Вход

Разработка комплекса рекомендаций по технической защите конфиденциальной информации хозяйствующего субъекта- мед.центра (на конкретном примере)

Рекомендуемая категория для самостоятельной подготовки:
Дипломная работа*
Код 287278
Дата создания 04 октября 2014
Страниц 75
Мы сможем обработать ваш заказ (!) 29 марта в 12:00 [мск]
Файлы будут доступны для скачивания только после обработки заказа.
5 240руб.
КУПИТЬ

Описание

Заключение

В ходе выполнения дипломного проекта были выполнены все поставленные задачи:
Анализ информационной системы и циркулирующей в ней информации.
Внутри ИС, в рамках функций выполняемых ею, циркулирует информация о пациентах и данных об их здоровье. Такие данные являются персональным, контроль над обработкой таких данных осуществляется государством. В РФ существует законодательная база регулирующая область защиты персональных данных (ПДн).
Анализ требований российского законодательства в области защиты персональных данных в медицинских учреждениях.
Не смотря на то, что законодательная база для защиты персональных существует давно, и выдвигает жесткие требования к операторам персональных данных. А за нарушение требований грозит ответственность вплоть до лишения лицензии на осуществл ...

Содержание

Введение
Глава1 Анализ информационной системы как объекта защиты.
1.1 Анализ архитектуры сети и автоматизированных рабочих мест
1.1.1 Общая характеристика предметной области
1.1.2 Организационно-функциональная структура предприятия
1.2 Определение и анализ информационных потоков
1.3 Разработка модели угроз и оценка уязвимостей
1.3.1 Оценка уязвимостей
1.3.2 Модель угроз и модель нарушителя
1.3.3 Обоснования необходимости использования вычислительной техники для решения задачи
1.4 Анализ защищенности рабочих мест мед центра.
1.5 Выбор комплекса задач обеспечения информационной безопасности компании
2 Разработка комплексной системы защиты
2.1 Разработка замысла защиты персональных данных.
2.2 Выбор защитных мер
2.2.1 Разработка организационных мер по защите персональных данных.
2.2.2Комплекс проектируемых инженерно-технических средств обеспечения информационной безопасности компании и защиты информации предприятия
2.2.3 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности компании и защиты информации предприятия
3 Обоснование экономической эффективности проекта
3.1 Выбор и внедрение комплексных средств защиты
3.2 Расчёт показателей экономической эффективности проекта защиты
Заключение
Список нормативных актов и литературы

Введение

Введение

Современные информационные технологии играют важнейшую роль в медицинской отрасли, но одной из наиболее серьезных проблем, препятствующих их повсеместному внедрению, является обеспечение защиты информации, в том числе защиты персональных данных граждан и сведений, составляющих медицинскую тайну, – персональных медицинских данных. Актуальность проблемы защиты персональных медицинских данных сегодня не вызывает сомнений. Доступ физических лиц к базам персональных данных усиливают риск вторжения в сферу частной жизни и нарушения права на ее неприкосновенность. Защита персональных медицинских данных является одной из наиболее актуальных проблем в информатизации организаций медицинской области.
В качестве предметной области дипломного проекта рассматривается медицинский центр (МЦ) «Ме дикСити», расположенная в г.Москва.
МЦ «МедикСити» специализируется на оказании медицинских услуг, причем особое внимание уделяется оказанию специализированных профилактических и лечебных услуг, на основе ранней диагностики. Концепция МЦ — это оказание высококачественных медицинских услуг в условиях высочайшего комфорта и сервиса по приемлемым ценам.
Целью данной дипломной работы является разработка системы защиты персональных данных в медицинском учреждении – МЦ «МедикСити».
В ходе дипломной работы будут решены следующие задачи:
Анализ информационной системы и циркулирующей в ней информации.
Анализ требований российского законодательства в области защиты персональных данных в медицинских учреждениях.
Разработка рекомендаций по изменению структуры информационной системы.
Разработка системы защиты персональных данных.
Разработка рекомендаций по внедрению системы защиты персональных данных.
Расчет совокупной стоимости внедрения и владения системой защиты персональных данных.
Структурно работа состоит из введения, трех глав, заключения, списка используемой литературы и приложения.
Первая глава посвящена анализу рассматриваемой информационной системы, требований российского законодательства, составлению модели угроз безопасности и модели нарушителя. Так же в этой главе сформулирована постановка задачи для создания комплексной системы защиты.
Во второй главе даны рекомендации по изменению структуры информационной системы, разделение ее на несколько подсистем систем. Разработаны рекомендации по устранению угроз. Проанализирована эффективность внедрения разработанной системы защиты.
В третьей главе рассматривается механизм внедрения системы защиты и экономически обоснована целесообразность внедрения разработанной системы защиты персональных данных.

