Вопросы к экзамену по дисциплине «Защита ПДн в ИСПДн»
Экзаменационный билет содержит три вопроса: два вопроса из теоретической части и одно задание из практической части.
Теоретическая часть:
1)Определение и категории персональных данных (ПДн);
2)Определение информационной системы персональных данных (ИСПДн);
3)Нормативно-правовая база в сфере защиты и обработки ПДн (№ 149-ФЗ, № 152-ФЗ): основные положения и требования;
4)Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
5)Принципы обеспечения безопасности ПДн;
6)Обезличивание ПДн. Абсолютное обезличивание и относительное обезличивание. Приказ Роскомнадзора от 5 сентября 2013 г. №996 «Об утверждении требований и методов по обезличиванию ПДн»;
7)Свойства обезличенных данных;
Свойства методов обезличивания;
9)Методы обезличивания персональных данных. Сравнительный анализ методов обезличивания;
10)Формальное описание алгоритма обезличивания ПДн методом перемешивания с помощью циклических перестановок;
11)Анализ эффективности алгоритма перемешивания ПДн с помощью циклических перестановок;
12)Государственные информационные системы (ГИС). Уровни значимости. Классы ГИС;
13)Методы описания ПБ. Сравнительный анализ методов описания
ПБ;
14)Пример графового метода описания ПБ: визуальный язык объектных ограничений «Language on Objects for Security Constraints» (LaSCO);
15)Определение гарантированной (верифицируемой) защиты. Методы обеспечения гарантированности защиты;
16)Каналы несанкционированного доступа, утечки информации и деструктивных воздействий на информационную среду (НСДУВ). Вероятностная оценка реализации канала НСДУВ;
17)Контексты выполнения операций в информационных системах. Способы сохранения состояния сеанса. Фиксация сессий;
18)Модель ACID: свойства транзакций. Уровни изоляции;
19)Методы интеграции. Основные архитектуры по способу взаимодействия;
20)Модели доступа: дискреционная, мандатная и ролевая модели;
21)Формальные модели безопасности открытых распределѐнных информационных систем;
22)Принципы обеспечения информационной безопасности в ИС (ГОСТ Р ИСО/МЭК 15408);
23)Модели COM и DCOM. Защита активизации и защита вызовов;
24)Стандарт CORBA. Архитектура распределѐнных приложений. Стаб, скелетон, маршалинг;
25)Сериализация и десериализация данных. Формат XML и JSON. Структура XML и JSON документов;
26)Стек веб-сервисов. Протокол SOAP. Язык определения вебсервисов WSDL. Универсальная интеграция поиска описаний UDDI;
27)Аудит информационных систем: анализ рисков и построение системы управления информационной безопасностью.
Практическая часть:
Задания предоставляются в соответствии с конкретными информационными системами (ИС), обрабатывающими ПДн и имеющими ИСПДн.
1)Определите категории ПДн и уровень защищѐнности ИСПДн;
2)Подготовьте документ «Перечень ИСПДн»;
3)Обезличьте ПДн методом перемешивания с помощью циклических перестановок;
4)Обезличьте ПДн методом изменения состава и/или семантики. Проиллюстрируйте отсутствие однозначного указания на субъект ПДн после проведение метода обезличивания;
5)Постройте и проанализируйте граф атак на основании модели угроз информационной системы;
6)Определите класс предложенной государственной информационной системы;
7)Продемонстрируйте работу метода Делфи для количественной оценки рисков безопасности.
Вся информация делится на:
- конфиденциальную
- (Правильный ответ) общедоступную
- государственную тайну
- (Правильный ответ) ограниченного доступа
Как называется совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации?
- уязвимость
- слабое место системы
- (Правильный ответ) угроза
- атака
В отношении информации, доступ к которой ограничен федеральными законами, необходимо соблюдать следующее требование:
- обеспечение доступности
- обеспечение неотказуемости
- (Правильный ответ) обеспечение конфиденциальности
- обеспечение целостности
К какой категории персональных данных можно отнести сведения о национальной принадлежности человека?
- (Правильный ответ) специальные
- биометрические
- общедоступные
- дополнительные
Как называется гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных?
- (Правильный ответ) оператор информационной системы
- обладатель информации
- субъект информации
- обладатель информационной системы
Информация, к которой нельзя ограничить доступ:
- (Правильный ответ) информация о работе государственных органов
- (Правильный ответ) информация об окружающей среде
- персональные данные субъекта
- информация о здоровье субъекта
Как называется попытка реализации угрозы?
- нападение
- уязвимость
- (Правильный ответ) атака
- слабое место системы
Какой Федеральный закон устанавливает эквивалентность документа, подписанного собственноручно, и электронного сообщения с ЭЦП?
- о персональных данных
- о лицензировании отдельных видов деятельности
- (Правильный ответ) об информации, информационных технологиях и о защите информации
- о безопасности
На сколько групп подразделяются классы защищенности автоматизированной системы обработки информации?
- 10
- 9
- (Правильный ответ) 3
- 5
Каждый пользователь ЛВС должен иметь:
- (Правильный ответ) уникальный идентификатор и пароль
- права доступа, позволяющие настраивать свое рабочее место
- свой съемный накопитель информации
- права доступа, позволяющие настраивать антивирусную защиту
Персональные данные, над которыми были произведены действия, в результате которых невозможно определить их принадлежность конкретному субъекту ПД, называются:
- общедоступными
- общеизвестными
- (Правильный ответ) обезличенными
- специальными
Кто должен своевременно обнаруживать факты несанкционироанного доступа к персональным данным?
- субъект персональных данных
- (Правильный ответ) оператор персональных данных
- регулятор
- контролер
Выдача одноразового бумажного пропуска на территорию оператора считается:
- (Правильный ответ) неавтоматизированной обработкой персональных данных
- запрещенной обработкой персональных данных в соответствии с ФЗ “О персональных данных”
- автоматизированной обработкой персональных данных
- это неавтоматизированная обработка, если количество сотрудников оператора меньше 100 человек
Слабое место в системном обеспечении ИСПД, которое может быть использовано для реализации угрозы безопасности персональных данных, называется:
- (Правильный ответ) уязвимостью
- угрозой
- недостатком
- брешью
Выдача бумажного талончика к врачу считается:
- запрещенной обработкой персональных данных в соответствии с ФЗ “О персональных данных”
- (Правильный ответ) неавтоматизированной обработкой персональных данных
- автоматизированной обработкой персональных данных
- это неавтоматизированная обработка, если количество сотрудников больницы меньше 100 человек
Какой документ отражает полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПД – чтение, запись, корректировка, удаление?
- список лиц, допущенных к обработке ПД
- (Правильный ответ) матрица доступа
- частная модель угроз
- положение по обеспечению безопасности персональных данных
При построении сети и конфигурировании коммуникационного оборудования рекомендуется учитывать:
- количество пользователей сети
- (Правильный ответ) разделение трафика по видам деятельности предприятия
- (Правильный ответ) разделение трафика по производственной основе
- расположение межсетевых экранов
К какому типу относится ИСПД, если в ней необходимо обеспечить целостность информации?
- (Правильный ответ) специальная
- биометрическая
- типовая
- государственная
К какому классу относится ИСПД, если в ней обрабатываются данные 1500 субъектов о состоянии их здоровья?
- 3 класс
- 2 класс
- 4 класс
- (Правильный ответ) 1 класс
Требования к средствам защиты и их выбор в каждом конкретном случае зависит от:
- категории персональных данных, обрабатываемых в ИСПД
- решения руководителя
- (Правильный ответ) класса ИСПД
- ущерба, который может быть нанесен в результате атаки
Ущерб, связанный с причинением физического, морального, финансового или материального вреда непосредственно субъекту ПД, называется:
- (Правильный ответ) непосредственный ущерб
- косвенный ущерб
- явный ущерб
- опосредованный ущерб
К какой категории относятся персональные данные, позволяющие идентифицировать субъекта?
- 2 категория
- 4 категория
- (Правильный ответ) 3 категория
- 1 категория
В ходе какого этапа построения системы защиты персональных данных определяются основные направления защиты персональных данных, и производится выбор способов защиты?
- (Правильный ответ) формирование замысла защиты
- построение частной модели угроз
- оценка обстановки
- решение вопросов управления защитой
К какому типу относится ИСПД, если в ней необходимо обеспечить доступность информации?
- биометрическая
- государственная
- (Правильный ответ) специальная
- типовая
Какое свойство информации требуется обеспечить в типовых информационных системах обработки персональных данных?
- целостность
- аутентичность
- (Правильный ответ) конфиденциальность
- доступность
Если злоумышленник получил доступ к почтовому ящику человека и рассылает письма от его имени, о каком виде ущерба идет речь?
- опосредованный ущерб
- (Правильный ответ) непосредственный ущерб
- нематериальный ущерб
- неявный ущерб
На каком этапе построения системы защиты происходит оценка возможного физического доступа к ПД?
- разработка замысла защиты
- реализация замысла защиты
- (Правильный ответ) оценка обстановки
- решение вопросов управления защитой
Требования по защите от НСД каких классов ИСПД в многопользовательском режиме при разных правах доступа совпадают?
- 1 и 2 классов
- (Правильный ответ) 2 и 3 классов
- 1 и 3 классов
- 3 и 4 классов
В каком законодательном документе определено понятие профиля защиты?
- ФЗ “О персональных данных”
- (Правильный ответ) ГОСТ “Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий”
- ФЗ “Об информации, информационных технологиях и о защите информации”
- ФЗ “О безопасности”
Наличие межсетевого экрана необходимо при:
- использовании изолированной локальной сети
- (Правильный ответ) использовании сетей общего пользования
- использовании почтового ящика в сети Интернет
- использовании автономного автоматизированного рабочего места
Если ИСПД подключена к Интернету и в ней используются съемные носители, для защиты от НСД необходимо использование:
- браузера
- защищенных каналов связи
- (Правильный ответ) антивирусной защиты
- носителей, открытых на запись
В каком документе содержатся состав, содержание и сроки проведения работ по разработке и внедрению СЗПД?
- (Правильный ответ) в техническом задании СЗПД
- матрице доступа
- в частной модели угроз
- в проекте СЗПД
Какой участник процесса сертификации оформляет экспертное заключение по сертификации средств защиты информации?
- (Правильный ответ) органы по сертификации средств защиты информации
- заявитель
- федеральный орган по сертификации
- испытательные лаборатории
На каком этапе создания системы защиты персональных данных разрабатывается частная модель угроз?
- ввод в действие
- эксплуатация
- стадия проектирования
- (Правильный ответ) предпроектная стадия
Сколько органов по сертификации действует в России?
- 3
- (Правильный ответ) 4
- 5
- 2
На каком этапе создания СЗПД производится закупка технических средств защиты?
- эксплуатация
- ввод в действие
- (Правильный ответ) стадия проектирования
- предпроектная стадия
Какой срок действия у сертификата средства защиты информации?
- 10 лет
- (Правильный ответ) 3 года
- 5 лет
- 2 года
Как называется мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений?
- создание СЗПД
- административное мероприятие
- организационное мероприятие
- (Правильный ответ) техническое мероприятие
На каком этапе создания СЗПД производится опытная эксплуатация средств защиты?
- эксплуатация
- предпроектная стадия
- стадия проектирования
- (Правильный ответ) ввод в действие
На каком этапе создания системы защиты персональных данных определяется состав персональных данных и необходимость их обработки?
- эксплуатация
- (Правильный ответ) предпроектная стадия
- ввод в действие
- стадия проектирования
Какие подсистемы в рамках СЗПД можно не использовать, если ИСПД является изолированной (локальной)?
- (Правильный ответ) подсистема безопасности межсетевого взаимодействия
- подсистема криптографической защиты информации
- (Правильный ответ) подсистема обнаружения вторжений
- подсистема обеспечения целостности
- подсистема анализа защищенности
- подсистема управления доступом, регистрации и учета
- подсистема антивирусной защиты
Как называются меры защиты, которые создают маскирующие акустические и вибрационные помехи?
- криптографические меры защиты
- (Правильный ответ) активные меры защиты от утечки по техническим каналам
- пассивные меры защиты от утечки по техническим каналам
- активные меры защиты от несанкционированного доступа
Какая подсистема в рамках СЗПД предназначена для защиты информационной системы от вредоносных программ?
