Организация службы информационной безопасности на предприятии

Организация службы информационной безопасности на предприятии

1.      Моделирование объекта и угроз безопасности

 

1.1    Структурная и пространственная модели объекта

В качестве объекта защиты был выбран воображаемый филиал банка. Его структурная организация представлена в виде следующих подразделений:

.        Правление

.        Бухгалтерия

.        Отдел безопасности

.        Отдел исполнения

Структурирование информации проводится путем классификации в соответствии со структурой, функциями и задачами организации с привязкой элементов информации к ее источникам.

С точки зрения требований законодательства более или менее понятно, какая информация должна быть защищена. Касательно любой другой информации банк самостоятельно должен принять решение, что является ценным с точки зрения бизнеса и потеря (утечка) какой информации критична с экономической, имиджевой и любой другой точки зрения. Необходимо оценить потенциальные финансовые потери организации от утечки данной информации, поскольку это будет накладывать ограничения на стоимость мер по защите.

Под структурной моделью понимают модель, имитирующую внутреннюю структуру оригинала (способ организации элементов объекта). Детализация информации проводится до уровня, на котором элементу информации соответствует один источник (Таблица 1.1).

Таблица 1.1 Детализация защищаемой информации

№	Наименование элемента информации	Гриф конфид. информации	Объем (Кб)	Объем (стр.)	Вид расчета	Цена элемента информации
1.1	Стратегия развития банка	С	40		Ф	40*102
1.2	Кадровая информация	СС	450		Ф	450*103
1.3.	Финансовая документация	ОВ	250		Э	500*103
1.4.	Автоматизированные банковские системы	ОВ	650		Ф	650*104
1.5.	Сведения о внутренней безопасности	СС		500	Ф	1250*103
2.1.	Сведения о кредитной деятельности	ОВ	400		Ф	400*104
2.2.	Сведения о финансовой деятельности клиентов	ОВ	650		Ф	650*104
2.3.	Иная информация	ДСП		200	Ф	5*103

В расчетах цены элементов информации использовалась условная цена единицы информации (1 ед.инф.=1 Кбайт), зависящая от грифа конфиденциальности (таблица 1.2). Условная цена является относительной величиной и характеризует соотношение абсолютных цен различных видов защищаемой конфиденциальной информации.

Таблица 1.2. Условные цены единицы информации

Категория (гриф) важности	Относительная стоимость бита информации, Zk	Требуемая надежность защиты Q (%)	Категория защиты
ОВ	104	99,99	Предельно высокий уровень
СС	103	99,9	Высокий уровень
С	102	99,0	Достаточный уровень
ДСП	10	90,0	Допустимый уровень
О	1	37,0	Низкий уровень

Исходя из детализации защищаемой информации, структурная модель будет выглядеть следующим образом:

Таблица 1.3. Структурная модель защищаемой информации в банке

№ элемента инф.	Наименование элемента информации	Гриф конфид. инф.	Цена элемента инф.	Наим. источ. инф.	Местонахождение источника инф.
1.1	Стратегия развития банка	С	40*102	электронный	Управляющий, сервер
1.2	Кадровая информация	СС	450*103	электронный	Глав.бухгалтер, сервер
1.3.	Финансовая документация	ОВ	500*103	электронный	Глав.бухгалтер, сервер
1.4.	Автоматизированные банковские системы	ОВ	650*104	электронный	Сервер
1.5.	Сведения о внутренней безопасности	СС	1250*103	печатный	Управляющий, сейф (S1)
2.1.	Сведения о кредитной деятельности	ОВ	400*104	электронный	Зам. управляющего по клиентской работе, сервер
2.2.	Сведения о финансовой деятельности клиентов	ОВ	650*104	электронный	Зам. управляющего по клиентской работе, сервер
2.3.	Иная информация	ДСП	5*103	печатный	Приемная, шкаф (Sh4)

Пространственная модель объекта информационной защиты - табличное описание пространственных зон с указанием месторасположения источников защищаемой информации. Источником для получения пространственной модели является разработанный ранее эскиз объекта информационной защиты.