Фрагмент работы для ознакомления

Для построения комплексной системы защиты и выполнения требования закона «О персональных данных» была составлена модель угроз. На основе, которой можно установить, что существующая система обладает низкой защитой и подвержена большому числу угроз. От которых необходимо защищаться.Для создания эффективной комплексной системы защиты персональных данных необходимо изменить структуру информационной системы, пересмотреть потоки циркуляции конфиденциальной информации.2 Разработка комплекса системы защиты2.1 Разработка замысла защиты персональных данныхДля реализации дискреционного принципа контроля доступа к ИСПДн должен контролироваться доступ именованных субъектов (пользователей) к именованным объектам (например, файлам, программам, томам).Для каждой пары (субъект — объект) в СВТ должно бытьзадано явное и недвусмысленное перечисление допустимых типов доступа (например, читать, писать), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать санкционированное изменение правил разграничения доступа (ПРД), в том числе санкционированное изменение списка пользователей СВТ и списка защищаемых объектов.Право изменять ПРД, должно быть предоставлено выделенным субъектам (например, администрации, службе безопасности). Должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.КСЗ должен содержать механизм, претворяющий в жизнь дискретизационные ПРД, как для явных действий пользователя, так и для скрытых. Под "явными" здесь подразумеваются действия, осуществляемые с использованием системных средств, а под "скрытыми" — иные действия, в том числе с использованием собственных программ работы с устройствами.Политика дискреционного доступа охватывает самую многочисленную совокупность моделей разграничения доступа, реализованных в большинстве защищенных КС, и исторически является первой, проработанной в теоретическом и практическом плане. Модели дискреционного доступа непосредственно основываются и развивают субъектно-объектную модель ИСПДн, как совокупность некоторых множеств взаимодействующих элементов (субъектов, объектов и т. д.). Множество (область) безопасных доступов в моделях дискреционного доступа определяется дискретным набором троек "Пользователь (субъект)-поток (операция)-объект".Конкретные модели специфицируют способ представления области безопасного доступа и механизм проверки соответствия запроса субъекта на доступ области безопасного доступа. Если запрос не выходит за пределы данной области, то он разрешается и выполняется. При этом постулируется, что осуществление такого доступа переводит систему в безопасное состояние. Специфика и значение моделей заключается в том, что исходя из способа представления (описания) области безопасного доступа и механизма разрешений на доступ анализируется и доказывается, что за конечное число переходов система останется в безопасном состоянии. Модель дискреционного доступа, предложенная Хартсоном, вероятно наиболее наглядно в формальном плане иллюстрирует дискреционный принцип разграничения доступа, выраженный языком реляционной алгебры. Приведем ее основные положения в кратком изложении.1. Система представляется совокупностью пяти наборов (множеств): - множества пользователей U; - множества ресурсов R; - множества состояний S; - множества установленных полномочий A; - множества операций E . 2. Область безопасности представляется декартовым произведением: A × U × E × R × S (2.1)3. Пользователи подают запросы на доступ к ресурсам, осуществление которых переводит систему в новое состояние. Запросы на доступ представляются четырехмерными кортежами q = (u, e, R', s), (2.2)где u ∈ U, e ∈ E, s∈ S, R' ⊆ R (R'- требуемый набор ресурсов). Таким образом, запрос на доступ представляет собой подпространство четырехмерной проекции пространства безопасности. Запрос удовлетворяется, если он полностью заключен в области безопасности.4. Процесс организации доступа алгоритмически описывается следующим образом. 