- подсистема обнаружения вторжений
- (Правильный ответ) подсистема антивирусной защиты
- подсистема безопасности межсетевого взаимодействия
- подсистема анализа защищенности
Что является основанием для включения оператора в ежегодный план проверок ФСТЭК?
- предписание Роскомнадзора
- заявления и обращения граждан
- (Правильный ответ) истечение 3 лет со дня последней плановой проверки
- (Правильный ответ) истечение 3 лет со дня государственной регистрации
Выберите утверждения, характеризующие антивирусы с эвристическим методом обнаружения вирусов:
- не способны находить неизвестные вирусы
- (Правильный ответ) способны находить неизвестные вирусы
- гарантированно находят известные вирусы
- (Правильный ответ) имеют большое количество ложных срабатываний
Процедура фильтрации в межсетевом экране представляет собой:
- анализ доменного имени источника сообщения на предмет совпадения определенным условиям
- помещение всех пакетов в буфер и ожидание решения администратора о легитимности трафика
- (Правильный ответ) анализ заголовка пакета на предмет совпадения определенным условиям
Какой орган является регулятором в части, касающейся контроля и выполнения требований по организации и техническому обеспечению безопасности ПД (не криптографическими методами) при их обработке в ИСПД?
- (Правильный ответ) ФСТЭК
- Роспотребнадзор
- ФСБ
- Роскомнадзор
Какой этап построения системы защиты персональных данных включает в себя анализ уязвимых звеньев и возможных угроз безопасности?
- реализация замысла защиты
- разработка замысла защиты
- решение вопросов управления защитой
- (Правильный ответ) оценка обстановки
На каком этапе создания СЗПД производится оценка(аттестация) ИСПД требованиям безопасности ПД?
- (Правильный ответ) ввод в действие
- стадия проектирования
- предпроектная стадия
- эксплуатация
На каком этапе создания СЗПД разрабатывается эксплуатационная документация к ИСПД и средствам защиты информации?
- (Правильный ответ) стадия проектирования
- эксплуатация
- предпроектная стадия
- ввод в действие
Какой участник процесса сертификации ходатайствует перед федеральным органом по сертификации о приостановке или отмене действия выданных сертификатов?
- заявитель
- (Правильный ответ) органы по сертификации средств защиты информации
- испытательные лаборатории
- центральный орган сертификации
Ответы на вопросы в сфере защиты прав субъектов персональных данных
Во исполнение № 152-ФЗ «О персональных данных»
Ответы на вопросы в сфере защиты прав субъектов персональных данных
Вопрос: Что такое Уполномоченный орган по защите прав субъектов персональных данных и на кого возложена реализация этих функций?
Ответ: Уполномоченный орган — федеральный орган исполнительной власти, осуществляющий функции контроля и надзора в сфере информационных технологий и связи. В настоящее время, в соответствии с постановлением Правительства от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» данная функция возложена на Роскомнадзор.
Вопрос: Кто может являться оператором персональных данных?
Ответ: В соответствии п. 2 ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
При этом операторами указанные органы и лица являются независимо от включения в реестр операторов, осуществляющих обработку персональных данных, который ведет Роскомнадзор.
Вопрос: Что включает в себя понятие конфиденциальности?
Ответ: В соответствии со ст. 7 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Вопрос: В каких случаях для обработки персональных данных не требуется согласия субъекта персональных данных?
Ответ: Согласно п. 2-11 ч. 1 ст. 6. Федерального закона 27.07.2006 г. № 152-ФЗ «О персональных данных» согласия субъекта персональных данных не требуется в следующих случаях:
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;
10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных);
11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Вопрос: В каких случаях оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных?
Ответ: В соответствии ч. 1 ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о своем намерении осуществлять обработку персональных данных.
Исключение составляют случаи, предусмотренные ч. 2 комментируемой статьи, при обработке персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4) сделанных субъектом персональных данных общедоступными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Уведомление должно быть направлено в письменной форме и подписано должностным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Образец формы уведомления об обработке персональных данных и методические рекомендации по его заполнению размещены на официальном сайте Роскомнадзора https://rkn.gov.ru/ в информационно-телекоммуникационной сети «Интернет».
Кроме того, на портале Персональные данные реализована функция по заполнению уведомлений об обработке персональных данных в электронной форме.
Вопрос: Вправе ли физическое лицо представлять персональные данные своих близких родственников?
Ответ: Предоставление физическим лицом оператору персональных данных близких родственников возможно только при наличии письменного согласия указанных лиц либо в случаях, установленных федеральными законами.
Вопрос: Если при обработке персональных данных организацией нарушаются мои права, куда я могу обратиться за защитой?
Ответ: Вы вправе обратиться в ближайшее территориальное управление Роскомнадзора. Адреса и контактные телефона указаны на официальном сайте Роскомнадзора www.rsoc.ru в информационно-телекоммуникационной сети «Интернет».
Вопрос: Какая ответственность предусмотрена за нарушения оператором требований Федерального закона «О персональных данных»?
Ответ: Ст. 24 Федерального закона «О персональных данных» определяет ответственность за нарушение данного Федерального закона, которая выражается в виде уголовной, административной, дисциплинарной и иной предусмотренной законодательством Российской Федерации ответственности.
Административная ответственность за нарушение настоящего Федерального закона наступает за:
— неправомерный отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, либо несвоевременное предоставление таких документов и материалов, непредставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);
— нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных (ст. 13.11 КоАП РФ);
— разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность) (ст. 13.14 КоАП);
— непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде (ст.19.7. КоАП РФ).
Кроме того, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, и неправомерный доступ к охраняемой законом компьютерной информации российским законодательством предусмотрена уголовная ответственность, предусмотренная ст. 137, 272 УК РФ.
Вопрос: Возможно ли получение согласия на обработку персональных данных по телефону? Что является доказательством получения согласия на обработку персональных данных при покупке товаров в интернет-магазинах?
Ответ: При заполнении вэб-формы заявки на покупку товара на сайте интернет-магазина в информационно-телекоммуникационной сети «Интернет» критерием, свидетельствующим о получении оператором согласия субъекта персональных данных на обработку его персональных данных является файл электронной цифровой подписи.
Кроме того, предложения оператора о продаже товара в отдельных случаях может рассматриваться как публичная оферта.
Таким образом, субъект персональных данных, акцептируя указанную оферту, тем самым осуществляет конклюдентные действия, выражающие его волю и согласие на обработку его персональных данных, предоставленных при заполнении заявки на покупку товаров.
Получение согласия на обработку персональных данных по телефону, посредством СМС-сообщений действующим законодательством Российской Федерации не установлено.
Вопрос: Вправе ли оператор запрашивать сведения о судимости?
Ответ: В соответствии с ч. 3 ст. 10 Федерального закона «О персональных данных» обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
Вопрос: Какие иностранные государства обеспечивают адекватную защиту персональных данных?
Ответ: До начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных (далее – Оператор) на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
Критериев, определяющих адекватность защиты прав субъектов персональных данных на территории иностранного государства, действующим законодательством Российской Федерации не предусмотрено.
Оператору, осуществляющему трансграничную передачу персональных данных, необходимо руководствоваться законодательством иностранного государства, на территорию которого осуществляется передача персональных данных, законодательством Российской Федерации в области защиты прав субъектов персональных данных, а также международными нормативными актами, в том числе Конвенцией о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г. ETS № 108 с учетом перечня стран, подписавших и ратифицировавших данную Конвенцию. Это Австрия, Азербайджан, Албания, Андорра, Армения, Бельгия, Болгария, Босния и Герцеговина, Бывшая Югославская Республика Македония, Великобритания, Венгрия, Германия, Греция, Грузия, Дания, Ирландия, Исландия, Испания, Италия, Кипр, Латвия, Литва, Лихтенштейн, Люксембург, Мальта, Молдова, Монако, Нидерланды, Норвегия, Польша, Португалия, Россия, Румыния, Сан-Марино, Сербия, Словакия, Словения, Турция, Украина, Финляндия, Франция, Хорватия, Черногория, Чешская республика, Швейцария, Швеция, Эстония.
Вторая группа, которые могут претендовать на статус стран, обеспечивающих адекватную защиту персональных данных, это страны, имеющие общенациональные нормативные правовые акты в области защиты персональных данных и уполномоченный надзорный орган по защите прав субъектов персональных данных. Это Австралия, Аргентинская Республика, Государство Израиль, Канада, Королевство Марокко, Малайзия, Мексиканские Соединенные Штаты, Монголия, Новая Зеландия, Республика Ангола, Республика Бенин, Республика Кабо-Верде, Республика Корея, Республика Перу, Республика Сенегал, Тунисская Республика, Республика Чили.»
Вопрос: Распространяются ли требования Федерального закона «О персональных данных» на юридическое лицо иностранного государства?
Ответ: Требования Федерального закона «О персональных данных» распространяются на представительства юридических лиц иностранных государств, осуществляющих деятельность по обработке персональных данных на территории Российской Федерации.
Вопрос: Является ли веб-сайт информационной системой обработки персональных данных?
Ответ: Согласно пункту 9 статьи 3 Федерального закона «О персональных данных» информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
В случае соответствия веб-сайта указанным требованиям он является информационной системой.
Вопрос: Как документально оформить факт уничтожения персональных данных субъекта?
Ответ: Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа Оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта является оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются самим Оператором.
Вопрос: Существуют ли стандарты или рекомендации по исполнению Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных» операторами?
Ответ: Да, такие документы, разработанные отдельными представителями операторского сообщества, существуют. Ознакомиться с ними можно в разделе «Стандарты, рекомендации и концепции» Портала «Персональные данные»:
— стандарты и рекомендации в области стандартизации Банка России — http://www.cbr.ru/credit/Gubzi_docs/;
— концепция защиты персональных данных в информационных системах персональных данных оператора связи — http://minsvyaz.ru/ru/documents/5132/;
— методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости — https://www.rosminzdrav.ru/documents/7570-recomendatsii.
Скачать:
Предварительный просмотр:
Тест: «Персональные данные».
