ГОСТами вводится единая терминология в области защиты информации, а также определяются виды и методы испытаний технических и программных средств обработки и защиты, виды, комплектность и обозначения документов.
Информационные модели содержат обобщенные сведения о состоянии, возможностях, тактико-технических и эксплуатационно-технических характеристиках, способах применения, тенденциях и перспективах развития технических средств различного назначения. Такие модели, как правило, охватывают определенные направления: средства разведки, средства промышленного шпионажа, технические средства защиты информации, программные средства защиты и т. д. и разрабатываются ведомственными научно-исследовательскими организациями и учреждениями, а также межведомственными органами. Они широко используются при решении конкретных научных, научно-исследовательских и практических инженерных задач в области защиты информации.
Нормативные документы определяют конкретные количественные требования к противодействию техническим средствам разведки, требования к эффективности защиты объектов от утечки информации по техническим каналам и т. п.
Методики и инструкции определяют организацию и порядок категорирования объектов защиты, измерения и расчета различных количественных показателей, проведения испытаний объектов и средств защиты, оценки опасности технических средств разведки, контроля эффективности методов и средств защиты информации, проведения специальных исследований, специальных проверок и аттестации объектов информатики.
Нормы, методики и инструкции разрабатываются в министерствах, ведомствах и проектных специализированных организаций и широко используются в повседневной работе при проектировании, создании и эксплуатации объектов и средств защиты информации.
Эксплуатационно-техническая документация (технические описания технических средств, инструкции по эксплуатации, схемы электрические принципиальные и т. д.) содержат сведения о составе, характеристиках, устройстве, условиях и правилах эксплуатации конкретных технических средств и систем обработки и защиты информации.
При решении различных задач в области защиты информации могут быть дополнительно использованы учебно-методическая и научная литература, изобретения, рацпредложения и т. п. Эти источники информации не регламентируют деятельность в области защиты информации, но могут оказаться полезными в решении многих конкретных задач, так как отражают современный уровень технологий.
При разработке и создании системы комплексной защиты информации для конкретного объекта основное внимание должно быть уделено ее оптимальности. Оптимальность системы защиты заключается в следующем — система должна обеспечить требуемый уровень защиты информации при минимальном расходовании ресурсов (финансовых, технических, информационных и др.) на ее создание, организацию и обеспечение функционирования или при заданном объеме ресурсов обеспечить максимально возможный уровень защищенности информации.
При оптимизации системы защиты ключевым исходным моментом является формирование максимально возможного множества возможных угроз и функций защиты, так как надлежащим распределение ресурсов в осуществлении каждой функции можно оказывать воздействие на уровень защищенности информации, создавая, таким образом, объективные предпосылки для разработки оптимальной системы защиты. Для построения оптимальной системы защиты необходимо построить полное множество угроз и функций защиты. На практике приходится довольствоваться сокращенным основным (базовым) перечнем.
Базовое множество функций защиты включает: создание таких условий, при которых угрозы безопасности информации не могли бы проявляться;
2. предупреждение появления угроз;
3. обнаружение появления угроз;
4. оценка степени угроз;
5. предупреждение воздействия появившихся угроз на защищаемую информацию;
6. обнаружение и оценка воздействия угроз на защищаемую информацию;
7. локализация воздействия угроз на информацию;
8. ликвидация последствий воздействия угроз;
9. анализ нападения и защиты с целью оптимизации системы, технологий, устройств, персонала и других ресурсов;
10. документирование процессов и решений.
Таким образом, разработка концепции комплексной системы обеспечения безопасности предприятия заключается в изучении современной нормативно-правовой базы функционирования КСОБ предприятия, главных принципов обеспечения безопасности бизнеса.
По мере того, как процесс информатизации большинства областей деятельности в Российской Федерации: правительства, промышленности, социальной сферы, бизнеса, и т. д. развивается бурными темпами, встает вопрос о комплексном подходе к защите информации. Политики информационной безопасности (ПИБ) направлены на решение этой серьезной проблемы. Под политикой информационной безопасности понимают «формальное изложение правил поведения лиц, получающих доступ к конфиденциальным данным в корпоративной информационной системе». Корректно разработанные и остающиеся актуальными, они отражают мнение руководства по вопросу информационной безопасности, связывают воедино все методы защиты информации, позволяют разработать единые стандарты в области защиты информации, регламентируют работу сотрудников. Политики информационной безопасности являются основой для дальнейшей разработки документов по обеспечению безопасности: стандартов, процедур, регламентов, должностных инструкций и т. д.
Актуальность разработки политик информационной безопасности для компаний объясняется необходимостью создания механизма управления и планирования информационной безопасности. Также политики ИБ позволяют совершенствовать следующие направления деятельности компании:
— поддержка непрерывности бизнеса;
— повышение уровня доверия к компании;
— привлечение инвестиций;
— минимизация рисков бизнеса с помощью защиты своих интересов в информационной сфере;
— обеспечение безопасного и адекватного управления компании;
— снижение издержек;
— повышение качества деятельности по обеспечению ИБ.
Естественно, что совершенствование направлений деятельности организации зависит от грамотности составления политики информационной безопасности.
Политики информационной безопасности определяют стратегию и тактику построения системы защиты информации. Стратегическая часть связана со стратегией развития бизнеса компании и развитием ее IT-стратегии. Тактическая часть, в свою очередь, подробно описывает правила безопасности. В соответствии с определением политики информационной безопасности и рекомендациями международных стандартов в области планирования и управления ПИБ, политики должны содержать:
— определение предмета, задач и целей;
— условия применения и их ограничения;
— отражение позиции руководства в отношении выполнения политики ИБ и создания комплексной системы ИБ;
— определение прав и обязанностей сотрудников;
— определение границ ответственности сотрудников за выполнение политики ИБ;
— порядок действий в случае нарушения политики ИБ.
