Разработка комплекса рекомендаций по технической защите конфиденциальной информации хозяйствующего субъекта- мед.центра (на конкретном примере)

Применение созданной КСЗИ заключается в следующем:назначение специалиста по ЗИ, ответственного за функционирование системы защиты;разработка списка сотрудников допущенных к работе с ПДн 1 категории;выдача и хранение ключей доступа ответственным сотрудникам;проведение сканирование защищаемых информационных ресурсов сканерами безопасности.При внедрении КСЗИ для ИСПДн 1 класса необходимо обеспечить:управление доступом;регистрация и учет;обеспечение целостности;физическую охрану системы защиты;периодическое тестирование средств защиты.3.2 Выбор конкретных решений по техникеSecret Net является сертифицированным средством защиты информации от несанкционированного доступа и позволяет привести автоматизированные системы в соответствие с требованиями регулирующих документов:№98-ФЗ (“о коммерческой тайне”);№152-ФЗ (“о персональных данных”);№5485-1-ФЗ (“о государственной тайне”);СТО БР (Стандарт Банка России).Сертификаты ФСТЭК России позволяют использовать систему защиты информации от несанкционированного доступа Secret Net для защиты:конфиденциальной информации и государственной тайны в автоматизированных системах до класса 1Б включительноинформационных систем обработки персональных данных до класса К1 включительноКлючевые возможности Secret Net:Аутентификация пользователейРазграничение доступа пользователейДоверенная информационная средаКонтроль каналов распространения конфиденциальной информацииКонтроль устройств компьютера и отчуждаемых носителей информации на основе централизованных политик, исключающих утечки конфиденциальной информацииЦентрализованное управление системой защиты, оперативный мониторинг, аудит безопасностиМасштабируемая система защиты, возможность применения Secret Net (сетевой вариант) в организации с большим количеством филиаловSecret Net имеет два варианта развертывания:Автономный – предназначен для защиты небольшого количества (до 20-25) рабочих станций и серверов. При этом каждая машина администрируется локально.Сетевой – предназначен для развертывания в доменной сети c Active Directory. Данный вариант имеет средства централизованного управления и позволяет применить политики безопасности в масштабах организации. Сетевой вариант Secret Net может быть успешно развернут в сложной доменной сети (domain tree/forest).В Secret Net настройка защитных механизмов может осуществляться как централизованно,так и локально.Централизованное управление - управление работой системы защиты, осуществляемое главным администратором безопасности со своего рабочего места. Рабочим местом администратора безопасности может быть контроллер домена или любой компьютер сети с установленными средствами централизованного управления ОС windows. Для настройки защитных механизмов используются стандартные средства управления компьютерами и доменом, функциональные возможности которых расширяются в результате модификации схемы Active Directory и установки компонентов Secret Net.Параметры объектов групповых политик хранятся на контроллерах домена и передаются на защищаемые рабочие станции и серверы, где применяются в соответствии с действием механизма групповых политик.Локальное управление - это управление работой защитных механизмов на отдельном компьютере. Оно осуществляется администратором безопасности компьютера и предполагает управление параметрами компьютера, защитных механизмов и локальных пользователей. Локальное управление применяется в тех случаях, когда централизованно настроить защитные механизмы на отдельном компьютере (или компьютерах) по каким-либо причинам невозможно или нецелесообразно. Кроме того, локальное управление применяется для обеспечения требуемого уровня безопасности в работе локальных пользователей.Централизованное управление имеет приоритет перед локальным. Если в групповой политике какие-то параметры для данного компьютера заданы централизованно, локальный администратор изменить их не может. В то же время настройки, заданные локальным администратором, главный администратор может изменить.В соответствии с концепцией Secret Net управление безопасностью в защищаемом домене рекомендуется осуществлять централизованно. Однако следует иметь в виду, что не все параметры защитных механизмов настраиваются централизованно. Некоторые параметры могут настраиваться только локально.