Тестируемый: _______________________________ Дата: _____________________
|
Задание №1 |
||
|
В каком нормативном правовом акте закреплены все виды конфиденциальной информации? |
||
|
Выберите один из 3 вариантов ответа: |
||
|
1) |
В ФЗ -152 «О персональных данных» |
|
|
2) |
В Указе Президента № 188 |
|
|
3) |
В Трудовом кодексе РФ |
|
Задание №2 |
||
|
Что такое персональные данные в соответствии с ФЗ-152? |
||
|
Запишите ответ: |
||
|
1) |
Ответ: |
|
Задание №3 |
||
|
Какую информацию запрещено относить к конфиденциальной в соответствии с законом РФ? |
||
|
Выберите один из 4 вариантов ответа: |
||
|
1) |
Паспортные данные гражданина |
|
|
2) |
Информация, накапливаемая в открытых фондах библиотек, музеев, архивов |
|
|
3) |
Себестоимость продукта и объем сбыта |
|
|
4) |
Контактные данные клиентов |
|
Задание №4 |
||
|
Раскройте понятие «конфиденциальный документ» |
||
|
Выберите один из 4 вариантов ответа: |
||
|
1) |
это зафиксированная на материальном носителе конфиденциальная информация с реквизитами, позволяющими ее идентифицировать. |
|
|
2) |
это зафиксированная на материальном носителе конфиденциальная информация с обязательным проставлением грифа конфиденциальности |
|
|
3) |
это любая информация имеющая конфиденциальный характер даже если она предоставлена в устном виде |
|
|
4) |
все ответы правильные |
|
Задание №5 |
||
|
Перечислите 4 вида тайн относящихся к персональным данным. В случае если Вам известно больше видов тайн относящихся к ПД их следует перечислить. |
||
|
Запишите ответ: |
||
|
1) |
Ответ: |
|
Задание №6 |
||
|
В каком случае фотографию можно отнести к биометрическим персональным данным? |
||
|
Выберите один из 3 вариантов ответа: |
||
|
1) |
В случае если эта фотография находится в личном деле |
|
|
2) |
В случае если фотография зарегистрирована в СКУД (система контроля управления доступом) |
|
|
3) |
В случае если эта фотография сделана в публичном месте |
|
Задание №7 |
||
|
Может ли являться оператором персональных данных физическое лицо? |
||
|
Выберите один из 2 вариантов ответа: |
||
|
1) |
да |
|
|
2) |
нет |
|
Задание №8 |
||||
|
Сопоставьте персональные данные с их видами |
||||
|
Укажите соответствие для всех 4 вариантов ответа: |
||||
|
1) |
общедоступные |
1) |
медицинская карта |
|
|
2) |
биометрические |
2) |
фамилия, имя, отчество |
|
|
3) |
особая категория |
3) |
сведения полученные на полиграфе |
|
|
4) |
не относятся ни к одному из видов |
4) |
нечеткое изображение |
|
Задание №9 |
||
|
Какие действия можно производить с персональными данными? |
||
|
Выберите несколько из 4 вариантов ответа: |
||
|
1) |
чтение и рассылка |
|
|
2) |
хранение, уничтожение |
|
|
3) |
обезличивание, блокирование |
|
|
4) |
фасовка и упаковка |
|
Задание №10 |
||
|
Перечислите классификационные группы персональных данных по признаку свободы оборота. |
||
|
Запишите ответ: |
||
|
1) |
Ответ: |
|
|
2) |
Ответ: |
|
|
3) |
Ответ: |
|
|
4) |
Ответ: |
Ответы:
|
#1 (1 б.) |
2 |
|
#2 (1 б.) |
Ответ = это любая информация. относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его ФИО, дата рождения, имущественное, социальное положение, другая информация |
|
#3 (1 б.) |
2 |
|
#4 (1 б.) |
1 |
|
#5 (1 б.) |
Ответ = личная тайна |
|
#6 (1 б.) |
2 |
|
#7 (1 б.) |
1 |
|
#8 (1 б.) |
1=2, 2=3, 3=1, 4=4 |
|
#9 (1 б.) |
2, 3 |
|
#10 (1 б.) |
Ответ #1 = свободно обращаемые Ответ #2 = ограниченного обращаемые Ответ #3 = обращаемые в специальных целях Ответ #4 = запрещенные к обороту |
По теме: методические разработки, презентации и конспекты
- Мне нравится
Обратите внимание на дату публикации материала: информация могла устареть из-за изменений в законодательстве или правоприменительной практике.
Персональные данные: ответы на популярные вопросы
Кто и как может получить доступ к персональным данным, в каких случаях не нужно разрешение на их использование и передачу, могут ли не продать товар или не оказать услугу при отказе дать согласие на обработку данных, какие данные собирают владельцы сайтов и как отказаться от рекламной рассылки?
Что такое персональные данные?
Персональные данные (ПД) – это любая информация о человеке. ПД бывают трех видов: общие, специальные и биометрические.
1. Общие ПД
Это Ф.И.О., паспортные данные, СНИЛС, ИНН, дата и место рождения, e-mail, адрес, семейное, социальное и имущественное положение, место учебы и работы, образование, профессия, доходы и т.д.
С номером телефона сложнее. Сам по себе номер как набор цифр – это не ПД, поскольку он не может персонифицировать субъекта данных, он обезличен. Но ситуация меняется, когда помимо номера есть информация о человеке. В этом случае он может быть признан ПД. То есть записанный номер телефона без указания на человека, которому он принадлежит, не относится к персональным данным. Но если, например, на сайте вы нашли номер телефона и Ф.И.О. его владельца, он будет считаться ПД.
Не являются персональными данными: госномер транспортного средства, так как он относится не к человеку, а к автомобилю; лицевой счет ЖКХ, поскольку он относится к квартире.
Перечисленные выше ПД могут обрабатываться только с вашего согласия и лишь в некоторых случаях без него (об этом ниже).
2. Специальные ПД
Это данные о расовой и национальной принадлежности, политических, религиозных и философских убеждениях, состоянии здоровья, интимной жизни и т.д.
Обработка таких ПД не допускается, за исключением следующих случаев:
- вы дали письменное согласие на обработку, т.е. подписали документ, в котором выразили свое согласие;
- обработка в целях оказания медицинской помощи; при этом вам не могут отказать в медпомощи, если вы отказываетесь подписать согласие на обработку специальных ПД;
- обработка в целях страхования;
- обработка ПД госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности, а также иные исключения, предусмотренные ч. 2 ст. 10 Закона о персональных данных.
3. Биометрические ПД
Это данные о физиологических и биологических особенностях человека, которые позволяют установить его личность. К биометрическим ПД относятся: ДНК, голос, радужная оболочка глаза, отпечатки пальцев, изображение лица, рост, вес и т.д.
Такие ПД могут обрабатываться только с письменного согласия, за исключением случаев, когда обработка осуществляется госорганами в целях борьбы с коррупцией, терроризмом и для обеспечения транспортной безопасности; а также в иных случаях, предусмотренных ч. 2 ст. 11 Закона о персональных данных.
Например, следуя в свой офис, вы проходите пункт охраны. Там вас просят приложить к сканеру палец, что позволяет службе охраны на компьютере видеть ваши ПД на основании взятого отпечатка. Так они могут установить вашу личность. Для использования отпечатка пальца охранная организация должна взять у вас письменное согласие на обработку биометрических ПД.
Что такое обработка персональных данных?
Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Примеры:
- работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
- работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
- продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
- покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.
Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.
Кто такой оператор персональных данных?
Оператор ПД – любой человек, ИП, компания, органы и учреждения государственной и муниципальной власти, которые осуществляют действия с ПД.
Примеры:
- работодатель, обрабатывающий ПД своих работников;
- продавец, обрабатывающий ПД клиентов-граждан;
- госорганы, обрабатывающие ПД граждан при предоставлении государственных услуг;
- владельцы сайтов, собирающие ПД пользователей сайта.
Какие условия обязан соблюдать оператор при обработке персональных данных?
Главное условие – наличие вашего согласия. При этом в ст. 6 Закона о персональных данных предусмотрены случаи, когда оператор может обрабатывать ПД при отсутствии согласия:
- в целях, предусмотренных международным договором России, например договором, позволяющим выдавать преступников другой стране (экстрадиция);
- в целях, предусмотренных законами РФ, когда на оператора возложены определенные обязанности; например, работодатель обязан передать ПД в налоговые органы;
- в связи с вашим участием в суде; например, при подаче документов в суд вы должны указать свои Ф.И.О. и адрес;
- для исполнения судебного акт; например, суд по результатам рассмотрения дела выдает исполнительный документ, в котором указываются Ф.И.О., адрес, ИНН и иные данные должника;
- в целях получения госуслуг – в таких случаях мы всегда подписываем согласие на обработку ПД. В недавнем определении Верховный Суд РФ подтвердил, что отказ лица от подписания согласия не может являться основанием для отказа в предоставлении услуги органом власти1;
- для исполнения договора, в котором вы являетесь стороной, выгодоприобретателем (например, в вашу пользу застраховано имущество) или поручителем.
- для защиты вашей жизни, здоровья или иных жизненно важных интересов, если получение от вас согласия невозможно; например, друг сообщает врачам ваши ПД, поскольку вы находитесь в бессознательном состоянии;
- для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей – при условии, что тем самым не нарушаются ваши права и свободы. Обычно данное исключение используется для оправдания пропускного режима на территории здания, в виде цели при этом указывают обеспечение безопасности;
- для осуществления профессиональной деятельности журналиста или СМИ либо научной, литературной или иной творческой деятельности, если при этом не нарушаются ваши права и законные интересы; например, у вас взяли интервью и опубликовали его, указав ваши Ф.И.О. и должность;
- в статистических или иных исследовательских целях – при условии обязательного обезличивания ПД. При этом собранные данные не могут быть использованы в рекламных и агитационных целях. Например, вы прошли опрос, а позже ответы были опубликованы без указания ваших ПД – сторонний читатель не сможет узнать, что ответы на вопросы дали именно вы;
- обработка общедоступных ПД. Например, вы опубликовали свои данные на сайте по поиску работы – они будут являться общедоступными, поскольку работодатели могут свободно просматривать и обрабатывать их для изучения вашей кандидатуры;
- обработка ПД, подлежащих опубликованию или обязательному раскрытию; например, чиновник раскрывает и публикует данные о своих доходах.
Например, вы заключили с риелтором договор, согласно которому он ищет покупателя для вашей квартиры. Риелтору нужно знать ваши ПД: Ф.И.О., контактный телефон и e-mail. Так как он использует эти данные только для оказания услуг, ему не нужно ваше согласие на обработку ПД. Если же риелтор желает присылать вам рекламные материалы, которые, естественно, не связаны с оказанием услуг по заключенному договору, то он обязан будет получить ваше согласие на обработку ПД в рекламных целях;
Что такое согласие на обработку персональных данных?
Согласие на обработку ПД – это добровольно принятое вами решение о предоставлении своих данных оператору для обработки в тех целях, которые им определены.
Согласие на обработку ПД должно быть оформлено:
- письменно, если того требует закон (см. выше);
- в остальных случаях закон допускает оформление согласия в любой иной форме, позволяющей подтвердить факт его получения оператором, например проставление галочки напротив текста о предоставлении согласия на сайте при регистрации (☑).
Пункты, которые обязательно должно содержать письменное согласие:
- Ф.И.О., адрес, реквизиты паспорта или иного документа, удостоверяющего личность;
- название организации или Ф.И.О. и адрес оператора;
- цель обработки ПД – вы должны понимать, для чего вы даете согласие на обработку данных; если оператор станет обрабатывать ПД в иных целях, это будет считаться нарушением закона;
- перечень ПД, которые будет обрабатывать оператор;
- информация о лице, которое будет обрабатывать ваши ПД по поручению оператора. Например, работодатель передает ваши данные сторонней организации, которая оказывает бухгалтерские или кадровые услуги, – для этого вы должны предоставить свое согласие;
- перечень действий, которые будет осуществлять оператор, т.е. что конкретно он может делать с ПД: собирать и хранить или собирать, хранить и передавать и т.д.;
- срок, на который выдано согласие;
- способ отзыва согласия;
- подпись.
Можно ли не давать согласие на обработку ПД?
Можно. Предоставление согласия – дело добровольное. Исключением являются те случаи, когда оператор может обрабатывать ПД без вашего согласия (см. выше).
Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?
На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.
- Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
- Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.
- Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.
Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:
- считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
- считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.
С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.
Однако оба довода являются спорными.
Почему организация может требовать оформления согласия на обработку ПД?
Причин может быть несколько:
- оператор хочет получить возможность обрабатывать ПД в целях, не связанных с выполнением договора; самый распространенный случай – нужно согласие на рассылку рекламных материалов;
- оператор не понимает или не знает о случаях, в которых не требуется получение согласия;
- оператор хочет перестраховаться.
Может ли оператор передать кому-нибудь персональные данные?
Оператор может передавать ПД третьим лицам только с вашего согласия, если иное не предусмотрено законом.
Примеры, когда согласие нужно: работодатель передает ваши ПД сторонней организации для бронирования отелей, покупки авиабилетов или оформления пропуска.
Примеры, когда согласие не нужно:
- управляющая организация или правление товарищества собственников жилья вправе предоставить ваши ПД (Ф.И.О., номер квартиры, сведения о размере доли) организатору созыва общего собрания собственников жилья;
- работодатель вправе передавать ваши ПД в ФСС, ПФР, налоговые органы, по запросу в суд, прокуратуру, правоохранительные органы и т.д.
Предоставление такого согласия является добровольным. Оператор не может принуждать вас это сделать.
(Банк передал вашу личную информацию посторонним лицам, и теперь вы вынуждены отвечать на ежедневные звонки с неизвестных номеров и опасаетесь, что ваши данные попадут в руки мошенников? О том, как действовать в такой ситуации, читайте в статье «Битва за персональные данные».)
Какие персональные данные оператор собирает через сайт и зачем?
ПД, которые могут быть собраны оператором через сайт, условно можно разделить на две группы.
1. ПД, которые вы передаете сами, заполняя формы обратной связи на сайте: Ф.И.О., адрес, номер телефона, e-mail.
В этом случае объем переданных ПД вы можете определить сами. Согласие на обработку таких данных обычно можно предоставить путем:
- проставления галочки в специальном окне («Я даю свое согласите на обработку персональных данных» ☑);
- принятия условий публичной оферты, опубликованной на сайте; обычно оплата товара означает согласие с условиями.