4.1. Определить из U те группы пользователей, к которым принадлежит u. Затем выбрать из A те спецификации, которым соответствуют выделенные группы пользователей. Этот набор полномочий F(u) определяет привилегию пользователя u.4.2. Определить из множества A набор полномочий P =F(e), которые устанавливают e как основную операцию. Набор полномочий P =F(e) определяет привилегию операции e. 4.3. Определить из множества A набор полномочий P =F(R'), разрешающих доступ к набору ресурсов R'. Набор полномочий P =F(R') определяет привилегию ресурсов R'. Полномочия, которые являются общими для всех трех привилегий, образуют так называемый домен полномочий запроса D(q) D(q) = F(u) ∩ F(e) ∩ F(R' ) . 4.4. Убедиться, что запрашиваемый набор ресурсов R' полностью содержится в домене запроса D(q), т. е. любой r из набора R' хотя бы один раз присутствует среди элементов D(q). 4.5. Осуществить разбиение D(q) на эквивалентные классы так, чтобы в один класс попадали полномочия (элементы D(q)), когда они специфицируют один и тот же ресурс r из набора R'. В каждом классе произвести операцию логического ИЛИ элементов D(q) с учетом типа операции e. В результате формируется новый набор полномочий на каждую единицу ресурса, указанного в D(q) - F(u, q). Набор F(u, q) называется фактической привилегией пользователя u по отношению к запросу q.4.6. Вычислить условие фактического доступа (EAC), соответствующее запросу q , через операции логического ИЛИ по элементам полномочий F(u, q) и запрашиваемым ресурсам r из набора R', и получить тем самым набор R'' – набор фактически доступных по запросу ресурсов. 4.7. Оценить EAC и принять решение о доступе: - разрешить доступ, если R'' и R' полностью перекрываются; - отказать в доступе в противном случае.Для АС мед. учреждения характерна дискреционная модель разграничения доступа, соответственно необходимо разработать дискреционный принцип разграничения доступа для АС. Ресурсы, подлежащие защите, располагаются на файловом сервере, соответственно необходимо рассмотреть структуры каталогов, в которых располагаются ресурсы. Все ресурсы четко разделены по отдельным каталогам, к которым имеют доступ соответствующие пользователи. Структура каталогов повторяет организационную структуру предприятия, что упрощает процесс построения модели. На рис. 2.1 изображена структура каталогов, расположенных на файловом сервере.Рис. 2.1 Структура каталогов на сервереПользователи на предприятии объединены в группы, для удобства администрирования. Группы пользователей образованы согласно занимаемым ими должностям. На рисунке 2.2 представлена структура должностей медицинского центра. Каждая из должностей имеет свои категории прав и свое множество ресурсов (каталогов) на которые распространяются соответствующие им категории прав. Таким образом, разграничение доступа должно проводиться с учетом возможностей на выполнение тех или иных операций с ресурсами в ИСПДн для каждой должности, и пользователя (сотрудника) имеющего данную должность.Рис. 2.2 – Структура должностей предприятияРассмотрев структуру каталогов и структуру должностей, можно приступить к созданию модели разграничения доступа. На рисунке 2.3 представлена модель разграничения доступа для медицинского центра. Данная модель полностью отражает права доступа на ресурсы расположенные на файловом сервере для групп и пользователей. Согласно модели пользователи (П) группы 1 (Гр1) имеет доступ на запись только к собственным каталогам (Кn). Пользователи входящие в Гр2 (руководители подразделений) помимо прав на запись собственных каталогов, имеют права доступ на чтение каталогов пользователей работающих в отделе. Пользователи состоящие в Гр3 (глав врач) так же как и пользователи Гр1 имеют права доступа на запись в собственный каталог и права доступа на чтение всех каталогов находящихся на файловом сервере. Результат разграничения доступа записывается, т.