Как правило, основная ошибка заключается в отсутствии в компании формализованных, зафиксированных и утвержденных процессов обеспечения информационной безопасности. Эти процессы должны определять единую техническую политику в части выбора средств защиты, текущее состояние ИБ (уровень зрелости компании с точки зрения обеспечения информационной безопасности) и планы развития компании.
Основные положения информационной безопасности и позиция руководства компании прописываются в концепции информационной безопасности (КИБ). Концепция информационной безопасности реализуется в частных политиках информационной безопасности, процедурах, руководствах и стандартах, обеспечивающих детальную интерпретацию положений КИБ для сотрудников, партнеров и клиентов компании и организации. Эта структура руководящих документов и называется политикой информационной безопасности (рис. 5.).
Рисунок 5 — Структура руководящих документов ПИБ Частные политики информационной безопасности определяют «почему» компания защищает свою информацию. Стандарты обозначают «что» компания намерена предпринимать для реализации и управления безопасностью информации. Процедуры описывают «как» компания будет выполнять требования, описанные в высокоуровневых документах (частной политике и руководствах).
При разработке каждой новой частной политики информационной безопасности составляются свои руководства, стандарты и процедуры. У нескольких разработанных частных политик могут быть одинаковые, пересекающиеся или дополняющие друг друга стандарты и процедуры.
Таким образом, политика информационной безопасности является неотъемлемой частью систем установления режима информационной безопасности и контроля за ним: систем информационной безопасности (СИБ) и систем управления информационной безопасности (СУИБ) соответственно.
Несмотря на огромное количество публикаций в российской и зарубежной прессе по проблемам защиты информации, лишь немногие компании «созревают» до внедрения СИБ. Уже существующие системы, за редким исключением, построены по принципу «латания дыр»: средства защиты информации (СЗИ) внедряются бессистемно, в основном с учетом мнения местных специалистов, либо наличия на рынке недорогих решений.
Основными же аргументами в пользу внедрения тех или иных СЗИ, как правило, являются положения руководящих документов, международных или отраслевых требований, соответствующих стандартов. Задачу построения системы информационной безопасности каждое ведомство решает своими подходами, на основе имеющихся специалистов и ограниченного выбора решений. И разными темпами: где-то все упирается в нехватку денег, где-то в недостаток внимания руководства.
Ограниченное число компаний предоставляют СМИ информацию о том, как производится оценка защищенности ИС и есть ли на это регламенты. Практически невозможно узнать, проводится ли аудит системы управления информационной безопасностью (СУИБ). Тем не менее, в большинстве отраслей существуют внутренние административные документы по ИБ (инструкции, регламенты, разделы в трудовых соглашениях).
Доводы о важности анализа рисков лишь недавно начали завоевывать своих сторонников среди руководства и сотрудников отечественных компаний.
Анализ рисков ИБ, как поиск бизнес-процессов, уязвимых с точки зрения связанности с ИТ-инфраструктурой, в российских компаниях пока не прижился. Сыграло свою роль отсутствие в большинстве компаний культуры управления рисками, а, кроме того, специализированные организации изначально оказывали эту услугу непрофессионально. Анализ опрометчиво сводился лишь к определению степени защищенности/уязвимости серверов без учета остальной ИТ-инфраструктуры и бизнеса компании в целом. Негативно сказалась и неопределенность критериев оценки рисков. В итоге анализ рисков стал инструментом обоснования внедрения СИБ, выгодного компании-подрядчику.
Большинство отраслевых компаний и ведомств не желают раскрывать вопросы, описывающие архитектуру, схемы и детали построения существующей СИБ: есть ли концепция и политика ИБ, как оценивается защищенность, регулярно ли проводится аудит ИБ и т. д. Исключения составляют лишь отечественные лучшие практики («best practice») реализации СИБ, например, РАО «ЕЭС России», Федеральная таможенная служба и т. д.
В российской открытой печати широко обсуждается модель определения уровня зрелости предприятий. В настоящее время единственный четкий критерий оценки уровня зрелости отечественного предприятия по информационной безопасности — это модель зрелости СИБ компании, описанная в стандарте Банка России.
Модель зрелости процессов менеджмента ИБ организации стандарта ЦБ основывается на определенной стандартом CobiT универсальной модели, которая устанавливает шесть уровней:
Нулевой − полное отсутствие процессов менеджмента ИБ в рамках деятельности организации. Организация не осознает существования проблем ИБ.
Первый («начальный») − наличие документально зафиксированных свидетельств осознания организацией существования проблем обеспечения ИБ. Однако используемые процессы менеджмента ИБ не стандартизованы, применяются эпизодически и бессистемно. Общий подход к менеджменту ИБ не выработан.
Второй («повторяемый») − проработаны процессы менеджмента ИБ до уровня, когда их выполнение обеспечивается различными людьми, решающими одну и ту же задачу. Однако отсутствуют регулярное обучение и тренировки по стандартным процедурам, а ответственность возложена на исполнителя. Руководство организации в значительной степени полагается на знания исполнителей, что влечет за собой высокую вероятность ошибок.
Третий («определенный») − процессы стандартизованы, документированы и доведены до персонала посредством обучения. Однако порядок использования данных процессов оставлен на усмотрение самого персонала. Это определяет вероятность отклонений от стандартных процедур, которые могут быть не выявлены. Применяемые процедуры неоптимальны и недостаточно современны, но являются отражением практики, используемой в организации.
Четвертый («управляемый») − обеспечиваются мониторинг и оценка соответствия используемых в организации процессов. При выявлении низкой эффективности реализуемых процессов менеджмента ИБ обеспечивается их оптимизация. Процессы менеджмента ИБ находятся в стадии непрерывного совершенствования и основываются на хорошей практике. Средства автоматизации менеджмента ИБ используются частично и в ограниченном объеме.
