подразделения ООО

2.4 Общая характеристика существующей системы защиты персональных данных «Ладент VIP»

Как было показано выше, технология работы с персональными данными категории К3 и выше предполагает обеспечение физической защиты помещений, где производится обработка персональных данных, обеспечение учета и сохранности носителей персональных данных, сертификацию используемого программного обеспечения, документационное обеспечение технологии обработки персональных данных.

2.4.1 Анализ системы защиты персональных данных при их автоматизированной обработке в ИС «Ладент VIP»

Программное обеспечение, в котором производится обработка персональных данных, должно иметь достаточный уровень защиты от несанкционированного доступа, включая систему разграничения доступа, а также систему аутентификации пользователей. Разграничение доступа выполняется пользователями, имеющими права администраторов с использованием средств программного обеспечения.

Рассмотрим существующую технологию идентификации и аутентификации пользователей в информационной системе ООО «Ладент VIP».

В таблице 2.8. приведено описание технологии авторизации пользователей ООО «Ладент VIP».

№	Уровень авторизации	Тип авторизации	Сфера использования
1	Вход в BIOS	Пароль	Настройка рабочих станций
2	Вход в домен	Пароль	Рабочие станции пользователей
3	Вход в программные комплексы	Пароль	Рабочие станции пользователей
4	Авторизация в криптографических системах	Пин-код	Рабочие станции пользователей, работающих с криптографическими системами
5	Авторизация на сервере (терминальный доступ)	Пароль	Рабочие станции пользователей 1С, ИТ-специалистов
6	Авторизация в системе администрирования системы видеонаблюдения, СКУД	Пароль	Рабочие станции ИТ-специалистов
7	Вход в настройки антивирусного ПО	Пароль	Рабочие станции пользователей, ИТ-специалистов

При анализе аутентификации и идентификации пользователей в информационной системе «Ладент VIP», мною были обнаружены следующие уязвимости:

· наличие прав администраторов у пользователей, не имеющих причастности к техническим, либо к вопросам администрирования баз данных или приложений.

· многофакторная аутентификация. Пользователь вынужден вводить множество паролей для авторизации в каждой из используемых программ;

· отсутствие контроля сроков действия паролей;

· отсутствие контролей сложности паролей;

· отсутствие контроля оборота парольной документации;

· возможность авторизации пользователей на АРМ, где не предусмотрена их технология работы;

· не отключена учетная запись Гостя;

· доменные имена и учетные записи пользователей не формализованы;

· отсутствие усиленной авторизации на серверах.

Таким образом, в условиях ООО «Ладент VIP» хоть и присутствует система разграничения доступа и аутентификации пользователей в программных продуктах, где производится обработка персональных данных, но ее работу нельзя признать эффективной, так как не обеспечивается полномерное выполнение задач, для которых она предназначена. Система защиты персональных данных в программных комплексах ООО «Ладент VIP» является достаточно уязвимой перед нарушителями - инсайдерами, нарушителями - сторонними пользователями и необходимо принятие мер по совершенствованию технологии разграничения доступа и идентификации пользователей.

2.4.2 Характеристика организации системы защиты персональных данных в условиях ООО «Ладент VIP»

Организационная составляющая защиты персональных данных в условиях рассматриваемой организации должна включать в себя:

· организацию хранения носителей персональных данных;

· организацию физической защиты помещений, где обрабатываются персональные данные с оформлением акта обследования помещений.

В условиях ООО «Ладент VIP» отмечены следующие уязвимости организационной составляющей защиты персональных данных:

· отсутствие учета носителей информации;

· допускается хранение информации, содержащей персональные данные, на локальных дисках рабочих станциях пользователей;

· требования к физической защите персональных данных выполнены частично (помещения оборудованы камерами видеонаблюдения, присутствует система сигнализации), но при этом нет приказа о доступе специалистов в данные помещения.



3. Проектная часть

3.1 Исходные данные

Целью проектирования в рамках данной дипломной работы является разработка системы мероприятий по совершенствованию информационной безопасности частной стоматологической клиники

Приведем исходные данные проекта

Защищаемые активы:

· Сервер;

· базы данных;

· медицинская документация;

· данные о финансово-хозяйственной деятельности клиники.

Типы угроз:

· несанкционированный доступ, связанный с

· физическая защита от несанкционированного проникновения.