С помощью групповых политик для компьютеров отдельных организационных подразделений домена можно задавать особые настройки защитных механизмов, отличающиеся от общих настроек, применяемых в домене.Если для всех компьютеров домена применяется единая политика безопасности, настройку защитных механизмов Secret Net рекомендуется выполнять в рамках именно этой политики. Например, можно использовать политику, применяемую к домену по умолчанию.Если же в пределах домена необходимо выделить группы компьютеров, объединенные по каким-либо признакам, и применять к ним особые настройки защитных механизмов, это можно выполнить, используя стандартные средства администрирования Windows. Для этого необходимо в домене создать организационные подразделения и для каждого из них настроить свою групповую политику. Таким образом, для каждого подразделения будет действовать своя политика безопасности, отличающаяся от политики, применяемой к домену.В общем случае последовательность формирования политик, применяемых к организационным подразделениям, следующая;- настройка защитных механизмов Secret Net в рамках доменной политики;- создание в домене новых организационных подразделений, для которых должны действовать особые настройки защитных механизмов;-добавление в созданные подразделения нужные компьютеры домена;- создание для каждого подразделения своей групповой политики;- настройка в каждой политике параметров Secret Net в соответствии с требованиями. Если отличия политики, применяемой к подразделению, незначительны, за основу можно взять доменную политику и с помощью редактора политик внести в нее требуемые изменения;-применения созданных политик к соответствующим подразделениям.Инструмент Gpupdate. Инструмент командной строки Gpupdate используется для принудительного обновления групповых политик для компьютера или пользователя. Эта команда может использоваться для принудительного завершения сеанса пользователя или для перезапуска компьютера после обновления групповой политики, что полезно при обновлении групповых политик, которые применяются только при входе пользователя в систему или при перезапуске компьютера.Параметры объектов групповой политики (П1). Как и стандартные параметры безопасности ОС, они хранятся на контроллере домена (для политик, применяемых к доменам и организационным подразделениям) или в локальных базах данных компьютеров (для локальных политик безопасности). Соответственно доступ к этим параметрам осуществляется средствами централизованного или локального управления. Действие параметров распространяется на компьютеры. Параметры загружаются при запуске компьютера с установленной системой Secret Net вместе с другими параметрами групповой политики.Параметры, относящиеся к свойствам пользователей (П2). В зависимости от типа пользователя (доменный или локальный), они хранятся в Active Directory или в локальных базах данных защищаемых компьютеров. Действие параметров распространяется на пользователей. Параметры загружаются в компьютер после выполнения процедуры идентификации и аутентификации пользователя.Параметры, относящиеся к атрибутам ресурсов (ПЗ) (файлов и каталогов). Используются в механизме полномочного разграничения доступа для управления категориями конфиденциальности ресурсов. Хранятся вместе со стандартными атрибутами ресурсов. Используются также в механизме шифрования для управления шифрованием каталогов и файлов. Значения этих параметров хранятся в специальных служебных файлах. Управление всеми этими параметрами осуществляется с помощью расширения программы «Проводник». Настройку параметров выполняют только те пользователи, которым администратор безопасности установил соответствующие привилегии.Параметры механизмов контроля целостности и замкнутой программной среды (П4). Отдельная группа параметров, хранящаяся централизовано в Active Directory и на каждом защищаемом компьютере в специальной базе данных Secret Net. Доступ к этим параметрам и их настройка осуществляются централизовано и локально. Настройку параметров защитных механизмов Secret Net, а также настройку параметров безопасности ОС Windowsнеобходимо выполнять только в рамках неконфиденциальной сессии. Исключение составляет изменение категорий конфиденциальности ресурсов -при включенном режиме контроля потоков конфиденциальной информации изменять категории конфиденциальности ресурсов можно только в конфиденциальных и строго конфиденциальных сессиях.