Пятый («оптимизированный») − процессы менеджмента ИБ проработаны до уровня лучшей практики, основанной на результатах непрерывного совершенствования и сравнения уровня зрелости относительно других организаций. Защитные меры в организации используются комплексно, обеспечивая основу совершенствования процессов менеджмента ИБ. Организация способна к быстрой адаптации при изменениях в окружении и бизнесе.
Принято считать, что наличие концепции и частных политик информационной безопасности в организации свидетельствует о ее выходе на «начальный» уровень ИБ. Однако таких признаков, учитывая стандарт Банка России, намного больше. Концепция как необходимый признак ИБ слабо сказывается на создании завершенных вертикальных решений (рис. 1). В таком случае достаточным условием успешного обеспечения ИБ, на время разработки СИБ, может стать четкая реализация частных политик.
На текущий момент в РФ разработано большое количество нормативных документов в области ИБ (рис. 6). Но до сих пор не разработан стандарт для СИБ. Такая же ситуация и с сертификацией.
Дальше всех урегулирован процесс сертификации «на соответствие», а самая освоенная область − сертификация СЗИ по линии Федеральной службы по техническому и экспортному контролю (ФСТЭК). С одной стороны, это помогает заказчику определиться, приобретать сертифицированное решение или отказаться от него. С другой − степень доверия к сертификации по ТУ (в отсутствие соответствующего стандарта) падает с каждым днем, хотя сертификационные лаборатории проводят испытания, а все заявленные производителем условия работы и база сертифицированных решений дает заказчикам реальную возможность выбора. Необходимость в сертификации СИБ есть, но развитой системы сертификации нет.
Системы управления ИБ, создаваемые в ведомствах, делаются по зарубежным стандартам, например, ISO 17 799
Государственных регламентирующих документов в этой области нет ни по отдельным ведомствам, ни по стране. Видимо, лишь стандарт ЦБ введет сертификацию на СУИБ.
Рисунок 6 — Базовый набор требований к СИБ Другая проблема — количество в стране ведомств, занимающихся вопросами защиты информации. Составить по их документам концепцию ИБ непросто, у каждого ведомства своя терминология.
На смену старым руководящим документам для обеспечения ИБ приходят новые законы и стандарты, которые характеризуются неочевидной применимостью, либо отсутствием проработанной нормативной базы, чья цель пояснять и детализировать требования закона.
Один из наиболее сбалансированных и жизнеспособных документов — внутриотраслевой стандарт Банка России по ИБ.
В других отраслях создание технических регламентов и отраслевых стандартов по ИБ на стадии проектов.
Базовым ориентиром совершенствования СИБ для основной массы компаний до недавнего времени оставался стандарт ISO 17 799
Документ аккумулировал опыт построения комплексных систем ИБ и их фрагментов, но не отвечал на вопрос: насколько это целесообразно для конкретной организации. Широкое применение нашел стандарт ISO 27 001:
2005, где приведены методики выбора защитных мер, адекватных рискам, за счет создания СУИБ. Впервые было определено, что в процесс управления системой ИБ должны быть вовлечены все сотрудники − от исполнителей до руководства компании. Если же организация стремится выйти на международный рынок, то она должна присматриваться еще и к международным нормативам.
Разработке системы безопасности всегда предшествует процедура аудита существующей СИБ. Сегодня в России активно рекламируют фактически одну методику аудита на основе стандарта BS7799
Эту методику реализуют две компании − KPMG и BSI.
Провести аудит одной компании несложно. Но проблемы возникают при проведении аудита крупных ведомств − невозможно описать всю информационную систему таких структур.
Только на инвентаризацию может уйти не меньше 3−5 лет. При глубоком исследовании степени защищенности сроки проведения увеличиваются многократно. Единственный выход для таких ведомств − включать механизмы организационных мер.
Многие отечественные компании прибегают к помощи «компаний-интеграторов». Эти компании выполняют разработку и внедрение СИБ, учитывая пожелания заказчика.
В настоящее время существуют следующие варианты построения СИБ:
− объединение средств защиты информации (СЗИ) в СИБ;
− достройка СИБ с добавлением новых СЗИ;
− интеграция новых СЗИ в СИБ.
В отношениях заказчик-интегратор существуют свои проблемы. Не каждое СЗИ столь эффективно, как это утверждают производители и независимые интеграторы. Если производители, с точки зрения конкуренции, нахваливают себя и обещают полную защищенность с помощью именно своего продукта, то интеграторы вынуждены идти на поводу у поставщиков, не имея времени и квалифицированных кадров, чтобы подобрать нужные конкретному заказчику СЗИ и интегрировать их в информационную систему. Многие российские интеграторы производят собственные СЗИ, которые редко сопрягаются с компонентами мультивендорных ИС.
Еще одной опасной тенденцией становится использование только тех продуктов защиты информации, которые приносят прибыль не менее некоторого порогового значения.
Интегратор должен знать рынок и продавать не только свое, но и чужое решение, по необходимости вступая в альянсы с нужными поставщиками. Задача интегратора − оценить предложения рынка, проанализировать результаты, а затем предлагать заказчику самые лучшие решения, причем, зная, у кого и что лучше покупать (независимо от того, совместимы данные продукты с собственным творением интегратора или только между собой).
Рост уровня стандартизации продуктов ИБ − объективная тенденция российского рынка. И в этом смысле интегрируемость решений также растет.
Если на предприятии изначально СЗИ внедрялись разными специалистами и только потом интегратор написал концепцию, то ее реализация будет далеко не однозначной.
При интеграции СИБ в ИТ-инфраструктуру компании целесообразно говорить не о фактической степени интеграции, а об интеграционном потенциале заданной СИБ. А он пропорционален числу стандартов, которые поддерживаются используемыми в компании продуктами.
Есть два варианта разрешения существующих проблем. Первый: компаниям-подрядчикам, оказывающим услуги в области ИБ, предлагать наряду с дорогими и доступные решения, адаптированные к конкретным требованиям.