е. производит изменения, в списки доступа АСL, которые в свою очередь представляет прямоугольную матрицу (таблицу), строки которой соответствуют субъектам доступа, столбцы объектам доступа, а в ячейках записываются разрешенные операции соответствующего субъекта над соответствующим объектом (табл. 2.1)."Прописанные" в ячейках матрицы права доступа в виде разрешенных операций над объектами определяют виды безопасных доступов соответствующего субъекта к соответствующему объекту. Для выражения типов разрешенных операций используются специальные обозначения, составляющие основу (алфавит) некоторого языка описания политики разграничения. Таким образом, в рамках дискреционной политики каждая ячейка агрегирует некоторое подмножество троек "субъект-операция(поток)-объект".Таблица 2.1Матрица права доступаОбъекты доступаСубъекты доступаo1o1…oj…ons1Rr…wrs2Wr…r…w………….……siRw…r…w………….……smWe…w…rКонечным итогом разработанной модели должен стать массив, в котором содержатся имена пользователей, принадлежащие им ресурсы, категория прав доступа m, и неотъемлемый атрибут имя учетной записи системного администратора и соответствующая ему категория прав доступа m ко всем ресурсам. Под категорией прав доступа понимается возможность выполнения, каких либо действий над определенным ресурсом или группой ресурсов. Среди категорий можно выделить следующие:n – запрет на доступ;r – возможность чтения ресурса;w – возможность записи ресурса и дальнейшего его чтения;с – возможность выполнения вех возможных операций над ресурсами, без возможности изменения свойств доступа к ресурсу;f – возможность выполнения вех возможных операций над ресурсами, с возможности изменения свойств доступа к ресурсу.Рис. 2.3 Модель разграничения доступа для медицинского центраНо каждая категория прав m включает в себя более низкую категорию:w∋r c∋w,r f∋c,w,r Так же необходимо отметить, что системный администратор имеет самую высокую категорию прав доступа – f. Теперь рассмотрим непосредственно представление модели разграничения доступа, выраженную языком реляционной алгебры.k – множество групп;l – множество пользователей;m – множество ресурсов (каталогов);n – множество категорий прав доступа;o –имя системного администратора в АС.1. Необходимо получить список групп k и пользователей l, входящих в эти группы. {ki; lj} (2.3)Такие что:kj∋li (2.4)2. Определение администратора o АС из всех пользователей l:lj="администратор"→o≔lj (2.5)Для администратора o, права доступа n всегда «f».таким образом, производим объединение множества пользователей и групп, в которых состоят первые, и имя администратора с правами «f»:{ki; lj;o;"f"}= {ki; lj}∪{o;"f"} (2.6)3. Теперь необходимо определить категории прав доступа, т.е. поставить в соответствие группам пользователей соответствующие категории прав доступа n. Для этого производится назначение соответствующей группе пользователей соответствующие категории прав доступа. Мы уже имеем список групп k, теперь определяем для каждого ki соответствующие категории прав ni:ki↔ni (2.7)Теперь необходимо определить каталоги, принадлежащие группам. Для этого производим поиск каталогов, принадлежащих i группе, следующим образом:Для каждого пользователя определяем каталоги принадлежащие ему:l∩m→lj∈mj (2.8)И записываются во временный файл К. После этого из полученного списка выбираем первый путь каталога mj, разбиваем его путь на части:mj=[а/b/c/…] (2.9)Далее а,b,c, присваивается номер категории прав доступа:а=1, b=2, c=3Если группе ki соответствует категория прав ni и i = 1, то производим поиск по а, если i = 2, то поиск по b, если i = 3 то поиск по с, т.е. в переменной х присваиваем значение а или b или с:x∩m→mj∈lj(ki) (2.10)Все полученные результаты дописываем во временный файл К.