Система безопасности значимых объектов критической информационной инфраструктуры организации

Данная система может быть, например, основана на использовании электронных карт или ключей наподобие USB RuToken. Данные ключи обеспечивают защиту как электронной почты, безопасных соединений (VPN, SSL), организации финансовых переводов, а также при организации доступа к объектам информационной системы.Указанный выше электронный ключ RuToken выполнен в виде небольшого устройства формата USB-накопителя. Подобное устройство предназначено для обеспечения безопасной работы, а также организации хранения данных, которые имеют соответствующий статус и необходимость ограничения доступа к ним. Конструктивно данное устройство имеет собственные процессор и чипы памяти, позволяющие путем шифрования и контроля доступа обеспечивать информационную безопасность данных пользователя.Рисунок 10 – USB-ключиUSB-ключи RuToken основан на базе платформы, которая имеет высокую степень защиты и специально спроектирована для выпуска смарт-карт. Как известно, для данной сферы применяются самые строгие требования по обеспечению ИБ.Данные USB ключи предназначены для выполнения строгой двухфакторной аутентификации, обеспечения защищенного документооборота и переписки посредством электронной почты, а также формирования при необходимости защиты, путем шифрования, каналов передачи данных на основании таких протоколов как VPN или SSL.Структура TоkеnMаnаgеmеntSystеm представлена на Рисунок 11. Рисунок 11 – Структура взаимодействия USB-токены RuToken С ПКUSB-токены RuToken наиболее активно используют при организации электронного документооборота, который должен быть защищен от несанкционированного доступа третьих лиц, при предоставлении государственной отчетности и иных сферах. Данные устройства представляют собой комплексный модуль обеспечивающий доступ пользователя к ресурсам КИС, позволяющий легко взаимодействовать с различными модулями или приложениями, в которых реализована поддержка технологии смарт-карт и PKI. Рутокен Плагин — это программа, которая в сочетании с токенами и смарт-картами Рутокен ЭЦП 2.0/3.0/PKI является комплексным решением для электронной подписи и двухфакторной аутентификации в браузере.Взаимодействие в браузере происходит через JavaScript API. Есть инструменты для:Создания запросов и записи сертификатов;Вычисления электронной подписи разными алгоритмами;Шифрования;Управления PIN-кодами, ключами и сертификатами RSA- и ГОСТ-2012 на устройствах;Работы со средствами визуализации и контроля подписываемых данных;Добавления в подпись информации о времени и месте подписания для антифрод анализа.Следующее требование по совершенствованию ИБ ориентировано на улучшение антивирусной системы организации для персональных компьютеров за счет отказа от программ, распространяемых бесплатно. Для обеспечения защиты от программ, которые могут реализовать несанкционированный доступ или реализовать действия, наносящие вред информационной безопасности, целесообразно внедрить на объекте программный комплекс Kaspersky Endpoints Security Lab.Исследование рынка антивирусного программного обеспечения показало, что программный продукт, представленный «Лабораторией Касперского» позволяет реализовать эффективную защиту критически важной информации от воздействия всех актуальных на сегодняшний день типов вредоносного ПО. Благодаря сочетанию различных методов по обнаружению вирусных программ, червей, идентификации сетевых атак, а также контролю сетевой активности Kаspеrsky Еndpоint Sесurity Standard обеспечивает значительно больше возможностей по формированию защиты от вредоносного ПО, нежели иные антивирусные продукты. Они защищают серверы под управлением Microsoft Windows, Linux и Nov.Технологии «Лаборатории Касперского» для управления программным обеспечением и устройствами, а также веб-мониторинга обеспечивают более высокий уровень безопасности данных и системы, чем бесплатное антивирусное программное обеспечение. Посредством данного программного комплекса ИТ-отдел имеет возможность обеспечивать контроль за использованием программ, Интернета и съемных устройств сотрудниками. Следующее требование заключается во внедрении и применении ПО, которое дает возможность контролировать операционную систему на наличие уязвимостей. Используя информацию, полученную во время сканирования, системный инженер имеет возможность нейтрализовать данную угрозу.