Второй: использовать услуги по аутсорсингу ИБ. Т. е. обеспечение режима информационной безопасности частично или полностью переложить на стороннюю организацию, специализирующуюся в этой области.
При создании единой СИБ выделяют четыре основных проблемы внедрения:
1). Убеждение руководства в решении создания подразделения информбезопасности.
2). Подбор квалифицированных кадров. Главная проблема здесь состоит в том, что учебные заведения, которые готовили специалистов, в значительной мере утратили свои позиции, а те, кто пытается занять эту нишу сейчас, не способны обеспечить должное качество обучения.
3). Выстраивание деловых взаимоотношений со службой ИТ.
4). Внедрение политики ИБ в среде персонала. Это необходимо сделать таким образом, чтобы она стали частью корпоративной культуры. Необходимо, чтобы нормативы соблюдались на деле, для чего все должны понимать их важность. Каждый новый сотрудник должен направляться на специализированные курсы по ИБ. Обучают не только собственных сотрудников по отдельным углубленным целевым программам, но и сотрудников ИБ всех филиалов, администраторов ИБ подразделений. Проводятся регулярные инструктажи на местах.
Главное различие в подходе к ИБ государственных и коммерческих организаций состоит в том, что для первых, законодательство требует использовать лишь сертифицированные СЗИ, а у вторых больше возможностей для маневра − подход к ИБ зависит лишь от воли руководства.
Если рассматривать средства защиты с точки зрения их интегрированности между собой и с информсистемой компании, управляемости системы ИБ в целом, то однозначно проранжировать ведомства не представляется возможным. Причина − в закрытости информации и разного рода реорганизациях, которые происходят регулярно в этих ведомствах.
Главный ресурс − выделение бюджетов на цели ИБ, в первую очередь для госорганизации.
Если не будет· централизованного и регламентированного финансирования с прозрачными механизмами проверок исполнения бюджета, не будет и реальной работы. Лидеры по обеспечению ИБ среди госорганизаций − Федеральная таможенная служба, Федеральная налоговая служба и Пенсионный фонд.
По итогам исследования можно сделать следующие выводы:
1. Общий уровень зрелости российских компаний и ведомств в области ИБ можно отнести к первому по классификации стандарта CobiT или стандарта Банка России.
2. Разрешение проблемы разработки национальных стандартов по ИБ может быть выполнено в результате принятия системы отраслевых стандартов. Необходимо создать стандарт для предприятий одной отрасли, у которых много общих функций, а зачастую и параметров информационных потоков. Аттестацию на соответствие стандарту могут проводить лицензиаты ФСТЭК.
Заключение
Персональные данные — сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Персональные данные относятся к категории конфиденциальной информации.
Исследование показало, что наиболее подвержены атакам злоумышленников документы, содержащие условия отдельных сделок и персональную информацию.
Наиболее опасные угрозы информационной безопасности: сбой информационной системы, утечка информации, искажение данных.
Наиболее действенными средствами защиты электронных документов является резервное копирование и организационные меры защиты.
Рассматриваемая организация характеризуется высоким уровнем сознания в области информационной безопасности документов, но на деле в целях ее повышения делается сравнительно немного.
В процессе исследования был сделан вывод о необходимости разработки политики безопасности или положения о защите персональных данных работника.
Проект политики безопасности разрабатывается на основе собранной в процессе аудита безопасности информации. Для этого может быть использован типовой проект политики, с адаптацией его к специфическим особенностям организации.
После утверждения документа необходимо внедрить его в организации, а это обычно встречает сопротивление со стороны сотрудников организации, поскольку налагает на них дополнительные обязанности, усложняет работу. Поэтому система безопасности документов должна быть тщательно продумана и целесообразна, не должна создавать значительные трудности в работе.
Процесс подделки документа и процесс защиты этого документа несомненно творческий. В этом выражается вечная борьба с преступностью, которая, как известно неискоренима. Естественно, творчество здесь не является самоцелью. Основной задачей является защита документа.
Список использованной литературы Нормативно-правовые акты и документы Конституция (Основной Закон) Российской Федерации — России: принята Государственной Думой 12 декабря 1993 года (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.
12.2008 N 6-ФКЗ, от 30.
12.2008 N 7-ФКЗ).
УК РФ от 13.
06.1996 N 63-ФЗ. Принят Государственной Думой 24 мая 1996 года (в редакции от 07.
03.2011), ФЗ от 10.
01.2002 № 1-ФЗ «Об электронной цифровой подписи». Принят Государственной Думой 13 декабря 2001 года (в редакции от 08.
11.2007).
«Трудовой кодекс Российской Федерации» от 30.
12.2001 N 197-ФЗ (ред. от 07.
11.2011) / СПС Консультант
Плюс.
«Кодекс Российской Федерации об административных правонарушениях» от 30.
12.2001 N 195-ФЗ (ред. от 21.
07.2011) (с изм. и доп., вступающими в силу с 21.
10.2011) / СПС Консультант
Плюс.
Налоговый кодекс Российской Федерации: Части 1 и 2 на 1 января 2008 года — М: Омега-Л: 2007. — С. 496.
Федеральный закон от 19.
12.2005 N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» / СПС Консультант
Плюс.
Федеральный закон от 30.
06.2006 N 90-ФЗ (ред. от 18.
07.2011) «О внесении изменений в Трудовой кодекс Российской Федерации, признании не действующими на территории Российской Федерации некоторых нормативных правовых актов СССР и утратившими силу некоторых законодательных актов (положений законодательных актов) Российской Федерации» / СПС Консультант
Плюс.
ФЗ от 27.
07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Принят Государственной Думой 8 июля 2006 года (в редакции от 06.
04.2011).
ФЗ от 29.
07.2004 N 98-ФЗ «О коммерческой тайне». Принят Государственной Думой 09 июля 2004 года (в редакции от 24.
07.2007).
Федеральный закон от 08.