Организуем полученные результаты {ki;lj;mj;ni;o;"f"} (2.11)После получения выражения вида (2.11) мы имеем все необходимы данные для назначения прав доступа пользователям k на ресурсы m.Производим запись прав доступа n на каталоги m для пользователей k в таблицу доступа АCL, средствами встроенной утилиты cаcls.exe.2.2 Выбор защитных мер2.2.1 Разработка организационных мер по защите персональных данныхВ медицинском центре «МедикСити» реализована политика безопасности, основанная на избирательном способе управления доступом. Такое управление в медицинском центре «МедикСити» характеризуется заданным администратором множеством разрешенных отношений доступа. Матрица доступа заполняется непосредственно системным администратором компании. Применение избирательной политики информационной безопасности соответствует требованиям руководства и требований по безопасности информации и разграничению доступа, подотчетности, а также имеет приемлемую стоимость ее организации. Реализацию политики информационной безопасности полностью возложено на системного администратора медицинского центра «МедикСити».Для медицинского центра «МедикСити» под административная безопасностью будут пониматься безопасные способы ведения документации, наличие методов разработки и принятия прикладных программ, а также процедур обработки инцидентов в случаях нарушения систем безопасности.Существующие стратегии стратегии обеспечения информационной безопасности, представленные в табл. 2.2.Таблица 2.2Существующие стратегии стратегии обеспечения информационной безопасностиУчитываемые угрозыВлияние на информационные системыотсутствуетчастичноесущественноеНаиболее опасныеОборонительная стратегияВсе идентифицированные угрозыНаступательная стратегияВсе потенциально возможныеУпреждающая стратегияУчитывая тот факт, что в астоящее время для устранения информационной безопасности будут рассматриваться в дипломном проекте наиболее опасеык угрозы в качестве стратегии информационной безопасности выберем оборонительную стратегию. Под которой будем понимать защиту от наиболее вероятных и опасных угроз путем создания «защитной оболочки», включающей разработку организационных и программно-технических мер для информационной системы в целом, так и для ее отдельных компонентов.2.2.2 Комплекс проектируемых инженерно-технических средств обеспечения информационной безопасности компании и защиты информации предприятияВ качестве аппаратного средства обеспечения безопасности используется средство зашиты – Cisco 1605. Маршрутизатор снабжен двумя интерфейсами Ethernet (один имеет интерфейсы TP и AUI, второй - только TP) для локальной сети и одним слотом расширения для установки одного из модулей для маршрутизаторов серии Cisco 1600. В дополнение к этому программное обеспечение Cisco IOS Firewall Feature Set делает из Cisco 1605-R идеальный гибкий маршрутизатор/систему безопасности для небольшого офиса. В зависимости от установленного модуля маршрутизатор может поддерживать соединение, как через ISDN, так и через коммутируемую линию или выделенную линию от 1200 бит/сек до 2Мбит/сек, Frame Relay, SMDS, x.25. Для защиты информации владелец ЛВС должен обезопасить "периметр" сети, например, установив контроль в месте соедениения внутренней сети с внешней сетью. Cisco IOS обеспечивает высокую гибкость и  безопасность как стандартными средствами, такими как: Расширенные списки доступа (ACL), системами блокировки (динамические ACL) и авторизацией маршрутизации.  