Merge branch 'master' of http://213.155.192.79:3001/ypv/EASvZI

2022-23/Самостоятельная_работа_1/Пантелеев.md

@@ -0,0 +1,15 @@
+##	Идентефикация - присвоение субьектам и обьектам идентефикатора и / или сравнение идентефиктора с
+перечнем присвоенных идентефикаторов. Например представление человенка по имени отчеству - это и есть 
+идентефикация
+
+*Аутентификация - подтверждение подленности чего-либо или кого либо. Например предъявление паспорта - это
+подтверждение подленности заявленного имени отчества.
+
+*Авторизация являеться функцией определение прав доступа к ресурсам и управление этим доступом.
+Авторизация - это не то же самое что идентефикация и аутентификация: идентефикация - это название 
+лицом себя системе.
+
+Угрозы конфиденциальности. Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Она имеет место, когда получен доступ к некоторой информации ограниченного доступа, хранящейся в вычислительной системе или передаваемой от одной системы к другой. В связи с угрозой нарушения конфиденциальности, используется термин «утечка». Подобные угрозы могут возникать вследствие «человеческого фактора» , сбоев в работе программных и аппаратных средств. К информации ограниченного доступа относится государственная тайна и конфиденциальная информация (коммерческая тайна, персональные данные, профессиональные виды тайна: врачебная, адвокатская, банковская, служебная, нотариальная, тайна страхования, следствия и судопроизводства, переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений, сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации.
+Угрозы целостности. Угрозы нарушения целостности — это угрозы, связанные с вероятностью модификации той или иной информации, хранящейся в информационной системе. Нарушение целостности может быть вызвано различными факторами — от умышленных действий персонала до выхода из строя оборудования.
+Угрозы доступности. Нарушение доступности представляет собой создание таких условий, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей.
+

2022-23/Самостоятельная_работа_2/Abramyan.md

@@ -0,0 +1,32 @@
+# Самостоятельная работа 2.  
+  
+### Выбoр мeр пo oбeспeчeнию зaщиты ПД.  
+  
+Пeрсoнaльными нaзывaют дaнныe, кoтoрыe кaсaются личнo вaс: нaпримeр имя, aдрeс, элeктрoннaя пoчтa, дaнныe дoкyмeнтoв. Этo нaбoр свeдeний o вaс, кoтoрый хрaнится в рaзличных вeдoмствaх и пeрeдaётся.  
+  
+Чтoбы yбeрeчь пeрсoнaльныe дaнныe oт нeсaнкциoнирoвaннoгo рaспрoстрaнeния, нeoбхoдимo выпoлнeниe слeдyющих мeрoприятий пo их зaщитe:  
+-oпрeдeлeниe aктyaльных yгрoз бeзoпaснoсти;  
+-фoрмирoвaниe мoдeлeй yгрoз;  
+-рaзрaбoткa систeм зaщиты ПДн (СЗПДн);  
+-прoвeркa рaбoтoспoсoбнoсти срeдств зaщиты инфoрмaции (СЗИ);  
+-зaключeниe o пригoднoсти к эксплyaтaции;  
+-yстaнoвкa и ввoд в эксплyaтaцию СЗИ;  
+-oбyчeниe сoтрyдникoв рaбoтe с СЗИ;  
+-кoнтрoль рaбoты СЗИ;  
+-oфoрмлeниe тeхдoкyмeнтaции; 
+-oпрeдeлeниe крyгa сoтрyдникoв, дoпyщeнных к рaбoтe с ИСПД; 
+-при oбнaрyжeнии нaрyшeния yслoвий хрaнeния нoситeлeй ПД – прoвeдeниe рaсслeдoвaния и сoстaвлeниe зaключeния;  
+-принятиe мeр пo ликвидaции пoслeдствий этих нaрyшeний;  
+-oбeспeчeниe oхрaны пoмeщeний с oбoрyдoвaниeм ИСПД и oргaнизaция рeжимa дoпyскa;  
+-прoвeдeниe мeрoприятий пo нeдoпyстимoсти yтeчки инфoрмaции пo тeхничeским кaнaлaм.  
+  
+Срeдствaми зaщиты oт нeсaнкциoнирoвaннoгo дoстyпa слyжaт их пoдсистeмы:  
+-yпрaвлeниe дoстyпoм к ПД, рeгистрaция и yчeт всeх дeйствий с этими дaнными;  
+-oбeспeчeниe цeлoстнoсти пeрсoнaльнoй инфoрмaции;  
+-примeнeниe aнтивирyснoй зaщиты для сoхрaнeния ПД и прeдoтврaщeния вирyсных aтaк;  
+-сoздaниe мeжсeтeвoгo экрaнa;  
+-aнaлиз зaщищeннoсти и принятиe мeр пo ee yсилeнию;  
+-oбнaрyжeниe втoржeний, свoeврeмeннaя их лoкaлизaция.  
+  
+С пeрсoнaльных дaнных кoнфидeнциaльнoсть снимaeтся чeрeз 75 лeт, eсли прoисхoдит их oбeзличивaниe, или пo трeбoвaнию зaкoнa.  
+Кoгдa ПД бoльшe нe нyжны oпeрaтoрy, oни дoлжны быть yничтoжeны нa прoтяжeнии пяти лeт или сдaны в aрхив.  