2. ПД, которые оператор собирает без предоставления вами информации.
В основном это файлы куки (cookie) – небольшие текстовые файлы со служебной информацией с сайта (сведения о программном обеспечении, которым вы пользуетесь, IP вашего компьютера, информация о вашем браузере).
Ваше согласие на обработку этих ПД оператор получает, если вы остаетесь на сайте после того, как появилось всплывающее окно с информацией примерно следующего содержания: «Продолжая использовать настоящий сайт, вы даете согласие на обработку файлов cookie в целях функционирования сайта. Если вы против обработки ваших данных, незамедлительно покиньте сайт».
Владелец сайта вправе обрабатывать ваши ПД только в тех целях, которые были указаны при получении вашего согласия, чаще это направление вам рекламных материалов. Файлы куки обычно используются для сбора статистики и информации о ваших предпочтениях.
Законно ли направление мне рекламы без моего согласия?
Прежде чем направить вам рекламные материалы, оператор обязан взять у вас согласие:
- на получение рекламных материалов, т.е. вы должны разрешить ему высылать их;
- на обработку ПД в целях продвижения товаров, работ или услуг, т.е. вы должны разрешить ему обрабатывать ваши данные (Ф.И.О., номер телефона, e-mail) для получения рекламной рассылки.
Обычно мы не замечаем, как даем эти согласия. Например, в магазине вы заполняете анкету для получения бонусной карты, что влечет согласие на рекламную рассылку; на сайте при заполнении формы обратной связи или при оформлении заказа вы ставите галочку напротив текста, который выражает ваше согласие (☑).
Если вы не хотите сталкиваться со спамом, рекомендую внимательно следить за тем, что вы подписываете или оформляете на сайте.
(Подробнее об этом в статье «Клиент жалуется на рекламную рассылку – предприниматель платит».)
Как отказаться от назойливой рекламной рассылки?
Обычно в конце рекламного сообщения есть активная ссылка, которая позволяет отказаться от рассылки. Если это не помогло, вы должны обратиться к оператору, от которого получаете рекламу, с требованием прекратить обработку ПД в целях продвижения товаров, работ или услуг. Вы можете обратиться к нему лично, придя в офис, направить по почте письменное требование или через e-mail отправить электронный документ, подписанный усиленной квалифицированной подписью.
При оформлении отказа рекомендую указать свои контактные данные и четко сформулировать свое требование (отказ от получения рекламных материалов и от обработки ПД в целях продвижения товаров, работ, услуг). Тут же следует сослаться на ч. 2 ст. 15 Закона о персональных данных, в которой сказано, что по требования субъекта ПД оператор обязан немедленно прекратить обработку его данных.
Лучше направить письменное требование обычной почтой (ценным письмом с описью вложения). Почтовая квитанция и опись будут являться подтверждением факта обращения к оператору. Получив такое требование, он обязан будет прекратить обработку ПД.
Если вам направляют рекламу, несмотря на отказ от нее, вы можете обратиться:
- в территориальный орган Роскомнадзора с жалобой на действия оператора;
- в территориальный орган Федеральной антимонопольной службы с жалобой на действия предпринимателя, осуществляющего рассылку рекламных материалов без вашего согласия на их получение;
- в суд.
Какие права у меня есть при обработке моих персональных данных?
1. Право на получение у оператора информации, касающейся обработки ваших ПД.
Вы можете обратиться к оператору с требованием о предоставлении следующей информации:
- подтверждение факта обработки ваших ПД оператором – он должен подтвердить или опровергнуть информацию об этом;
- правовые основания и цели обработки ваших ПД – если вы дали свое согласие на обработку, то оператор должен сослаться на него. Если он вправе осуществлять обработку без вашего согласия, то должен сослаться на конкретное положение закона. Также оператор должен перечислить цели, для которых осуществляется обработка ПД;
- способы обработки ваших ПД – возможны два способа: автоматизированный – обработка с помощью средств вычислительной техники; без использования средств автоматизации – обработку осуществляет человек;
- наименование и место нахождения оператора; сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым эти данные могут быть раскрыты на основании договора с оператором или на основании федерального закона – здесь речь идет об органах госвласти, которым оператор передает ваши ПД, а также об иных третьих лицах, которым оператор передает ваши ПД на основании договора;
- перечень обрабатываемых ПД и источник их получения – оператор должен указать, какие именно ваши данные он обрабатывает и как их получил;
- сроки обработки и хранения ПД;
- порядок осуществления вами прав, предусмотренных Законом о персональных данных, – информация о том, каким образом вы можете реализовать свои права у данного оператора;
- о трансграничной передаче ПД – информация о том, передаются ли ваши ПД за границу;
- сведения о лице, осуществляющем обработку ваших ПД вместо оператора, – например, сторонняя организация вместо работодателя обрабатывает ПД работников для предоставления кадровых и бухгалтерских услуг;
- иные сведения, предусмотренные законодательством.
Право на получение такой информации не распространяется на случаи обработки ПД в целях обороны страны, безопасности государства, охраны правопорядка, в рамках законодательства о противодействии отмыванию доходов, полученных преступным путем, и т.д.
Как получить от оператора необходимую информацию?
Вы вправе обратиться к оператору лично, придя в офис. Можно направить запрос по почте в виде письменного документа или на e-mail в виде электронного документа, подписанного усиленной квалифицированной электронной подписью.
Самый надежный способ обращения – направление по обычной почте ценного письма с описью вложения. Оставьте у себя почтовые квитанции и опись – так вы сможете подтвердить факт направления запроса оператору.
В запросе обязательно нужно указать:
- паспортные данные;
- если ваши ПД обрабатываются оператором на основании договора, то укажите дату его заключения и номер;
- если вы не заключали договор с оператором, укажите иные сведения, подтверждающие ваши взаимоотношения с ним; например, если вы купили товар на сайте оператора, можете сослаться на адрес сайта, номер вашего заказа и т.д.;
- иные сведения, подтверждающие факт обработки ваших ПД оператором; например, ссылка на электронное письмо с рекламными материалами;
- ваша подпись.
При личном обращении информация об обработке ПД должна быть предоставлена вам незамедлительно. Если запрос был направлен по почте, то ответ должен поступить в течение 30 дней с даты получения оператором запроса.
Повторно обратиться к оператору вы можете не ранее чем через 30 дней после первоначального обращения. Отправить второй запрос, не дожидаясь истечения 30-дневного срока, вы можете, только если оператор предоставил не всю информация, которую вы требовали. Но вы должны будете обосновать свое обращение. В случае несоблюдения этих условий оператор вправе отказать в выполнении повторного запроса.
2. Право на предъявление иных требований к оператору, обрабатывающему ваши ПД.
Вы можете требовать от оператора:
- уточнить ваши ПД;
- блокировать ПД – временно прекратить обработку данных. Например: вы обратились к оператору с требованием уточнить ПД и, пока вносятся изменения, заблокировать их, чтобы приостановить обработку неточных данных;
- уничтожить ПД. Например: вы просите оператора уничтожить паспортные данные, которые не нужны ему для направления вам рекламных материалов.
Такие требования можно предъявить, если ПД, которые обрабатывает оператор:
- неполные, например вместо Ф.И.О. указана только фамилия;
- устаревшие, например если вы поменяли паспорт;
- неточные, например ваша фамилия указана с ошибкой;
- получены незаконно;
- не являются необходимыми для заявленной цели обработки. Например: продавец обрабатывает ваши паспортные данные, хотя получал ПД для направления рекламных материалов, для чего ему достаточно знать ваши имя и e-mail или номер телефона.
Как обратиться к оператору с одним из требований?
Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении обращения рекомендую указать свои контактные данные и четко сформулировать свое требование (об уточнении, блокировании или уничтожении ПД). Тут же нужно сослаться на ч. 1 ст. 14 и ч. 3 ст. 20 Закона о персональных данных.
Отказать в выполнении требования оператор не может. Он обязан сделать это в течение 7 дней и уведомить об этом вас и тех, кому были переданы ваши ПД. Если оператор не выполнил ваши требования, имеет смысл обратиться в контролирующий орган – Роскомнадзор.
3. Право на отзыв согласия на обработку ПД.
После отзыва согласия оператор не может обрабатывать ваши ПД, за исключением случаев, когда обработка может быть продолжена по закону. Например: вы заключили с оператором договор оказания услуг и подписали согласие. После его отзыва оператор вправе продолжить обработку ваших ПД только в том объеме, который необходим для оказания вам услуг по договору.
Как отозвать согласие на обработку персональных данных?
Порядок обращения может быть таким же, как и при запросе информации об обработке ПД (см. выше пункт 1). При оформлении отзыва рекомендую указать свои контактные данные и четко сформулировать свое требование (отзыв ранее выданного согласия на обработку ПД). Сослаться нужно будет на ч. 2 ст. 9 и ч. 5 ст. 21 Закона о персональных данных.
Оператор не может вам отказать и должен будет прекратить обработку ПД в течение 30 дней с даты поступления отзыва.
4. Право принимать предусмотренные законом меры по защите своих прав.
Если вы считаете, что оператор:
- осуществляет обработку ваших ПД с нарушением требований закона, например обрабатывает биометрические данные без письменного согласия;
- иным образом нарушает ваши права, например игнорирует ваши требования об уничтожении ПД, отзыве согласия, отказе от обработки ПД в целях продвижения товаров, работ или услуг и т.д.
В таких случаях вы можете обратиться:
- в территориальный орган Роскомнадзора с жалобой на действия или бездействие оператора;
- в суд с требованием о восстановлении нарушенных прав, а также с требованием о взыскании убытков (причиненный вам имущественный вред) и компенсации морального вреда (причиненные нравственные страдания).
Вы можете обратиться за защитой своих прав в любой из этих органов. Однако наиболее быстрый и надежный способ – направление жалобы в территориальный орган Роскомнадзора. Это позволит сэкономить время и силы. При обращении в суд дело может рассматриваться очень долго, нужно будет посетить не одно судебное заседание, представить доказательства и т.д.
1 Кассационное определение Судебной коллегии по административным делам Верховного Суда РФ от 22 января 2020 г. № 5-КА19-56.
Главная /
Безопасность /
Обеспечение безопасности персональных данных
Обеспечение безопасности персональных данных — ответы на тесты Интуит
Правильные ответы выделены зелёным цветом.
Все ответы: Курс предоставляет необходимые знания для обеспечения безопасности персональных данных. Рассмотрены основные термины и законодательство Российской Федерации в данной предметной области. Приведены этапы построения системы защиты персональных данных.
На каком этапе создания системы защиты персональных данных разрабатывается частная модель угроз?
(1) предпроектная стадия
(2) стадия проектирования
(3) ввод в действие
(4) эксплуатация
Как называется состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право?
(1) конфиденциальность
(2) доступность
(3) целостность
(4) аутентичность
Обработка персональных данных считается неавтоматизированной, если осуществляется:
(1) без использования ЭВМ
(2) без использования сети Интернет
(3) при непосредственном участии человека
(4) без использования средств защиты информации
Основные принципы и правила обеспечения безопасности персональных данных при обработке в информационных системах регулируются:
(1) Федеральным законом “О персональных данных”
(2) Федеральным законом “Об информации, информационных технологиях и о защите информации”
(3) Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
(4) Конституцией РФ
От чего должны быть защищены персональные данные при их обработке в ИСПД?
(1) от утечки по техническим каналам утечки
(2) от стихийных бедствий
(3) от несанкционированного доступа, в том числе случайного
(4) от передачи по сети Интернет
(5) от передачи на носителях, открытых на запись
Результатом предпроектного этапа построения системы защиты персональных данных является:
(1) аттестация ИСПД
(2) сертификация средств защиты
(3) разработка частного технического задания СЗПД
(4) уведомление Роскомнадзора о намерении обрабатывать персональные данные
Какая подсистема в рамках СЗПД предназначена для защиты ПД при передаче по открытым каналам связи или в несегментированной сети?
(1) подсистема антивирусной защиты
(2) подсистема анализа защищенности
(3) подсистема обнаружения вторжений
(4) подсистема управления доступом, регистрации и учета
(5) подсистема обеспечения целостности
(6) подсистема безопасности межсетевого взаимодействия
(7) подсистема криптографической защиты информации
Как называется совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации?