Средства управления - это инструменты, с помощью которых главный администратор безопасности и локальный администратор управляют работой защитных механизмов и контролируют действия пользователей. В Secret Net имеется несколько таких инструментов, каждый из которых применяется в зависимости от того, какие параметры необходимо настроить и каким способом должна быть выполнена настройка -централизованно или локально.Основными инструментами, с помощью которых осуществляется настройка параметров Secret Net, являются;(С1) Оснастка «Групповая политика» (в централизованном управлении) и оснастка «Локальная политика безопасности» (в локальном управлении) - предназначены для настройки группы параметров безопасности Secret Net, относящихся к конфигурации компьютера и входящих в параметры объектов групповой политики.(С2) Оснастка Active Directory - пользователи и компьютеры» (в централизованном управлении) и оснастка «Управление компьютером» (в локальном управлении) -предназначены для настройки параметров работы соответственно доменных и локальных пользователей.(СЗ) Программа «Проводник» - используется для настройки параметров, относящихся к атрибутам файлов и каталогов, в механизмах полномочного разграничения доступа и шифрования.(С4) Программа «Контроль программ и данных» - предназначена для управления механизмами контроля целостности и замкнутой программной среды.(С5) Средства экспорта и импорта параметров - используются для тиражирования эталонных настроек системы защиты. С помощью средств экспорта и импорта упрощается локальная настройка нескольких компьютеров с одинаковыми параметрами защитных механизмов. Параметры с эталонного компьютера переносятся на другой компьютер (или группу компьютеров) без необходимости повторять весь процесс настройки на каждом из них.Всистеме Secret Net предусмотрено делегирование полномочий администратора безопасности. Это означает, что некоторые функции по настройке и управлению работой защитных механизмов могут быть возложены на пользователей, не являющихся членами группы доменных администраторов. При этом настройка и управление могут осуществляться только в рамках определенных организационных подразделений, созданных внутри домена.К общим параметрам безопасности Windowsпосле модификации схемы АО добавляются параметры Secret Net, действие которых распространяется на компьютеры сети средствами групповых политик. Доступ к этим параметрам осуществляется в стандартном узле «Параметры безопасности» оснастки «Групповая политика» или «Редактор объектов групповой политики» (в зависимости от операционной системы).Оснастку можно вызывать как отдельный, самостоятельный инструмент или в качестве расширения таких оснасток как Active Directory - пользователи и компьютеры» или «Active Directory Active Directory - сайты и службы».До начала установки системы Secret Net 6.5 следует выполнить ряд подготовительных мероприятий:Назначить и подготовить сотрудников, которые будут устанавливать и эксплуатировать систему Secret Net 6.5. Определить режимы работы Secret Net 6.5, для чего на тестовой группе компьютеров провести проверку совместимости используемых в организации приложений с расстановкой прав, выполняемой программой установки Secret Net 6.5, и работой механизмов защиты.Выполнить ревизию функционирования домена и устранить ошибки в его работе (при наличии таковых).Проверить соответствие компьютеров домена требованиям к аппаратному и программному обеспечению.Компоненты Secret Net 6.5 устанавливаются на компьютеры, работающие под управлением ОС Windows 2000/XP Professional/2003/Vista и оснащенные процессорами семейства INTEL X86 или совместимыми с ними. Все разделы жестких дисков компьютеров должны иметь файловую систему NTFS или NTFS5. Все компьютеры, на которых планируется использовать персо-нальные идентификаторы, должны быть оборудованы разъемом для подключения (предъявления) персональных идентификаторов. На этих компьютерах необходимо установить соответствующее программное обеспечение (ПО) для работы с персональными идентификаторами (например, для работы с идентификаторами eToken устанавливается ПО eToken Run Time Environment).Установка системы осуществляется после выполнения подготовительных мероприятий в следующей последовательности:Включить все контроллеры домена.Установить на контроллере домена инструментарий Windows Support Tools из состава дистрибутива ОС.Выполнить модификацию AD и дождаться репликации схемы AD на все контроллеры домена.На компьютерах, которые будут использоваться в качестве серверов безопасности, установить:- ПО сервера безопасности;- ПО клиента.