Комплексная система защиты персональных данных в распределенной информационной системе

Общие затраты на поставку оборудования определяются на этапе проектирования на основе анализа ИС и имеющихся на рынке СЗИ. Опираясь на результаты предыдущих глав дипломной работы, можно сделать вывод, что затраты на поставку СЗИ на 100 ЭВМ будут примерно равны 700 000 рублей (стоимость СЗИ в разрезе подсистем СЗПДн приведена во втором разделе дипломной работы). С учетом проектируемых СЗИ и цен на работы системных интеграторов, примерная стоимость пуско-наладочных работ СЗИ будет равна 300 000 рублей (стоимость определялась на основе анализа цен услуг пуско-наладочных работ группы крупнейших системных интеграторов в области защиты информации).

Суммарные затраты на ежегодную замену оборудования по причине выхода из строя равны:

, (7)

где B - ежегодные затраты на замену оборудования по причине выхода из строя;

E - стоимость первоначальной поставки оборудования СЗПДн и проведения по нему пуско-наладочных работ;

R - коэффициент осуществления ремонта СЗИ;

T - среднее время работы элементов СЗПДн в год;

M - среднее время наработки на отказ элементов СЗПДн.

Учитывая характеристики всех элементов СЗПДн, в рамках расчетов среднее время наработки на отказ элементов СЗПДн берётся равным 20 000 часов, среднее время работы элементов СЗПДн в год - 4000 часов, коэффициент осуществления ремонта СЗИ - 0,3.

В рамках расчетов, поддержку СЗПДн оператор ПДн осуществляет самостоятельно. Это позволяет достичь наименьшее время реакции на инциденты, наличие ответственных лиц и более тесное взаимодействие механизмов СЗПДн с внутренней структурой организации.

Затраты на заработную плату специалиста по защите информации в штате оператора ПДн будет составлять величину, равную средней заработной плате на рынке труда, с учетом необходимых требований к специалисту. Общие расходы на оплату труда будут определяться выражением:

, (8)

где S - общие расходы на оплату труда специалисту в штате организации в год;

З_осн - основная заработная плата в год;

К - коэффициент, определяемый количеством очередных и дополнительных отпусков, оплатой времени по выполнению государственных и общественных обязанностей.

В рамках данной исследовательской работы коэффициент K берется равным 0,1.

Расчет затрат на страховые взносы в Пенсионный фонд России, Фонд социального страхования России, Фонды обязательного медицинского страхования в год берется от суммы общих затрат на оплату труда специалиста:

, (9)

где С - общие затраты на страховые взносы в год;

S - общие расходы на оплату труда специалисту в год.

Средний размер страховых взносов составляет:

­ в Пенсионный фонд России - 26%;

­ в Фонд социального страхования России - 2,9%;

­ в Фонды обязательного медицинского страхования - 5,1%.

Затраты на электроэнергию в год определяются по следующей формуле:

, (10)

где E - затраты на электроэнергию в год;

Р - потребляемой мощность элемента СЗПДн;

t_d - среднее время работы элементов СЗПДн в год;

E - средняя стоимость электроэнергии.

Суммарная стоимость создания СЗПДн:

, (11)

где С - стоимость создания СЗПДн;

P - стоимость разработки СЗПДн;

S - стоимость проведения пуско-наладочных работ СЗИ.

Стоимость поддержки СЗПДн в течении одного года равна:

, (12)

где P - стоимость поддержки СЗПДн в течении одного года;

S - общие расходы на оплату труда специалисту по защите ПДн в штате организации;

С - общие затраты на страховые взносы в год;

B - ежегодные затраты на замену оборудования по причине выхода из строя; E - затраты на электроэнергию в год.

5.2 Определение затрат на создание и поддержку СЗПДн

Данные по временным и денежным затратам на создание СЗПДн на 100 ЭВМ, обрабатывающих ПДн, в разрезе этапов работ представлены таблице 5.1 (стоимость определялась на основе анализа цен услуг группы крупнейших системных интеграторов в области защиты информации).

Суммарные затраты на ежегодную замену оборудования по причине выхода из строя согласно формуле (7) составят:

Средняя заработная плата специалиста по защите информации с необходимым уровнем квалификации составляет 300 000 рублей в год.

