных системах.

8. Оператор:

а) государственный орган, муниципальный орган, юридическое или

физическое лицо, самостоятельно или совместно с другими лицами организующие

и (или) осуществляющие обработку персональных данных, а также определяющие

цели обработки персональных данных, состав персональных данных, подлежащих

обработке, действия (операции), совершаемые с персональными данными;

б) юридическое или физическое лицо, самостоятельно или совместно с

другими лицами организующие и (или) осуществляющие обработку персональных

данных;

в) юридическое или физическое лицо, получившее на основании закона или

договора право разрешать или ограничивать доступ к персональным данным.

9. Контроль над выполнением требований в сфере защиты персональных

данных выполняют:

а)ФСБ РФ;

б) ФСТЭК России и Роскомнадзор;

в) все перечисленные организации.

10. За несоблюдение положений закона 152-ФЗ «О персональных данных»

предусматривается:

а) гражданская, уголовная, административная ответственность;

б) дисциплинарная и другие виды ответственности;

в) все перечисленные виды ответственности.

11. Блокирование персональных данных:

а) временное прекращение обработки персональных данных;

б) действия, в результате которых становится невозможным восстановить

содержание персональных данных в информационной системе персональных

данных и (или) в результате которых уничтожаются материальные носители

персональных данных;

в) действия, в результате которых становится невозможным без использования

дополнительной информации определить принадлежность персональных данных

конкретному субъекту персональных данных.

12. Обезличивание персональных данных:

а) действия, в результате которых становится невозможным без

использования дополнительной информации определить принадлежность

персональных данных конкретному субъекту персональных данных;

б) действия, в результате которых становится невозможным восстановить

содержание персональных данных в информационной системе персональных

данных;

в) все перечисленные действия.

13. Срок хранения персональных данных в форме, позволяющей

определить субъекта персональных данных:

а) 1 год;

б) 5 лет;

в) не дольше, чем этого требуют цели обработки персональных данных, если

иное не установлено законом или договором.

14. Какую роль играют центры сертификации ключей:

а) они играют роль доверенной третьей стороны для доказывания факта

передачи информации;

б) они служат для регистрации абонентов, изготовления сертификатов

открытых ключей, хранения изготовленных сертификатов, поддержания в

актуальном состоянии справочника действующих сертификатов и выпуска списка

досрочно отозванных сертификатов;

в) они выдают сертификат соответствия длины сгенерированных ключей

требованиям нормативных документов.

15. Использование электронной подписи позволяет не допустить (лишнее

исключить):

а) отказ от авторства;

б) приписывание авторства;

в) несанкционированное ознакомление с подписанным документов.

16. Обязано ли лицо, осуществляющее обработку персональных данных

по поручению оператора, получать согласие субъекта персональных данных на

обработку его персональных данных:

а) не обязано;

б) обязано;

в) не обязано только в случаях, предусмотренных законом.

17. В общедоступные источники персональных данных (в том числе

справочники, адресные книги) персональные данные включаются:

а) с письменного согласия субъекта персональных данных;

б) согласия субъекта персональных данных не требуется;

в) согласия субъекта персональных данных не требуется, но по требованию

субъекта данные в любое время должны быть исключены из общедоступных

источников персональных данных.

18. В общем случае, согласие на обработку персональных данных может

быть дано субъектом персональных данных или его представителем в:

а) только письменной форме;

б) любой, позволяющей подтвердить факт его получения форме;

в) устной форме.

19. При проведении контроля за выполнением организационных и

технических мер по обеспечению безопасности персональных данных, при

обработке персональных данных в государственных информационных

системах персональных данных регуляторы:

а) вправе знакомиться с персональными данными, обрабатываемыми в

информационных системах персональных данных;

б) не вправе знакомиться с персональными данными, обрабатываемыми в

информационных системах персональных данных;

в) вправе знакомиться с персональными данными, обрабатываемыми в

информационных системах персональных данных, только в установленных законом

случаях.

20. Оператор обязан сообщить в уполномоченный орган по защите прав

субъектов персональных данных по запросу этого органа необходимую

информацию в течение:

а) тридцати дней с даты получения такого запроса;

б) десяти дней с даты получения такого запроса;

в) трех дней с даты получения такого запроса.

21. В случае достижения цели обработки персональных данных, если иное

не предусмотрено договором, оператор обязан:

а) прекратить обработку персональных данных или обеспечить ее

прекращение (если обработка персональных данных осуществляется другим лицом,

действующим по поручению оператора);

б) уничтожить персональные данные или обеспечить их уничтожение (если

обработка персональных данных осуществляется другим лицом, действующим по

поручению оператора);

в) все перечисленное.