На рабочих местах администраторов Secret Net 6.5 установить:- средство Microsoft Administration Tools Pack из состава дистри- бутива ОС Windows серверных платформ;- ПО клиента;- средства управления.Установить ПО клиента системы Secret Net 6.5 на серверы и контроллеры домена, затем на компьютеры сотрудников.При большом количестве компьютеров целесообразно применить автоматическую установку ПО клиента. Параметры пользователей используются механизмами защиты входа, шифрования и полномочного разграничения доступа. Параметры пользователя применяются при входе в систему после выполнения процедуры идентификации и аутентификации пользователя. Параметры доменных и локальных пользователей хранятся, соответственно, в Active Directory или в локальных базах данных защищаемых компьютеров.При копировании объектов "Пользователь" параметры Secret Net 6.5 не копируются.Настройка параметров доменных и локальных пользователей осуществляется в соответствующих оснастках: доменные пользователи представлены в оснастке "Active Directory — пользователи и компьютеры", локальные пользователи .Вызовите нужную оснастку: Active Directory — Активируйте команду "Пуск | Все программы |Администрирование | Active Directory — пользователи и компьютеры". Для управления параметрами доменных пользователей на компьютере, не являющемся контроллером домена, должны быть установлены средства централизованного управления ОС Windowsпользователи и компьютерыАктивируйте команду "Пуск | Все Программы |Secret Net 6.5 | Управление компьютером"Найдите и выберите папку "Пользователи". В правой части появится список пользователей.Вызовите окно настройки свойств пользователя и перейдите к диалогу "Secret Net 6.5".В левой части диалога расположена панель выбора режима работы. Переключение между режимами осуществляется выбором соответствующей пиктограммы на этой панели. Предусмотрены режимы рпедставленные в таблице 3.1:Таблица 3.1 Режимы работы "Secret Net 6.5РежимНазначениеИдентификаторУправление персональными идентификаторами пользователяКриптоключУправление криптографическими ключами пользователяДоступУправление параметрами полномочного доступаСервисПроверка принадлежности персональных идентификаторовУправление персональными идентификаторами.Персональный идентификатор — устройство, предназначенное для хранения информации, необходимой при идентификации и аутентификации пользователя. В идентификаторе могут храниться криптографические ключи пользователя. В Secret Net 6.5 используются персональные идентификаторы iButton и USB-ключи eToken.Пояснение. Для хранения криптографических ключей могут также использоваться сменные носители, такие как дискеты, Flash-карты, USB Flash-накопители и т. п. В дальнейшем в данном руководстве термин "идентификатор" будет применяться и к сменным носителям.Персональный идентификатор выдается пользователю администратором. Пользователю можно присвоить неограниченное число идентификаторов. Один и тот же персональный идентификатор не может быть присвоен нескольким пользователям одновременно.Администратор безопасности может выполнять следующие операции с персональными идентификаторами: Инициализация идентификатораФорматирование, обеспечивающее возможность использования идентификатора в системе Secret Net 6.5. Инициализация требуется, когда в персональном идентификаторе по каким-либо причинам была нарушена или отсутствует структура данных. Форматированию подлежат также и сменные носители, предназначенные для хранения ключейПрисвоение идентификатора.Добавление в базу данных Secret Net 6.5 сведений о том, что пользователю принадлежит персональный идентификатор данного типа с уникальным серийным номеромОтмена присвоения идентификатораУдаление из базы данных Secret Net 6.5 информации о принадлежности данного персонального идентификатора данному пользователю. Далее для простоты эту операцию будем называть "удаление идентификатора"Включение режима хранения пароля в идентификатореДобавление в базу данных Secret Net 6.5 сведений о включении для пользователя режима хранения пароля в идентификаторе. Одновременно с этой операцией выполняется запись пароля в идентификатор. После включения режима пароль пользователя при входе в систему не вводится с клавиатуры, а считывается из идентификатораОтключение режима хранения пароля в идентификатореОперация, противоположная предыдущей. Одновременно с отключением режима хранения выполняется удаление пароля из памяти персонального идентификатора. Идентификатор остается закрепленным за пользователем.