Затраты на заработную плату специалиста по защите информации в штате оператора ПДн согласно формуле (8) составят:

Суммарные затраты на страховые взносы в Пенсионный фонд России, Фонд социального страхования России, Фонды обязательного медицинского страхования в год согласно формуле (9) составят:

В таблице 5.2 приведены затраты на электроэнергию.

В расчётах цена за 1 кВт/ч - 5,00 руб.

Таблица 5.1 - Затраты на создание СЗПДн

Наименование этапа	Исполнитель	Трудоемкость (дней)	Сумма руб.
Информационное и техническое обследование.	Системный интегратор	5	35 000,00
Разработка модели угроз и нарушителей безопасности ПДн.	Системный интегратор	3	35 000,00
Классификация ИСПДн.	Системный интегратор	1	5 000,00
Разработка Технического задания на создание системы защиты ПДн.	Системный интегратор	3	25 000,00
Разработка технического проекта СЗПДн.	Системный интегратор	3	50 000,00
Разработка комплекта корпоративных документов по защите ПДн.	Системный интегратор	5	50 000,00
Согласование разработанной системы защиты ПДн в ИСПДн.	Системный интегратор	2	0,00
Поставка СЗИ.	Системный интегратор	22	700 000,00
Проведение пуско-наладочных работ.	Системный интегратор	20	300 000,00
Итого:	64	1 200 000,00

Таблица 5.2 - Затраты на электроэнергию

Наименование	Мощность, кВатт	Кол-во часов, ч.	Использованная энергия, кВатт	Стоимость, руб.
Компьютер администратора информационной безопасности	0,5	1981	990,5	4 952,50
Криптошлюз, межсетевой экран	0,19	8700	1653	8 265,00
Средство обнаружения вторжений	0,15	8700	1305	6 525,00
Итого:	0,84	19 381	3 948	19 742,50

Данные по временным и денежным затратам на поддержку СЗПДн приведены в таблице 5.3.

Таблица 5.3 - Затраты на поддержку СЗПДн

Наименование	Стоимость, руб.
Затраты на замену оборудования по причине выхода из строя.	60 000,00
Расходы на оплату труда специалисту в штате организации.	330 000,00
Затраты на страховые взносы.	112 200,00
Затраты на электроэнергию.	19 742,50
Стоимость поддержки СЗПДн в течении года (согласно формуле (12)).	521 942,50

Затраты на реализацию СЗПДн и на её поддержку в течении 3 лет составляют:

, рублей

5.3 Оценка регуляторных рисков

Основой для оценки рисков в отношении оператора ПДн являются нормы законодательства, представленные в таблице 5.4.

Таблица 5.4 - Оценка регуляторных рисков в отношении оператора ПДн

Источник	Номер статьи	Содержание статьи	Ожидаемая величина ущерба
1	2	3	4
[1]	23	Уполномоченный орган по защите прав субъектов персональных данных имеет право: 4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона.	Недополученный доход от бизнес процессов связанных с работой ИСПДн. Ущерб репутации.
[15]	237	Моральный вред, причиненный работнику неправомерными действиями или бездействием работодателя, возмещается работнику в денежной форме в размерах, определяемых соглашением сторон трудового договора. В случае возникновения спора факт причинения работнику морального вреда и размеры его возмещения определяются судом независимо от подлежащего возмещению имущественного ущерба.	Сумма возмещения морального ущерба.
[16]	151	Если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные права либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом, суд может возложить на нарушителя обязанность денежной компенсации указанного вреда. При определении размеров компенсации морального вреда суд принимает во внимание степень вины нарушителя и иные заслуживающие внимания обстоятельства. Суд должен также учитывать степень физических и нравственных страданий, связанных с индивидуальными особенностями лица, которому причинен вред.	Сумма возмещения морального ущерба
[16]	152.1	Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии - с согласия родителей. Такое согласие не требуется в случаях, когда: 1) использование изображения осуществляется в государственных, общественных или иных публичных интересах; 2) изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования; 3) гражданин позировал за плату.
[17]	5.27	Нарушение законодательства о труде и об охране труда влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от одной тысячи до пяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток.	40 тыс. руб.
[17]	13.11	Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.	8 тыс.руб.
[17]	13.12	Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой.	15 тыс.руб.
[17]	13.13	Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.	15 тыс.руб.
[17]	19.5	Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.	15 тыс.руб.
[17]	19.7	Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьями 19.7.1, 19.7.2, 19.7.3, 19.7.4, 19.8, 19.19 настоящего Кодекса, - влечет наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц - от трехсот до пятисот рублей; на юридических лиц - от трех тысяч до пяти тысяч рублей.	4 тыс.руб.
[17]	19.20	Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии), если такое разрешение (такая лицензия) обязательно (обязательна), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей.	15 тыс.руб.