08.2001 N 128-ФЗ «О лицензировании отдельных видов деятельности» (принят ГД ФС РФ 13.
07.2001) (в редакции от 29.
12.2010).
Федеральный закон от 25.
06.2002 N 73-ФЗ «Об объектах культурного наследия (памятниках истории и культуры) народов Российской Федерации» (в редакции от 30.
11.2010).
Федеральный закон от 01.
04.1996 N 27-ФЗ (ред. от 07.
11.2011) «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» / СПС «Гарант».
Постановление Правительства РФ от 17.
11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» // СПС «Гарант».
Постановление от 26 июня 1995 г. № 608 «О Сертификации средств защиты информации» (в редакции от 21.
04.2010) // СПС «Гарант».
Письмо Минфина РФ от 23.
09.2008 № 03−04−07−02/17. Режим доступа:
http://www.consultant.ru/online/base/?req=doc;base=QUEST;n=63 057.
ГОСТ Р ИСО 15 489−1-2007
Управление документами. Общие требования; ИСО/МЭК 27 001
Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования; Скиба О. Защита документа в системе электронного документооборота / О. Скиба // Секретарское дело. 2007. — №
12. — С. 24.
Международные правовые акты Директива Организации по экономическому сотрудничеству и развитию о защите неприкосновенности частной жизни и международных обменов персональными данными;
Международная конвенция «Об охране личности в отношении автоматизированной обработки персональных данных» 1981 года;
Европейская конвенция о защите физических лиц при автоматизированной обработке персональных данных;
Конвенция Совета Европы № 108 о защите личности в связи с автоматической обработкой персональных данных;
Директива 95/46/ЕС и № 2002/58/ЕС от 24 октября 1995
Европейского парламента и Совета Европейского Союза о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных;
Директива 97/66/ЕС от 15 декабря 1997 года по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе.
Специальная литература, к которой относится:
Азарова, Е. Г. Азбука жилья. Жилищный кодекс от, А до Я / Е. Г. Азарова, А. Батяев. М: Налоги и финансовое право. 2009. — с. 23.
Безруков, Н. Н. Компьютерная вирусология / Н. Н. Безруков. — Киев: Книга, 1990. — 28 с.
Богатыренко З. С. Новейшие тенденции защиты персональных данных работника в российском трудовом праве / Богатыренко З. С. // Трудовое право. 2006. № 10. С. 29−52.
Вичужанин Я. Г. Информация ограниченного доступа: конфиденциальная информация.: учеб.
пособие / Я. Г. Вичужанин, Ж. Н. Колчерина. — Ижевск: Детектив-информ, 2007. — 4.
2.
Дворецкий А. В. Защита персональных данных работника по законодательству Российской Федерации / Дворецкий А. В. // автореферат диссертации на соискание ученой степени кандидата юридических наук / Томский государственный университет. Томск, 2005.
Демин А. Б. Защита персональных данных работника / Демин А. Б. // Полиграфист. В помощь руководителю и главному бухгалтеру. 2007. № 31. С. 85−93.
Демьянов, Б. С. Современный электронный документооборот (достоинства и недостатки) / Б. С. Демьянов // Вестник Тверского государственного университета. Сер.: Управление. — 2005. — № 3 (9). С. 42−47.
Зиновьев, П.В. К вопросу повышения защищенности существующих и перспективных автоматизированных систем электронного документооборота / П. В. Зиновьев // Вестник Воронежского государственного технического университета. — 2010. Т. 6. — №
12. — С. 174.
Лушников А. Защита персональных данных работника: сравнительно-правовой комментарий гл. 14 Трудового кодекса РФ / Лушников А. // Управление персоналом. 2009. № 17. С. 70−79.
Официальный Журнал Европейских сообществ от 23 ноября 1995 г. № L.
281. С. 31. Разд. 1 «Принципы, касающиеся качества данных». Ст. 6.
Истратова А. Г. Актуальные вопросы защиты персональных данных работника / Истратова А. Г. // Вестник Московского университета МВД России. 2009. № 7. С. 167−170.
Кучеров, И. И. Пособия и льготы гражданам с детьми / И. И. Кучеров. — М: Норма, 2009. — С. 378.
Кучма М. И. Как самому рассчитать трудовую пенсию. / М. И. Кучма. — М: Юриспруденция, 2004. — С.
39.
Мамедов, А. О. Международный финансовый менеджмент в условиях глобального финансового рынка / А. О. Мамедов. — М: Магистр — с. 35.
Маркевич А. С. Организационно-правовая защита персональных данных в служебных и трудовых отношениях: автореф. дис. … канд. юрид. наук. Воронеж, 2006.
Петренко С.А., Курбатов В. А. Политики информационной безопасности. — М.: Компания АйТи, 2006.
Пошерстник Н.В., Мейксин, М. С. Кадры предприятия. СПб.: Изд. Дом «Герда», 2004.
Разувайкин В. В. Что делать с персональными данным? Защита информации. -2008.-№ 3.
Скиба, О. Защита документа в системе электронного документооборота / О. Скиба // Секретарское дело. 2007. — № 12. — С. 25.
Стахова Т. С. Персональные данные сотрудника овд: проблемы правового регулирования / Стахова Т. С. // Вестник Владимирского юридического института. 2009. № 2. С. 146−150.
Трапезникова, Т.А., Саксонова, А. Об уплате страховых взносов в Пенсионный фонд Российской Федерации / Т. А. Трапезникова, А., Саксонова, // Налоговый вестник. — 2006. — № 11. — С. 180.
Хачатурян Ю. Право работника на защиту персональных данных: пробелы законодательства / Хачатурян Ю. // Человек и труд. 2006. № 1. С. 74−77.
Электронные ресурсы Виды (типы) угроз и атак в сети Internet [Электронный ресурс]: Электронный журнал. — HackZone Ltd 2007. — Режим доступа:
http://www.hackzone.ru/articles/view/id/5971/.