(1) атака
(2) угроза
(3) уязвимость
(4) слабое место системы
Ситуация, когда работник оператора сохранил персональные данные в виде файла на компьютере, считается:
(1) автоматизированной обработкой персональных данных
(2) неавтоматизированной обработкой персональных данных
(3) запрещенной обработкой персональных данных в соответствии с ФЗ “О персональных данных”
(4) неавтоматизированной обработкой, если работник не знал, что это персональные данные
На каком этапе построения системы защиты персональных данных происходит выявление технических каналов утечки информации?
(1) оценка обстановки
(2) разработка замысла защиты
(3) реализация замысла защиты
(4) решение вопросов управления защитой
Как называется воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации?
(1) случайный несанкционированный доступ
(2) несанкционированный доступ
(3) неправомерный доступ
(4) утечка по техническому каналу утечки информации
На каком этапе создания СЗПД разрабатывается задание и проект проведения работ?
(1) предпроектная стадия
(2) стадия проектирования
(3) ввод в действие
(4) эксплуатация
Какая подсистема в рамках СЗПД предназначена для защиты информационной системы от вредоносных программ?
(1) подсистема антивирусной защиты
(2) подсистема анализа защищенности
(3) подсистема обнаружения вторжений
(4) подсистема безопасности межсетевого взаимодействия
Какой уровень защиты информации состоит из мер, реализуемых людьми?
(1) законодательный
(2) процедурный
(3) программно-технический
(4) административный
Сколько классов защищенности от несанкционированного доступа устанавливается для автоматизированных систем обработки информации?
Какие виды ущерба выделяют в зависимости от объекта, которому наносится ущерб?
(1) персональный ущерб
(2) опосредованный ущерб
(3) косвенный ущерб
(4) непосредственный ущерб
(5) коллективный ущерб
Для какого класса ИСПД меры и способы защиты определяет оператор персональных данных?
На каком этапе создания СЗПД производится опытная эксплуатация средств защиты?
(1) предпроектная стадия
(2) стадия проектирования
(3) ввод в действие
(4) эксплуатация
При использовании антивируса, использующего сигнатурный метод для обнаружения вируса, необходимо:
(1) регулярно изучать информацию о новых вирусах в сети
(2) регулярно обновлять антивирусную базу
(3) подключить к антивирусу системные журналы
(4) регулярно обмениваться с друзьями антивирусными базами
Какой федеральный закон является базовым в Российском законодательстве в области информационных отношений и информационной безопасности?
(1) о персональных данных
(2) о техническом регулировании
(3) об информации, информационных технологиях и о защите информации
(4) о лицензировании отдельных видов деятельности
К каким классам защищенности должны быть отнесены автоматизированные системы обработки персональных данных?
(1) 1 В
(2) 2 В
(3) 3 В
(4) 2 Б
(5) 3 Б
(6) не ниже 1Д
Если злоумышленник получил доступ к реквизитам банковской карты человека и украл 1000 рублей, то о каком виде ущерба идет речь?
(1) явный ущерб
(2) опосредованный ущерб
(3) непосредственный ущерб
(4) ущерб в особо крупном размере
Требования по защите от НСД каких классов ИСПД в однопользовательском режиме совпадают?
(1) 1 и 3 классов
(2) 1 и 2 классов
(3) 2 и 3 классов
(4) 3 и 4 классов
К организационным мерам по защите персональных данных можно отнести:
(1) выбор адекватных и достаточных технических средств защиты информации
(2) уведомление уполномоченного органа о намерении обрабатывать ПД
(3) определение должностных лиц, которые будут работать с ПД
(4) применение межсетевых экранов на границе локальной сети и Интернета
(5) обучение персонала
(6) опытная эксплуатация средств защиты информации
(7) получение письменного согласия на обработку ПД от субъектов ПД
Как называется метод нахождения вирусов, представляющий собой совокупность приблизительных методов, основанных на тех или иных предположениях?
(1) сравнительный
(2) сигнатурный
(3) приблизительный
(4) эвристический
Совокупность содержащихся в базах данных информации, обеспечивающих ее обработку информационных технологий и технических средств, называется:
(1) система защиты информации
(2) автоматизированная система
(3) информационная система
(4) система обработки персональных данных
В случае обеспечения безопасности в локальных вычислительных сетях без использования внутренних межсетевых экранов средства защиты должны использоваться:
(1) во всех узлах сети, где обрабатывается конфиденциальная информация
(2) во всех узлах сети, независимо от того, обрабатывают они конфиденциальную информацию или нет
(3) на серверах сети
(4) на пользовательских ЭВМ
Если в результате атаки отказ в обслуживании на медицинское учреждение база данных пациентов стала недоступна, о каком виде ущерба идет речь?
(1) нематериальный ущерб
(2) неявный ущерб
(3) непосредственный ущерб
(4) опосредованный ущерб
Анализ защищенности информационных систем проводится с помощью:
(1) межсетевых экранов
(2) сканеров безопасности
(3) браузеров
(4) команды ping
Какой уполномоченный орган должен уведомить оператор о своем намерении обрабатывать ПД?
(1) ФСБ России
(2) ФСТЭК России
(3) Роскомнадзор
(4) Роспотребнадзор
Какие IDS рекомендует использовать ФСТЭК для ИСПД 3 и 4 классов?
(1) HIDS
(2) NIDS
(3) с сигнатурным методом
(4) с аномальным методом
(5) с сигнатурным и аномальным методом
Чем может ограничиваться доступ к информации?
(1) нормативными актами
(2) административными документами
(3) федеральными законами
(4) стандартами
При построении сети и конфигурировании коммуникационного оборудования рекомендуется учитывать:
(1) количество пользователей сети
(2) разделение трафика по производственной основе
(3) расположение межсетевых экранов
(4) разделение трафика по видам деятельности предприятия
В ходе какого этапа построения системы защиты персональных данных определяются основные направления защиты персональных данных, и производится выбор способов защиты?
(1) оценка обстановки
(2) построение частной модели угроз
(3) формирование замысла защиты
(4) решение вопросов управления защитой
Как называется структура, объединяющая требования к обеспечению безопасности, которые являются общими для некоторого типа продуктов или информационных систем?
(1) класс защиты
(2) группа защиты
(3) профиль защиты
(4) профиль безопасности
Как называется процедура оценки соответствия характеристик средства защиты требованиям стандартов, федеральных законов и других нормативных документов?
(1) аттестация по требованиям безопасности информации
(2) декларирование требований безопасности информации
(3) сертификация по требованиям безопасности информации
(4) лицензирование по требованиям безопасности информации
Что выполняет функцию трансляции сетевых адресов?
(1) антивирус
(2) система обнаружения вторжений
(3) браузер
(4) межсетевой экран
В отношении информации, доступ к которой ограничен федеральными законами, необходимо соблюдать следующее требование:
(1) обеспечение конфиденциальности
(2) обеспечение целостности
(3) обеспечение доступности
(4) обеспечение неотказуемости
Персональные данные, над которыми были произведены действия, в результате которых невозможно определить их принадлежность конкретному субъекту ПД, называются:
(1) общедоступными
(2) общеизвестными
(3) обезличенными
(4) специальными
Требования к средствам защиты и их выбор в каждом конкретном случае зависит от:
(1) класса ИСПД
(2) ущерба, который может быть нанесен в результате атаки
(3) решения руководителя
(4) категории персональных данных, обрабатываемых в ИСПД
Как называется совокупность программных, программно-аппаратных и/или аппаратных средств ИТ, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы ИТ?
(1) продукт ИТ
(2) изделие ИТ
(3) система ИТ
(4) среда безопасности ИТ
Какой участник процесса сертификации проводит сертификационные испытания продукции?
(1) заявитель
(2) федеральный орган по сертификации
(3) органы по сертификации средств защиты информации
(4) испытательные лаборатории
Какой орган является регулятором в части, касающейся соблюдения норм и требований по обработке персональных данных и защиты прав субъектов персональных данных?
(1) Роспотребнадзор
(2) Роскомнадзор
(3) ФСБ
(4) ФСТЭК
Основополагающим федеральным законом в области обеспечения безопасности персональных данных является:
(1) о персональных данных
(2) об информации, информационных технологиях и о защите информации
(3) о лицензировании отдельных видов деятельности
(4) о безопасности
Обязанность по обеспечению безопасности персональных данных при их обработке полностью возлагается на:
(1) субъекта персональных данных
(2) оператора персональных данных
(3) доверенное лицо
(4) администратора безопасности информационной системы персональных данных
На какие типы в общем случае подразделяются информационные системы, обрабатывающие персональные данные?
(1) типовые
(2) биометрические
(3) специальные
(4) государственные
Какие цели преследует использование профилей защиты?
(1) стандартизация наборов требований к информационным продуктам
(2) повышение уровня безопасности информационной системы
(3) оценка безопасности
(4) проведение сравнительного анализа уровня безопасности различных изделий ИТ
(5) повышение уровня безопасности изделия ИТ
Какие участники процесса сертификации проходят процедуру аккредитации на право проведения работ по сертификации?
(1) заявитель
(2) федеральный орган по сертификации
(3) органы по сертификации средств защиты информации
(4) испытательные лаборатории
Какие проверки проводят регуляторы с целью контроля соблюдения операторами требований безопасности персональных данных?
(1) плановые
(2) временные
(3) внеплановые
(4) неожиданные
Персональные данные это:
(1) любая информация, относящаяся к определенному, или определяемому на основании такой информации физическому лицу
(2) сведения (сообщения, данные) независимо от формы их представления
(3) любая информация, касающаяся физиологических особенностей человека
(4) информация, позволяющая связаться с человеком любым доступным способом
Какому принципу обеспечения безопасности персональных данных соответствует то, что меры безопасности нацелены, прежде всего, на недопущение реализации угроз безопасности информации, а не на устранение последствий их проявления?
(1) принцип превентивности
(2) принцип оптимальной и разумной разнородности
(3) принцип адаптивности
(4) принцип преемственности и совершенствования
К какому типу относятся ИСПД, где требуется обеспечить хотя бы одну из характеристик безопасности, отличную от конфиденциальности?
(1) типовые
(2) биометрические
(3) специальные
(4) государственные
Какой подраздел профиля защиты должен давать общую характеристику профилю защиты и иметь описательную форму?
(1) аннотация
(2) обоснование
(3) среда безопасности
(4) замечания по применению
Программное обеспечение какого класса ИСПД подлежит сертификации на отсутствие недекларированных возможностей?
(1) 1 класс
(2) 2 класс
(3) 3 класс
(4) 4 класс
Как происходит уведомление оператора о проведении внеплановой проверки?
(1) оператора не уведомляют
(2) не менее чем за 24 часа
(3) не менее чем за неделю
Какие категории персональных данных выделяет ФЗ “О персональных данных”?
(1) личные
(2) общедоступные
(3) физиологические
(4) специальные
(5) биометрические
Совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация, называется:
(1) акустический канал утечки информации
(2) технический канал утечки информации
(3) программный канал утечки информации
(4) уязвимость
К какой категории относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни?
(1) 1 категория
(2) 2 категория
(3) 3 категория
(4) 4 категория
Какое понятие включает в себя предположения безопасности, потенциальные угрозы и политику безопасности организации в контексте изделия ИТ?
(1) среда безопасности изделия ИТ
(2) профиль безопасности
(3) среда эксплуатации изделия ИТ
(4) идентификация изделия ИТ
Какие средства защиты в области персональных данных охватывают на настоящее время руководящие документы ФСТЭК?
(1) антивирусы
(2) межсетевые экраны
(3) системы анализа защищенности
(4) системы обнаружения вторжений
Роскомнадзор может провести внеплановую проверку на основании:
(1) обращений и заявлений граждан
(2) предписания ФСБ
(3) предписания ФСТЭК
(4) истечение срока действия предписания об устранении нарушений
К какой категории персональных данных можно отнести сведения о религиозных убеждениях человека?
(1) биометрические
(2) специальные
(3) дополнительные
(4) общедоступные
Какой протокол прикладного уровня производит аутентификацию на базе открытого текста?
