Специалист по защите информации

Правовые и организационно – распорядительные документы, регламентирующие деятельность по обеспечению безопасности ПДн при их обработке в ИСПДн

• Обзор законодательства в области защиты ПДн. Регуляторы и проверяющие органы.
• Субъекты ПДн в организации. Перечень и состав обрабатываемых ПДн.
• Порядок действий по защите ПДн в организации.
• ИСПДн в организации.
• Уровни защищенности ПДн в ИСПДн.
• Модель угроз безопасности ПДн.
• Требования по защите ПДн в ИСПДн.
• Аттестация информационных систем персональных данных по требованиям безопасности либо проведение оценки соответствия.
• Сертификация средств защиты информации.
• Основы инфраструктуры открытых ключей (PKI)
• Государственный контроль обработки персональных данных. Ответственность за нарушения требований по защите персональных данных.
• Требования и процедуры проведения проверок регуляторами в области ПДн.
• Лицензионные требования и условия при осуществлении видов деятельности, связанных с системой криптографической защиты информации. Система организационно-распорядительных документов при работе с СКЗИ

Угрозы безопасности информации

• Понятие угрозы безопасности информации. Классификация угроз.
• Угрозы конфиденциальности, целостности, доступности.
• Методы овладения конфиденциальной информацией: разглашение, несанкционированный доступ, утечка по техническим каналам.
• Модель угроз и нарушителя безопасности информации.
• Методики определения актуальности угроз.
• Угрозы неправомерных действий со стороны лиц, допущенных к защищаемой информации.
• Угрозы несанкционированного доступа к защищаемой информации. Виды и возможности реализации несанкционированного доступа.
• Угрозы программно-математических воздействий на информацию. Классификация вредоносного программного обеспечения.
• Угрозы утечки конфиденциальной информации по техническим каналам. Классификация, принцип возникновения и характеристика каналов утечки информации.

Защита конфиденциальной информации от разглашения

• Организационные меры, направленные на защиту информации от разглашения.
• Программные и программно-аппаратные средства контроля информационных потоков автоматизированных систем. DLP-системы.

Защита конфиденциальной информации от несанкционированного доступа

• Организационные меры, направленные на защиту информации от несанкционированного доступа.
• Средства усиленной аутентификации, разграничения доступа, регистрации и учета.
• Средства доверенной загрузки.
• Межсетевые экраны.
• Средства обнаружения и предотвращения вторжений.
• Средства анализа защищенности автоматизированных систем.
• Антивирусные средства.
• Средства защищенной передачи конфиденциальной информации.

Защита информации от утечки по техническим каналам

• Организационные меры, направленные на защиту информации утечек по техническим каналам. Определение и расширение контролируемой зоны.
• Защита визуально-оптической информации.
• Защита акустической информации от утечки по прямому акустическому и вибро-акустическому каналу.
• Защита акустической информации от перехвата с помощью лазерных акустических систем разведки.
• Подавление опасных сигналов акустоэлектрических преобразователей, входящих в состав ВТСС.
• Параметрические каналы утечки акустической информации. Высокочастотное навязывание.
• Защищаемые помещения.
• Защита информации, обрабатываемой в каналах связи, средствах и системах ее обработки.
• Побочные электромагнитные излучения и наводки, защита от информативных полей и сигналов в цепях заземления и электропитания.
• Обнаружение и локализация аудио и видео закладок, подавление их сигналов. Использование нелинейных локаторов.

Лицензирование деятельности по технической защите конфиденциальной информации и сертификация средств защиты

• Лицензирование деятельности по технической защите конфиденциальной информации. Требования к соискателям лицензии.
• Необходимость и порядок сертификации средств защиты информации. Испытательные лаборатории и органы по сертификации.
• Сертификация средств защиты информации на соответствие техническим условиям.
• Сертификация средств защиты информации на соответствие требованиям по уровню доверия.
• Сертификация средств защиты на соответствие требованиям к выполняемым функциям.
• Реестр сертифицированных средств защиты, их выбор для защиты объекта информатизации.
• Автоматизированные системы в защищенном исполнении.

Оценка защищенности конфиденциальной информации

• Классификация, категорирование автоматизированных и информационных систем.
• Тесты на проникновение, организационный и технический аудит.
• Аттестация объектов информатизации.
• испытаний. Программные и технические средства, используемые в ходе проведения аттестационных испытаний.

Порядок проведения работ по защите конфиденциальной информации на предприятии

• Создание структурного подразделения по защите информации.
• Планирование, организация и контроль выполнения мероприятий по технической защите конфиденциальной информации.
• Составление перечня сведений конфиденциального характера.
• Определение информационных, физических активов и сервисов, мест хранения, обработки и передачи защищаемой информации.
• Определение информационных потоков.
• Определение актуальных угроз безопасности информации, обрабатываемой на различных объектах информатизации.
• Составление модели угроз и нарушителя безопасности информации.
• Введение организационно-правовых мер защиты, распределение ролей, возложение ответственности.
• Организация пропускного режима на объекте информатизации и защита инфраструктурных объектов.
• Подбор и оценка совместимости технических средств для защиты от актуальных угроз безопасности.
• Подготовка технического задания и технического проекта на систему защиты конфиденциальной информации.
• Приемочные и аттестационные испытания.
• Организация и методики проведения периодического контроля состояния защищенности информации.
• Актуализация, модернизация организационно-правовых и технических мер защиты.
• Порядок обработки и устранения последствий инцидентов информационной безопасности.