Информационная безопасность и защита информации в ДОУ

В положениях женевской Декларации «Построение информационного общества – глобальная задача в новом тысячелетии», которая принята в 2003 г. на всемирной встрече в ООН по вопросам информационного общества, провозглашено, что крайне важно обеспечить расширение доступа к информационно-коммуникационным инфраструктурам и технологиям, информации и знаниям и сформировать благоприятную (защищенную) на всех уровнях среду для прогресса информационного общества [44, с. 19].
Конституция РФ подтверждает основы фундаментального института информационного общества положениями статьи 29, которые, в частности, гарантируют, что каждый обладает правом свободного поиска, получения, передачи, производства и распространения информации любым законным способом [1].
Система российского образования как проводник информационной политики государства имеет одной из основных функций сбор, хранение, обработка, обмен и распространение информации. Учреждения дошкольного образования (далее – ДОУ) аккумулируют огромный объем сведений, который включает в себя как информацию, созданную непосредственно в ДОУ, так и данные, поступающие из множества внешних источников. Такая информация включает конфиденциальные сведения о персональных и медицинских данных воспитанников и работников ДОУ, а также может включать сведения, причиняющие вред здоровью (развитию) детей, обозначенные в Федеральном законе от 29.12.2010 N 436-ФЗ [10] (информацию в Интернете [30] и пр.).
В числе важнейших задач, целей и принципов функционирования (развития) российского информационного общества согласно соответствующей Стратегии развития [13], в частности, декларированы механизмы обеспечения национальной безопасности в информационной области, совершенствования государственной системы конституционных гарантий прав человека в информационной сфере, а также противодействия применению потенциала информационных коммуникаций в целях угрозы национальным интересам.
Среди проблем Госпрограммы «Информационное общество (2011 - 2020 годы)» [21] отражены низкий уровень организационно-правовой и технической защиты информации в публичных информационных ресурсах, отсутствие инфраструктуры эффективного обеспечения информационной безопасности при взаимодействии органов власти (муниципалитетов) с другими заинтересованными субъектами информационного оборота. В данной связи для реализации подпрограммы «Безопасность в информационном обществе» государством выделяется более 120 млрд руб. Между тем, развитие информационных технологий и угроз их безопасности не стоят на месте, и сейчас уже необходимо проводить более современные превентивные мероприятия в сфере информационной безопасности. Так в правовых рамках Конвенции о защите физических лиц в отношении автоматизированной обработки данных личного характера [3] и соответствующего Федерального закона "О персональных данных"[7] в России сформированы и актуализируются комплексные системы защиты персональных данных и других сведений ограниченного доступа, включая данные, причиняющие вред здоровью (развитию) детей [26].
Наряду с внешним оборотом, информационные процессы локального уровня обусловлены тем, что сетевая инфраструктура и автоматизированные системы становятся важным активом любого хозяйствующего субъекта. Показатели целостности, конфиденциальности и доступности необходимой информации существенно влияют на деловую репутацию. При этом источники угроз отказов в использовании информационного ресурса в виде компьютерного вируса, компьютерных взломов и атак стали более агрессивны и изощренны. Условия взаимодействия частных сетей с сетями общего пользования и комплексное применение публичных ресурсов осложняет управление доступом к распространяемой информации.
Таким образом, информация – это особо ценный актив любого элемента социально-экономической деятельности в целом и системы дошкольного образования, в частности. При этом прогресс информационного оборота в ДОУ выдвигает новые угрозы безопасности, противостояние которым должно обеспечиваться адекватной системой защиты информации. Организационно-правовые, технические и технологические конструкции информационной безопасности должны защищать ресурс ДОУ от актуальных угроз для обеспечения непрерывной коммуникации с внешними акторами, получения необходимой отдачи от собственной образовательной деятельности, защиты прав и интересов воспитанников и учреждения.
С учетом вышеизложенного актуальность избранной темы дипломной работы обусловлена важность разработки и внедрения системы противодействия угрозам информационной безопасности для информационного ресурса ДОУ.
Объектом исследования является актуальная система отношений в сфере информационной безопасности системы дошкольного образования России.
Предмет исследования включает систему комплексной защиты информации в ресурсе ДОУ.