Таким образом, работа по информационной безопасности НРД Страж НТ (версия 3.0) позволяет защитить информацию от получения разрешения при работе в автоматизированных информационных системах (АС).В случае исследования был выполнен детальный анализ нескольких аналогичных систем защиты. Предпочтение было отдано Центру информационной безопасности от НСД Страж NT (версия 3.0), который работает в среде 32-разрядных и 64-разрядных ОС Microsoft и соответствует стандартам ФСТЭК Российской Федерации.НСД Страж НТ ИПС (версия 3.0) позволяет полностью и эффективно обеспечивать защиту информационных активов от доступа к ним третьих лиц при работе в различных автоматизированных системах управления (АС) и информационными системами персональных данных (ИСПД). Действующий сертификат позволяет применять Центр информационной безопасности от НСД Страж НТ (версия 3.0) при проектировании информационных систем классом безопасности до уровня 1б, а также при осуществлении защиты персональных данных до первого класса.В качестве персональных идентификаторов могут использоваться:гибкие магнитные диски;устройства iButtоn (через считыватели RDS-01, подключаемые к СОM- или USB-портам);USB-ключи RuToken PRОи RuToken PRО (Jаvа);USB-ключи Guаrdаnt ID, Rutоkеn S;Устройства идентификации представлены в табл. 21Таблица 21Параметры устройств идентификацииДополнительно реализована возможность использования в качестве идентификаторов пользователей флэш-накопителей.3.3 Предложения по совершенствованию организационных мер защитыОрганизационные мероприятия по включению технических средств в состав организации АО «ПКТ», создаваемой в данном случае:1. Все техническое оборудование важных объектов критической инфраструктуры расположено на контролируемых территориях.2. Разработаны организационные мероприятия направленные на ограничение несанкционированного доступа к техническим средствам для улучшения объектов критической инфраструктуры (режим доступа в помещения, порядок допуска для работы с техническими средствами, пломбирование мест подключения периферийных устройств к основным средствам обработки);3. Разработаны организационные мероприятия ограничения доступа к АРМ (доступ в помещения, альтернатива АРМ).4. Разработаны организационные мероприятия ограничения доступа к несанкционированной информации и данным (определенные способы доступа к информации и работы с информацией, определенные способы использования).5. При установке технических средств, использующих данные и информационные устройства, учитываются технические характеристики этих средств.6. Объем установленных технических средств для печати хранимой информации реализован с учетом большей трудности визуального просмотра лицами, не имеющими доступа к этой информации.Все пресс-релизы, хранящиеся и распространяемые в организации, должны регистрироваться в Журнале СМИ. Каждый носитель записи должен иметь съемную этикетку носителя и этикетку с печатью.Пользователи объектов критической инфраструктуры могут получить зарегистрированные съемные носители у администратора безопасности для выполнения этой функции. Сначала делаются соответствующие записи в журнале.Использование мобильных устройств в транспортных средствах и в зонах с другим оборудованием, расположенным на объектах критической инфраструктуры, запрещено.Администратор безопасности организации АО «ПКТ», назначается на высшем уровне, при необходимости – на среднем и нижнем уровнях.Администратор безопасности должен быть знаком с установкой и использованием средств информационной безопасности, применимых к критически важным объектам инфраструктуры, на основании документации, входящей в их поставку, а также требований и положений, определяющих альтернативные варианты использования.Администратор безопасности может регистрировать журналы пользователей и документы, использовать учетные данные и пароли для доступа к транспортным средствам, пароли доступа к транспортным средствам администратора, а также регистрировать усилия по устранению проблем и угроз безопасности.