(1) IP
(2) TCP
(3) FTP
(4) HTTPS
Какие критерии используются для классификации ИСПД?
(1) количество пользователей ИСПД
(2) количество субъектов, персональные данные которых обрабатываются в ИСПД
(3) категория персональных данных, обрабатываемых в ИСПД
(4) общее количество сотрудников в организации, использующей ИСПД, независимо от того, имеют они доступ к ИСПД или нет.
Как называется многократно используемая совокупность функциональных компонентов или компонентов доверия, объединенных для достижения определенных целей безопасности?
(1) профиль защиты
(2) профиль доверия
(3) комплект защиты
(4) пакет
Какой государственный орган осуществляет лицензирование деятельности по технической защите информации?
(1) Роскомнадзор
(2) ФСТЭК России
(3) Роспотребнадзор
(4) Гостехкомиссия
Что из перечисленного проверяется в ходе проверки ФСБ России?
(1) документы оператора, регламентирующие порядок хранения и обработки ПД;
(2) организация системы криптографических мер защиты информации
(3) соответствие требуемого уровня криптографической защиты полученной модели нарушителя
(4) ИСПД в части, касающейся субъектов ПД
В каких случаях оператор не обязан уведомлять регулятора об обработке персональных данных?
(1) если данные включают в себя ФИО, телефон и размер оклада
(2) если оператора связывает с субъектом трудовые отношения
(3) если данные включают в себя только ФИО
(4) если данные касаются здоровья субъекта
(5) если данные касаются семейной жизни субъекта
(6) если данные необходимы для однократного пропуска на территорию оператора
В каком документе указывается цель и задачи обработки персональных данных?
(1) базовая модель угроз
(2) частная модель угроз
(3) положение по обеспечению безопасности персональных данных
(4) инструкция по обеспечению безопасности персональных данных
К какому классу относится типовая ИСПД, если в ней обрабатываются персональные данные 100 субъектов, позволяющие идентифицировать этих субъектов?
(1) 1 класс
(2) 2 класс
(3) 3 класс
(4) 4 класс
Из каких частей состоит каждая запись реестра?
(1) тип элемента реестра
(2) год регистрации
(3) тип регистрации
(4) регистрационный номер
(5) лицо или организация, выдавшая сертификат соответствия
На каком этапе создания системы защиты персональных данных производится классификация ИСПД?
(1) предпроектная стадия
(2) стадия проектирования
(3) ввод в действие
(4) эксплуатация
Какие подсистемы в рамках СЗПД обязательны как для распределенных, так и локальных ИСПД всех классов в соответствии с руководящими документами ФСТЭК?
(1) подсистема антивирусной защиты
(2) подсистема анализа защищенности
(3) подсистема обнаружения вторжений
(4) подсистема управления доступом, регистрации и учета
(5) подсистема обеспечения целостности
(6) подсистема безопасности межсетевого взаимодействия
(7) подсистема криптографической защиты информации
Как называется состояние информации, при котором отсутствует любое ее изменение, либо изменение осуществляется только преднамеренно субъектами, имеющими на него право?
(1) конфиденциальность
(2) доступность
(3) целостность
(4) аутентичность
Как должны храниться персональные данные при их неавтоматизированной обработке?
(1) на отдельных материальных носителях
(2) на материальных носителях с другой информацией, обрабатываемой в организации
(3) в общих разделах
(4) в специальных разделах
(5) на полях форм
Какие работы включает в себя анализ информационных ресурсов при оценке обстановки?
(1) определение состава, содержания и местонахождения ПД, подлежащих защите
(2) оценка возможности физического доступа к ИСПД
(3) выявление технических каналов утечки информации
(4) категорирование персональных данных
(5) оценка выполнения обязанностей по обеспечению безопасности ПД на настоящий момент
Для предотвращения чего предназначена звукоизоляция помещений, систем вентиляции и кондиционирования ?
(1) утечки через побочные электромагнитные излучения
(2) утечки через наводки на провода
(3) утечки по акустическому каналу
(4) несанкционированного доступа
Что должно содержать техническое задание к СЗПД?
(1) класс ИСПД
(2) перечень уязвимостей программного обеспечения ИСПД
(3) обоснование разработки СЗПД
(4) мероприятия и требования к СЗПД
(5) перечень лиц, которые будут выполнять работы по созданию СЗПД
(6) перечень предполагаемых к использованию сертифицированных средств защиты информации
Как называются меры защиты, которые создают маскирующие акустические и вибрационные помехи?
(1) пассивные меры защиты от утечки по техническим каналам
(2) активные меры защиты от утечки по техническим каналам
(3) криптографические меры защиты
(4) активные меры защиты от несанкционированного доступа
Как называется попытка реализации угрозы?
(1) атака
(2) нападение
(3) уязвимость
(4) слабое место системы
Выдача одноразового бумажного пропуска на территорию оператора считается:
(1) автоматизированной обработкой персональных данных
(2) неавтоматизированной обработкой персональных данных
(3) запрещенной обработкой персональных данных в соответствии с ФЗ “О персональных данных”
(4) это неавтоматизированная обработка, если количество сотрудников оператора меньше 100 человек
На каком этапе построения системы защиты происходит оценка возможного физического доступа к ПД?
(1) оценка обстановки
(2) разработка замысла защиты
(3) реализация замысла защиты
(4) решение вопросов управления защитой
Если ИСПД подключена к Интернету и в ней используются съемные носители, для защиты от НСД необходимо использование:
(1) антивирусной защиты
(2) защищенных каналов связи
(3) браузера
(4) носителей, открытых на запись
На каком этапе создания СЗПД разрабатывается эксплуатационная документация к ИСПД и средствам защиты информации?
(1) предпроектная стадия
(2) стадия проектирования
(3) ввод в действие
(4) эксплуатация
Как называется метод обнаружения вирусов, основанный на сравнении подозрительного файла с образцами известных вирусов?
(1) сравнительный
(2) сигнатурный
(3) аномальный
(4) эвристический
Какой уровень защиты информации представляет собой комплекс мер, применяемых руководством организации?
(1) законодательный
(2) процедурный
(3) программно-технический
(4) административный
На сколько групп подразделяются классы защищенности автоматизированной системы обработки информации?
Ущерб, связанный с причинением вреда обществу или государству вследствие нарушения нормальной деятельности экономических, политических и т.п. органов, называется?
(1) явный ущерб
(2) косвенный ущерб
(3) опосредованный ущерб
Для ИСПД какого класса обязателен контроль доступа пользователей к защищаемым ресурсам в соответствии с матрицей доступа при многопользовательском режиме?
На каком этапе создания СЗПД производится оценка(аттестация) ИСПД требованиям безопасности ПД?
(1) предпроектная стадия
(2) стадия проектирования
(3) ввод в действие
(4) эксплуатация
Кто регулярно обновляет антивирусную базу, внося в нее сигнатуры новых вирусов?
(1) пользователь
(2) администратор безопасности
(3) производитель антивируса
(4) международная организация AVC
ФЗ «Об информации, информационных технологиях и о защите информации” регулирует отношения, возникающие при:
(1) осуществлении права на поиск, получение, передачу, производство и распространение информации;
(2) применении информационных технологий
(3) обеспечении защиты информации
(4) правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации
В случае формирования конфиденциальных документов с помощью информации, представленной на неконфиденциальных накопителях информации, неконфиденциальные накопители информации должны быть:
(1) учтены в специальных журналах
(2) форматированы после обработки
(3) открыты на запись
(4) закрыты на запись
Если злоумышленник получил доступ к личной переписке человека и шантажирует его, то о каком виде ущерба идет речь?
(1) нематериальный ущерб
(2) неявный ущерб
(3) непосредственный ущерб
(4) опосредованный ущерб
Требования по защите от НСД каких классов ИСПД в многопользовательском режиме при равных правах доступа совпадают?
(1) 1 и 3 классов
(2) 1 и 2 классов
(3) 2 и 3 классов
(4) 3 и 4 классов
К техническим мерам по защите персональных данных можно отнести:
(1) выбор адекватных и достаточных технических средств защиты информации
(2) уведомление уполномоченного органа о намерении обрабатывать ПД
(3) определение должностных лиц, которые будут работать с ПД
(4) применение межсетевых экранов, антивирусов и систем обнаружения вторжений
(5) обучение персонала
(6) опытная эксплуатация средств защиты информации
(7) получение письменного согласия на обработку ПД от субъектов ПД
Выберите утверждения, характеризующие антивирусы с эвристическим методом обнаружения вирусов:
(1) способны находить неизвестные вирусы
(2) не способны находить неизвестные вирусы
(3) гарантированно находят известные вирусы
(4) имеют большое количество ложных срабатываний
Как называется лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам?
(1) субъект персональных данных
(2) оператор информационной системы
(3) обладатель информации
(4) субъект информации
Выберите правильное утверждение. Состав пользователей ЛВС :
(1) должен быть неизменным
(2) должен утверждаться администратором безопасности ЛВС
(3) должен утверждаться руководителем организации
(4) может изменяться, а все изменения регистрироваться
Если в результате атаки отказ в обслуживании на библиотеку картотека книг стала недоступна и библиотека в течение одного дня не могла обслуживать клиентов, о каком виде ущерба идет речь?
(1) нематериальный ущерб
(2) неявный ущерб
(3) непосредственный ущерб
(4) опосредованный ущерб
Электронные замки предназначены для:
(1) хранения большого объема конфиденциальной информации
(2) защиты периметра корпоративной сети
(3) надежной аутентификации и идентификации пользователей
(4) блокирования компьютера во время отсутствия пользователя на рабочем месте
В какой форме оператор может уведомить уполномоченный орган о своем намерении обрабатывать ПД?
(1) в устной форме
(2) в письменной форме с подписью уполномоченного лица
(3) в виде e-mail на официальный электронный адрес
(4) в электронной форме с ЭЦП уполномоченного лица
Какие IDS рекомендует использовать ФСТЭК для ИСПД 1 и 2 классов?
(1) HIDS
(2) NIDS
(3) с сигнатурным методом
(4) с аномальным методом
(5) с сигнатурным и аномальным методами
Вся информация делится на:
(1) общедоступную
(2) ограниченного доступа
(3) конфиденциальную
(4) государственную тайну
Подключение ЛВС к другой автоматизированной системе иного класса защищенности должно осуществляться с помощью:
(1) межсетевого экрана
(2) коммутатора
(3) антивирусной программы
(4) маршрутизатора
Какие вопросы относятся к основным вопросам управления системой защиты персональных данных?
(1) финансовое обеспечение
(2) организация охраны на предприятии
(3) организация резервирования программного и аппаратного обеспечения
(4) кадровое обеспечение
(5) технического, программного и информационного обеспечения
Как называется независимая от реализации совокупность требований безопасности для некоторой категории изделий ИТ, отвечающая специфическим запросам потребителя?
(1) набор безопасности
(2) набор защиты
(3) комплект защиты
(4) профиль защиты
Сколько органов по сертификации действует в России?
Что выполняет фильтрацию сетевого трафика?
(1) антивирус
(2) система обнаружения вторжений
(3) браузер
(4) межсетевой экран
Какой Федеральный закон устанавливает эквивалентность документа, подписанного собственноручно, и электронного сообщения с ЭЦП?
(1) о персональных данных
(2) об информации, информационных технологиях и о защите информации
(3) о лицензировании отдельных видов деятельности
(4) о безопасности
Для каких персональных данных не требуется обеспечение безопасности в соответствии с ФЗ “О персональных данных”?
(1) обезличенных
(2) специальных
(3) медицинских
(4) биометрических
(5) общедоступных
В соответствии с чем производится классификация ИСПД?
(1) ФЗ “О персональных данных”
(2) ФЗ “Об информации, информационных технологиях и о защите информации”
(3) Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
(4) Приказом ФСТЭК “Об утверждении порядка проведения классификации информационных систем персональных данных”
Обобщенным термином для продуктов и систем ИТ является:
(1) профиль защиты
(2) профиль безопасности
(3) изделие ИТ
(4) система ИТ
Какой участник процесса сертификации ведет реестр сертифицированных средств и участников сертификации?
(1) заявитель
(2) федеральный орган по сертификации
(3) органы по сертификации средств защиты информации
(4) испытательные лаборатории
Какой орган является регулятором в части, касающейся соблюдения требований по организации и обеспечению функционирования криптографических средств в случае их использования для обеспечения безопасности персональных данных?