В настоящее время в условиях исследуемой медицинской организации отсутствует контроль использования учетных записей пользователей, смена паролей производится пользователями самостоятельно, пользователи имеют возможность работы с внешними носителями информации, не проведено разграничение доступа к локальным учетным записям, все пользователи информационной системы имеют доступ к Интернету.

Создание самостоятельного отдела ИБ в рамках ООО «Ладент VIP» - первостепенная организационная задача, которая всецело лежит на высшем менеджменте компании. В это же время, другие задачи проекта заключаются в совершенствовании системы информационной безопасности: контроль подключения внешних устройств, усиления контроля технологии аутентификации пользователей, разграничение доступа пользователей к рабочим станциям, контроль использования средств Интернета.



3.2 Внедрение системы аутентификации с использованием электронных ключей

Для улучшения системы авторизации и аутентификации я предлагаю использование аппаратных аутентификаторов - электронных ключей eToken, так как согласно стандарту защиты информации по классу К1 необходимо использовать сертифицированные средства защиты информации.

Использование электронных ключей позволит решить следующие проблемы:

· хранение паролей на внутренней памяти ключа eToken;

· электронные ключи управляются централизованно и, при отсутствии пользователя могут быть централизованно заблокированы, что исключает проблему передачи паролей между пользователями;

· централизованное управление ключами также позволяет управлять их содержимым - устанавливать сроки действия паролей, степень их сложности;

· возможность протоколирования работы пользователя с системой, что позволит анализировать инциденты, связанные с нарушениями требований аутентификации;

· пользователь несет персональную ответственность за работу с электронным ключом и обязан обеспечить его хранения в недоступном месте;

· возможность хранения закрытых ключей ЭЦП на электронном ключе также повышает защищенность системы от угроз компрометации.

eToken - универсальное персональное средство аутентификации сотрудников на АРМ. Он представлен в виде USB-ключа, который имеет защищенную внутреннюю память, на которой можно хранить необходимые данные:

· сертификаты безопасности;

· ключи шифрования;

· пароли;

· прочие секретные данные.

Для получения доступа к защищённым данным, хранящимся в памяти eToken, требуется ввести PIN_код (Personal Identification Number, eToken password), являющийся аналогом пароля. PIN_код должен содержать последовательность из восьми или более символов, включающую буквы, цифры и специальные символы.

Для возможности использования eToken на АРМ, необходимо, чтобы оно соответствовало следующим минимальным требованиям:

· установленная операционная система Windows XP/7/8 или Windows Server 2003/2008/2010

· 10 МБ свободного места на жёстком диске;

· наличие свободного работающего порта USB.

Для управления ключами eToken на АРМ сотрудников, я предлагаю использовать программное обеспечение SafeNet Authentication Client (ранее eToken PKI Client).

Данное программное обеспечение работает на основе сверки сертификатов безопасности, которые можно загрузить во внутреннюю память ключа. Являясь, по сути своей, всего лишь инструментом, поддерживает множество приложений безопасности, что, во-первых, повышает возможности отдела информационной безопасности по надстройке дополнительных модулей безопасности в виде сторонних приложений, а во-вторых, сам SafeNet Authentication Client значительно снижает риск НСД на АРМ сотрудников, в силу упрощения системы аутентификации и строгого разграничения возможностей пользователя - при должной настройке групповых политик безопасности и разграничения уровня доступа на основ внутреннего регламента, а также нужд сотрудников. При необходимости, можно настроить электронную цифровую подпись, проверку подлинности и многие другие возможности.

Самыми важными характеристиками SafeNet Authentication Client являются:

· строгая двухфакторная аутентификация для защиты сети и данных;

· возможность локального администрирования устройств;

· поддержка полной настройки клинта, включая настройку безопасности, политик и пользовательского интерфейса;

· интеграция с любыми приложениями на основе сертификатов стандартных интерфейсов API;

· поддержка расширенных функций управления приложениями, пароля для защиты АРМ и обеспечения доступа в локальную сеть.

Для возможности использования SafeNet Authentication Client, необходимо, чтобы оно соответствовало следующим минимальным требованиям: установленная операционная система Windows Server 2003/2008/2012

· установленная операционная система Windows XP/7/8

· интернет браузер Firefox/IE/Chrome

Рассмотрим основные режимы работы с настройками электронных ключей в SafeNet Authentication Client.