Администратор информационной безопасности контролирует реализацию политики безопасности и выполнение связанных с ней поручений. Он также отвечает за контроль выполнения мер информационной безопасности, а также выполнение резервного копирования и восстановления программного обеспечения в случае различных сбоев и чрезвычайных ситуаций.При использовании паролей на объектах критической инфраструктуры АО «ПКТ», действуют следующие правила:1. Пароли должны регулярно меняться в соответствии с требованиями организационно-распорядительной документации.2. Пароль должен иметь длину не менее 6 символов и содержать буквенно-цифровые символы.3. Использование уникальных паролей обязательно.4. Групповые пароли не допускаются.5. Вы должны вести записи за предыдущие 12 месяцев, чтобы предотвратить повторное использование пароля.При использовании пароля вам следует ограничить следующую информацию, исключив ваше полное имя, день рождения, кличку собаки и т. д. используйте его в качестве пароля; используя легко произносимые комбинации символов, а также допустимые сокращения.3.4 Методические рекомендации по практическому внедрению предложений, направленных на совершенствование системы информационной безопасности объектаВыше было показано, что для объекта исследования уже определены «зоны риска». Обновление системы безопасности в связи с выявлеными уязвимостями дает возможность значительно поднять уровень информационной безопасности в компании.Применение аппаратного сетевое шифрующего устройства«Палиндром» — представляет собой высокопроизводительное (до 10 Гбит/с) устройство шифрования уровня 2. Устройство открыто для протоколов высокого уровня (IP, TCP, UDP, HTTP, HTTPS и т. д.), потому что в типовой конфигурации в конце каждой защищенной подсети устанавливается энкодер, который затем взаимодействует и передает зашифрованные данные по каналу Ethernet небезопасны. [20]Рисунок 12 – Пример работы аппаратного шифратора данныхканального уровняСуществуют два способа внедрения SЕЕ: линейный и множественный (рисунок 13). Рисунок 13 – Множественный вариант подключения «Палиндром» В случае взятия требуемого канала с второсортным обслуживанием в аренду, то наиболее простым решением является простое применение использования шифрование канала.RuToken снижает сложность проведение проверки права доступа пользователей, а также идентификации его личности на основе PKI, путем их адаптации под заданные требования реального объекта. Для каждого из ключей происходит генерация его цифровой пары, которая надежно хранится в отдельном защищенном банке-репозитории RuToken. Закрытая часть ключа хранится только в памяти устройства, что исключает его утерю или доступ к нему третьих лиц. Открытая часть ключа доступна для использования приложениями после того, как пользователь пройдет идентификацию путем ввода пароля. При этом может быть использована аутентификация по одноразовому паролю.Аутентификация с использованием одноразового пароля означает использование нового пароля для каждого нового сеанса доступа.Рисунок 14 – Варианты прохождения аутентификацииРисунок 15 – Структура USB-брелокаВыбор организационных мер защитыПри построении системы товарной безопасности и эксплуатации этой системы ведутся переговоры с организациями, рассмотренными в п. 3.3.Для работы с системой безопасности было принято решение воспользоваться услугами частного охранного ЦБ. После подписания договора на контакт-центр возлагается постоянная ответственность сотрудников, взаимодействующего со Службой безопасности в процессе своей деятельности. Было принято решение воспользоваться услугами специальной организации по установке охранного оборудования. Ниже приведен пример директивы доступа к редактированию и внутреннего состояния объекта. В данной работе обеспечение информационной безопасности в организации включает в себя не только установку систем или оборудования. Подобная задача должна решаться на всех уровнях, широко и последовательно. Это дает возможность определить какие из предписанных мер, направленных на создание или оптимизацию системы безопасность наиболее эффективны и дают хороший результат.