Кроме того Cisco IOS Firewall Feature Set доступный для маршрутизаторов сетии 1600 и 2500 обеспечивает исчерпывающие функции системы защиты включая: контекстное Управление Доступом (CBAC);блокировка Java;журнал учета;обнаружение и предотвращение атак;немедленное оповещение. Кроме того, маршрутизатор поддерживает работу виртуальных наложенных сетей, туннелей, систему управления приоритетами, систему резервирования ресурсов и различные методы управления маршрутизацией. В качестве программного средства защиты используется решение Kaspersky Open Space Security 9.Kaspersky Open Space Security полностью отвечает современным требованиям, предъявляемым к системам защиты корпоративных сетей:решение для защиты всех типов узлов сети; защита от всех видов компьютерных угроз; эффективная техническая поддержка; проактивные технологии в сочетании с традиционной сигнатурной защитой; инновационные технологии и новое антивирусное ядро, повышающее производительность; готовая к использованию система защиты; централизованное управление; полноценная защита пользователей за пределами сети; совместимость с решениями сторонних производителей; эффективное использование сетевых ресурсовКомпьютеры информационной сети фокусного предприятия характеризуются следующими свойствами:имеют возможность обмениваться информацией между собой с помощью сетевых технологий (то есть не только мобильных носителей);могут хранить и обрабатывать информацию на выделенных сетевых серверах, если это требуется в работе;могут получать и отправлять электронные письма;имеют доступ в Интернет, если это предусмотрено и разрешено политикой организации; могут использовать другие сетевые технологии – сетевой принтер, факс.Особое место при оценке информационной безопасности занимает оценка антивирусной защиты. Проблема антивирусной защиты – одна из приоритетных проблем безопасности корпоративных информационных ресурсов организации.Появление вируса и его распространение внутри корпоративной сети может привести к сбоям и прекращению её функционирования и даже остановке всего производственного процесса. А без надлежащих методов и средств эта ситуация может оказаться катастрофической для организации. Также это может привезти к значительным финансовым убыткам. При современном активном развитии информационных технологий растёт число компьютерных вирусов и каналов их проникновения, каждой компании необходимо принять меры для обеспечения защиты корпоративной сети от вредоносных программ. Тем более что в большинстве случаев на существующих предприятиях - состояние антивирусной защиты неудовлетворительное.2.2.3 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности компании и защиты информации предприятияОпираясь на результаты анализа, тщательно проанализировав информационные ресурсы предприятия в соответствии с методическими рекомендациями, проведя анализ уязвимых объектов, проанализировав существующие средства защиты для создания комплексной системы защиты персональных данных можно рекомендовать следующий вариант защиты. Реализация механизмов защиты представлена на рис.2.4.Для защиты информационной системы в качестве средств защиты автоматизированного рабочего места обработки персональных данных и серверов системы используем следующие средства: модуль доверенной загрузки – Secret Net Card PCI 2;средство защиты информации от НСД (СЗИ от НСД) – Клиент Secret Net;модификатор AD (на контроллер домена), Сервер безопасности (на Сервер управления); антивирусное средство (Антивирус) – Kaspersky Open Space Security 9;средство защиты информации от программно-математических воздействий (СЗИ от ПМВ) + межсетевой экран (МЭ) Kaspersky Open Space Security 9(МЭ 4 класса) + HIPS (согласно требованиям, автоматизированные рабочие места , ведущие распределенную обработку персональных данных, должны быть защищены межсетевыми экранами), т.е. устанавливается полный пакет Security Studio Endpoint Protection.Рабочее место Администратора оборудуется следующим набором межсетевой экран: - модуль доверенной загрузки – Secret Net Card PCI 2;- средства управления для Secret Net, антивирус Kaspersky Endpoint Security 8 для Windows .