Таким образом, несоблюдение требований регулирующих органов в области защиты ПДн может повлечь наложение на оператора ПДн штрафа до 112 тысяч рублей единовременно, а так же может быть возложена обязанность денежной компенсации вреда субъекту ПДн, последовать конфискация несертифицированных средств защиты, приостановление или прекращение обработки персональных данных.

После выявление нарушений оператору ПДн будет выписано предписание с указанием сроков и необходимых мер по их устранению. По наступлению указанных в предписании сроков по выполнению требований, будет произведена проверка на их исполнение. В случае отрицательного результата, будут повторно применены санкции к оператору ПДн и выписано очередное предписание.

В таком случае, потенциальные финансовые потери за период 3 лет будут составлять:

, (13)

где П - потенциальные финансовые потери за счет регуляторных рисков за период 3 года;

I - размер возможного штрафа со стороны регулирующих органов в год, в случае отсутствия СЗПДн;

M - размер денежной компенсации субъекту ПДн в год, учитывая наличие в базах данных оператора ПДн 20 000 субъектов ПДн;

K - финансовые потери в случае конфискации несертифицированных средств защиты информации в год.

Размер возможного штрафа со стороны регулирующих органов в год с учетом среднего штрафа в размере 70% от максимального и наличия трёх проверок в год (одна плановая, последующие - контроль выполнения предписаний) в случае отсутствия СЗПДн будет равен:

, рублей

Исходя из опыта судебного делопроизводства размер возмещения ущерба субъекту ПДн обычно не превышает 2500 рублей. Взяв в расчёт, что в базах данных оператора ИСПДн обрабатываются ПДн 5 000 субъектов ПДн, средний размер возмещения ущерба равным 1 500 рублей, процент утечки ПДн из базы данных оператора 30% в год и 25% субъектов, потенциально подающих заявление на возмещение материального ущерба, размер необходимых выплат оператором субъектам ПДн в год будет составлять:

, рублей

Финансовые потери в случае конфискации несертифицированных средств защиты информации, с учетом используемых в ИСПДн СЗИ, будут составлять 100 000 рублей в год.

Потенциальные финансовые потери за период 3 года за счет регуляторных рисков согласно формуле 18 будут составлять:

рублей

Необходимо подчеркнуть, что меры регулирующих органов по приостановлению или прекращению обработки персональных данных для ряда операторов ПДн могут привести к недополученному доходу от бизнес-процессов, либо к невозможности осуществления коммерческой деятельности как таковой. Ущерб для оператора ПДн в данном случае не поддаётся расчёту и не учитывается в расчётах.

5.4 Оценка экономической эффективности проекта

Для расчета экономической эффективности внедрения разработанной СЗПДн необходимо суммарную ее стоимость разработки, внедрения и поддержки за три года сравнить со стоимостью возможного ущерба со стороны регуляторных рисков за такой же период.

Экономическая эффективность создания и поддержки спроектированной СЗПДн будет равна:

,

где П - потенциальные финансовые потери за период 3 года за счет регуляторных рисков;

З - затраты на создание и поддержку СЗПДн в течении 3 лет.

5.4 Выводы

Проведенный анализ показал, что каждый рубль, потраченный на создание и поддержку СЗПДн в течении трёх лет, позволит снизить регуляторные риски на 1,56 рублей.

Учитывая вышеприведенный показатели, можно сделать вывод, что проект экономически эффективен.

ЗАКЛЮЧЕНИЕ

Одним из самых актуальных на текущий момент вопросом в области защиты информации в России является защита ПДн в соответствии с российским законодательством и актуальными угрозами безопасности ИСПДн. Особо остро стоит вопрос обеспечения безопасности в ПДн в крупных распределенных ИСПДн.

Особенностью распределенной ИСПДн является передача ПДн по неконтролируемому каналу, чаще всего представляющему из себя сеть связи общего пользования или Интернет. Эта особенность влияет на все основные характеристики безопасности ИСПДн, в том числе на необходимость криптографической защиты передаваемых данных. Ввиду распределенности и разнородности средств информатизации и защиты ИСПДн, остро становится вопрос выбора СЗИ, вопрос централизации механизмов мониторинга и управления.