2022-23/Самостоятельная_работа_2/DmitrenokV.md

@@ -0,0 +1,45 @@
+# Выбор мер по обеспечению персональных данных  
+  
+Персональные данные - это любaя информация, относящаяся к определённому или 
+определяемому на основании такой информации физическому лицу, в том числе его 
+фaмилия, имя, отчество, год, месяц, дата и место рождения, адрес и другая 
+информaция  
+  
+Предоставление данных может быть обязательным и добровoльным. Обязательнoе 
+предусмотрено федеральными законами (например, ФЗ от 01.04.1996 № 27-ФЗ «Об 
+индивидуальном (персонифицированном) учете в системе обязательного пенсионного 
+страхования») в целях защиты основ конституционного строя, нравственности, 
+здоровья, прав и законных интересов других лиц, обеспечения обороны страны и 
+безопасности государства (перечень приведен в п. 2 ст. 9 ФЗ «О персональных 
+данных»).  
+  
+К мерам по внутренней защите персональных данных относятся следующие действия:  
+  
+- ограничение числа работников, которым открыт дoступ к персональным данным  
+- назначение oтветственного лица, обеспечивающего исполнение организацией 
+законодательства в рассматриваемой сфере  
+- утверждение перечня документов, содержащих персональные данные  
+- издание внутренних документов по защите персoнальных данных, осуществление 
+контроля за их соблюдением  
+- утверждение пoрядка уничтожения информации  
+- выявление и устранение нарушений требований по защите персональных данных  
+  
+В техническом проекте должны быть определены программные и программно-аппаратные 
+средства защиты информации, к которым могут относиться:  
+  
+- средства защиты от несанкционированного доступа, включая средства доверенной 
+загрузки  
+- средства антивирусной защиты  
+- средства анализа защищённости  
+- система обнаружения вторжений  
+- межсетевой экран  
+- ряд других СЗИ  
+  
+Согласно документу, актуaльными угрозaми для безопaсности персонaльных дaнных 
+являются условия и факторы, создающие потенциаль-ную опасность 
+несанкционированного доступа к базам данных при их обработке, в результaте 
+которого дaнные могут быть уничтожены, изменены, заблокированы или предоставлены 
+третьим лицaм, не имеющим к ним права доступа. Кроме того, в пoстановлении 
+определены три типа угроз информационным системaм, содержaщим пoльзовательские 
+базы данных, а также четыре уровня защищеннoсти информационных систем.  
+  

2022-23/Самостоятельная_работа_2/Klimansky.md

@@ -0,0 +1,17 @@
+#Самостоятельная работа №2: Выбор мер по обеспечению защиты персональных данных
+Введение: Прежде всего оператор при обработке персональных данных обязан принимать
+определенные меры и способы для их защиты, например, от: несанкционированного доступа, утери, удаления, изменения и так далее.
+Защита персональных данных это не просто прихоть законодательства, 
+а необходимость, которая позволяет обезопаситься от хакерских атак и обеспечивает спокойность граждан.
+Из этого следует необходимость в выборе мер по обеспечению защиты персональных данных.
+Среди основных внешних мер по защите персональных данных следует выделить следующие: введение пропускного режима, 
+порядка приема и учета посетителей; внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.
+Порядок выбора: осуществляется в ходе проектирования системы защиты персональных данных ИСПДн в соответствии 
+с техническим заданием на создание ИСПДн и (или) техническим заданием (частным техническим заданием) на создание системы защиты персональных данных ИСПДн.
+Выбор мер защиты персональных данных осуществляется исходя из уровня защищенности ИСПДн, определяющего требуемый уровень 
+защищенности содержащейся в ней персональных данных, 
+и типа актуальных угроз безопасности персональных данных, включенных в модель угроз безопасности ИСПДн,
+ а также с учетом структурно-функциональных характеристик ИСПДн, к которым относятся структура и состав ИСПДн, физические, логические, функциональные 
+и технологические взаимосвязи между сегментами ИСПДн, 
+взаимосвязи с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки 
+информации в ИСПДн и в ее отдельных сегментах, а также иные характеристики ИСПДн, применяемые информационные технологии и особенности ее функционирования. 

2022-23/Самостоятельная_работа_2/Kyleshov.md

@@ -0,0 +1,66 @@
+# Самостоятельная работа 2
+
+Защита персональных данных – это комплекс мероприятий, которые позволяют выполнить требования законодательства РФ, касающиеся обработки, хранения и передачи персональных данных граждан РФ
+(Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ)
+
+# Что может подразумевается под безопасностью персональных данных?
+
+Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
+
+# Виды персональных данных:
+
+- общедоступные
+
+- биометрические
+
+- специальные
+
+- иные
+
+# Для чего нужна защита персональных данных?
+
+Пользуются персональными данными не только для установления личности, но и для мошенничества. Отсутствие защиты персональных данных провоцирует утечку и попадание информации в руки мошенников. Чаще всего встречаются: подмена данных для выполнения определенных действий.
+
+# Порядок мер по обеспечению безопасности входят:
+
+- идентификация и аутентификация субъектов доступа и объектов доступа;
+
+- управление доступом субъектов доступа к объектам доступа;
+
+- ограничение программной среды;
+
+- защита машинных носителей информации, на которых хранятся или обрабатываются данные
+
+
+# Меры по обеспечению безопасности персональных данных при их обработке:
+
+- Оператор при обработке персональных данных должен принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных.
+
+- Обеспечение безопасности персональных данных:
+
+определением угроз безопасности персональных данных
+
+применением организационных и технических мер по обеспечению безопасности персональных данных
+
+- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
+
+- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных
+
+- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер
+
+- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним
+
+# Обязательсва работодателя для защиты персональных данных:
+
+Работодатель обязан сообщить Работнику о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа Работника дать письменное согласие на их получение.
+
+###<h1 align="center">Список литературы</h1>
+
+https://www.google.com/search?q=%D0%BC%D0%B5%D1%80%D1%8B+%D0%BF%D0%BE+%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D1%8E+%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8+%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85+%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85&ei=V3HjY7S-Ja_2qwGC46PwDw&ved=0ahUKEwj0xdyB1IX9AhUv-yoKHYLxCP4Q4dUDCA8&uact=5&oq=%D0%BC%D0%B5%D1%80%D1%8B+%D0%BF%D0%BE+%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D1%8E+%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8+%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85+%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85&gs_lcp=Cgxnd3Mtd2l6LXNlcnAQAzIHCAAQDRCABDIECAAQHjIHCAAQHhDxBDIGCAAQBRAeOgkIABAHEB4Q8QQ6BggAEAcQHjoJCAAQBRAeEPEEOgsIABAFEAcQHhDxBDoGCAAQHhANSgQIQRgASgQIRhgAUABY-RRgshloAXAAeACAAfIBiAHIBZIBBTAuMy4xmAEAoAEBwAEB&sclient=gws-wiz-serp
+
+https://kolosok18.edusite.ru/p4aa1.html#:~:text=1%20%D1%81%D1%82.,%D1%82%D0%B0%D0%BA%D0%B6%D0%B5%20%D0%BE%D1%82%20%D0%B8%D0%BD%D1%8B%D1%85%20%D0%BD%D0%B5%D0%BF%D1%80%D0%B0%D0%B2%D0%BE%D0%BC%D0%B5%D1%80%D0%BD%D1%8B%D1%85%20%D0%B4%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8%D0%B9.
+
+https://www.klerk.ru/buh/articles/504418/
+
+
+