В рамках проводимого исследования использовалась литература в двух основных направлениях. Во-первых, основные принципы и общая методология построения систем информационной безопасности приведены в работах В.В. Гафнера, Т.В. Ершовой, Ю.Е. Хохлова, С.Б. Шапошника, В. П.Мельникова, С. А. Клейменова, А. М. Петракова, С.Т. Папаева, И.В. Бабайцев,а Н.В. Козака и др. Во-вторых, критерии систем защиты информации, в частности персональных данных и пр. обозначены в трудах Н.И. Петрыкиной, В. А. Семененко, А. Ф. Чипиги, В.Ф. Шаньгина и др. При этом обширный потенциал и недостаточность научных разработок в исследуемой сфере подчеркивается в научных трудах И.В. Машкиной, К.А. Шапченко, Ю.М. Шубина, Д.А. Щелкунова и др. Содержание обозначенных и других работ, используемых в проведенном исследовании обозначает многостороннюю, но недостаточно изученную сферу системной защиты информации в ДОУ.
Цель исследования дипломной работы заключается в комплексном анализе системы информационной безопасности ресурсов ДОУ.
Для реализации отмеченной цели, задачами работы представляются:
провести анализ теоретических основ изучения методов и форм защиты информации;
изучить сущность, значение и понятия информационной безопасности;
обозначить общие требования к информационной безопасности с критериями оценки безопасности информационной технологии;
исследовать особенности защиты информации в ресурсах ДОУ;
провести анализ возможного воздействия на информацию в дошкольном учреждении;
охарактеризовать модели нарушителей и прогноз утечки в информационных системах дошкольного образования;
обобщить рекомендации и мероприятия по комплексной защите информации в ДОУ;
обозначить недостатки системного подхода к обеспечению информационной безопасности в дошкольных организациях;
разработать предложения по повышению эффективности защиты информации в ресурсе ДОУ.
Информационную базу источников исследования составляют нормативные акты в международной и национальной сфере информационной безопасности, учебно-методическая и научная литература по вопросам защиты информации (Министерства связи России, ФСБ России, ФСТЭК России, Рособрнадзора, Роскомнадзора и пр.).
В результате проведенного исследования теоретических вопросов, правовых и организационных основ информационной безопасности в ДОУ автором определены проблемы развития системы защиты информации в сфере дошкольного образования, разработаны и предложены конкретные меры совершенствования средств информационной безопасности в дошкольных организациях.
Структура работы включает 3 главы из 6 параграфов. Первая глава отражает теоретические основы изучения методов и форм защиты информации, включая сущность, терминологию и значение информационной безопасности, а также обзор общих требований к информационной безопасности и критерии оценки безопасности информационных технологий. Во второй главе расмсотрены особенности защиты информации в ресурсах ДОУ, что определяет проведенный анализ возможного воздействия на информацию в ресурсах ДОУ с изучением модели нарушителей и обобщение прогноза утечки информации в информационных системах дошкольного образования. В третьей главе аргументированы рекомендации и мероприятия по комплексной защите информации в ДОУ с учетом обозначенных недостатков в системном подходе к обеспечению информационной безопасности в дошкольных организациях и обобщенных предложений по повышению эффективности защиты информации в ресурсе ДОУ.

ВВЕДЕНИЕ 5
1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ИЗУЧЕНИЯ МЕТОДОВ И ФОРМ ЗАЩИТЫ ИНФОРМАЦИИ 10
1.1 . Сущность, понятия и значение информационной безопасности 10
1.2. Общие требования к информационной безопасности и критерии оценки безопасности информационных технологий 18
2. ОСОБЕННОСТИ ЗАЩИТЫ ИНФОРМАЦИИ В РЕСУРСАХ ДОУ 26
2.1. Анализ возможного воздействия на информацию в ресурсах ДОУ 26
2.2. Модели нарушителей и прогноз утечки информации в информационных системах дошкольного образования 37
3. РЕКОМЕНДАЦИИ И МЕРОПРИЯТИЯ ПО КОМПЛЕКСНОЙ ЗАЩИТЕ ИНФОРМАЦИИ В ДОУ 48
3.1. Недостатки в системном подходе к обеспечению информационной безопасности в дошкольных организациях 48
3.2. Предложения по повышению эффективности защиты информации в ресурсе ДОУ 54
ЗАКЛЮЧЕНИЕ 61
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ 67
ПРИЛОЖЕНИЕ А 74

Результаты комплексного анализа системы информационной безопасности ресурсов ДОУ дают основания сформулировать ряд выводов и предложений:
система безопасности в сфере дошкольного образования обеспечивает защиту его средства управления и активов от угроз, если угрозы классифицированы на основе потенциала злоупотребления защищаемыми активами;
в системе ИБ доверие представляется характеристикой контрмер, которая дает основания для уверенности в их надлежащем влиянии (действии);