Запись и удаление криптографических ключейИспользуется для хранения в идентификаторе (или на сменном носителе) криптографических ключей пользователяПроверка принадлежностиС помощью этой операции администратор безопасности может проверить, кому из пользователей присвоен данный персональный идентификатор.3.3 Расчёт показателей экономической эффективности проекта защитыДля оценки эффективности предложенной комплексной системы защиты необходимо провести расчет стоимость внедрения КСЗИ до изменения структуры информационной системы и после.Общие затраты на комплексную систему защиты будут складываться из стоимости технических и программных средств, а так же оплаты труда специалисту., (2)где,СЗ – совокупные затраты,ТЗ – технические затраты,ПЗ – программные затраты,ОЗ – организационные затраты,ОТ – оплата труда.Таким образом, для внедрения КСЗИ в исходную ИС необходимо:9 АПКШ «Континент», 21 СЗИ Secret Net 6.5, 21 Kaspersky Endpoint Security 8 для Windows, пакет документов, 5 специалистов по ЗИ.Стоимость одного комплекса АПКШ «Континент» составляет 90 тыс. руб.СЗИ Secret Net 6.5 – 6400 руб.Kaspersky Endpoint Security 8 для Windows– 2700 руб.Составление пакета документов стоит 100 тыс. руб.Оплата труда специалиста труда выбрана в размере 45 тыс. руб.Стоимость внедрения составит:Таким образом, стоимость внедрения комплексной системы защиты в исходную МИС на один год составляет почти 4 млн. рублей.Общие затраты на КСЗИ после изменения структуры МИС примут вид:Стоимость КСЗИ после изменения структуры составляет млн.рублей.На рис.3.1 представлено сравнение совокупной стоимости (в тыс.руб.) владения КСЗИ на пять лет исходной МИС и МИС после изменения структуры. Рис.11. Сравнение ТСО на 5 летИз представленного графика наглядно видно, что затраты на внедрение комплексной системы защиты после изменение структуры МИС в несколько раз ниже, чем затраты на внедрение в исходную ИС. Что говорит о целесообразности применения рекомендуемых изменений в информационной системе.Выводы по разделуВ результате проделанной работы были даны рекомендации по внедрению комплексной системы защиты в медцентре «МедикСити». Для чего необходимо выполнение следующих мероприятий:определить круг лиц ответственных за выполнение;провести изменения в структуре ИС;заключить договор с компанией имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации;составить техническое задание на создание КСЗИ;разработать пакет организационно-распорядительных документов для КСЗИ (положения, приказы, инструкции); внедрить систему обеспечения безопасности информации; аттестовать КСЗИ на соответствие требованиям по защите ПДн;8. получить лицензию на деятельность по технической защите КИ.Так же были даны рекомендации по применению КСЗИ, проведено экономическое обоснование целесообразности проведения изменения структуры информационной системы. Проведен расчет стоимости внедрения системы защиты. Для выбранных решений стоимость внедрения в расчете на один год составляет рублей.ЗаключениеВ ходе выполнения дипломного проекта были выполнены все поставленные задачи: Анализ информационной системы и циркулирующей в ней информации.Внутри ИС, в рамках функций выполняемых ею, циркулирует информация о пациентах и данных об их здоровье. Такие данные являются персональным, контроль над обработкой таких данных осуществляется государством. В РФ существует законодательная база регулирующая область защиты персональных данных (ПДн).Анализ требований российского законодательства в области защиты персональных данных в медицинских учреждениях.Не смотря на то, что законодательная база для защиты персональных существует давно, и выдвигает жесткие требования к операторам персональных данных. А за нарушение требований грозит ответственность вплоть до лишения лицензии на осуществления основного вида деятельности, не все ИС приведены в соответствие с требования. На данный момент приведение МИС, рассматриваемой в дипломной работе, в соответствие со всеми требованиями является основной задачей для компании. Обработка персональных данных является необходимым обеспечением правильного функционирования всех бизнес процессов учреждения. Соответствие требованиям особо актуально ввиду обработки данных касающегося здоровья субъектов обработки.Информационная система имеет низкую степень исходной защищенности и длинный список актуальных угроз. Необходимо создать комплексную систему защиты ИСПДн, а именно предложить решения по обеспечению безопасности конфиденциальной информации при ее обращении в МИС.