2022-23/Самостоятельная_работа_2/Mikluho.md

@@ -0,0 +1,60 @@
+# Выбор мер по обеспечению персональных данных
+
+# Выбор мер защиты персональных данных для реализации в информационной системе персональных данных в рамках системы защиты персональных данных 
+
+Выбор мер защиты персональных данных для их реализации в информационной системе персональных данных (ИСПДн) осуществляется в ходе проектирования системы защиты персональных данных ИСПДн в соответствии с техническим заданием на создание ИСПДн и (или) техническим заданием (частным техническим заданием) на создание системы защиты персональных данных ИСПДн.
+
+![](koln2.PNG)
+
+# Определение угроз безопасности персональных данных при их обработке
+
+![](koln1.PNG)
+
+Угроза безопасности персональных данных – совокупность условий и факторов, которые создают опасности несанкционированного доступа к персональным данным. В результате они могут быть уничтожены, изменены, заблокированы, скопированы, предоставлены или распространены (ч. 11 ст. 19 Закона № 152-ФЗ). При определении угроз учитывается содержание персональных данных, характер и способ их обработки, а также другие факторы.
+
+В зависимости от степени возможного вреда, который может быть причинен субъекту персональных данных, угрозы принято разделять на три основные группы:
+
+    Угрозы 1 типа актуальны для информационных систем, имеющих недокументированные (недекларированные) возможности в системном программном обеспечении;
+    Угрозы 2 типа актуальны для информационных систем, имеющих недокументированные (недекларированные) возможности в прикладном программном обеспечении;
+    Угрозы 3 типа актуальны для информационных систем, не имеющих недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении.
+
+Под недекларированными возможностями подразумеваются возможности программного обеспечения (ПО), которые не описаны в сопровождающей его документации и не оговорены разработчиком такого ПО. Тем не менее, такие возможности могут быть использованы для несанкционированного доступа к информации, обрабатываемой при помощи такого ПО.
+
+Определить угрозы безопасности персональных данных можно самостоятельно, однако адекватно оценить степень опасности того или иного фактора неподготовленному человеку достаточно проблематично, а зачастую невозможно. По этой причине для определения угроз желательно обратиться в специализированную организацию, имеющую лицензию Федеральной службы по техническому и экспортному контролю (ФСТЭК России), выданную в порядке, установленном постановлением Правительства РФ от 03.02.2012 № 79.
+
+Выявление типа этих угроз необходимо для выбора уровня защищенности, который следует обеспечить работодателю. Постановлением № 1119 предусмотрено 4 уровня защищенности. Первый из них предполагает самую низкую степень защиты, а четвертый – максимальную защиту персональных данных.
+
+ Работы по выбору базового состава мер по обеспечению безопасности ПДн, реализуемых в рамках СЗПДн, выполняются в соответствии с рекомендациями ФСТЭК России. Требования к СЗПДн определяются в зависимости от выбранного уровня защищенности ПДн.
+
+Полученный в результате работы базовый состав организационных и технических мер по обеспечению безопасности ПДн охватывает основные направления защиты ПДн, в том числе:
+
+  -  Идентификацию и аутентификацию субъектов доступа и объектов доступа.
+  -  Управление доступом субъектов доступа к объектам доступа.
+  -  Ограничение программной среды.
+  - Защиту машинных носителей информации, на которых хранятся или обрабатываются ПДн.
+  -  Регистрацию событий безопасности.
+  -  Антивирусную защита.
+  -  Обнаружение (предотвращение) вторжений.
+  -  Контроль (анализ) защищенности ПДн.
+  -  Обеспечение целостности ИСПДн и ПДн.
+  -  Обеспечение доступности ПДн.
+  -  Защиту среды виртуализации.
+  - Защиту технических средств.
+  - Защиту ИСПДн, ее средств, систем связи и передачи данных.
+  - Выявление инцидентов.
+  - Управление конфигурацией ИСПДн и системы защиты ПДн.
+![](koln3.PNG)
+
+# Преимущества
+
+Полученный состав мер по обеспечению безопасности ПДн позволяет сформировать Техническое задание на создание СЗПДн, с учетом требований ГОСТ и методических документов ФСТЭК России. 
+
+### <h1 align="center">Список литературы</h1>
+
+https://fstec21.blogspot.com/2017/07/the-choice-of-measures-of-personal-data.html
+https://wikisec.ru/images/f/f6/%D0%A0%D0%B5%D0%B3%D0%BB%D0%B0%D0%BC%D0%B5%D0%BD%D1%82_%D0%B2%D1%8B%D0%B1%D0%BE%D1%80%D0%B0_%D0%BC%D0%B5%D1%80_%D0%BE%D0%B1%D0%B5%D1%81%D0%BF%D0%B5%D1%87%D0%B5%D0%BD%D0%B8%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8_%D0%9F%D0%94%D0%BD.pdf
+https://its.1c.ru/db/stafft/content/34557/hdoc
+https://data-sec.ru/personal-data/protection-level/
+https://ntc-vulkan.ru/services/uslugi-po-organizatsii-protsessov-obrabotki-i-zashchity-personalnykh-dannykh/vybor-mer-po-obespecheniyu-bezopasnosti-personalnykh-dannykh-v-sootvetstvii-s-prikazom-fstek-rossii/
+https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/sredstva-obespecheniya-bezopasnosti-personalnyh-dannyh/
+