22. В случаях, когда необходимо уведомить уполномоченный орган по

защите прав субъектов персональных данных о своем намерении осуществлять

обработку персональных данных, уведомление направляется:

а) до начала обработки;

б) в течении тридцати дней с момента начала обработки;

в) в течении десяти дней с момента начала обработки.

23. Субъект персональных данных:

а) имеет право на доступ к своим персональным данным во всех случаях;

б) не имеет право на доступ к своим персональным данным;

в) имеет право на доступ к своим персональным данным за исключением

случаев, предусмотренных законом.

24. Контроль и надзор за выполнением организационных и технических

мер по обеспечению безопасности персональных данных, при обработке

персональных данных в государственных информационных системах

осуществляются:

а) ФСТЭК России и ФСБ России;

б) ФСТЭК России и органами Роскомнадзора;

в) ФСБ России и органами Роскомнадзора.

25. Какой нормативный акт является основным в сфере регулирования

электронной подписи:

а) федеральный закон №1-ФЗ от 10.01.2002 «Об электронной цифровой

подписи»;

б) федеральный закон №63-ФЗ от 06.04.2011 «Об электронной подписи»;

в) постановление Правительства Российской Федерации № 111 от 9 февраля

2012 г. «Об электронной подписи, используемой органами исполнительной власти и

органами местного самоуправления при организации электронного взаимодействия

между собой».

26. Перечислите виды электронной подписи:

а) простая, сложная, комбинированная;

б) простая, квалифицированная, сложная;

в) простая, квалифицированная, неквалифицированная.

27. СТР-К при защите государственных систем, обрабатывающих ПДн:

а) применяется в полном объеме;

б) не применяется;

в) применяется при реализации мер по защите технических средств

государственных информационных систем.

28. Распространение аттестата соответствия на другие сегменты

информационной системы:

а) допускается при условии их соответствия сегментам информационной

системы, прошедшим аттестационные испытания;

б) допускается по решению оператора с оформлением акта;

в) не допускается.

Способность проводить оценку защищенности сетей специальной связи и

объектов информатизации ОВД (ПСК-3.2)

29. Для обеспечения безопасности ПДн при их обработке в ИСПДн

осуществляется защита:

а) речевой информации и информации, обрабатываемой техническими

средствами, а также информации, представленной в виде информативных

электрических сигналов;

б) физических полей, носителей на бумажной, магнитной, оптической и иной

основе, в виде информационных массивов и баз данных в ИСПДн;

в) всех видов информации.

30. Идентификация это:

а) процесс предъявления пользователем идентификатора;

б) процесс подтверждения подлинности;

в) сравнение предъявляемых идентификаторов с перечнем присвоенных

идентификаторов.

31. Что является организационной формой защиты информации:

а) разработка и реализация специальных законов, нормативно-правовых актов,

правил и юридических процедур, обеспечивающих правовую защиту информации;

б) регламентация производственной деятельности и взаимоотношений

персонала, направленная на защиту информации;

в) использование различных технических, программных и аппаратных

средств защиты информации от несанкционированного доступа, копирования,

модификации или уничтожения.

32. Что является правовой формой защиты информации:

а) разработка и реализация специальных законов, нормативно-правовых

актов, правил и юридических процедур, обеспечивающих правовую защиту




в) использование различных технических, программных и аппаратных средств

защиты информации от несанкционированного доступа, копирования, модификации

или уничтожения.

33. Что является инженерно-технической формой защиты информации:

а) разработка и реализация специальных законов, нормативно-правовых актов,

правил и юридических процедур, обеспечивающих правовую защиту информации;



в) использование различных технических, программных и аппаратных средств

защиты информации от несанкционированного доступа, копирования,

модификации или уничтожения.

34. К числу определяющих признаков, по которым производится

классификация информационных систем, относятся:

а) наличие в информационной системе информации различного уровня

конфиденциальности;

б) уровень значимости информации и масштаб информационной системы;

в) режим обработки данных в информационной системе - коллективный или

индивидуальный.

35. Для ИСПДн устанавливается:

а) два уровня защищенности персональных данных;

б) три уровня защищенности персональных данных;

в) четыре уровня защищенности персональных данных.

36. Замысел защиты информации:

а) основная идея, раскрывающая состав, содержание, взаимосвязь и

последовательность осуществления технических и организационных мероприятий,

необходимых для достижения цели защиты информации;

б) деятельность по обеспечению защиты не криптографическими методами

информации от ее утечки по техническим каналам, от несанкционированного

доступа к ней, от специальных воздействий на информацию;

в) совокупность объекта защиты, физической среды и средства технической

разведки, которым добывается защищаемая информация.

37. Для государственной информационной системы проводится:

а) классификация ИС;

б) определение уровня защищенности ПДн;

в) классификация ИС и определение уровня защищенности ПДн.