Разработка рекомендаций по изменению структуры информационной системы.Было проведено понижение класса ИС и сужения круга объектов, нуждающихся в защите. Проанализирована исходная степень защищенности информационной системы обработки персональных данных после изменения структуры. На основе, которой с использование руководящих документов ФТЭК составлена модель угроз. Составленная модель угроз показала значительное снижение актуальных угроз. Так же диаграмма зависимости вероятности реализации угрозы от количества объектов защиты показала рациональность сужения круга защищаемых узлов сети. Разработка системы защиты персональных данных.Была составлена модель угроз, которая позволила применить именно те контрмеры, которые актуальны для условий использования защищаемой системы. Для каждой из угроз выбраны и описаны средства противодействия, соответствующие требования государственных регуляторов.Разработка рекомендаций по внедрению системы защиты персональных данных.В результате проделанной работы были даны рекомендации по внедрению комплексной системы защиты ИСПДН. Для чего были выбраны необходимые мероприятия. Так же были даны рекомендации по применению КСЗИРасчет совокупной стоимости внедрения и владения системой защиты персональных данных.Благодаря выполнению вышеперечисленных задач цель работы – создание системы защиты персональных данных в медицинском учреждении– была достигнута.Список литературы и нормативных документовФедеральный закон №85-ФЗ от 04.07.1996 г. «Об участии в информационном обмене. Ст. 2» Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплексность и обозначение документов при создании автоматизированных систем»;ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;ГОСТ Р 50739-95 - Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.Положение «О методах и способах защиты информации в информационных системах персональных данных» от 5 февраля 2010г №58Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России Мининформсвязи России от 13 февраля 2008 г. № 55/86/20/Постановление правительства № 781 от 17.11.2007 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»Постановление Правительства РФ № 687 от 15.09.2008 г. «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;Приказ № 154 Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008г.)Бармен С., Разработка правил информационной безопасности. - М.: Издательский дом "Вильямс", 2002. - 208 с. Бачило И.Л., Лопатин В.Н., Федотов М.А., Информационное право.– Спб.: Изд-во «Юридический центр Пресс», 2001. - 789 с.Белов Е.Б., Лось В.П., Основы информационной безопасности. - М.: Горячая линя - Телеком, 2006. — 544 сБиячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. - СПб.: СПбГУ ИТМО, 2004. - 161 с.Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2001. - 288 с.: ил. Бождай А.С., Финогеев А.Г., Сетевые технологии. Часть 1: Учебное пособие. - Пенза: Изд-во ПГУ, 2005. - 107 с.Браун С., Виртуальные частные сети VPN. – М.: Горячая линя - Телеком, 2004. — 346 сГайдамакин Н.А., Теоретические основы компьютерной безопасности: Учебное пособие: «Уральский государственный университет им. А.М. Горького», Екатеринбург: : Издательство Урал, 2008. – 257 с.Галатенко В.А., Стандарты информационной безопасности. - М.: "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 328 c.: илДомарев В.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2004. –992 с.Курило А.П., Зефиров С.А., Голованов В.Б., и др. Аудит информационной безопасности – М.: Издательская группа «БДЦ-пресс», 2006. – 304 с.Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.)Методические указания по выполнению раздела «Охрана окружающей среды» в дипломных проектах.Константинова Л.А., Писеев В.М.МИЭТМетоды и средства обеспечения оптимальных параметров производственной среды на предприятиях электронной промышленности.Каракеян В.И., Писеев В.М. МИЭТОфициальный сайт ЗАО «Лаборатория Касперского». [Электронный документ]: (www.kaspersky.ru)Официальный сайт ЗАО «Рэйнвокс». [Электронный документ]: (www.reignvox.ru) Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)Петренко С.А., Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с.Сайт «Персональные данные по-русски. [Электронный документ]: (http://www.tsarev.biz)Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;Судоплатов А.П., Пекарев СВ. Безопасность предпринимательской деятельности: Практическое пособие. VI.: 2001.Ярочкин В.Н. Безопасность информационных систем. М.: Ось-80, 1996