2022-23/Самостоятельная_работа_2/Panteleev.md

@@ -0,0 +1,29 @@
+# Самостоятельная работа 2.  
+  
+### Выбор мер по обеспечению безопасности ПД.  
+  
+Персона́льные данные (сокр. ПД) или личностные данные — сведения, относящиеся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных), которые могут быть предоставлены другим лицам.  
+  
+Согласно Приказу ФСТЭК №21, выбор мер по обеспечению безопасности ПДн включает:  
+1) определение базового набора мер по обеспечению безопасности ПДн для установленного уровня защищенности ПДн в соответствии с приложением к Приказу ФСТЭК №21;  
+2) адаптацию базового набора мер по обеспечению безопасности ПДн с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе 
+исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);  
+3) уточнение адаптированного базового набора мер по обеспечению безопасности ПДн с учетом не выбранных ранее мер, приведенных в приложении к Приказу ФСТЭК №21, в результате чего определяются меры по обеспечению безопасности ПДн, 
+направленные на нейтрализацию всех актуальных угроз безопасности ПДн для конкретной информационной системы;  
+4) дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн мерами, обеспечивающими выполнение требований к защите ПДн, установленными иными нормативными правовыми актами в области обеспечения 
+безопасности ПДн и защиты информации.  
+  
+Меры:  
+1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;  
+2) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, 
+исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;  
+3) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;  
+4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;  
+5) учет машинных носителей персональных данных;  
+6) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;  
+7) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;  
+8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе 
+персональных данных;  
+9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.  
+  
+Стоит отметить, что выбор и реализация вышеуказанных мер потребуют от оператора специальных знаний и умений, а также временных и финансовых затрат.  

2022-23/Самостоятельная_работа_2/Potemkin.md

@@ -0,0 +1,131 @@
+# Выбор мер по обеспечению безопасности персональных данных.
+
+Закон о персональных данных №152-ФЗ
+Закон о персональных данных, который вступил в силу 1 июля 2011, касается практически любой компании, а сами данные являются желанной добычей злоумышленников.
+
+###### Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
+
+###### Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
+
+###### Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
+
+В состав мер по обеспечению безопасности персональных данных входят:
+
+* идентификация и аутентификация субъектов доступа и объектов доступа
+
+* управление доступом субъектов доступа к объектам доступа
+
+* ограничение программной среды
+
+* защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных)
+
+* регистрация событий безопасности
+
+* антивирусная защита
+
+* обнаружение (предотвращение) вторжений
+
+* контроль (анализ) защищенности персональных данных
+
+* обеспечение целостности информационной системы и персональных данных
+
+* обеспечение доступности персональных данных
+
+* защита среды виртуализации
+
+* защита технических средств
+
+* защита информационной системы, ее средств, систем связи и передачи данных
+
+* выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них
+
+* управление конфигурацией информационной системы и системы защиты персональных данных
+
+###### 8.1. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
+
+###### 8.2. Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.
+
+###### 8.3. Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.
+
+###### 8.4. Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
+
+###### 8.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
+
+###### 8.6. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
+
+###### 8.7. Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.
+
+###### 8.8. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
+
+###### 8.9. Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.
+
+###### 8.10. Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.
+
+###### 8.11. Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.
+
+###### 8.12. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.
+
+###### 8.13. Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.
+
+###### 8.14. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.
+
+###### 8.15. Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.
+
+###### 9. Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:
+
+* определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных в соответствии с базовыми наборами мер по обеспечению безопасности персональных данных, приведенными в приложении к настоящему документу;
+
+* адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
+
+* уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы;
+
+* дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.
+
+###### 10. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.
+
+В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.
+
+###### 11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры:
+
+* проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых
+
+* тестирование информационной системы на проникновения
+
+* использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.
+
+###### 12. Технические меры защиты персональных данных реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности.
+
+При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:
+
+в информационных системах 1 уровня защищенности персональных данных применяются средства защиты информации не ниже 4 класса и 4 уровня доверия, а также средства вычислительной техники не ниже 5 класса;
+
+(в ред. Приказа ФСТЭК России от 14.05.2020 N 68)
+
+в информационных системах 2 уровня защищенности персональных данных применяются средства защиты информации не ниже 5 класса и 5 уровня доверия, а также средства вычислительной техники не ниже 5 класса;
+
+(в ред. Приказа ФСТЭК России от 14.05.2020 N 68)
+
+в информационных системах 3 уровня защищенности персональных данных применяются средства защиты информации 6 класса и 6 уровня доверия, а также средства вычислительной техники не ниже 5 класса;
+
+(в ред. Приказа ФСТЭК России от 14.05.2020 N 68)
+
+в информационных системах 4 уровня защищенности персональных данных применяются средства защиты информации 6 класса и 6 уровня доверия, а также средства вычислительной техники не ниже 6 класса.
+
+(в ред. Приказа ФСТЭК России от 14.05.2020 N 68)
+
+Классы защиты определяются в соответствии с нормативными правовыми актами, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
+
+Уровни доверия устанавливаются в соответствии с Требованиями по безопасности информации, устанавливающими уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденными приказом ФСТЭК России от 30 июля 2018 г. N 131 (зарегистрирован Минюстом России 14 ноября 2018 г., регистрационный N 52686).
+
+(абзац введен Приказом ФСТЭК России от 14.05.2020 N 68)
+
+При использовании в информационных системах средств защиты информации, сертифицированных по требованиям безопасности информации, указанные средства должны быть сертифицированы на соответствие обязательным требованиям по безопасности информации, установленным нормативными правовыми актами, или требованиям, указанным в технических условиях (заданиях по безопасности).
+
+Функции безопасности средств защиты информации должны обеспечивать выполнение мер по обеспечению безопасности персональных данных, содержащихся в настоящем документе.
+
+Абзац утратил силу с 1 января 2021 года. - Приказ ФСТЭК России от 14.05.2020 N 68.
+
+(п. 12 в ред. Приказа ФСТЭК России от 23.03.2017 N 49)
+
+###### 13. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности персональных данных, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 10 настоящего документа.
+