(1) Роспотребнадзор
(2) Роскомнадзор
(3) ФСБ
(4) ФСТЭК
Имитация сайтов финансовых учреждений злоумышленником с целью похищения информации называется:
(1) cкиминг
(2) тримминг
(3) фишинг
(4) банкинг
Если в результате несанкционированного доступа персональные данные были уничтожены, оператор обязан:
(1) уведомить об этом регулятора
(2) уведомить об этом субъекта персональных данных
(3) немедленно восстановить персональные данные
(4) произвести перенастройку средств защиты информации
К какому типу информационных систем обработки персональных данных относятся системы, где требуется обеспечить только конфиденциальность информации?
(1) типовые
(2) биометрические
(3) специальные
(4) государственные
Выберите правильное утверждение относительно профиля защиты.
(1) ПЗ регламентирует требования безопасности изделий ИТ и способы реализации этих требований
(2) ПЗ регламентирует способы реализации определенного уровня безопасности изделия ИТ
(3) ПЗ содержит рекомендации по реализации определенного уровня безопасности изделия ИТ
(4) ПЗ регламентирует требования безопасности изделий ИТ, но не регламентирует способов реализации этих требований
Какой участник процесса сертификации ходатайствует перед федеральным органом по сертификации о приостановке или отмене действия выданных сертификатов?
(1) заявитель
(2) центральный орган сертификации
(3) органы по сертификации средств защиты информации
(4) испытательные лаборатории
Какой закон устанавливает порядок и сроки проведения плановых и внеплановых проверок?
(1) ФЗ “О персональных данных”
(2) ФЗ “О лицензировании отдельных видов деятельности”
(3) ФЗ “О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»
(4) ФЗ “О безопасности”
Как называется государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных?
(1) субъект персональных данных
(2) оператор информационной системы
(3) регулятор
(4) оператор персональных данных
Какому принципу обеспечения безопасности персональных данных соответствует то, что системы обеспечения безопасности персональных данных должны строиться с учетом возможного изменения конфигурации ИС, роста числа пользователей, изменения степени конфиденциальности и ценности информации?
(1) принцип превентивности
(2) принцип оптимальной и разумной разнородности
(3) принцип адаптивности
(4) принцип преемственности и совершенствования
К какому типу относится ИСПД, если в ней необходимо обеспечить доступность информации?
(1) типовая
(2) биометрическая
(3) государственная
(4) специальная
Какой подраздел профиля защиты должен обеспечить маркировку и описательную информацию, необходимые для однозначной идентификации и регистрации профиля защиты?
(1) обоснование
(2) среда безопасности
(3) замечания по применению
(4) идентификация
Как называются функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации?
(1) неучтенные возможности
(2) уязвимости
(3) неявные возможности
(4) недекларированные возможности
Какой максимальный срок проведения плановой проверки?
(1) 1 день
(2) неделя
(3) 2 недели
(4) 20 дней
К какой категории персональных данных можно отнести адресную книгу?
(1) биометрические
(2) специальные
(3) дополнительные
(4) общедоступные
Какой тип угроз реализует вредоносная программа?
(1) утечка по техническим каналам
(2) несанкционированный доступ
(3) утечка через ПЭМИН
(4) сетевые угрозы
К какой категории персональных данных относятся общедоступные и обезличенные персональные данные?
(1) 1 категория
(2) 2 категория
(3) 3 категория
(4) 4 категория
Среда безопасности изделия ИТ включает в себя:
(1) идентификацию изделия ИТ
(2) предположения безопасности
(3) потенциальные угрозы
(4) уязвимости изделия ИТ
(5) политику безопасности
Какая процедура предназначена для официального подтверждения эффективности и достаточности мер по обеспечению безопасности ПД в конкретной ИСПД?
(1) сертификация
(2) аккредитация
(3) аттестация
(4) лицензирование
Что проверяется в ходе проверки Роскомнадзора?
(1) документы оператора, регламентирующие порядок хранения и обработки ПД;
(2) организация системы криптографической защиты информации
(3) наличие необходимых лицензий для использования СКЗИ
(4) ИСПД в части, касающейся субъектов ПД.
Сведения, характеризующие физиологические особенности человека являются:
(1) дополнительными персональными данными
(2) биометрическими персональными данными
(3) медицинскими данными
(4) специальными персональными данными
Какой вид атаки направлен на получение конфиденциальной информации путем прослушивания сети?
(1) анализ сетевого трафика
(2) сканирование сети
(3) навязывание ложного маршрута
(4) внедрение ложного объекта
К какому классу относится ИСПД, если нарушение заданной характеристики безопасности персональных данных не приводит к негативным последствиям для субъектов ПД?
(1) 1 класс
(2) 2 класс
(3) 3 класс
(4) 4 класс
Когда производится регистрация профиля защиты?
(1) до его создания
(2) после оценки и сертификации
(3) в процессе эксплуатации
На какие классы ИСПД распространяется требование лицензирования деятельности по технической защите?
(1) 1 класс
(2) 2 класс
(3) 3 класс (распределенная)
(4) 3 класс (локальная)
(5) 4 класс
Что является основанием для включения оператора в ежегодный план проверок ФСТЭК?
(1) заявления и обращения граждан
(2) истечение 3 лет со дня государственной регистрации
(3) предписание Роскомнадзора
(4) истечение 3 лет со дня последней плановой проверки
До начала обработки персональных данных оператор обязан:
(1) получить письменное согласие субъекта персональных данных
(2) получить устное согласие субъекта персональных данных
(3) уведомить регулятора о своем намерении в письменной форме
(4) уведомить регулятора о своем намерении в устой форме
Какой документ отражает полномочия пользователей по выполнению конкретных действий в отношении конкретных информационных ресурсов ИСПД – чтение, запись, корректировка, удаление?
(1) частная модель угроз
(2) матрица доступа
(3) положение по обеспечению безопасности персональных данных
(4) список лиц, допущенных к обработке ПД
К какому классу относится ИСПД, если в ней обрабатываются данные 1500 субъектов о состоянии их здоровья?
(1) 1 класс
(2) 2 класс
(3) 3 класс
(4) 4 класс
Сколько значений может принимать тип элемента реестра?
На каком этапе создания системы защиты персональных данных определяется состав персональных данных и необходимость их обработки?
(1) предпроектная стадия
(2) стадия проектирования
(3) ввод в действие
(4) эксплуатация
Какие подсистемы в рамках СЗПД можно не использовать, если ИСПД является изолированной (локальной)?
(1) подсистема антивирусной защиты
(2) подсистема анализа защищенности
(3) подсистема обнаружения вторжений
(4) подсистема управления доступом, регистрации и учета
(5) подсистема обеспечения целостности
(6) подсистема безопасности межсетевого взаимодействия
(7) подсистема криптографической защиты информации
Как называется состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно?
(1) конфиденциальность
(2) доступность
(3) целостность
(4) аутентичность
Персональные данные, цели обработки которых заведомо не совместимы, нельзя:
(1) хранить в одном помещении
(2) хранить в одной информационной системе
(3) отправлять по сети Интернет в одном сообщении
(4) хранить на одном материальном носителе
Какой этап построения системы защиты персональных данных включает в себя анализ уязвимых звеньев и возможных угроз безопасности?
(1) оценка обстановки
(2) разработка замысла защиты
(3) реализация замысла защиты
(4) решение вопросов управления защитой
Защита персональных данных от утечки по техническим каналам необходима, если при построении частной модели угроз выявлены:
(1) возможность утечки акустической информации
(2) возможность случайного несанкционированного доступа
(3) возможность преднамеренного несанкционированного доступа
(4) возможность стихийного бедствия
(5) возможность утечки видовой информации
(6) возможность утечки через ПЭМИН
В каком документе содержатся состав, содержание и сроки проведения работ по разработке и внедрению СЗПД?
(1) в проекте СЗПД
(2) в частной модели угроз
(3) матрице доступа
(4) в техническом задании СЗПД
Как называются меры защиты, которые направлены на ослабление побочных информационных сигналов и наводок до уровня, когда их невозможно выделить средством съема на фоне естественных шумов?
(1) пассивные меры защиты от утечки по техническим каналам
(2) активные меры защиты от утечки по техническим каналам
(3) криптографические меры защиты
(4) пассивные меры защиты от несанкционированного доступа
Следствием наличия уязвимостей в информационной системе является:
(1) угроза
(2) атака
(3) нападение
(4) необходимость замены компонентов системы
Выдача бумажного талончика к врачу считается:
(1) автоматизированной обработкой персональных данных
(2) неавтоматизированной обработкой персональных данных
(3) запрещенной обработкой персональных данных в соответствии с ФЗ “О персональных данных”
(4) это неавтоматизированная обработка, если количество сотрудников больницы меньше 100 человек
Какие работы включает в себя анализ уязвимых звеньев и возможных угроз безопасности при оценке обстановки?
(1) анализ возможностей программно-математического воздействия на ИСПД;
(2) оценка возможности физического доступа к ИСПД
(3) выявление технических каналов утечки информации
(4) категорирование персональных данных
(5) оценка выполнения обязанностей по обеспечению безопасности ПД на настоящий момент
(6) анализ возможностей электромагнитного воздействия на ПД.
Предотвращение внедрения вирусов и программных закладок является мерой защиты от:
(1) несанкционированного доступа
(2) утечки через ПЭМИН
(3) утечки по акустическому каналу
(4) утечки по электромагнитному каналу
На каком этапе создания СЗПД производится закупка технических средств защиты?
(1) предпроектная стадия
(2) стадия проектирования
(3) ввод в действие
(4) эксплуатация
Как называется совокупность характеристик, позволяющих идентифицировать конкретный вирус или присутствие вируса в файле?
(1) комплект
(2) сигнатура
(3) набор
(4) каталог
На каком уровне защиты информации находятся непосредственно средства защиты?
(1) законодательный
(2) процедурный
(3) программно-технический
(4) административный
Автоматизированные системы обработки информации(АС) классифицируются по следующим признакам:
(1) наличие в АС информации различного уровня конфиденциальности
(2) режим обработки данных в АС
(3) уровень полномочий субъектов доступа АС к конфиденциальной информации
(4) средства защиты информации, которые используются в АС
Ущерб, связанный с причинением физического, морального, финансового или материального вреда непосредственно субъекту ПД, называется:
(1) явный ущерб
(2) опосредованный ущерб
(3) косвенный ущерб
(4) непосредственный ущерб
Для каких классов ИСПД обязательна сертификация?
(1) 1 класс
(2) 2 класс
(3) 3 класс
(4) 4 класс
Выберите утверждения, характеризующие антивирусы с сигнатурным методом обнаружения вирусов:
(1) способны находить неизвестные вирусы
(2) не способны находить неизвестные вирусы
(3) гарантированно находят известные вирусы
(4) имеют большое количество ложных срабатываний
Сведения независимо от формы их представления это:
(1) данные
(2) пакет данных
(3) информация
(4) информационная система
При использовании Flash-Bios в автоматизированных рабочих местах на базе автономных ПЭВМ необходимо обеспечить:
(1) форматирование Flash-Bios после обработки
(2) открытие Flash-Bios на запись
(3) доступность информации, записанной на Flash-Bios
(4) целостность информации, записанной на Flash-Bios
Если злоумышленник получил доступ к почтовому ящику человека и рассылает письма от его имени, о каком виде ущерба идет речь?
(1) нематериальный ущерб
(2) неявный ущерб
(3) непосредственный ущерб
(4) опосредованный ущерб
Требования по защите от НСД каких классов ИСПД в многопользовательском режиме при разных правах доступа совпадают?
(1) 1 и 3 классов
(2) 1 и 2 классов
(3) 2 и 3 классов
(4) 3 и 4 классов
Как называется мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений?
(1) создание СЗПД
(2) техническое мероприятие
(3) организационное мероприятие
(4) административное мероприятие
Какой метод обнаружения вирусов основан на том, что при заражении системы в ней начинают происходить события, не свойственные работе системы в нормальном режиме?
(1) сравнительный
(2) сигнатурный
(3) приблизительный
(4) аномальный
Как называется гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных?