Таблица 1.4. Пространственная модель защищаемого объекта - банка

№ эл.	Наименование элемента пространственной зоны		Характеристики пространственной зоны
1	Название помещения		Филиал банка.
2	Этаж		Здание одноэтажное		~300 м2
3	Количество окон, наличие штор		16 окон, на всех окнах жалюзи; на окнах, выходящих на улицу и на автостоянку, стоят решетки; 3 - на автостоянку, 2 - на улицу, 11 - во двор
4	Двери: количество и какие		38 дверей;  2 стальные, выходящие на улицу, 4 металлических усиленных (в отдел безопасности, сейфовую и серверную), 2 скользящие (стекло), 1 двойная, 3 с карманом, 26 деревянных.
5	Соседние помещения: название, толщина стен		Нет, кирпичная кладка 65 см, облицовка.
6	Помещения над потолком: название, толщина перекрытий		Нет, чердак
7		Помещение под полом: название, толщина перекрытий		Подвал. Толщина перекрытия 300 мм
8		Вентиляционные отверстия: места размещения, размеры		Туалет, коридор, бухгалтерия, кабинет управляющего, архив, кабинеты - 15х20
9		Батарея отопления		16 чугунных батарей вдоль окон Все трубы выведены к теплоцентрали.
110		Цепи электропитания		Цепь электропитания банка подключена к городской сети напряжением 220 В, частотой 50 Гц. Электро-щитовая находится в глубине здания около служебного помещения. К цепи электропитания подключены все кабинеты и помещения. Всего 51 розетка. Критические узлы подключены к источникам бесперебойного питания.
111		Телефон		1 шт. (KX-TDA200 RU АТС), 2-х жильный кабель (RJ - 11) от мини-АТС
112		Радиотрансляция		Отсутствует
113		Электрические часы		Отсутствует
114		Бытовые радиосредства, теле-, аудио- и видеотехника		Отсутствуют

 

1.2    Моделирование угроз безопасности

Действия злоумышленника по добыванию информации либо других материальных ценностей, определяется поставленными целями и задачами, мотивами, квалификацией, технической оснащенностью.

При отсутствии информации о злоумышленнике лучше переоценить угрозу, чем недооценить ее (но при этом возможно увеличение затрат на защиту информации). Модель злоумышленника можно представить следующим образом:

злоумышленник представляет серьезного противника, перед нападением тщательно изучает обстановку вокруг территории организации, наблюдаемые механические преграды, средства охраны, телевизионного наблюдения и дежурного освещения;

имеет в распоряжении современные технические средства проникновения и преодоления механических преград;

добывает и анализирует информацию о расположении зданий и помещений организации, о рубежах охраны, о местах хранения источников информации, видах и типах средств охраны, телевизионного наблюдения, освещения и местах их установки;

проводит анализ возможных путей проникновения к источникам информации и ухода после выполнения задачи.

В зависимости от квалификации, способов подготовки и физического проникновения в организацию злоумышленников разделяют на следующие типы:

неподготовленный, который ограничивается внешним осмотром объекта, проникает в организацию через двери и окна;

подготовленный, изучающие систему охрану объекта и готовящий несколько вариантов проникновения, в основном, путем взлома инженерных конструкций;

квалифицированный, который тщательно готовится к проникновению.

Анализ возможных путей проникновения показан в таблице 1.1.

Таблица 1.1. Результаты анализа путей физического проникновения злоумышленника

№	Наименование элемента информации	Цена информации	Путь проникновения злоумышленника	Оценка реальности пути	Величина угрозы (усл. ед.)
1	Стратегия развития банка	40*102	1. w3, w4, w5 2. w2-d25-d24 3. d2-d23-d24 4. d2-d36-d37	0,5 0,1 0,1 0,1	20*102
2	Кадровая информация	450*103	1. d2-d20-d21 2. w6-d22-d21 3. d2-d36-d37	0,1 0,1 0,1	45*103
3	Финансовая документация	500*103	1. d2-d20-d21 2. w6-d22-d21 3. d2-d36-d37	0,1 0,5 0,1	250*103
4	Автоматизированные банковские системы	650*104	1. d2-d36-d37	0,1	65*104
5	Сведения о внутренней безопасности	1250*103	1. w3, w4, w5 2. w2-d25-d24 3. d2-d23-d24	0,5 0,5 0,1	625*103
6	Сведения о кредитной деятельности	400*104	1. w6 2. d2-d20-d22 3. d2-d36-d37	0,5 0,1 0,1	200*104

Очевидно, что через некоторые окна и двери легче проникнуть, поэтому справедливы следующие утверждения:

1.  Проникнуть легче через дверь, чем через окно;

2.      Легче проникнуть в окно, не содержащее дополнительных средств защиты, чем в окно с решетками;

.        Проникнуть легче через обычную дверь, чем через железную;

.        Чем больше нужно миновать препятствий, тем путь менее вероятен;

В зависимости от этих соображений предлагаются следующие оценки O_r реальности пути:

. O_r=0,1 - для маловероятных путей;

. O_r=0,5 - для вероятных путей;

. O_r=0,9 - для наиболее вероятных путей.