Киви Берд Из жизни пиратов [Электронный ресурс]: Электронный журнал. — опубликовано в журнале «Компьютерра» 20 января 2009 г. — Режим доступа:
http://www.computerra.ru/395 752/?phrase_id=10 718 679.
Киви Берд Конфликт криптографии и бюрократии [Электронный ресурс]: Электронный журнал. — опубликовано в журнале «Компьютерра» 09 июля 2010 г. — Режим доступа:
http://www.computerra.ru/own/kiwi/546 005/.
Лукацкий, А. Управление зоопарком безопасности [Электронный ресурс]: Электронный журнал. — опубликовано в журнале «Компьютерра» 28 января 2009 г. — Режим доступа:
http://www.computerra.ru/397 075/?phrase_id=10 718 682.
Практика сферы ИТ [Электронный ресурс]: Электронное издание от 7 апреля 2011. — Режим доступа:
http://ithappens.ru/story/5896.
Предотвращение сетевых атак: технологии и решения [Электронный ресурс]: Электронное издание. — HackZone Ltd 14.
07.2009. — Режим доступа:
http://www.hackzone.ru/articles/view/id/5962/.
Сайт аналитической группы Gartner Group www.gartner.com.
Способы авторизации [Электронный ресурс]: Электронное издание. — HackZone Ltd 07.
01.2009. — Режим доступа:
http://www.hackzone.ru/articles/view/id/4078/.
Теория информационной безопасности [Электронный ресурс]: Электронное издание. — HackZone Ltd 14.
07.2009. — Режим доступа:
http://www.hackzone.ru/articles/view/id/5961/.
Федотов, Н. Н. Защита информации [Электронный ресурс]: Учебный курс (HTML-версия). / «ФИЗИКОН», 2001−2004. — Режим доступа:
http://www.college.ru/UDP/texts/index.html#ogl.
Приложение
Шифровка с открытым ключом Электронная цифровая подпись
Хачатурян Ю. Право работника на защиту персональных данных: пробелы законодательства / Хачатурян Ю. // Человек и труд. 2006.
№ 1. С. 74−77, Демин А. Б. Защита персональных данных работника / Демин А. Б. // Полиграфист. В помощь руководителю и главному бухгалтеру.
2007. № 31. С. 85−93, Лушников А.
Защита персональных данных работника: сравнительно-правовой комментарий гл. 14 Трудового кодекса РФ / Лушников А. // Управление персоналом. 2009. №
17. С. 70−79, Дворецкий А. В. Защита персональных данных работника по законодательству Российской Федерации / Дворецкий А. В. // автореферат диссертации на соискание ученой степени кандидата юридических наук / Томский государственный университет. Томск, 2005, Истратова А. Г. Актуальные вопросы защиты персональных данных работника / Истратова А. Г. // Вестник Московского университета МВД России.
2009. № 7. С. 167−170, Богатыренко З. С. Новейшие тенденции защиты персональных данных работника в российском трудовом праве / Богатыренко З. С. // Трудовое право. 2006. № 10.
С. 29−52.
Конституция (Основной Закон) Российской Федерации — России: принята Государственной Думой 12 декабря 1993 года (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.
12.2008 N 6-ФКЗ, от 30.
12.2008 N 7-ФКЗ), УК РФ от 13.
06.1996 N 63-ФЗ. Принят Государственной Думой 24 мая 1996 года (в редакции от 07.
03.2011), ФЗ от 10.
01.2002 № 1-ФЗ «Об электронной цифровой подписи». Принят Государственной Думой 13 декабря 2001 года (в редакции от 08.
11.2007), ФЗ от 27.
07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Принят Государственной Думой 8 июля 2006 года (в редакции от 06.
04.2011), ФЗ от 29.
07.2004 N 98-ФЗ «О коммерческой тайне». Принят Государственной Думой 09 июля 2004 года (в редакции от 24.
07.2007), Федеральный закон от 08.
08.2001 N 128-ФЗ «О лицензировании отдельных видов деятельности» (принят ГД ФС РФ 13.
07.2001) (в редакции от 29.
12.2010), Федеральный закон от 25.
06.2002 N 73-ФЗ «Об объектах культурного наследия (памятниках истории и культуры) народов Российской Федерации» (в редакции от 30.
11.2010), Закон РСФСР от 15.
12.1978 «Об охране и использовании памятников истории и культуры» (в редакции от 25.
06.2002), Постановление Совмина СССР от 16.
09.1982 № 865 «Об утверждении положения об охране и использовании памятников истории и культуры» (в редакции от 29.
12.1989, с изменениями от 25.
06.2002), Постановление от 26 июня 1995 г. № 608 «О Сертификации средств защиты информации» (в редакции от 21.
04.2010).
Ст. 23, 29, 45, 46 Конституции (Основной Закон) Российской Федерации — России: принята Государственной Думой 12 декабря 1993 года (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.
12.2008 N 6-ФКЗ, от 30.
12.2008 N 7-ФКЗ).
Ст. 272, 273, 274 УК РФ от 13.
06.1996 N 63-ФЗ. Принят Государственной Думой 24 мая 1996 года (в редакции от 07.
03.2011).
УК РФ от 13.
06.1996 N 63-ФЗ. Принят Государственной Думой 24 мая 1996 года (в редакции от 07.
03.2011).
ФЗ от 10.
01.2002 № 1-ФЗ «Об электронной цифровой подписи». Принят Государственной Думой 13 декабря 2001 года (в редакции от 08.
11.2007).
ФЗ от 27.
07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Принят Государственной Думой 8 июля 2006 года (в редакции от 06.
04.2011).
Федеральный закон от 08.
08.2001 N 128-ФЗ «О лицензировании отдельных видов деятельности» (принят ГД ФС РФ 13.
07.2001) (в редакции от 29.
12.2010).
ФЗ от 29.