угрозы безопасности информационных и телекоммуникационных средств и систем, создаваемых (развернутых) на территории России, включают 14 основных категорий: нарушений технологий оборота (обработки) информации; противоправного сбора и использования информации; и т.д.;
качественное состояние информационной безопасности непосредственно отражается на всей деятельности системы дошкольного образования, поскольку информация, содержащаяся в информационных системах или продуктах информационных технологий, является критическим ресурсом, который позволяет ДОУ и другим субъектам дошкольного образования успешно решать свои регламентные задачи в образовательной системе России;
выполнение механизмами ДОУ или его системами ИТ своих функций требует осуществления надлежащего контроля информации, что обеспечивает ее защиту от угроз нежелательного (неоправданного) распространения, потери или изменения;
дошкольное учреждение должно устанавливать требования к информационной безопасности своей системы с учетом трех общих аспектов: должна быть проведена оценка рисков организации, необходимо следовать юридическим требованиям, следует обозначить специфические наборы принципов, целей и требований, которые разработаны организацией в отношении обработки информации;
проведение оценки риска - это регулярный системный анализ: вероятного размера ущерба деятельности при нарушении информационной безопасности; вероятного наступления подобного нарушения с учетом актуальных уязвимостей и угроз;
выбор мероприятий управления ИБ должен учитывать соотношение стоимости их внедрения (реализации) к эффекту от снижения риска и к возможным убыткам при нарушении безопасности;
согласно актуальной практики успешному внедрению информационной безопасности в ДОУ способствуют 8 факторов: обеспечение соответствия целей, процедур и политик информационной безопасности целям деятельности организации (учреждения); согласованности подхода к формированию системы ИБ с особенностями деятельности (корпоративной культуры); четкого понимания требований безопасности, оценки рисков и управления рисками; и т.д.;
наиболее практичные и конкретные документы в рассматриваемой области информационной безопасности разрабатывает ФСТЭК России, поскольку согласно Указу Президента РФ эта служба является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам: обеспечения защиты (некриптографическими методами) информации с ограниченным доступом, защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств; и пр.;
рассматриваемая сфера комплексной защиты информации в ДОУ входит главным образом в сферу лицензирования при осуществлении второго (из шести) лицензируемых видов - деятельность по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации, что необходимо для выбора соответствующих документов из Перечня документов ФСТЭК, которые позволят наиболее верно провести анализ возможного воздействия на информацию в ДОУ, и сформировать модели нарушителей с прогнозом утечки информации в ДОУ;
положения ГОСТ Р 52447-2005 можно использовать для определения номенклатуры основных показателей качества СЗИ от утечки информации в ДОУ, которые означают максимальные параметры возможного воздействия на персональные данные в ДОУ;
средства, комплексы и системы ЗИ определяются с учетом имеющихся активов в ДОУ: информации, программных активов, физических активов и пр.;
процедуры инвентаризации актива является важным условием для менеджмента системой комплексной защиты от утечки информации в ДОУ;
при анализе возможной утечки ПД следует конкретизировать актуальные угрозы для систем персональных данных ДОУ, а именно: актуальные угрозы утечки акустической речевой информации; угрозы утечки видовой информации; и т.д.;
возможная утечка информации в ДОУ минимизируется посредством: проведения комплекса мероприятий по защите информации ограниченного доступа в 7 технических каналах; осуществления комплекса мероприятий по защите персональных данных, которые содержатся в речевой информации, в информации электрических сигналов, в информации физических полей; разработки соответствующих моделей угроз и определения класса информационной системы ПД в ДОУ; с учетом специфики работы ДОУ необходимо применение специальной категории информационной защиты детей от информации ограниченного доступа, обусловленной негативными последствиями в силу вредного характера для детей определенных сведений;
анализ возможного воздействия на информацию в ресурсах ДОУ должен отражать комплекс соответствующих мероприятий специальной категории информационной защиты детей от информации ограниченного доступа, обусловленной негативными последствиями в силу вредного характера определенных сведений;
в перечень субъектов, которые не могут рассматриваться как потенциальные внутренние нарушители, могут быть внесены те работники, которые физически не могут проникнуть в защищаемое помещение, а также привилегированные пользователи информацией;