Список литературы

Список литературы и нормативных документов

Федеральный закон №85-ФЗ от 04.07.1996 г. «Об участии в информационном обмене. Ст. 2»
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»
Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы.Виды, комплексность и обозначение документов при создании автоматизированных систем»;
ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания»;
ГОСТ Р 50739-95 - Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
Положение «О методах и способах защиты информации в информационных системах персональных данных» от 5 февраля 2010г №58
Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России Мининформсвязи России от 13 февраля 2008 г. № 55/86/20/
Постановление правительства № 781 от 17.11.2007 г. «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства Российской Федерации от 15.08.2006 № 504 «О лицензировании деятельности по технической защите конфиденциальной информации»
Постановление Правительства РФ № 687 от 15.09.2008 г. «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
Постановление Правительства РФ от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказ № 154 Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;
Приказ Гостехкомиссии России от 30 августа 2002 г. № 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»;
Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;
РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов»;
Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;
Руководящий документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
Руководящий документ ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008г.)
Бармен С., Разработка правил информационной безопасности. - М.: Издательский дом "Вильямс", 2002. - 208 с.
Бачило И.Л., Лопатин В.Н., Федотов М.А., Информационное право.– Спб.: Изд-во «Юридический центр Пресс», 2001. - 789 с.
Белов Е.Б., Лось В.П., Основы информационной безопасности. - М.: Горячая линя - Телеком, 2006. — 544 с
Биячуев Т.А. Безопасность корпоративных сетей. Учебное пособие / под ред. Осовецкого Л.Г. - СПб.: СПбГУ ИТМО, 2004. - 161 с.
Блэк У. Интернет: протоколы безопасности. Учебный курс. - СПб.: Питер, 2001. - 288 с.: ил.
Бождай А.С., Финогеев А.Г., Сетевые технологии. Часть 1: Учебное пособие. - Пенза: Изд-во ПГУ, 2005. - 107 с.
Браун С., Виртуальные частные сети VPN. – М.: Горячая линя - Телеком, 2004. — 346 с
Гайдамакин Н.А., Теоретические основы компьютерной безопасности: Учебное пособие: «Уральский государственный университет им. А.М. Горького», Екатеринбург: : Издательство Урал, 2008. – 257 с.
Галатенко В.А., Стандарты информационной безопасности. - М.: "Интернет-университет информационных технологий - ИНТУИТ.ру", 2004. - 328 c.: ил
Домарев В.В., Безопасность информационных технологий. Системный подход. – К.: ООО ТИД Диа Софт, 2004. –992 с.
Курило А.П., Зефиров С.А., Голованов В.Б., и др. Аудит информационной безопасности – М.: Издательская группа «БДЦ-пресс», 2006. – 304 с.
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.)
Методические указания по выполнению раздела «Охрана окружающей среды» в дипломных проектах. Константинова Л.А., Писеев В.М.МИЭТ
Методы и средства обеспечения оптимальных параметров производственной среды на предприятиях электронной промышленности. Каракеян В.И., Писеев В.М. МИЭТ
Официальный сайт ЗАО «Лаборатория Касперского». [Электронный документ]: (www.kaspersky.ru)
Официальный сайт ЗАО «Рэйнвокс». [Электронный документ]: (www.reignvox.ru)
Официальный сайт ООО «Код Безопасности». [Электронный документ]: (www.securitycode.ru)
Петренко С.А., Управление информационными рисками. Экономически оправданная безопасность / С.А. Петренко, С.В. Симонов. – М.: Компания АйТи; ДМК Пресс, 2004. – 384 с.
Сайт «Персональные данные по-русски. [Электронный документ]: (http://www.tsarev.biz)
Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
Судоплатов А.П., Пекарев СВ. Безопасность предпринимательской деятельности: Практическое пособие. VI.: 2001.
Ярочкин В.Н. Безопасность информационных систем. М.: Ось-80, 1996
Очень похожие работы
Пожалуйста, внимательно изучайте содержание и фрагменты работы. Деньги за приобретённые готовые работы по причине несоответствия данной работы вашим требованиям или её уникальности не возвращаются.
* Категория работы носит оценочный характер в соответствии с качественными и количественными параметрами предоставляемого материала. Данный материал ни целиком, ни любая из его частей не является готовым научным трудом, выпускной квалификационной работой, научным докладом или иной работой, предусмотренной государственной системой научной аттестации или необходимой для прохождения промежуточной или итоговой аттестации. Данный материал представляет собой субъективный результат обработки, структурирования и форматирования собранной его автором информации и предназначен, прежде всего, для использования в качестве источника для самостоятельной подготовки работы указанной тематики.
bmt: 0.00481
© Рефератбанк, 2002 - 2024