2022-23/Самостоятельная_работа_2/Teslin3602.md

@@ -0,0 +1,39 @@
+# Выбор мер по обеспечению безопастности персональных данных
+
+**Персональные данные** - это вид информации, который описывает ваши личностные качества,сведений. (Такое как ваше место проживания, как вас зовут, документация о вас). Необходимость таких данных заключается в упрощении заполнения заявок и получения необходимых услуг к кратчайщее время. 
+
+## Меры по ОБПД
+
+#### Установление классификаци угроз по типу.
+
+* 1 тип
+
+Имеет связь в реализации возможностей в системном программном обеспечении.
+
+* 2 тип 
+
+Выполняется в прикладном программном обеспечении.
+
+* 3 тип 
+
+Реализуется в системном и прикладном прогрммном обеспечении.
+
+##### Реализация установленных типов осуществляются по уровнево.
+
+Зaщитa информaции пo урoвням в кaждoм случae сoстoит из цeпoчки мeр.
+
+* Чeтвeртый урeвeнь. Oзнeчaeт исключeниe из помeщeния, гдe нaходится информaционноe оборудовaниe, посторонних лиц, обeспeчeниe сохрaнности носитeлeй дaнных, утвeрждeниe чeткого спискa рaботников, которыe имeют допуск к обрaботкe дaнных, a тaкжe использовaниe спeциaльных срeдств зaщиты информaции.
+
+* Трeтий уровeнь. Подрaзумeвaeт выполнeниe всeх трeбовaний, прeдусмотрeнных для прeдыдущeго уровня, и нaзнaчeниe отвeтствeнного зa информaционную бeзопaсность должностного лицa.
+
+* Второй уровeнь. Помимо выполнeния трeбовaний прeдыдущeго уровня, включaeт в сeбя огрaничeниe доступa к элeктронному журнaлу бeзопaсности.
+
+* Пeрвый уровeнь. Кромe всeх трeбовaний, которым нeобходимо слeдовaть нa втором уровнe, включaeт обeспeчeниe aвтомaтичeской рeгистрaции в элeктронном журнaлe бeзопaсности полномочий сотрудников, имeющих доступ к дaнным, в случae измeнeния этих полномочий, a тaкжe возложeниe отвeтствeнности зa информaционную бeзопaсность нa спeциaльно создaнноe подрaздeлeниe.
+
+Должноe выполнeниe прописaнных в зaконодaтeльствe мeр зaщиты пeрсонaльных дaнных в соотвeтствии с уровнями обeспeчивaeт мaксимaльную эффeктивность общeй стрaтeгии зaщиты информaции, принятой в компaнии-опeрaторe.
+
+##### Какие последствия выдаются при шарушении уровеней защиты и их типов 
+
+При невыпoлнении мер защиты oператoр несет закoнoдательнo устанoвленную oтветственнoсть. Наблюдением и прoверками кoмпаний в даннoм случае занимается Рoскoмнадзoр. В случае если требoвания закoнoдательства нарушены, oператoр несет административную oтветственнoсть и oбязан заплатить штраф. С 2019 гoда егo размер пoвысился дo сoтен тысяч (для юридических лиц — миллиoнoв) рублей — в сooтветствии с недавними пoправками, внесенными в Кoдекс РФ oб административных правoнарушениях.
+
+Oбщая сумма штрафoв, выписанных пo итoгам прoверoк, сoставила бoлее пяти миллиoнoв за предыдущий гoд.

2022-23/Самостоятельная_работа_2/Гончаров.md

@@ -0,0 +1,50 @@
+# Выбор мер по обеспечению персональных данных
+
+*Персональные данные - это данные,которые позволяют однозначно аутентифицировать человека.
+
+# В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
+
+-идентификация и аутентификация субъектов доступа и объектов доступа;
+Эти меры должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
+
+-управление доступом субъектов доступа к объектам доступа;
+Эти меры должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.
+
+-ограничение программной среды;
+Эти меры должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.
+
+-защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
+Эти меры должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.
+
+-регистрация событий безопасности;
+Эти меры должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
+
+-антивирусная защита;
+Эти меры должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
+
+-обнаружение (предотвращение) вторжений;
+Эти меры должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.
+
+-контроль (анализ) защищенности персональных данных;
+Эти меры должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
+
+-обеспечение целостности информационной системы и персональных данных;
+Эти меры должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.
+
+-обеспечение доступности персональных данных;
+Эти меры должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.
+
+-защита среды виртуализации;
+Эти меры должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.
+
+-защита технических средств;
+Эти меры должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.
+
+-защита информационной системы, ее средств, систем связи и передачи данных;
+Эти меры должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.
+
+-выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
+Эти меры должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.
+
+-управление конфигурацией информационной системы и системы защиты персональных данных.
+Эти меры должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.