07.2004 N 98-ФЗ «О коммерческой тайне». Принят Государственной Думой 09 июля 2004 года (в редакции от 24.
07.2007).
Постановление от 26 июня 1995 г. № 608 «О Сертификации средств защиты информации» (в редакции от 21.
04.2010).
«Трудовой кодекс Российской Федерации» от 30.
12.2001 N 197-ФЗ (ред. от 07.
11.2011) / СПС Консультант
Плюс.
Федеральный закон от 30.
06.2006 N 90-ФЗ (ред. от 18.
07.2011) «О внесении изменений в Трудовой кодекс Российской Федерации, признании не действующими на территории Российской Федерации некоторых нормативных правовых актов СССР и утратившими силу некоторых законодательных актов (положений законодательных актов) Российской Федерации» / СПС Консультант
Плюс.
Федеральный закон от 27.
07.2006 N 152-ФЗ (ред. от 25.
07.2011) «О персональных данных» / СПС Консультант
Плюс.
Федеральный закон от 27.
07.2006 N 152-ФЗ (ред. от 25.
07.2011) «О персональных данных» / СПС Консультант
Плюс.
«Трудовой кодекс Российской Федерации» от 30.
12.2001 N 197-ФЗ (ред. от 07.
11.2011) / СПС Консультант
Плюс.
«Трудовой кодекс Российской Федерации» от 30.
12.2001 N 197-ФЗ (ред. от 07.
11.2011) / СПС Консультант
Плюс.
Демин А. Б. Защита персональных данных работника / Демин А. Б. // Полиграфист. В помощь руководителю и главному бухгалтеру. 2007. № 31. С. 85−93.
«Трудовой кодекс Российской Федерации» от 30.
12.2001 N 197-ФЗ (ред. от 07.
11.2011) / СПС Консультант
Плюс.
«Кодекс Российской Федерации об административных правонарушениях» от 30.
12.2001 N 195-ФЗ (ред. от 21.
07.2011) (с изм. и доп., вступающими в силу с 21.
10.2011) / СПС Консультант
Плюс.
«Трудовой кодекс Российской Федерации» от 30.
12.2001 N 197-ФЗ (ред. от 07.
11.2011) / СПС Консультант
Плюс.
Маркевич А. С. Организационно-право-вая защита персональных данных в слу-жебных и трудовых отношениях: автореф. дис. … канд. юрид. наук. Воронеж, 2006
Стахова Т. С. Персональные данные сотрудника овд: проблемы правового регулирования / Стахова Т. С. // Вестник Владимирского юридического института. 2009. № 2. С. 146−150.
Истратова А. Г. Актуальные вопросы защиты персональных данных работника / Истратова А. Г. // Вестник Московского университета МВД России. 2009. № 7. С. 167−170.
Федеральный закон от 19.
12.2005 N 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» / СПС Консультант
Плюс.
Разувайкин В. В. Что делать с персональными данным? Защита информации. -2008.-№ 3.
Вичужанин Я. Г. Информация ограниченного доступа: конфиденциальная информация.: учеб.
пособие / Я. Г. Вичужанин, Ж. Н. Колчерина. — Ижевск: Детектив-информ, 2007. — 4.
2.
Постановление Правительства РФ от 17.
11.2007 № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» // СПС «Гарант».
«Трудовой кодекс Российской Федерации» от 30.
12.2001 N 197-ФЗ (ред. от 07.
11.2011) / СПС Консультант
Плюс.
Конституция (Основной Закон) Российской Федерации — России: принята Государственной Думой 12 декабря 1993 года (с учетом поправок, внесенных Законами РФ о поправках к Конституции РФ от 30.
12.2008 N 6-ФКЗ, от 30.
12.2008 N 7-ФКЗ.
ФЗ от 27.
07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Принят Государственной Думой 8 июля 2006 года (в редакции от 06.
04.2011).
Пошерстник Н.В., Мейксин, М. С. Кадры предприятия. СПб.: Изд. Дом «Герда», 2004. — С.410
Ст. 86, 89. Федеральный закон от 01.
04.1996 N 27-ФЗ (ред. от 07.
11.2011) «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» / СПС «Гарант».
Ст. 372. Федеральный закон от 01.
04.1996 N 27-ФЗ (ред. от 07.
11.2011) «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» / СПС «Гарант».
«Кодекс Российской Федерации об административных правонарушениях» от 30.
12.2001 N 195-ФЗ (ред. от 21.
07.2011) (с изм. и доп., вступающими в силу с 21.
10.2011) / СПС «Гарант».
УК РФ от 13.
06.1996 N 63-ФЗ. Принят Государственной Думой 24 мая 1996 года (в редакции от 07.
03.2011.
Пошерстник Н.В., Мейксин, М. С. Кадры предприятия. СПб.: Изд. Дом «Герда», 2004. — С. 137
Полный сборник кодексов Российской Федерации. М., 1999.
Там же.
Мамедов, А. О. Международный финансовый менеджмент в условиях глобального финансового рынка / А. О. Мамедов. — М: Магистр — с. 35.
Азарова, Е. Г. Азбука жилья. Жилищный кодекс от, А до Я / Е. Г. Азарова, А. Батяев. М: Налоги и финансовое право. 2009. — с. 23.
Трапезникова, Т.А., Саксонова, А. Об уплате страховых взносов в Пенсионный фонд Российской Федерации / Т. А. Трапезникова, А., Саксонова, // Налоговый вестник. — 2006. — № 11. — С. 180.
Кучеров, И. И. Пособия и льготы гражданам с детьми / И. И. Кучеров. — М: Норма, 2009. — С. 378.
Налоговый кодекс Российской Федерации: Части 1 и 2 на 1 января 2008 года — М: Омега-Л: 2007. — С. 694.
Письмо Минфина РФ от 23.
09.2008 № 03−04−07−02/17. Режим доступа:
http://www.consultant.ru/online/base/?req=doc;base=QUEST;n=63 057.