(1) обладатель информации
(2) субъект информации
(3) обладатель информационной системы
(4) оператор информационной системы
Каждый пользователь ЛВС должен иметь:
(1) свой съемный накопитель информации
(2) права доступа, позволяющие настраивать антивирусную защиту
(3) права доступа, позволяющие настраивать свое рабочее место
(4) уникальный идентификатор и пароль
Если в результате атаки на базу данных фирмы, содержащую персональные данные клиентов, она стала недоступна в течение одного дня, о каком виде ущерба идет речь?
(1) нематериальный ущерб
(2) неявный ущерб
(3) непосредственный ущерб
(4) опосредованный ущерб
Наличие межсетевого экрана необходимо при:
(1) использовании автономного автоматизированного рабочего места
(2) использовании изолированной локальной сети
(3) использовании сетей общего пользования
(4) использовании почтового ящика в сети Интернет
В каком поле уведомления об обработке ПД указывается, является ли обработка автоматизированной, неавтоматизированной или смешанной?
(1) цель обработки персональных данных
(2) категории персональных данных
(3) перечень действий с персональными данными
(4) описание мер
Какие датчики в составе IDS анализируют вызовы между приложениями и операционной системой на предмет того, разрешено ли приложению то или иное действие?
(1) датчики признаков
(2) анализаторы системных вызовов
(3) анализаторы поведения приложений
(4) контролеры целостности файлов
Информация, к которой нельзя ограничить доступ:
(1) информация о здоровье субъекта
(2) информация об окружающей среде
(3) персональные данные субъекта
(4) информация о работе государственных органов
Для автоматизированной системы обработки информации класса 1 Г при обеспечении безопасности межсетевого взаимодействия необходимо использовать:
(1) межсетевой экран не ниже 2 класса
(2) межсетевой экран не ниже 3 класса
(3) межсетевой экран не ниже 4 класса
(4) межсетевой экран не ниже 5 класса
Какие вопросы относятся к вопросам управления системой защиты персональных данных?
(1) финансовое обеспечение
(2) организация охраны на предприятии
(3) организация резервирования программного и аппаратного обеспечения
(4) кадровое обеспечение
(5) организация сигнализации и служебной связи
(6) технического, программного и информационного обеспечения
В каком законодательном документе определено понятие профиля защиты?
(1) ФЗ “О персональных данных”
(2) ФЗ “Об информации, информационных технологиях и о защите информации”
(3) ФЗ “О безопасности”
(4) ГОСТ “Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий”
Какие органы сертификации средств защиты информации работают в области обеспечения безопасности персональных данных?
(1) Ростехнадзор
(2) ФСБ
(3) Роскомнадзор
(4) ФСТЭК
Процедура фильтрации в межсетевом экране представляет собой:
(1) анализ доменного имени источника сообщения на предмет совпадения определенным условиям
(2) помещение всех пакетов в буфер и ожидание решения администратора о легитимности трафика
(3) анализ заголовка пакета на предмет совпадения определенным условиям
Защита информации в соответствии с ФЗ “ Об информации, информационных технологиях и о защите информации” представляет собой комплекс следующих мер:
(1) правовые
(2) регулирующие
(3) административные
(4) технические
(5) организационные
Как называется лицо, которому на основании договора оператор поручает обработку персональных данных?
(1) оператор персональных данных
(2) субъект персональных данных
(3) уполномоченное лицо
(4) доверенное лицо
На каком этапе производится классификация ИСПД?
(1) на этапе аттестации ИСПД
(2) на этапе сертификации средств защиты
(3) на этапе, предшествующем построению системы защиты персональных данных
(4) на этапе лицензирования деятельности по технической защите
Изделие ИТ является обобщенным термином для:
(1) продуктов ИТ
(2) систем ИТ
(3) профилей защиты
(4) сред безопасности
Какой участник процесса сертификации оформляет экспертное заключение по сертификации средств защиты информации?
(1) заявитель
(2) федеральный орган по сертификации
(3) органы по сертификации средств защиты информации
(4) испытательные лаборатории
Какой орган является регулятором в части, касающейся контроля и выполнения требований по организации и техническому обеспечению безопасности ПД (не криптографическими методами) при их обработке в ИСПД?
(1) Роспотребнадзор
(2) Роскомнадзор
(3) ФСБ
(4) ФСТЭК
Как называется похищение реквизитов банковских карт злоумышленником?
(1) cкиминг
(2) тримминг
(3) крекинг
(4) банкинг
Кто должен своевременно обнаруживать факты несанкционироанного доступа к персональным данным?
(1) оператор персональных данных
(2) субъект персональных данных
(3) регулятор
(4) контролер
Какое свойство информации требуется обеспечить в типовых информационных системах обработки персональных данных?
(1) доступность
(2) конфиденциальность
(3) целостность
(4) аутентичность
Профиль защиты может применяться:
(1) к одному продукту
(2) к определенному классу продуктов
(3) совокупности продуктов, не образующих информационную технологию
(4) совокупности продуктов, образующих информационную технологию
Какой срок действия у сертификата средства защиты информации?
(1) 2 года
(2) 3 года
(3) 5 лет
(4) 10 лет
Сколько регуляторов в области обеспечения безопасности персональных данных?
Как называются органы государственной власти, уполномоченные осуществлять мероприятия по контролю и надзору в отношении соблюдения требований ФЗ “О персональных данных”?
(1) операторы
(2) регуляторы
(3) контролеры
(4) надзорные органы
Какому принципу обеспечения безопасности персональных данных соответствует то, что система обеспечения информационной безопасности должна обеспечивать разделение прав и ответственности между пользователями?
(1) принцип превентивности
(2) принцип оптимальной и разумной разнородности
(3) принцип персональной ответственности
(4) принцип преемственности и совершенствования
К какому типу относится ИСПД, если в ней необходимо обеспечить целостность информации?
(1) типовая
(2) биометрическая
(3) государственная
(4) специальная
В каком разделе профиля защиты содержится аннотация и идентификация?
(1) введение
(2) обоснование
(3) среда безопасности
(4) замечания по применению
Что является основным методом нахождения недекларированных возможностей программного обеспечения?
(1) анализ успешно проведенных атак
(2) анализ системных журналов
(3) использование специального программного обеспечения для нахождения уязвимостей
(4) детальное изучение программного кода
Плановые проверки проводятся в соответствии с:
(1) еженедельным
(2) ежемесячным планом
(3) квартальным планом
(4) годовым планом
К какой категории персональных данных можно отнести сведения о национальной принадлежности человека?
(1) биометрические
(2) специальные
(3) дополнительные
(4) общедоступные
Слабое место в системном обеспечении ИСПД, которое может быть использовано для реализации угрозы безопасности персональных данных, называется:
(1) недостатком
(2) уязвимостью
(3) угрозой
(4) брешью
К какой категории относятся персональные данные, позволяющие идентифицировать субъекта?
(1) 1 категория
(2) 2 категория
(3) 3 категория
(4) 4 категория
Предположения безопасности содержат:
(1) потенциальные угрозы
(2) политику безопасности
(3) информацию относительно использования изделия ИТ
(4) информацию относительно среды применения
Кем аккредитуются органы аттестации ИСПД?
(1) Роскомнадзором
(2) Роспотребнадзором
(3) ФСБ
(4) Гостехкомиссией России
Что является основанием для исключения оператора из плана проведения плановых проверок Роскомнадзора?
(1) отказ оператора оплачивать сопроводительные расходы
(2) нехватка кадровых и материальных ресурсов
(3) ликвидация или реорганизация оператора
(4) прекращение оператором деятельности по обработке персональных данных
К какой категории персональных данных можно отнести отпечаток пальца человека?
(1) дополнительным персональными данными
(2) биометрическим персональными данными
(3) медицинским данным
(4) специальным персональными данными
Целью какой атаки является нарушение доступности информации для законных субъектов информационного обмена?
(1) анализ сетевого трафика
(2) сканирование сети
(3) отказ в обслуживании
(4) внедрение ложного объекта
К какому классу относится ИСПД, если нарушение заданной характеристики безопасности персональных данных приводит к незначительным негативным последствиям для субъектов ПД?
(1) 1 класс
(2) 2 класс
(3) 3 класс
(4) 4 класс
Как называется совокупность записей (в электронном или электронном и бумажном виде), включающих в себя регистрационные метки, а также связанную с ними дополнительную информацию о профилях защиты?
(1) журнал
(2) реестр
(3) набор
(4) каталог
На какой срок выдается лицензия на деятельность по технической защите персональных данных?
(1) 1 год
(2) 2 года
(3) 3 года
(4) 5 лет
Как часто может проводиться плановая проверка ФСТЭК России в отношении одной организации?
(1) не чаще 4 раз в год
(2) не чаще 3 раз в год
(3) не чаще 2 раз в год
(4) не чаще 1 раза в год
Выберите случаи обработки персональных данных, когда оператор не обязан получать письменное согласие субъекта на обработку:
(1) бронирование гостиницы туристической фирмой
(2) передача данных третьим лицам
(3) если между оператором и субъектом есть договор, предусматривающий обработку ПД
(4) доставка почтовых сообщений
(5) организация составляет базу данных своих клиентов, с указанием ФИО, телефонов, адресов и занимаемых должностей
Какой документ отображает все угрозы персональным данным при их обработке в заданной ИСПД?
(1) базовая модель угроз
(2) частная модель угроз
(3) положение по обеспечению безопасности персональных данных
(4) техническое задание на систему защиты персональных данных
К какому типу относится ИСПД, если в ней обрабатываются персональные данные 500 клиентов организации, включающие в себя ФИО, размер оклада, занимаемую должность и сумму покупок в данной организации?
(1) 1 класс
(2) 2 класс
(3) 3 класс
(4) 4 класс
Для профиля защиты с регистрационным номером 5, зарегистрированным 11 февраля 2011 года, запись в реестре будет иметь следующий вид:
(1) ПД-2011-02
(2) ПЗ-02-2011-005
(3) ПЗ-2011-005
(4) ПЗ-02-2011
Вашему вниманию предлагаются ответы на итоговый тест курса повышения квалификации “Обработка персональных данных в образовательных организациях” сайта Единый урок. Искренне верю, что кому-нибудь они будут полезны.
- Данные, полученные при сканировании паспорта оператором персональных данных для подтверждения осуществления определенных действий конкретным лицом, относят
- к биометрическим персональным данным
- к специальной категории персональных данных
- к персональным данным
2. Оператор до начала обработки персональных данных обязан уведомить территориальный орган Роскомнадзора о своем намерении осуществлять обработку персональных данных. Верно ли данное суждение?
- Да
- Нет
3. Неавтоматизированная обработка персональных данных это:
- обработка персональных данных с помощью средств вычислительной техники
- обработка персональных данных, осуществляемая при непосредственном участии человека
- смешенная обработка персональных данных
4. Фотографические изображения обучающихся, сотрудников и посетителей организации относят:
- К биометрическим персональным данным
- К специальной категории персональных данных
5. Согласие на обработку персональных данных может быть дано путем получения на мобильный телефон и (или) электронную почту уникальной последовательности символов?
- Да
- Нет
6. Источником получения персональных данных может быть лицо, не имеющее правовых оснований для раскрытия конфиденциальной информации о субъекте персональных данных. Верно ли данное суждение?
- Да
- Нет
7. Согласие на обработку персональных данных может быть дано если иное не установлено федеральным законом в любой позволяющей подтвердить факт его получения форме. Верно ли данное суждение?
- Да
- Нет
8. Сбор, хранение, использование и распространение информации о частной жизни человека без его согласия допускается согласно Конституции РФ?
Нет
9. При обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных, …
- Соблюдаются требования Закона о персональных данных
- Не соблюдаются требования Закона о персональных данных
10. Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. В данном случае необходимо согласие субъекта персональных данных или нет?
- Да
- Нет
11. Оператором персональных данных может быть физическое лицо?
- Да
- Нет
12. Фотографическое изображение, содержащееся в личном деле работника, относят
- к биометрическим персональным данным
- к специальной категории персональных данных
- к персональным данным
13. Сведения, характеризующие физиологические и биологические особенности человека, на основе которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, относят:
- К биометрическим персональным данным
- К специальной категории персональных данных
14. Обработка специальных категорий персональных данных допускается в любых целях?
- Да
- Нет