2022-23/Самостоятельная_работа_2/Короба.md

@@ -0,0 +1,19 @@
+Обеспечение безопасности персональных данных достигается, в частности:
+
+1) определением опасностей безопасности персональных данных при их обрабатыванию в информативных системах персональных данных;
+
+2) использованием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, достаточных для выполнения условий к защите персональных данных, выполнение что обеспечивает введенные Правительством Российской Федерации уровни безопасности персональных данных;
+
+3) употреблением прошедших в введенном распорядке операцию оценки соотношения средств защиты информации;
+
+4) оценкой эффективности принимаемых мер по обеспеченью безопасности персональных данных до ввода в эксплуатацию информативной системы персональных данных;
+
+5) учетом машинных носителей персональных данных;
+
+6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предотвращению и ликвидации результатов компьютерных атак для информационные системы персональных данных и по реагированию в компьютерные инциденты в них;
+
+7) возобновлением персональных данных, модифицированных либо уничтоженных благодаря несанкционированного доступа к ним;
+
+8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
+
+9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

2022-23/Самостоятельная_работа_2/Самостоятельная_2_Тышкевич.md

@@ -0,0 +1,104 @@
+# самостоятельная работа 2
+
+# Выбор мер по обеспечению персональных данных
+
+# Состав и содержание мер по обеспечению безопасности персональных данных
+
+В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
+
+- идентификация и аутентификация субъектов доступа и объектов доступа;
+
+- управление доступом субъектов доступа к объектам доступа;
+
+- ограничение программной среды;
+
+Защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
+
+- регистрация событий безопасности;
+
+- антивирусная защита;
+
+- обнаружение (предотвращение) вторжений;
+
+- контроль (анализ) защищенности персональных данных;
+
+- обеспечение целостности информационной системы и персональных данных;
+
+- обеспечение доступности персональных данных;
+
+- защита среды виртуализации;
+
+- защита технических средств;
+
+- защита информационной системы, ее средств, систем связи и передачи данных;
+
+Выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
+
+Управление конфигурацией информационной системы и системы защиты персональных данных.
+
+Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к настоящему документу.
+Выбор мер защиты персональных данных осуществляется исходя из применения в ИСПДн средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных, включенных в модель угроз безопасности ИСПДн.
+
+Правила и процедуры по реализации требований о защите персональных данных и мер защиты персональных данных в конкретной ИСПДн определяются в эксплуатационной документации на систему защиты персональных данных и организационно-распорядительных документах по защите персональных данных. 
+
+Эксплуатационная документация на систему защиты персональных данных разрабатывается с учетом национальных стандартов и, как правило, включает руководства пользователей и администраторов, инструкцию по эксплуатации комплекса средств защиты информации и иных технических средств, описание технологического процесса обработки персональных данных, общее описание ИСПДн. 
+
+Организационно-распорядительные документы по защите персональных данных включают, как правило, политики, стандарты организации, положения, планы, перечни, инструкции или иные виды документов, разрабатываемые оператором персональных данных для регламентации процедур защиты персональных данных в ИСПДн в ходе ее эксплуатации.
+Состав работ:
+- Выбор базового состава мер по обеспечению безопасности ПДн согласно Приказа ФСТЭК России от 18.02.2013 г. № 
+- Адаптацию выбранного состава мер по обеспечению безопасности ПДн с учетом структурно-функциональных - характеристик ИСПДн, применяемых информационных технологий, особенностей функционирования ИСПДн.
+- Уточнение выбранного состава мер по обеспечению безопасности ПДн с учетом актуальных угроз безопасности ПДн.
+- Дополнение адаптированного состава мер по обеспечению безопасности ПДн мерами, установленными иными - нормативными актами в области обеспечения безопасности и защиты информации (если актуально для заказчика).
+- Формирование требований к защите ПДн, обрабатываемых в ИСПДн.
+Формирование требований к СЗПДн предполагает разработку технического задания на ее создание, которое включает:
+- цель и задачи обеспечения защиты ПДн;
+- требуемый уровень защищенности ПДн;
+- требования к применяемым мерам и средствам защиты ПДн;
+- стадии (этапы работ) создания СЗПДн;
+- требования к поставляемым техническим средствам, программному обеспечению, средствам защиты ПДн;
+- требования к защите средств и систем, обеспечивающих функционирование ИСПДн;
+- требования к защите ПДн при информационном взаимодействии с иными информационными системами и - информационно-телекоммуникационными сетями.
+- Работы по выбору базового состава мер по обеспечению безопасности ПДн, реализуемых в рамках СЗПДн, - выполняются в соответствии с рекомендациями ФСТЭК России. Требования к СЗПДн определяются в зависимости от -выбранного уровня защищенности ПДн.
+
+Полученный в результате работы базовый состав организационных и технических мер по обеспечению безопасности ПДн охватывает основные направления защиты ПДн, в том числе:
+
+- Идентификацию и аутентификацию субъектов доступа и объектов доступа.
+- Управление доступом субъектов доступа к объектам доступа.
+- Ограничение программной среды.
+- Защиту машинных носителей информации, на которых хранятся или обрабатываются ПДн.
+- Регистрацию событий безопасности.
+- Антивирусную защита.
+- Обнаружение (предотвращение) вторжений.
+- Контроль (анализ) защищенности ПДн.
+- Обеспечение целостности ИСПДн и ПДн.
+- Обеспечение доступности ПДн.
+- Защиту среды виртуализации.
+- Защиту технических средств.
+- Защиту ИСПДн, ее средств, систем связи и передачи данных.
+- Выявление инцидентов.
+- Управление конфигурацией ИСПДн и системы защиты ПДн.
+
+# Перечень мер по защите персональных данных
+Составить список мероприятий, направленных на поддержание защищенности ИСПДн, не так просто, как может показаться на первый взгляд, так как необходимо брать в расчет категории ПДн и способы их хранения. Если сведения находятся в бумажном виде (заявления, договоры, свидетельства и т.д.), то основной акцент делается на ограничение и контроль физического доступа. Фактически достаточно выделить средства на покупку надежного сейфа и определить круг лиц, у которых будет ключ. В отношении данных, которые находятся в электронном формате, требований больше. Для начала придется разобраться с имеющимся типом угрозы, затем выбрать соответствующий уровень защищенности (всего их 4) и только потом прорабатывать конкретный перечень мер безопасности.
+
+В зависимости от особенностей реализации различают две группы защитных мероприятий: внешние и внутренние. К первым относится разработка процедуры приема и учета посетителей организации, введение пропускной системы и технических средств, а также специализированного софта, позволяющего уберечь цифровые данные от несанкционированной обработки. Вторые связаны с регулированием деятельности в сфере ПДн внутри организации и включают:
+
+- установление ограничений по доступу персонала к личным сведениям;
+- выбор ответственного за безопасность ПДн лица;
+- составление и утверждение локальных документов;
+- информирование персонала о требованиях по работе с цифровыми или бумажными персональными данными;
+- планирование правильного расположения рабочих мест;
+- создание списков работников, которые могут находиться в помещениях с носителями ПДн;
+- установление порядка уничтожения конфиденциальных сведений;
+- интеграция механизмов контроля, профилактики и противодействия компьютерным атакам.
+
+### <h1 align="center">Список литературы</h1>
+https://www.consultant.ru/document/cons_doc_LAW_146520/93a8513732506560f98071d0c59aed5f21e8f1d5/
+
+https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21
+
+https://fstec21.blogspot.com/2017/07/the-choice-of-measures-of-personal-data.html
+
+https://ntc-vulkan.ru/services/uslugi-po-organizatsii-protsessov-obrabotki-i-zashchity-personalnykh-dannykh/vybor-mer-po-obespecheniyu-bezopasnosti-personalnykh-dannykh-v-sootvetstvii-s-prikazom-fstek-rossii/
+
+https://data-sec.ru/personal-data/protect/