38. Оценка эффективности реализованных мер по защите ПДн в

государственных ИС:

а) проводится в рамках обязательной аттестации государственной

информационной системы по требованиям защиты информации;

б) проводиться оператором самостоятельно в рамках мероприятий по

контролю;

в) форма оценки эффективности, а также форма и содержание документов,

разрабатываемых по результатам (в процессе) оценки, ФСТЭК России не

установлены.

39. Уровень защищенности ПДн устанавливается в зависимости от:

а) типа угроз, актуальных для ИСПДн и категории обрабатываемых ПДн;

б) объема ПДн, обрабатываемых в ИСПДн;

в) типа угроз, актуальных для ИСПДн, категории обрабатываемых ПДн,

объема ПДн, обрабатываемых в ИСПДн.

40. Средства защиты информации:

а) должны проходить контроль на отсутствие недекларированных

возможностей;

б) не должны проходить контроль на отсутствие недекларированных

возможностей;

в) должны проходить контроль на отсутствие недекларированных

возможностей по усмотрению оператора.

41. Системное программное обеспечение:

а) проходит контроль на отсутствие недекларированных возможностей;

б) не проходит контроль на отсутствие недекларированных возможностей;

в) проходит контроль на отсутствие недекларированных возможностей по

усмотрению оператора.

42. Прикладное программное обеспечение:

а) проходит контроль на отсутствие недекларированных возможностей;

б) не проходит контроль на отсутствие недекларированных возможностей;

в) проходит контроль на отсутствие недекларированных возможностей по

усмотрению оператора.

43. Аттестацию информационных систем по требованиям безопасности

информации:

а) оператор проводит самостоятельно, с привлечением штатных специалистов

по защите информации;

б) проводит орган по аттестации, аккредитованный ФСТЭК России;

в) государственные информационные системы не подлежат аттестации.

44. Что относится к основным механизмам защиты компьютерной

системы от несанкционированного доступа:

а) физическая защита компонент компьютерной системы, идентификация и

аутентификация, разграничение доступа, контроль обращений к защищаемой


б) дублирование информации, создание отказоустойчивых компьютерных

систем, блокировка ошибочных операций, повышение надежности компьютерных

систем;

в) сегментация сетей с помощью коммутаторов и межсетевых экранов,

шифрование информации.

45. Какие основные способы разграничения доступа применяются в

компьютерных системах:

а) дискреционный и мандатный;

б) по специальным спискам и многоуровневый;

в) по группам пользователей и специальным разовым разрешениям.

46. Кто должен анализировать журнал аудита безопасности

компьютерной системы:

а) администратор;

б) аудитор;

в) начальник.

47. Аутентификация это:

а) процесс предъявления пользователем идентификатора;

б) процесс подтверждения подлинности;

в) регистрация всех обращений к защищаемой информации.

48. Какие основные компоненты входят в состав удостоверяющего

центра:

а) центр сертификации, центр авторизации, АРМ администратора;

б) центр регистрации, центр авторизации, АРМ администратора;

в) центр сертификации, центр регистрации, АРМ администратора.

49. Что собой представляет сертификат электронного ключа подписи:

а) это электронный документ или документ на бумажном носителе,

выданные удостоверяющим центром либо доверенным лицом удостоверяющего

центра и подтверждающие принадлежность ключа проверки ЭП владельцу

сертификата ключа проверки ЭП;

б) это документ на бумажном носителе, выданные удостоверяющим центром

либо доверенным лицом удостоверяющего центра и подтверждающие

принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП;

в) это логическая посимвольная свертка подписываемого сообщения,

зашифрованная на открытом ключе получателя.

50. Перечислите основные компоненты программного комплекса ViPNet

CUSTOM:

а) client, administrator, coordinator;

б) client, administrator, certificate center;

в) administrator, coordinator, certificate center.

Начальник кафедры

информационной безопасности

полковник полиции А.Н. Бабкин

Экспертная группа:

Член Бюро координационного

совета по профилю подготовки:

«Деятельность подразделений

информационных технологий, связи

и защиты информации, информационных центров,

центров специальной связи»

начальник кафедры информационной безопасности

полковник полиции А.Н. Бабкин

Член Бюро координационного

совета по профилю подготовки:

«Деятельность подразделений

информационных технологий, связи

и защиты информации, информационных центров,

центров специальной связи»

начальник кафедры инфокоммуникационных

систем и технологий

полковник полиции О.И. Бокова

Согласовано:

Заведующая библиотекой Л.Л. Раева

Jоссииhttps://ви.мвд.рф/upload/site132/document_file... · 2016-02-18 ·

Documents

Transcript of Jоссииhttps://ви.мвд.рф/upload/site132/document_file... · 2016-02-18 ·