В распределенной ИСПДн чаще всего обрабатываются ПДн 2 категории.

Распределенная ИСПДн всегда является специальной, так как для неё кроме обеспечения конфиденциальности необходимо так же обеспечить целостность и доступность. Класс специальной ИСПДн определяется на основе модели угроз безопасности персональных данных.

Согласно модели угроз, распределенная ИСПДн имеет низкий уровень исходной защищенности и ряд актуальных угроз.

Согласно модели нарушителя, нарушитель обладает возможностями класс Н2 и в соответствии с этим к средствам криптографической защиты в рамках СЗПДн должны предъявляться требования по сертификации ФСБ России не ниже класс КС2.

Класс специальной ИСПДн присваивается согласно экспертной оценке специалиста по защите информации. Так как для распределенной ИСПДн предприятия нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не может привести к значительным негативным последствиям для субъектов персональных данных, распределенная ИСПДн имеет класс К2.

Для нейтрализации и снижения вероятности проявления тех или иных угроз на всех стадиях жизненного цикла информационной системы необходимо использовать комплекс мер и средств защиты:

- организационных и организационно-технических;

- инженерных и инженерно-технических;

- технических;

- программных, аппаратных и программно-аппаратных.

Проектируемая СЗПДн согласно проведенном анализу должна состоять из следующих подсистем:

- подсистема защиты от НСД;

- подсистема антивирусной защиты;

- подсистема межсетевого экранирования;

- подсистема криптографической защиты;

- подсистема обнаружения вторжений;

- подсистема анализа защищенности.

Согласно факторному анализу имеющихся на рынке средств защиты, которые возможно использовать в рамках СЗПДн, наиболее лучшие показатели у следующих:

- ПО Symantec Endpoint Protection - СУСН, ПМЭ, САВЗ;

- ПО eToken Network Logon, используемый совместно с идентификаторами eToken PRO (Java)/72K/CERT-1883 - средство обеспечения усиленной аутентификации;

- Cisco ASA 5500 Series - программно-аппаратные межсетевые экраны;

- S-Terra CSP VPN - программные и программно-аппаратные средства криптографической защиты;

- IBM Proventia IPS - программно-аппаратная система предотвращения вторжений;

- MaxPatrol - программное средство обнаружения вторжений.

Все средства защиты имеют необходимые сертификаты ФСБ и ФСТЭК России и образуют в совокупности комплексную СЗПДн, обеспечивающую соблюдение всех требований законодательства, а так же требований, выявленных на основе модели угроз и нарушителя ИСПДн. Построенная на основе данного решения СЗПДн обладает наилучшими технико-экономическими показателями эффективности.

Основные функции «eToken Network Logon» - защищенное хранение открытых и закрытых ключей в памяти идентификатора eToken PRO, идентификация и двухфакторная аутентификация пользователей ИСПДн при входе/выходе в ОС или приложение, блокирование АРМ и принудительный выход пользователя при отсоединении аппаратного идентификатора пользователя.

Решение «Symantec Endpoint Protection» состоит из следующих компонентов:

- «Symantec Endpoint Protection Client» - САВЗ, СУСН, ПМЭ;

- «Symantec Endpoint Protection Manage» - сервер управления;

- «Symantec Endpoint Protection Manager Console» - консоль управления.

САВЗ «Symantec Endpoint Protection Client» обеспечивает антивирусную защиту АРМ и серверов на базе Microsoft Windows.

СУСН «Symantec Endpoint Protection Client» обеспечивает управление подключением периферийного оборудования, а также режимами его работы.

ПМЭ «Symantec Endpoint Protection Client» представляет собой персональный межсетевой экран, обеспечивающий персональную защиту АРМ и серверов на базе Microsoft Windows.

Для межсетевого экранирования необходимо разделение всех узлов ИСПДн и СЗПДн на защищенные зоны, которые обеспечиваются организацией виртуальных локальных сетей (VLAN), запрет взаимодействия узлов защищенных зон в обход средств межсетевого экранирования Cisco ASA 5500 Series.

Cisco ASA 5500 Series должен выполнять:

- маршрутизацию сетевого трафика между защищаемыми зонами;

- фильтрацию трафика между зонами на основе параметров протоколов 3-4 уровня модели OSI;

- регистрацию и учет фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.