Интегрированные системы видеонаблюдения за состоянием периметра, а также системы контроля и ограничения доступа на территорию охраняемого объекта, устройства и системы, предназначенные для шифрования как документов, так и передаваемых данных, внедрение систем антивирусной защиты, установка правил доступа к ресурсам сети и сети интернет.3.5 Анализ возможных вариантов атак и реализаций угрозы нарушения ИБ и методы противодействия имКомплекс средств и технических систем, обеспечивающий соответствие заданного уровня информационной безопасности поставленным требованиям на примере организации может быть реализован различными путями, в зависимости от требований и возможностей, используемых при реализации. Так, например, для реализации требований по обеспечению ИБ возможно привлечение аутосорсиноговых компаний, используя их богатый опыт для реализации системы противодействия ИБ в организации.Далее рассмотрим различные сценарии, по которым может быть ревизована какая-либо угроза ИБ и выполнен НСД к информации. Определение требуемого перечня защитных мер очевидно определяется перечнем возможных путей получения НСД к данным. Как правило, утечка данных, наиболее часто характерна для организаций, занимающихся в сферах финансов, телекоммуникации, и т.п.В свете темы данной ВКР, определимся перечнем возможностей, которыми могут воспользоваться при попытках получения НСД к данным. Наиболее часто, доступ к данным реализуется за счет разглашения конфиденциальных сведений о данных клиентов, их счетов и пр. Как было показано выше, выбор используемой системы по обеспечению ИБ, которая определяется заданным уровнем риска проведения атаки.Также целесообразно провести анализ и современных технических решений, которые помимо традиционных средств могут оказывать значительную помощь в случае НСД.На текущий момент в продаже представлены различные программные средства, предназначенные для перехвата данных сотрудников, переданных по каналам связи, телефонных разговоров сотрудников и т.д. Как правило, подобные средства могут быть внедрены в используемые системы защиты.Проведем анализ различных вариантов формирования информационной безопасности финансовых учреждений, с целью отслеживания эффективности используемых средств.Проведение проверки защиты от НСД Одним из первых на Российском рынке вопросами проведения тестирования существующих систем обеспечения ИБ. Была создана дочерняя компания, которая предоставляла услуги на рынке информационной безопасности. В перечне услуг входили и проверка существующих каналов связи, тестирование предложенных средств защиты от проникновения вредоносного ПО, а также все технической инфраструктуры в целом. Суть выполнения подобной проверки состоит в определении наиболее уязвимых мест, а также проверка используемого ПО на предмет обеспечение заданных требований.Предлагаемые услуги стали актуальными и привлекательными для клиентов, находясь в составе пакета. Использование подобного сервиса позволяет производить мониторинг рынка и определять текущие потребности в данной сфере.Аудит используемой системы обеспечения ИБВ ходе проведения тестирования используемой системы защиты данных выявил определенный перечень уязвимостей, которые характерны для информационных систем, имеющих разветвленную архитектуру:Значительное количество инцидентов, связанных с утратой информации вызвано ошибками в используемом ПО, а также отказами средств программной автоматизации действий;Подавляющее число происходящих внешних атак выполняется посредством использования достаточно широко известных уязвимостей, как используемого ПО, так и операционных систем.Также, дополнительную трудность по обеспечению ИБ обеспечили частые переходы пользователей и сотрудников на сторонние сайты и формы аутентификации. Перенаправления пользователя выполнялось посредством применения специального приложения, что не давало возможности точно отслеживать и прогнозировать поведение посетителей, но и их стратегии, но и внедрять вредоносное ПО.