На рисунке 3.1. показано главное окно eToken, при подключении его к АРМ с установленным SafeNet Authentication Client. Большая часть действий, доступных из данного меню, требуют аутентификации на eToken - ввода пароля, который уникален для каждого отдельного eToken. После аутентификации, пользователю доступны те и только те части информационной системы, к которым ему открыт доступ в рамках политик безопасности, применяемых в системе специалистами по информационной безопасности. Для создания политик можно воспользоваться программным обеспечением Active Directory, которое внедрено в информационную систему «Ладент VIP».



Рис. 3.1. Главное меню eToken

При первичном подключении eToken к АРМ, необходимо провести инициализацию eToken - настройку определенных параметров. Подобные действия следует доверять специалистам информационной безопасности, поскольку вопрос компрометации eToken напрямую зависит от начальных установок при инициализации - имя eToken, пароль, сертификаты безопасности и т.д. На рисунках 3.2.-3.4. Можно увидеть наглядную инициализацию.



Рис. 3.2. Инициализация eToken

Рис. 3.3. Установка имени и пароля eToken



Рис. 3.4. Установка дополнительных параметров пароля пользователя

Что примечательно, при инициализации eToken можно задать требования для криптостойкости пароля пользователя, как показано на рисунке 3.4, а также для времени его хранения и смены. Таким образом можно усилить систему аутентификации пользователей, поскольку им необходимо будет менять свои пароли раз в определенный промежуток времени. В случае, если пользователь забыл пароль, то можно воспользоваться учетной записью администратора eToken для установки нового пароля, как показано на рисунках 3.5-3.6. В противном случае, придется проходить процедуру инициализации заново, но при этом все данные, хранящиеся на ключе eToken, будут отформатированы.



Рис. 3.5. Восстановление пароля - вход через учетную запись администратора

Рис. 3.6. Авторизация административной учетной записи eToken

Тем не менее, вопрос с компрометацией ключей eToken - распространенное явление, с которым зачастую сталкиваются различные компании. Для решения подобной уязвимости необходимо составить или использовать готовый регламент по работе с электронными ключами и распространить его среди работников для ознакомления, а также внедрить его на предприятии.

Таким образом, при использовании электронных ключей eToken можно усовершенствовать нынешнюю систему аутентификации «Ладент VIP», а также сократить общее количество уязвимостей данной системы посредством автоматического контроля за криптостойкостью и обновляемостью паролей пользователей.

3.3 Защита информации от НСД и введение журнала безопасности с помощью СЗИ «Аура 1.2.4»

Для дополнительной технической защиты от НСД, а также для ведения журнала событий (обращение к файлам, дискам, системным объектам) в информационной системе «Ладент VIP», я предлагаю использование СЗИ «Аура 1.2.4»

Система защиты информации от несанкционированного доступа «Аура», согласно лицензии ФСТЭК, подходит для информационных систем персональных данных с 4 по 1 уровень защищенности, а также для автоматизированных систем классификации с 1Д до 1Б. Помимо этого, разработчиками завялена совместимость с доменами Active Directory, а также с электронными ключами eToken и Rutoken, что важно для данного проекта, поскольку перечисленные пункты уже фигурируют в финальной системе информационной безопасности и отсутствие конфликтов у внедренного программного обеспечения и технических средств важно для нормально работоспособности системы.

СЗИ «Аура 1.2.4» предлагает следующие возможности:

· двухфакторная аутентификация (аутентификация по паролю и разблокировка консоли по электронному ключу);

· контроль печати из всех приложений (а не только из MS Office);

· контроль доступа к дискам с файловыми системами FAT/CDFS/NTFS;

· регистрация обращений к файлам на дисковых системах FAT/CDFS/NTFS;

· регистрация обращений к системным объектам ОС;

· централизованное управление;

· единый дистрибутив для серверов и клиентов;

· бессрочную лицензию.

Для возможности использования СЗИ «Аура 1.2.4» на АРМ, необходимо, чтобы оно соответствовало следующим минимальным требованиям:

· установленная операционная система Windows XP/7 или Windows Server 2003/2008;

· не менее 60 МБ свободного места на жёстком диске;

· не менее 256 МБ ОЗУ;

· дисковод;

· процессор с частотой 1ГГц или выше.

На рисунке 3.7. представлено главное окно программы «Аура», в котором видно дерево настраиваемых частей программы. В дополнительном окне можно наблюдать создание журнала событий, в котором пользователь может выбрать необходимые пункты, которые бы отображались в нем.