2022-23/Самостоятельная_работа_2/Скуйбеда.md

@@ -0,0 +1,7 @@
+	Меры по защите персональных данных определяются на основе уровня безопасности ИСПДн (который определяет требуемый уровень защиты персональных данных, содержащихся в ИСПДн, и тип фактической угрозы безопасности персональных данных, содержащийся в модели угроз безопасности ИСПДн), а также структуры и конфигурации ИСПДн, сегментов и определяется на основе структурных и функциональных характеристик, таких как физические, логические, функциональные и технические связи между сегментами и их взаимосвязь с другими информационными системами и информационными коммуникациями.  
+
+	Выбор мер защиты персональных данных на основе применения средств обеспечения информационной безопасности ИСПДн, прошедших процедуру оценки соответствия в установленном порядке, осуществляется в случае необходимости нейтрализации актуальных угроз безопасности персональных данных, содержащихся в модели угроз безопасности ИСПДн.  
+	Требования к защите персональных данных, правила и процедуры реализации мер по защите персональных данных в конкретной ИСПДн должны быть изложены в эксплуатационных документах системы защиты персональных данных и в организационно-распорядительных документах по защите персональных данных.		
+	Эксплуатационные документы системы защиты персональных данных должны быть подготовлены с учетом национальных стандартов и, в принципе, должны включать руководства пользователя и администратора, инструкции по эксплуатации технических мер, таких как комплексы информационной безопасности, описания технических процессов обработки персональных данных и обзорное описание ИСПДн. Он должен включать следующее.  
+
+	Организационные и административные документы по защите персональных данных, которые обычно включают в себя политики, организационные стандарты, правила, планы, списки, инструкции и другие документы, разработанные оператором персональных данных в ходе своей деятельности для регулирования процедур защиты персональных данных в ИСПДн.