Для решения большинства задач информационной безопасности использовал следующие решения:Внедрение расширенной системы аутентификации пользователей. Помещения включают в себя средства аутентификации, авторизации и администрирования. авторизация осуществляется при подтверждении действий пользователя сотрудником более высокого ранга;3.7 Выводы по третьей главеВ данной главе были рассмотрены необходимые меры по обеспечению безопасности значимых объектов критической информационной инфраструктурыкатегории.В связи с модернизацией системы были установлены сертифицированные криптографическое средство защиты информации и межсетевой экран, а также переработана и дополнена организационно-распорядительная и нормативноправовая документация предприятия. На основании проделанной работы были сформированы сведения о результатах присвоения объекту критической информационной инфраструктуры ИС «Контерра» 3 категории значимости. Данный документ направляется в письменном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации - Федеральную службу по техническому контролю.Таким образом, в соответствии с классификацией и приказом от 25 декабря 2017 года № 9 239 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» был предложенпроект по совершенствованию комплексной системы обеспечения информационной безопасности организации АО «ПКТ». Предложенный проект содержит оптимальные комплексы организационных, технических и программно-аппаратных мер и методов обеспечения информационной безопасности, внедрение которых позволяет нейтрализовать выявленные актуальные угрозы безопасностиЗаключениеПредставленная выпускная квалификационная работа ставит своей целью исследование вопросов обеспечения информационной безопасности активов критической информационной инфраструктуры на примере АО «ПКТ». Для оценки необходимых средств обеспечения ИБ в работе проведен анализ возможных уязвимостей объекта исследования и угроз, которые им соответствуют, что послужило отправной точкой для формирования моделей возможных нарушителей и определения необходимых организационных и технических средств по обеспечению ИБ.Оценка уязвимостей объекта выполнена в соответствии с требованиями актуальных законодательных актов, в соответствии с ключевыми аспектами ФЗ № 187 сформированы основные принципы обеспечения безопасности КИИ. На основании полученных в ходе исследования результатов было принято решение о том, что требуется внесение изменений в существующую систему обеспечения ИБ с целью соответствия ее требованиям для повышения защищенности критических информационных инфраструктур.Кроме того, на основе оценки эффективности реализации основных функций по обеспечению информационной безопасности были обследованы и проанализированы технические и программные средства подразделения, что подтвердило невыполнение части функций службы безопасности. Комплексная система информационной безопасности не была полностью внедрена, так как она не была внедрена.В квалификационной работе проводится анализ и формирование перечня требуемых мероприятий по формированию требуемого уровня защиты КИИ рассматриваемой организации АО «ПКТ»в соответствии с текущим законодательством. Информация, циркулирующая в этой системе, представляет для организации ценность, и поэтому она хочет эту информацию защитить. Предполагается защитить сеть передачи данных от удаленных атак, используя средства антивирусной защиты, межсетевых экранов и систем обнаружения атак. [21]Поскольку в данной организации объектами критической информационной инфраструктуры являются в том числе и информационные системы, то и модель угроз и нарушителя составлялась из учета возможности применения угроз информационной безопасности к этим средствам, расположенным на объектах информационной инфраструктуры. Полученные результаты могут быть применены в реальных условиях для построения актуальной модели угроз применительно к критической информационной инфраструктуре организации с целью проектирования и создания эффективных систем защиты информации учитывающих 187-ФЗ и другие нормативные акты применяемы в Российской Федерации.Список использованных источниковАнанченко И.В., Зудилова Т.В., Хоружников С.Э. Средства резервного копирования, восстановления, защиты данных в операционных системах Windows. Учебное пособие. — СПб.: Университет ИТМО, 2019. — 50 с.