внешний нарушитель в рассматриваемой области должен обладать хотя бы одной из 6 возможностей: осуществления несанкционированного доступа в защищаемое помещение ДОУ; осуществления несанкционированного доступа к каналам связи защищаемого помещения; и т.д.;
мероприятия прогноза утечки информации в ДОУ включают 3 основных фактора: источника угрозы, среды (пути) распространения информативного сигнала, носителя защищаемой информации;
обозначенные модели нарушителей и прогноз утечки информации по техническим каналам ДОУ показывают высокий потенциал угрозы информационной безопасности в помещении, предназначенном для разработки и размножения документов, содержащих конфиденциальную информацию, ДОУ;
основной категорией возможного нарушителя ИБ также является распространитель информации ограниченного доступа: покупатель информационного продукта для ДОУ, работник ДОУ, распространяющий информационный продукт детям;
возможности внутреннего нарушителя зависят главным образом от действующих в контролируемой зоне организационно-технических и режимных мер защиты;
доступ, аутентификация и права по доступу второй категории лиц к подмножествам ПД должны быть регламентированы соответствующими правилами ограничения доступа к информации ограниченного доступа ДОУ;
приведенные характеристики 8 общих категорий с учетом задачи защиты от утечки информации ДОУ, позволяют сформировать основную модель потенциальных нарушителей и выделить недостатки в защите ПД воспитанников ДОУ;
следует также обозначить основную угрозу, исходящую от работников ДОУ, распространяющих информационный продукт детям, которые обязаны проверять соответствие категории информации возрасту детей, которые ее получают;
выявление недостатков в системном подходе к обеспечению информационной безопасности в дошкольных организациях должно стать обязательным элементом регулярной внутренней деятельности всех ДОУ и одной из обязанностей всех руководящих уполномоченных лиц;
в качестве основного средства ЗИ в условиях ДОУ возможно применение обезличенных персональных данных, например, только имен воспитанников;
система защиты персональных данных в составе информации в ДОУ обусловлена регламентацией внушительным множеством документов разных уровней и в общем случае включает 3 стадии: определения класса системы персональных данных, построения, применения и актуализации соответствующей системы защиты ПД, а также налаживания обратной связи (уведомления и системы контроля-надзора) с государственным регулятором в лице Роскомнадзора;
с целью минимизации угроз также следует ознакомить работников ДОУ, распространяющих информационный продукт детям, с мерами ответственности за нарушение такой ИЗ;
целесообразно проводить профилактические мероприятия с родителями воспитанников ДОУ, включающие разъяснительную работу в отношении специальной категории информационной защиты детей.
В частности, рекомендовано распространение среди родителей специальной памятки «Негативный интернет», которая может включать следующие советы-мероприятия:
- изучать Интернет вместе с ребенком;
- запрет ребенку назначения встреч с любым виртуальным знакомым;
- запрет предоставления личной информации в Интернете (об имени, номере телефона, возрасте, ДОУ, номере школы или адресе, и пр.);
- запрет на доступ ребенка к номеру кредитной карты (банковским данным);
- обучение ребенка режиму приватности в соцсетях;
- поставить компьютер на видное место;
- подключить безопасный поиск в режиме строгой фильтрации;
- научить ребенка критически относиться к информации, найденной в Сети, поскольку не все, что опубликовано в Интернете – истина; и т.д.
Таким образом, лишь комплекс мер информационной защиты поможет минимизировать угрозы для детей в ДОУ.

Нормативно–правовые акты

1. Конституция РФ, принята всенародным голосованием 12 декабря 1993 года (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ) // СЗ РФ, 14.04.2014, N 15, ст. 1691.
2. Директива N 95/46/ЕС Европейского парламента и Совета Европейского Союза "О защите физических лиц при обработке персональных данных и о свободном обращении таких данных" (принята в г. Люксембурге 24.10.1995, с изм. и доп. от 29.09.2003) // Источник СПС КонсультантПлюс.
3. Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки данных личного характера" (ETS N 108, заключена в г. Страсбурге 28.01.1981, ратифицирована с заявлениями Федеральным законом от 19.12.2005 N 160-ФЗ)// Источник СПС КонсультантПлюс.
4. Кодекс РФоб административных правонарушениях от 30.12.2001 N 195-ФЗ (ред. от 05.10.2015) // Российская газета, N 256, 31.12.2001.
5. О техническом регулировании: Федеральный закон от 27 декабря 2002. (в ред. от 15.07.2015)// Российская газета от 31 декабря 2002 г. - № 245.
6. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27 июля 2006 № 149-ФЗ (ред. от 31.12.2014)// Парламентская газета от 3 августа 2006 г. № 126.