Подсистема криптографической защиты, в составе «S-terra CSP VPN Gate» и «CSP VPN Client» обеспечивают шифрование защищаемой информации и её передачу по неконтролируемым каналам связи, управления криптографическими ключами.

Средство обнаружения вторжений «IBM Proventia Prevention Appliance» обеспечивает обнаружение трафика известной сетевой атаки, аномальной или запрещенной политикой безопасности сетевой активности, возможность автоматического реагирования на обнаруженное вторжение.

САЗ «MaxPatrol» обеспечивает выявление уязвимостей программно-аппаратного обеспечения ИСПДн и СЗПДн, тестирование эффективности СЗПДн.

В совокупности средства защиты образуют комплексную систему защиты персональных данных для распределенной информационной системы.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Российская Федерация. Законы. О персональных данных [Электронный ресурс]: Федеральный закон N 152-ФЗ: [принят Гос. Думой 8 июля 2006 г.: одобр. Советом Федерации 14 июля 2006 года] // СПС Консультант Плюс.

2. Российская Федерация. Постановления. Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс]: постановление Правительства РФ от 17 ноября 2007 г. N 781. // СПС Консультант Плюс.

3. Российская Федерация. Приказы. Порядок проведения классификации информационных систем персональных данных [Электронный ресурс]: приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 // СПС Консультант Плюс.

4. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс]: утв. Федеральной службой по техническому и экспортному контролю 15 февраля 2008 г // СПС Консультант Плюс.

5. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс]: утв. Федеральной службой по техническому и экспортному контролю 14 февраля 2008 г // СПС Консультант Плюс.

6. Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей [Электронный ресурс]: утв. решением Государственной технической комиссии при Президенте РФ от 4 июня 1999 г. N 114 // СПС Консультант Плюс.

7. Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации [Электронный ресурс]: утв. решением Государственной технической комиссии при Президенте РФ от 25 июля 1997 г // СПС Консультант Плюс.

8. Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения [Электронный ресурс]: утв. решением Государственной технической комиссии при Президенте РФ от 30 марта 1992 г // СПС Консультант Плюс.

9. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации [Электронный ресурс]: утв. решением Государственной технической комиссии при Президенте РФ от 30 марта 1992 г // СПС Консультант Плюс.

10. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации [Электронный ресурс]: утв. решением Государственной технической комиссии при Президенте РФ от 30 марта 1992 г // СПС Консультант Плюс.

11. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации [Электронный ресурс]: утв. ФСБ РФ 21 февраля 2008 г. N 149/54-144 // СПС Консультант Плюс.

12. Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных [Электронный ресурс]: утв. ФСБ РФ 21 февраля 2008 г. N 149/6/6-622 // СПС Консультант Плюс.

13. Российская Федерация. Законы. Об информации, информационных технологиях и о защите информации [Электронный ресурс]: федер. закон: [принят Гос. Думой 8 июля 2006 г.: одобр. Советом Федерации 14 июля 2006 г.] // СПС Консультант Плюс.

14. Российская Федерация. Приказы. Положение о сертификации средств защиты информации по требованиям безопасности информации [Электронный ресурс]: приказ Гостехкомиссии РФ от 27.10.1995 N 199 // СПС Консультант Плюс.

15. Российская Федерация. Законы Трудовой кодекс Российской Федерации [Электронный ресурс]: фед. закон: [принят Гос. Думой 21 дек. 2001 г.; одобр. Советом Федерации 26 дек. 2001 г.: по сост. на 1 марта 2009 г.] // СПС Консультант Плюс.

16. Российская Федерация. Законы. Гражданский кодекс Российской Федерации [Электронный ресурс]: офиц. текст. - М. : Экзамен, 2001. - 304 с..

17. Комментарий к Кодексу Российской Федерации об административных правонарушениях" (постатейный): [Электронный ресурс] / под ред. Н.Г. Салищевой; 6-е издание, переработанное и дополненное - Проспект, 2009 // СПС Консультант Плюс.

18. Российская Федерация. Законы. Об информации, информационных технологиях и о защите информации [Текст]: федер. закон: [принят Гос. Думой 8 июля 2006 г.: одобр. Советом Федерации 14 июля 2006 г.]. - М.: Омега-Л, 2007. - 24 с. - 500 экз. - ISBN 5-370-00202-9, 978-5-370-00202-1.

19. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью [Электронный ресурс]. - Введ. 2007-01-01. // СПС Консультант Плюс.

20. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения [Электронный ресурс]. - Введ. 2006-12-27. // СПС Консультант Плюс.

21. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения [Электронный ресурс]. - Введ. 2000-06-30. // СПС Консультант Плюс.

22. ГОСТ 12.1.004-91. Пожарная безопасность. Общие требования [Электронный ресурс]. - Введ. 1995-01-01. // СПС Консультант Плюс.

23. ГОСТ 12.0.003-74 ССБТ. Опасные и вредные производственные факторы. Классификация [Электронный ресурс]. - Введ. 1976-01-01. // СПС Консультант Плюс.

24. ГОСТ 12.2.032-78 ССБТ. Рабочее место при выполнении работ сидя. Общие эргономические требования [Электронный ресурс]. - Введ. 1979-01-01. // СПС Консультант Плюс.

25. ГОСТ 7.32-2001. Система стандартов по информации, библиотечному и издательскому делу. Отчет о научно-исследовательской работе. Структура и правила оформления [Электронный ресурс]. - Введ. 2002-07-01. // СПС Консультант Плюс.

26. ГОСТ 7.1-2003. Библиографическая запись. Библиографическое описание. Общие требования и правила составления [Электронный ресурс]. - Введ. 2004-07-01. // СПС Консультант Плюс.

27. Защита от шума [Электронный ресурс]: СНиП 23-03-2003: утв. Минрегионом РФ 28.12.10: взамен СНиП II-12-74: дата введ. 01.01.04. // СПС Консультант Плюс.

28. Защита от шума [Электронный ресурс]: СНиП 23-03-2003: утв. Минрегионом РФ 28.12.10: взамен СНиП II-12-74: дата введ. 01.01.04. // СПС Консультант Плюс.

29. Пожарная безопасность зданий и сооружений: СНиП 21-01-97: утв. Минстрой РФ 13.02.97: дата введ. 13.02.97. // СПС Консультант Плюс.

30. Естественное и искусственное освещение: СНиП 23-05-95: утв. Минстрой РФ 2.08.95: дата введ. 01.01.96. // СПС Консультант Плюс.

31. Баймакова И.А., Новиков А.В., Рогачев А.И. Обеспечение защиты персональных данных. Методическое пособие / И.А. Баймакова. - М.: 1С-Паблишинг, 2010. - 214 с.

32. Белов, Е.Б. Основы информационной безопасности [Текст]. Учебное пособие для вузов / Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. - М.: Горячая линия - Телеком, 2006. - 544 с.

33. Малюк, А.А. Информационная безопасность: концептуальные и методологические основы защиты информации [Текст]. Учеб. пособие для вузов / А.А. Малюк. - М.: Горячая линия-Телеком, 2004. - 280 с.

34. Чипига, А.Ф. Информационная безопасность автоматизированных систем: учеб. пособие для студентов вузов, обучающихся по специальностям в обл. информ. безопасности [Текст]/ А.Ф. Чипига. - М.: Гелиос АРМ, 2010. - 336 с.

35. Ярочкин, В.И. Информационная безопасность [Текст]: Учебник для вузов / В.И. Ярочкин. - М.: Академический Проект, 2004. - 544 с.

36. Дмитриев, А.Н. Руководство по оценке экономической эффективности инвестиций в энергосберегающие мероприятия [Текст] - М.: АВОК-ПРЕСС, 2005. - 122 с.

37. Скрипкин, К.Г. Экономическая эффективность информационных систем [Текст]. - М.: ДМК Пресс, 2002. - 256 с.

38. Столяров, В.И. Экономика [Текст]. - М.: Академия, 2010. - 512 с.

39. Калыгин, В.Г. Безопасность жизнедеятельности. Промышленная и экологическая безопасность, безопасность в техногенных чрезвычайных ситуациях [Текст] / В.А. Бондарь. - М.: КолосС, 2006. - 520 с.

40. Кукин, П.П. Безопасность жизнедеятельности. Безопасность технологических процессов производств. Охрана труда [Текст] / В.Л. Лапин. - М.: Высшая школа, 2007. - 336 с.

41. Ковалев, В.В. Финансовый анализ: методы и процедуры / В.В. Ковалев. - М.: Финансы и статистика, 2003. - 560 с.

Размещено на Allbest.ru