Рис. 3.7. Главное окно программы «Аура 1.2.4»

На рисунке 3.8. мы представлена возможность ограничения доступа различных устройств к АРМ сотрудника: съемные носители информации, устройства ввода/вывода. Ограничения распространяются на уровне шины по классам устройств. Доступ к каждому накопителю определяется явно.

Рис. 3.8. Блокировка устройств ввода/вывода с помощью СЗИ «Аура»

На рисунке 3.9. можно наблюдать еще одну из декларированных возможностей разработчиками - централизованное управление, посредством создание административной учетной записи на АРМ администратора-специалиста.

Рис. 3.9. Создание административной учетной записи

Рис. 3.10. Создание учетной записи пользователя

На рисунке 3.10. можно наблюдать создание учетной записи работника с настраиваемыми параметрами безопасности, а также различными вариантами аутентификации.

Таким образом, при помощи системы СЗИ «Аура 1.2.4», мы можем добиться сразу нескольких результатов, а именно:

· контроль доступа к устройствам, файлам и папкам;

· ведение журнала безопасности;

· достоверное уничтожение информационных объектов;

· контроль целостности информационных объектов и файлов в системе;

3.4 Возможности настройки антивирусного ПО для обеспечения защиты персональных данных от НСД

Как было показано выше, для обеспечения конфиденциальности персональных данных необходимо обеспечить защиту от несанкционированного копирования.

Несмотря на то, что мы можем использовать СЗИ «Аура» для разграничения доступа съемных носителей к АРМ, а также пользователей к файлам и папкам, при наличии у сотрудников личных носителей информации возможна ситуация, при которой специалисты могут на них скопировать информацию, содержащую персональные данные. Защиту от несанкционированного копирования на неучтенные носители может обеспечить настройка антивирусной системы защиты информации. В условиях исследуемой организации используются антивирусные решения от Kaspersky Lab. Сервисы администрирования от Kaspersky Lab позволяют централизованно проводить управления USB-портами на рабочих станциях пользователей, а также вводить специальные разрешения на копирование информации на носитель информации по его серийному номеру, что исключает копирование на неучтенные носители информации. Кроме того, существует возможность установления ограничения на копирование файлов по определенному расширению.

Таким образом, угроза несанкционированного копирования персональных данных на неучтенные носители информации может быть минимизирована при проведении настройки антивирусных программных средств.

3.5 Совершенствование системы антивирусной защиты

Для устранения недостатков системы антивирусной защиты в рамках работы над проектом мной был предложен ряд мер, связанных с совершенствованием системы антивирусной защиты, приведенный в таблице 3.1.

Совершенствование системы антивирусной защиты предлагается в следующих направлениях:

· оптимизация архитектуры с использованием существующего решения на базе Kaspersky EndPoint Security;

· внедрение решений на основе дополнительного антивирусного программного решения;

· внедрение системы комплексной защиты информации, что позволит предотвратить активность вредоносного ПО и оптимизировать ресурсы информационной системы в части защиты информации.

Таблица 3.1. - Меры по совершенствованию системы антивирусной защиты в условиях медицинского учреждения

Вид деятельности	Существующая технология	Предлагаемая технология
Работа с внешними носителями информации	Специалисты могут использовать внешние носители информации, предварительно проверив их с использованием средств Kaspersky EndPoint Security	Создание выделенной рабочей станции для проверки внешних носителей, использующей для проверки средства ПО DrWeb Security Space с отключением возможности работы с внешними носителями на рабочих станциях
Работа с ресурсами сети Интернет	На рабочих станциях специалистов открыт полный доступ к Интернету	Регламентация доступа к Интернету, блокирование возможности входа в социальные сети и пр. сайты, не относящиеся к технологии работы специалистов, с использованием средства Kaspersky Web фильтр
Автозапуск	Использование автозапуска специалистами для возможности работы с прикладным ПО, что повышает уязвимость системы	Отключение системы автозапуска средствами Kaspersky EndPoint Security
Контроль учетных записей	Каждый из специалистов со своей доменной учетной записью может получить доступ к любой рабочей станции в локальной сети	Ограничения на активность учетных записей с использованием специального ПО
Использование встроенной учетной записи администратора	На каждой рабочей станции возможен вход под локальным администратором без пароля, что может использоваться вредоносным ПО	Установка пароля для учетной записи администратора
Использование файла подкачки	На рабочих станциях пользователей используется файл подкачки, что потенциально повышает уязвимость системы	Очистка файла подкачки при каждой перезагрузке системы с использованием специальных средств

Предлагаемая система использования выделенной рабочей станции для проверки внешних носителей информации приведена на рисунке 3.11.