Налоговый кодекс Российской Федерации: Части 1 и 2 на 1 января 2008 года — М: Омега-Л: 2007. — С. 496.
Кучма М. И. Как самому рассчитать трудовую пенсию. / М. И. Кучма. — М: Юриспруденция, 2004. — С.
39.
Бюджетный кодекс Российской Федерации — М: Гросс-Медиа: 2008. — С.
204.
Там же.
Налоговый кодекс Российской Федерации: Части 1 и 2 на 1 января 2008 года — М: Омега-Л: 2007. — С. 694.
ФЗ от 10.
01.2002 № 1-ФЗ «Об электронной цифровой подписи». Принят Государственной Думой 13 декабря 2001 года.
Скиба, О. Защита документа в системе электронного документооборота / О. Скиба // Секретарское дело. 2007. — № 12. — С. 25.
ГОСТ Р ИСО 15 489−1-2007
Управление документами. Общие требования; ИСО/МЭК 27 001
Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования; Скиба О. Защита документа в системе электронного документооборота / О. Скиба // Секретарское дело.
2007. — № 12. — С. 24.
Демьянов, Б. С. Современный электронный документооборот (достоинства и недостатки) / Б. С. Демьянов // Вестник Тверского государственного университета. Сер.: Управление. — 2005. — № 3 (9). С. 42−47.
Зиновьев, П.В. К вопросу повышения защищенности существующих и перспективных автоматизированных систем электронного документооборота / П. В. Зиновьев // Вестник Воронежского государственного технического университета. — 2010. Т. 6. — № 12. -
С. 174.
Скиба, О. Защита документа в системе электронного документооборота / О. Скиба // Секретарское дело. 2007. — № 12. — С. 25.
Киви Берд Конфликт криптографии и бюрократии [Электронный ресурс]: Электронный журнал. — опубликовано в журнале «Компьютерра» 09 июля 2010 г. — Режим доступа:
http://www.computerra.ru/own/kiwi/546 005/.
Скиба, О. Защита документа в системе электронного документооборота / О. Скиба // Секретарское дело. 2007. — № 12. — С. 25.
Теория информационной безопасности [Электронный ресурс]: Электронное издание. — HackZone Ltd 14.
07.2009. — Режим доступа:
http://www.hackzone.ru/articles/view/id/5961/.
Лукацкий, А. Управление зоопарком безопасности [Электронный ресурс]: Электронный журнал. — опубликовано в журнале «Компьютерра» 28 января 2009 г. — Режим доступа:
http://www.computerra.ru/397 075/?phrase_id=10 718 682.
Безруков, Н. Н. Компьютерная вирусология / Н. Н. Безруков. — Киев: Книга, 1990. — 28 с.
Предотвращение сетевых атак: технологии и решения [Электронный ресурс]: Электронное издание. — HackZone Ltd 14.
07.2009. — Режим доступа:
http://www.hackzone.ru/articles/view/id/5962/.
Федотов, Н. Н. Защита информации [Электронный ресурс]: Учебный курс (HTML-версия). / «ФИЗИКОН», 2001−2004. — Режим доступа:
http://www.college.ru/UDP/texts/index.html#ogl.
Практика сферы ИТ [Электронный ресурс]: Электронное издание от 7 апреля 2011. — Режим доступа:
http://ithappens.ru/story/5896.
Лукацкий, А. Управление зоопарком безопасности [Электронный ресурс]: Электронный журнал. — опубликовано в журнале «Компьютерра» 28 января 2009 г. — Режим доступа:
http://www.computerra.ru/397 075/?phrase_id=10 718 682.
Киви Берд Паспорт в дивный новый мир [Электронный ресурс]: Электронный журнал. — опубликовано в журнале «Компьютерра» № 16 от 28 апреля 2005 года Режим доступа:
http://offline.computerra.ru/2005/588/38 750/.
Способы авторизации [Электронный ресурс]: Электронное издание. — HackZone Ltd 07.
01.2009. — Режим доступа:
http://www.hackzone.ru/articles/view/id/4078/.
Способы авторизации [Электронный ресурс]: Электронное издание. — HackZone Ltd 07.
01.2009. — Режим доступа:
http://www.hackzone.ru/articles/view/id/4078/.
Там же.
Безруков Н. Н. Компьютерная вирусология / Н. Н. Безруков. — Киев: Книга, 1990. — С. 9.
Теория информационной безопасности [Электронный ресурс]: Электронное издание. — HackZone Ltd 14.
07.2009. — Режим доступа:
http://www.hackzone.ru/articles/view/id/5961/.
Киви Берд Из жизни пиратов [Электронный ресурс]: Электронный журнал. — опубликовано в журнале «Компьютерра» 20 января 2009 г. — Режим доступа:
http://www.computerra.ru/395 752/?phrase_id=10 718 679.
Виды (типы) угроз и атак в сети Internet [Электронный ресурс]: Электронный журнал. — HackZone Ltd 2007. — Режим доступа:
http://www.hackzone.ru/articles/view/id/5971/.
ФЗ от 29.
07.2004 N 98-ФЗ «О коммерческой тайне». Принят Государственной Думой 09 июля 2004 года (в редакции от 24.
07.2007).
ГОСТ Р ИСО 15 489−1-2007
Управление документами. Общие требования; ИСО/МЭК 27 001
Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования; Скиба О. Защита документа в системе электронного документооборота / О. Скиба // Секретарское дело. 2007.
— № 12. — С. 24.
Петренко С.А., Курбатов В. А. Политики информационной безопасности. — М.: Компания АйТи, 2006.
Петренко С.А., Курбатов В. А. Политики информационной безопасности. — М.: Компания АйТи, 2006.
Петренко С.А., Курбатов В. А. Политики информационной безопасности. — М.: Компания АйТи, 2006.
Сайт аналитической группы Gartner Group www.gartner.com.