Базовая модель угроз безопасности персональных данных при их88обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.) [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/component/attachments/download/289 Баймакова И.А., Новиков А.В., Рогачев А.И. Обеспечение защиты персональных данных. Методическое пособие / И.А. Баймакова. – М.: 1С-Паблишинг, 2019. – 214 с.Банк данных угроз безопасности информации [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: http://bdu.fstec.ru/Безкоровайный Д. Безопасность компонентов / Д. Безкоровайный. – Открытые системы. СУБД. – М: Издательство «Открытые системы», 2011. – 26 с. Бирюков В.А., Дмитриева О.В., Степанова Г.Н. Теоретико-методологические аспекты реализации стратегии информационной безопасности медиаорганизации в современных условиях. Монография. — М.: Буки Веди, 2019. — 160 с.Бойченко О. В. Обеспечение безопасности критически важных объектов инфраструктуры российской федерации / А. А. Аношкина // Ученые записки Крымского федерального университета имени В. И. Вернадского. Экономика и управление, 2016 – С.15-19. ГОСТ 51241-98 - Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытанийГОСТ Р 50922-2006. Защита информации. Основные термины и определения М.: Стандартинформ, 2008 [Электронный ресурс] : справочная правовая система: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=EXP&n=418509#06367720451532759ГОСТ Р 53113.2-2009 Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. - М.: Госстандарт России: Издательство стандартов, Дата введения 2009-12-01ГОСТ Р ИСО 15489-1-2007 «Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования» - М.: Госстандарт России: Издательство стандартов, 2007.ГОСТ Р ИСО/МЭК 27002-2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности [Электронный ресурс] : сайт Федерального агентства по техническому регулированию и метрологии: http://protect.gost.ru/document.aspx?control=7&id=183918Денисов Д.В Методические указания по дипломному проектированию для специальности «Информационные системы и технологии», «Безопасность информационных систем» Денисов Д.В., Дик В.В., Емельянов А.А., Жильцов А.И.,М. МПФУ 2019 г.Жидко Е.А. Информационные риски как аргумент безопасного и устойчивого развития организаций / Е.А. Жидко, Л.Г. Попова // Информация и безопасность, 2010. – №4. – С. 543–552. Интегрированная система охраны «FоrtNеt» [Электронный документ] URL: http://bоlid.ru/prоduсtiоn/оriоn/Козин И.С. Метод определения опасности угрозы персональным данным при их обработке в информационной системе. 2017. – C. 19-26. Козлов Сергей. Защита информации. Устройства несанкционированного съема информации и борьба с ними. М.: Трикста, 2018. — 289 с.Крысин А.В. Информационная безопасность. Практическое руководство — М.: СПАРРК, К.:ВЕК+,2019.Кудрявцев А.М. Киберустойчивость информационно-телекоммуникационной сети / М.А. Коцыняк, И.А. Кулешов, А.М. Кудрявцев, О.С. Лаутаи. – СПб.: Бостон-спектр, 2015. – 150 с. Куликов С.С. Метод риск–анализа информационно–телекоммуникационных систем при атаках на их ресурсы / С.С. Куликов, В.И. Белоножкин // Информация и безопасность, 2013. – Т. 16. – №1. – С. 143–144. Масалков А.С. Особенности киберпреступлений: инструменты нападения и защиты информации. М.: ДМК Пресс, 2018. — 226 с.: ил.Меликов У.А. Гражданско-правовая защита персональных данных / У.А. Меликов // Вестник УрФО. Безопасность в информационной сфере. 2015. № 4 (18). – С. 49-53. Мельников П. П. Защита информации в автоматизированных системах финансовых и коммерческих организаций, М.: ФА, 2018. –76с.Михалевич И.В. Вопросы классификации объектов критической информационной инфраструктуры по требованиям безопасности информации / И.В. Михалевич // XIII Всероссийское совещание по проблемам управления, 2019 – С. 2587 – 2590. Нохрина Г.Л. Информационная безопасность. Курс лекций. — Екатеринбург: Уральский государственный лесотехнический университет, 2017. — 133 с.