Рис. 3.11. Система использования выделенной рабочей станции для проверки внешних носителей информации

В рамках предлагаемого варианта, все внешние носители информации проходят проверку на выделенной рабочей станции с установленным ПО DrWeb, после чего пользователь выбирает необходимые ему для работы файлы и по протоколу FTP копирует их на выделенный сетевой ресурс в локальной сети информационной системы медицинского учреждения. рабочая станция для проверки внешних носителей не включена в домен, не имеет подключенных сетевых дисков, имеет связь с остальными ресурсами сети только по FTP, каталоги которого на сервере проверяются средствами Kaspersky EndPoint Security, что минимизирует вероятность вирусного заражения с данного компьютера. Кроме того, предлагается рассмотреть вопрос о возможности автоматического копирования на FTP-сервер файлов только с определенными расширениями (*.doc, *.docx, *.xls, *xlsx, *.odt, *.odf, *.xml и т.п.) с использованием специального сканирующего ПО, что позволит не обращаться к потенциально заражаемым объектам.

Таким образом, использование двух антивирусов в информационной системе не приведет к дополнительной нагрузке на вычислительные ресурсы, и, в то же время, исключит вероятность заражения вредоносным ПО, не включенным в сигнатуры одного из антивирусов. Блокировка USB-портов для использования внешних носителей также повысит общую защищенность системы.

Тем не менее, при проектировании системы информационной безопасности, мы должны, в первую очередь, обратить внимание на внутренние проблемы, а именно - любые уязвимости так или иначе связанные с сотрудниками. Для минимизации урона от подобных угроз необходимо использовать не только технические средства разграничения доступа, но и вводить внутренние регламенты по регуляции действий сотрудников. Несмотря на это, если у сотрудника или стороннего злоумышленника имеется умысел на несанкционированное получение персональных данных, то большинство предпринимаемых технологических и организационных мер будут малоэффективными и, для защиты от злоумышленников такого типа, необходимо использовать особый порядок пропускного режима, упорядочивать доступ к помещениям, где обрабатываются персональные данные, принимать ряда мер по обеспечению физической защиты информации.

Таким образом, сформулированные в рамках данной работы уязвимости информационной безопасности в условиях частной стоматологической клиники, могут быть минимизированы при использовании электронных ключей, СЗИ «Аура», антивирусного ПО и внутренних регламентов ИБ.



Заключение

Политика информационной безопасности в информационных системах предприятий имеет множество аспектов, которые необходимо рассматривать исключительно в совокупности из-за их частичной взаимной зависимости и общей комплексности понятия информационная безопасность.

В рамках данной работы рассмотрена системы защиты персональных данных в условиях информационной системы частной стоматологической клиники ООО «Ладент VIP».

В ходе работы над проектом был проведен анализ архитектуры системы информационной безопасности частной стоматологической клиники. Показано, что система защиты персональных данных включает в себя организационные и технологические решения. Пренебрежение какой-либо из компонент комплексной системы защиты информации повышает уязвимость информационной системы в целом. Аудит информационной системы показал, что существующая система персональных данных относится к классам К1 и К3, и требования к защите системы должны соответствовать данным стандартам.

Был проведен анализ системы защиты персональных данных в условиях информационной системы частной стоматологической клиники. Показано, что в существующей системе технология работы с ПДн хоть и является удовлетворительной, но отмечаются системные проблемы, связанные с наличием ряда уязвимостей. Первая группа уязвимостей связана с отсутствием специализированного отдела ИБ внутри компании. Вторая группа уязвимостей связана с отсутствием системного подхода в системе разграничения доступа пользователей. Показано, что у некоторых пользователей наблюдается превышение уровня допустимого доступа. Третья группа уязвимостей связана с отсутствием контроля обращения внешних носителей информации, что дает возможность несанкционированного копирования персональных данных, не контролируется работа рабочих станций, работающих с персональными данными. Существует ряд проблем, связанных с работой пользователей в программных комплексах: нарушения режима хранения паролей, отсутствует контроль сроков смены паролей, а также их сложности, не отключены встроенные локальные учетные записи. Все перечисленные недостатки, в сумме, повышают уязвимость системы защиты персональных данных частной клиники.