7. О персональных данных: Федеральный закон от 27 июля 2006 № 152-ФЗ. (ред. от 23.07.2013) // Парламентская газета от 3 августа 2006 г. № 126.
8. О противодействии коррупции: Федеральный закон от 25 декабря 2008 № 273-ФЗ (в ред. 7 мая 2013) // Парламентская газета от 31 декабря 2008 г. № 90.
9. О безопасности: Федеральный закон от 28 декабря 2010 (ред. 05.10.2015)// Парламентская газета от 3 января 2011 г. - № 1.
10. О защите детей от информации, причиняющей вред их здоровью и развитию: Федеральный закон от 29.12.2010 N 436-ФЗ (ред. от 29.06.2015)//Российская газета, N 297, 31.12.2010.
11. Доктрина информационной безопасности РФ , утверждена Президентом РФ от 9 сентября 2000 № Пр-1895 // Российская газета, 2000. № 187.
12. Вопросы Федеральной службы по техническому и экспортному контролю: Указ Президента РФ от 16 августа 2004// СЗ РФ, 2004, - № 34, ст. 3541.
13. Стратегия развития информационного общества в Российской Федерации: Распоряжение Президента РФ от 7 февраля 2008 г. № Пр-212), [Электронный ресурс], URL: http://gtmarket.ru/news/state/2007/07/26/1297. (дата обращения: 20.09.2013).
14. Концепция Правительства РФ создания государственной автоматизированной системы информационного обеспечения управления приоритетными национальными проектами (подписана 24 апреля 2007) // Собрание законодательства РФ, 2007, № 18, ст. 2267.
15. Концепция долгосрочного социально-экономического развития РФ на период до 2020 года (подписана 17 ноября 2008) // Собрание законодательства РФ, 2008, № 47, ст. 5489.
16. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники: руководящий документ РФ (введен в действие приказом Государственной технической комиссии при Президенте РФ от 30 марта 1992 г.) // Источник СПС КонсультантПлюс.
17. О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций: постановление Правительства РФ от 16.03.2009 N 228// Российская газета, N 49, 24.03.2009.
18. Концепция Правительства РФ диной системы информационно-справочной поддержки граждан и организаций по вопросам взаимодействия с органами исполнительной власти и органами местного самоуправления с использованием информационно-телекоммуникационной сети Интернет (подписана 15 июня 2009) // Собрание законодательства РФ, 2009, № 25, ст. 3061.
19. Положение о единой вертикально интегрированной государственной автоматизированной информационной системе "Управление": постановление Правительства РФ от 25 декабря 2009 № 1088 // Собрание законодательства РФ, 2010, № 1, ст. 101.
20. О координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов: постановление Правительства РФ от 24 мая 2010 № 365 // Собрание законодательства РФ, 2010, № 22, ст. 2778.
21. О государственной программе Российской Федерации «Информационное общество (2011 - 2020 годы): распоряжение Правительства РФ от 20 октября 2010 № 1815-р // СЗ РФ от 15 января 2010 г. - № 46. ст. 6026.
22. О лицензировании деятельности по технической защите конфиденциальной информации: постановление Правительства РФ №79 от 3 марта 2012 // СЗ РФ, 2012, - № 7, ст. 863.
23. Об утверждении критериев оценки материалов: приказ Роскомнадзора N 1022, ФСКН России N 368, Роспотребнадзора N 666 от 11.09.2013// Российская газета, N 262, 21.11.2013.
24. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации: приказ ФСБ России 21 февраля 2008 г.// Источник СПС «КонсультантПлюс».
25. Об утверждении типовой формы планов информатизации государственных органов: приказ Минсвязи РФ от 18 октября 2010 № 140 // Источник СПС КонсультантПлюс.
26. Рекомендации по применению Федерального закона от 29 декабря 2010 г. N 436-ФЗ "О защите детей от информации, причиняющей вред их здоровью и развитию" в отношении печатной (книжной) продукции" (утв. Минкомсвязи России 22.01.2013 N АВ-П17-531) [Электронный ресурс] : сайт СПС КонсультантПлюс. – Режим доступа : http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=141388 (дата обращения 11.11.2015).
27. Руководящие документы. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий: руководящий документ РФ, введен приказом Государственной технической комиссии при Президенте РФ от 19 июня 2002 г. N 187 // Источник СПС КонсультантПлюс.
28. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных: приказ ФСТЭК 15 февраля 2008// Источник СПС «КонсультантПлюс».
29. Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных: приказ ФСТЭК от 5 февраля 2012// Российская газета от 5 марта 2010 г. - № 46.
30. Информационное сообщение Роскомнадзора "Рекомендации средствам массовой информации по применению Федерального закона "О защите детей от информации, причиняющей вред их здоровью и развитию"// Администратор образования, N 20, октябрь. 2012.
31. Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных: приказ ФСТЭК России от 18.02.2013 N 21// Российская газета. N 107, 22.05.2013.
32. Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах: приказ ФСТЭК России от 11.02.2013 N 17 // Российская газета, N 136, 26.06.2013.
33. Перечень технической документации, национальных стандартов и методических документов, необходимых для выполнения работ и оказания услуг, установленных постановлением Правительства РФ от 3 февраля 2012 г. N 79: приказ ФСТЭК от 04.04.2015 // Источник СПС КонсультантПлюс.
34. Информационная технология. Практические правила управления информационной безопасностью. ГОСТ Р ИСО/МЭК 17799-2005.: национальный стандарт РФ, утвержден приказом Ростехрегулирования от 29 декабря 2005 № 447-ст // изд. Стандартинформ. М.: 2006 г.
35. Защита информации. Техника защиты информации. Номенклатура показателей качества. ГОСТ Р 52447-2005: национальный стандарт РФ, утвержден приказом Ростехрегулирования от 29 декабря 2005 № 448-ст // изд. Стандартинформ. – М.: 2006 г.
36. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности: ГОСТ Р ИСО/МЭК 27002-2012. Национальный стандарт Российской Федерации. (утв. и введен в действие приказом Росстандарта от 24.09.2012 N 423-ст)// М.: Стандартинформ, 2014.
37. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. "Функциональные компоненты безопасности. ГОСТ Р ИСО/МЭК 15408-2-2013// М.: Стандартинформ, 2014.



Литература

38. Бугель Н.В. Защита персональных данных как объект организационно-правового регулирования/ Н.В. Бугель, А.В. Никулин// Вестник Санкт-Петербургского университета МВД России. 2012. Т. 54. № 2. С. 230-233.
39. Бугель, Н.В. Защита персональных данных, основы правового регулирования/ Н.В. Бугель // Вестник Санкт-Петербургского университета МВД России. - 2011. - Т. 43. - № 8. - С. 99-105.
40. Васильев, В.И. Алгоритм проектирования оптимальной структуры комплексной системы защиты информации на основе анализа риска / В.И. Васильев, Т.А. Иванова // Информационное противодействие угрозам терроризма. - 2006. - № 6. - С. 92-98.
41. Васильев, В.И. Проектирование структуры комплексной системы защиты информации на основе анализа риска/ В.И. Васильев, // Информационное противодействие угрозам терроризма. - 2007. - № 1. - С. 43-47.
42. Горковенко, Е.В.Иерархическая структура классификации объектов защиты в системах с мандатной политикой разграничения доступа/ Е.В. Горковенко, С.П. Соколова // Информационное противодействие угрозам терроризма. - 2010. - № 15. - С. 101-106.
43. Гришачев, В.В. Оценка степени защищенности объекта информатизации по физическим параметрам каналов утечки/ В.В. Гришачев, О.А. Косенко // Информационное противодействие угрозам терроризма. - 2010. - № 15. - С. 96-101.
44. Ершова Т . В . Информационное общество для всех сегодня и завтра: совместные действия заинтересованных сторон по реализации стратегии развития информационного общества/ Т.В. Ершова, Ю.Е. Хохлов, С.Б. Шапошник // Информационное общество. - 2008. - №5-6. - С. 18-25.
45. Нагорный, С.И.Правовой аспект защиты персональных данных при создании и ведении баз автоматизированных систем кадровых служб государственных органов / С.И. Нагорный, В.В. Донцов // Спецтехника и связь. - 2008. - № 02. - С. 43-48.
46. Скоробогатов А.А. Уторов О.Р. Проблемы правового регулирования обращения и защиты государственной тайны/ А.А, Скоробогатов, О.Р. Уторов// Вестник УрФО. Безопасность в информационной сфере. 2011. № 1. С. 11-14.
47. Шепитько, Г.Е.Категорирование объектов информатизации, содержащих персональные данные / Г.Е. Шепитько , Е.С.Васильев // Информационное противодействие угрозам терроризма. – 2010. -№ 4. - С. 19-21.