НПБ 88-01 Установки пожаротушения и сигнализации. Нормы и правила проектированияО безопасности критической информационной инфраструктуры Российской Федерации: Федеральный закон (от 26.07.2017 № 187-ФЗ) [Электронный ресурс] : сайт Президента Российской Федерации: http://www.kremlin.ru/acts/bank/42489О внесении изменений в Положение о ФСТЭК: Указ Президента Российской Федерации (от 25.11.2017 г. № 569) [Электронный ресурс] : сайт Федерального агентства по техническому регулированию и метрологии: http://protect.gost.ru/document.aspx?control=7&id=183918О внесении изменений в регламент ФСТЭК: Приказ ФСТЭК (от 26.04.2018 №72) [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/index?id=1596:prikaz-fstek-rossii-ot-26-aprelya-2018-g-n-72О персональных данных: Федеральный Закон (от 27 июля 2006 г. №152-ФЗ) [Электронный ресурс] : справочная правовая система: http://www.consultant.ru/document/Cons_doc_LAW_61801/Об информации, информационных технологиях и о защите информации: Федеральный Закон (от 27 июля 2006 г. № 149-ФЗ) [Электронный ресурс]: справочная правовая система: http://www.consultant.ru/document/cons_doc_LAW_61798/Об утверждении порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации: Приказ ФСТЭК России (от 06.12.2017 № 227) [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1587-prikaz-fstek-rossii-ot-6-dekabrya-2017-g-n-227Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений: Постановление Правительства РФ [Электронный ресурс] : информационно-правовой портал: http://www.garant.ru/products/ipo/prime/doc/71776120/Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Постановление Правительства Российской Федерации [Электронный ресурс], информационно-правовой портал: http://www.garant.ru/products/ipo/prime/doc/71783452/Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования: Приказ ФСТЭК (от 21.12.2017 №235) [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/index?id=1606:prikaz-fstek-rossii-ot-21-dekabrya-2017-g-n-235 Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Приказ ФСТЭК (от 25.12.2017 № 239) [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/en/53-normotvorcheskaya/akty/prikazy/1592-prikaz-fstek-rossii-ot-25-dekabrya-2017-g-n-239Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Приказ ФСТЭК России (от 11.12.2017 № 229) [Электронный ресурс]: сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1475-prikaz-fstek-rossii-ot-11-dekabrya-2017-g-n-229Пелешенко В.С., Говорова С.В., Лапина М.А. Менеджмент инцидентов информационной безопасности защищенных автоматизированных систем управления. Учебное пособие. — Ставрополь: Изд-во СКФУ, 2017. — 86 с.Приказ № 154 Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28.04.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных»;Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;Сабанов А. А. Некоторые аспекты защиты электронного документооборота // Соnnесt! Мир связи. - 2019. - № 7. - С. 62-64.Сидоренко В.Л. Защита объектов критической инфраструктуры в условиях гибридной технологии ведения войны / С.И. Азаров, Е.А. Власенко, В.А. Тищенко, 2018. – 14 с. Соколов А. М., Степанюк О.М. Защита объектов и компьютерных сетей (Шпионские штучки). - М.: ACT, СПб.: Полигон, 2018. 272с.Соловьев В.В. Улучшение защищенности распределенной информационной системы персональных данных на основе технологии VPN и терминального доступа / В.В. Соловьев // Информационные технологии и проблемы математического моделирования сложных систем. – 2017. – №18. – С. 39-44. Сычев Ю.Н. Стандарты информационной безопасности. Защита и обработка конфиденциальных документов. М.: РЭУ им. Г.В. Плеханова, 2017. — 207 с. Титоренко, Г.А. Информационные системы в экономике : учебник для студентов вузов / Г.А. Титоренко. - М. : ЮНИТИ-ДАНА, 2018. - 463 с.Федеральный закон "О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера" от 21.12.1994 N 68-ФЗЦывин М.Н. Терминологические проблемы изучения дисциплины "Электронный документооборот" / М.Н. Цывин // Библиотековедение. Документоведение. Информология. - 2019. - № 1. - C. 7 - 11.Чукарин А.В. Бизнес-процессы и информационные технологии в управлении современной инфокоммуникационной компанией / А.В. Чукарин. – М.: Альпина Паблишер. – 2016. - 512 c. Щеглов А.Ю. Защита компьютерной информации от несанкционированного доступа. изд 2 - М.: Наука и техника, 2019. - 412 с.Банк данных угроз безопасности информации [Электронный ресурс] – Режим доступа: http://bdu.fstec.ru/.