В качестве мер совершенствования системы защиты персональных данных были предложены:

· создание специализированного отдела ИБ

· использование электронных ключей eToken, что позволит решить проблемы многофакторной аутентификации, а также даст дополнительную возможность по разграничению доступа;

· использование системы СЗИ «Аура 1.2.4» для совершенствования системы информационной безопасности;

· настройка антивирусных систем для отключения возможности копирования информации на неучтенные носители.



Список использованных источников

Печатные источники

1. Konheim Alan G., Computer Security and Cryptography, 1st ed., Wiley-Interscience, February, 2007

2. Гафнер, В. В. Информационная безопасность: Учебное пособие / В. В. Гафнер. -- Рн/Д: Феникс, 2010.

3. Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. - М.: Академия, 2009.

4. Демин, Ю.М. Делопроизводство, подготовка служебных документов - СПб, 2003.

5. Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. - М.: Логос; ПБОЮЛ Н.А.Егоров, 2001.

6. Комплексная система защиты информации на предприятии. Часть 1. - М.: Московская Финансово-Юридическая Академия, 2008.

7. Малюк А.А, Пазизин С.В, Погожин Н.С. Введение в защиту информации в автоматизированных системах. - М.: Горячая Линия - Телеком, 2011.

8. Степанов Е.А., Корнеев И.К., Информационная безопасность и защита информации. Учебное пособие, Издательство «Инфра-М», 2001

9. Федоров А. В. Проектирование информационных систем. М.: Финансы и статистика, 2003.

10. Хорев П.Б. Методы и средства защиты информации в компьютерных системах. - М.: Академия, 2008.

11. Хорев П.Б. Программно-аппаратная защита информации. - М.: Форум, 2009.

12. Хорошко В.А., Чекатков А.А./ Под ред. Ю.С.Ковтанюка, «Методы и средства защиты информации», Издательство «Юниор», 2003

13. Шаньгин В.Ф. Комплексная защита информации в корпоративных системах. - М.: Форум, Инфра-М, 2010.

Электронные источники

14. Приказ ФСТЭК №21 от 18 февраля 2013 «Об утверждении состава и содержании организационных и технических мер по обеспечению безопасности про их обработке в информационных системах персональных данных» - URL: http://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21

15. Приказ ФСТЭК №17 от 11 февраля 2013 г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, в государственных информационных сетях» - URL: http://fstec.ru/normotvorcheskaya/akty/53-prikazy/702-prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17

16. ФЗ №152 от 27.07.2006 (ред. от 21.07.2014) "О персональных данных"- URL: https://www.consultant.ru/document/cons_doc_LAW_61801/

17. ФЗ №149 от 27.07.2006 (ред. от 13.07.2015) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 10.01.2016) - URL: https://www.consultant.ru/document/cons_doc_LAW_61798/

18. Гражданский Кодекс РФ, Часть 4, Статья 1261 - URL: http://www.consultant.ru/document/cons_doc_LAW_64629/ce1359ed5b9bd99896d7a496c7887e7c223a2cbc/

19. Постановление Правительства РФ от 01.11.2012 №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" - URL: http://www.consultant.ru/document/cons_doc_LAW_137356/

20. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» - URL: http://vsegost.com/Catalog/57/5737.shtml

21. ФЗ №63 от 06.04.2011 (ред. от 30.12.2015) "Об электронной подписи" - URL: https://www.consultant.ru/document/cons_doc_LAW_112701/

22. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год - URL: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/379-bazovaya-model-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-vypiska-fstek-rossii-2008-god

23. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год - URL: http://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/380-metodika-opredeleniya-aktualnykh-ugroz-bezopasnosti-personalnykh-dannykh-pri-ikh-obrabotke-v-informatsionnykh-sistemakh-personalnykh-dannykh-fstek-rossii-2008-god

24. Указ Президента РФ от 6 марта 1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера" (с изменениями и дополнениями) - URL: http://base.garant.ru/10200083/

25. Приказ ФСБ России №66 от 9 февраля 2005 г. «Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных(криптографических) средств защиты информации(Положение ПКЗ-2005)» - URL: https://www.infotecs.ru/laws/detail.php?ID=1819

26. База данных российского разработчика и поставщика средств продуктов и решений по информационной безопасности «Алладин Р.Д.» - URL: http://kbp.aladdin-rd.ru

Размещено на Allbest.ru