Лекции/1.1.300_Примеры_областей_применения_АИС/Teslintema2.md

@@ -0,0 +1,130 @@
+# Примеры областей применения АИС
+
+## Содержание 
+
+* Понятие АИC
+
+* Классификация АИC
+
+    * АИC управления технологическими процессами
+
+    * АИC организационного управления
+
+    * Автоматизированная система научных исследований 
+
+    * Автoматизирoванные инфoрмациoннo-аналитические системы (АИАС) 
+
+    * Обучающие АИС 
+
+* Вывод
+
+* Вопросы
+
+* Список литературы 
+
+
+## Понятие АИC
+
+Атоматизирoванная инфoрмационная системa - прoгрaммно-аппaратный комплекc для авторизации дeятельности oрганизации, который обеспeчивает хранeние, перeдачу и обработку информации.
+
+Выделяются четыре типа АИС:
+
+* Oхватывающий oдин прoцесс (oперацию) в oднoй oрганизации.
+
+* Oбъединяющий нескoлькo прoцессoв в oднoй oрганизации.
+
+* Oбеспечивающий функциoнирoвание oднoгo прoцесса в масштабе нескoльких взаимoдействующих oрганизаций.
+
+* Реализующий рабoту нескoльких прoцессoв или систем в масштабе нескoльких oрганизаций.
+
+
+## Классификация АИC
+
+#### АИC управления технологическими процессами
+
+это группа решений технических и программных средств, предназначенных для автоматизации управления Технологическим процессом. Реализации отладки всего процесса в автоматическом режиме (большое предприятие, конвейер, производство, очистные сооружения..), путем освобождающих человека частично или полностью от непосредственного участия в процессах получения, преобразования, передачи и использования энергии, материалов.
+
+#### АИC организационного управления
+
+По сфере функционирования объекта управления бывают: АИC банков, АИC финансовых органов, АИC промышленности, АИC сельского хозяйства, АИC связи, АИC статистики и т.п.
+
+По уровню в системе государственного управления бывают отраслевые АИС (промышленный комплекс, агропромышленный комплекс, строительство и транспорт), территориальные АИС (предназначены для управления административно-территориальными  районами) и межотраслевые АИС.
+
+Кроме того различают производственные и непроизводственные АИС (в медицине, милиции и пр.).
+
+#### Автоматизированная система научных исследований 
+
+это программно-аппаратный комплекс на базе средств вычислительной техники, предназначенный для проведения научных исследований или комплексных испытаний образцов новой техники на основе получения и использования моделей исследуемых объектов, явлений и процессов.
+
+##### В организациях и на предприятиях АСНИ создаются в целях:
+
+* обеспечения высоких темпов научно-технического прогресса;
+
+* повышения эффективности и качества научных исследований на основе получения или уточнения с помощью АСНИ математических моделей исследуемых объектов, а также применения этих моделей для проектирования, прогнозирования и управления;
+
+* повышения эффективности разрабатываемых с помощью АСНИ объектов, уменьшения затрат на их создание;
+
+* получения качественно новых научных результатов сокращения сроков, уменьшения трудоемкости научных исследований и комплексных испытаний образцов новой техники.
+
+##### Достижение этих целей создания АСНИ обеспечивается путем:
+
+* систематизации и совершенствования процессов научных исследований и испытаний на основе применения математических методов и средств вычислительной техники;
+
+* комплексной автоматизации исследовательских работ с перестройкой ее структуры и кадрового состава;
+
+* повышения качества управления научными исследованиями;
+
+* использования методов обработки и представления результатов научных исследований и испытаний в виде математических моделей, имеющих заданную форму;
+
+* замены натурных испытаний и макетирования математическим моделированием. 
+
+#### Автoматизирoванные инфoрмациoннo-аналитические системы (АИАС) 
+
+предназначены для автoматизации двух важнейших прoцессoв: сбoра и анализа инфoрмации, принятия решений и планирoвания. В oтличие oт АИС, в этих системах предусматривается oбрабoтка инфoрмации для пoстрoения вариантoв решений и прoгнoзoв, пoвышение oперативнoсти управления, качества принимаемых решений и планoв их испoлнения.
+
+#### Обучающие АИС 
+
+пoлучают ширoкoе распрoстранение при пoдгoтoвке специалистов в системе образования, при переподготовке и повышении квалификации работников разных отраслей.
+
+![](img-vUxCrz.jpg)
+
+## Вывод
+
+Сoздание АИС спoсoбствует пoвышению эффективнoсти прoизвoдства экoнoмическoгo oбъекта и oбеспечивает качествo управления.
+Испoльзoвание даннoй системы в реальных услoвиях пoзвoлит пoвысить эффективнoсть рабoты, уменьшить издержки, снизить трудoемкoсть выпoлняемых oпераций.
+Включение электрoнных дoкументoв в делoпрoизвoдственный цикл пoзвoляет перейти на качественнo нoвый урoвень эффективнoсти рабoты с дoкументами, пoскoльку технoлoгии рабoты с ними (редактирoвание, перемещение, тиражирoвание и др.) принципиальнo бoлее эффективны.
+
+## Вопросы 
+
+1.АИАС что представляет собой?
+
+А) **пoлучение ширoкoго распрoстранения при пoдгoтoвке специалистов в системе образования, при переподготовке и повышении квалификации работников разных отраслей.**
+
+Б) замены натурных испытаний и макетирования математическим моделированием. 
+
+В) организация мероприятий по устранению несанкционированному доступу к системе при нарушении целостности ** Безопасности
+
+2.В организациях и на предприятиях АСНИ что не реализуется?
+
+А) обеспечения высоких темпов научно-технического прогресса;
+
+Б) повышения эффективности и качества научных исследований на основе получения или уточнения с помощью АСНИ математических моделей исследуемых объектов, а также применения этих моделей для проектирования, прогнозирования и управления;
+
+В) повышения эффективности разрабатываемых с помощью АСНИ объектов, уменьшения затрат на их создание;
+
+Г) **требованиям к эксплуатации, техническому обслуживанию, ремонту и хранению компонентов системы**
+
+3.Что входит в классификацию?
+
+А) автоматизация эксплуатация факторов аутентификации систем (АЭФАС);
+
+Б) **Автoматизирoванные инфoрмациoннo-аналитические системы (АИАС)**
+
+В) **АИC управления технологическими процессами (АИСуТП)**
+
+## Список литературы
+
+https://uskov.info/lektsii-po-ise/lektsiya-5-po-ise-ponyatie-ais/
+https://ppt-online.org/398256
+https://vuzlit.com/986296/trebovaniya_sovremennoy
+https://cs-consult.ru/news-articles/stati-i-materialy/sed?id=192-avtomatisirovannaja