Пусть максимальная величина угрозы D_max=325*10⁴, тогда d=54*10⁴. Определяем ранги и интервалы значений угроз. Полученная система рангов представлена в таблице 1.2.

Таблица 1.2 Система ранжирования величин угроз

Интервал величины угрозы	Ранг угрозы Ri
2690001 - 1
2150001: 2690000	2
1610001: 2150000	3
1070001: 1610000	4
530001: 1070000	5
1 - 530000	6

Обнаружение и распознавание каналов утечки информации производится по их демаскирующим признакам.

Моделирование технических каналов утечки информации по существу является единственным методом достаточно полного исследования их возможностей с целью последующей разработки способов и средств защиты информации.

Модель технических каналов утечки информации должна быть представлена в формате таблицы 1.3.

Таблица 1.3. Модель технических каналов утечки информации

№Эл. Информации	Наименование элемента информации	Цена информации	Источник сигнала, передающее устройство	Путь утечки	Вид канала
1.1	Стратегия развития банка	45792*103	мини видеокамера	скрытый визуальный контроль при помощи мини видеокамеры	опторадио электронный
		24192*103	ПЭМИН монитора	сканирование при помощи селективного вольтметра	радиоэлектронный
1.2	Кадровая информация	45792*104	мини видеокамера	скрытый визуальный контроль при помощи мини видеокамеры	опторадио электронный
		24192*104	ПЭМИН монитора	сканирование при помощи селективного вольтметра	радиоэлектронный
1.3	Финансовая документация	91584*104	мини видеокамера	скрытый визуальный контроль при помощи мини видеокамеры	опторадио электронный
		117051*109	ПЭМИН монитора	сканирование при помощи селективного вольтметра	радиоэлектронный
		34560*102	человек, направленный микрофон	подслушивание с помощью направленного микрофона	акустический
		89280*103	человек, лазерный микрофон	подслушивание с помощью лазерного микрофона	оптоэлектронный
		9792*103	человек, телефонная закладка	подслушивание с помощью телефонной закладки	электроакустический
1.4	Автоматизированные банковские системы	45792*105	мини видеокамера	скрытый визуальный контроль при помощи мини видеокамеры	опторадио электронный
		24192*105	ПЭМИН монитора	сканирование при помощи селективного вольтметра	радиоэлектронный
1.5	Сведения о внутренней безопасности	11448*105	мини видеокамера	скрытый визуальный контроль при помощи мини видеокамеры	опторадио электронный
		86400*103	человек, направленный микрофон	подслушивание с помощью направленного микрофона	акустический
		498182*107	человек, лазерный микрофон	подслушивание с помощью лазерного микрофона	оптоэлектронный
		12240*103	подслушивание с помощью телефонной закладки	электроакустический
2.1	Сведения о кредитной деятельности	45792* 105	мини видеокамера	скрытый визуальный контроль при помощи мини видеокамеры	опторадио электронный
		24192* 105	ПЭМИН монитора	сканирование при помощи селективного вольтметра	радиоэлектронный
		34560* 104	человек, направленный микрофон	подслушивание с помощью направленного микрофона	акустический
		44640* 104	человек, лазерный микрофон	подслушивание с помощью лазерного микрофона	оптоэлектронный
		4896* 104	человек, телефонная закладка	подслушивание с помощью телефонной закладки	электроакустический
2.2	Сведения о финансовой деятельности клиентов	45792* 105	мини видеокамера	скрытый визуальный контроль при помощи мини видеокамеры	опторадио электронный
		24192* 105	ПЭМИН монитора	сканирование при помощи селективного вольтметра	радиоэлектронный
		34560* 104	человек, направленный микрофон	подслушивание с помощью направленного микрофона	акустический
		44640* 104	человек, лазерный микрофон	подслушивание с помощью лазерного микрофона	оптоэлектронный
		4896* 104	человек, телефонная закладка	подслушивание с помощью телефонной закладки	электроакустический
2.3	Иная информация	864000	человек, направленный микрофон	подслушивание с помощью направленного микрофона	акустический
		122400	человек, телефонная закладка	подслушивание с помощью телефонной закладки	электроакустический

Для выявления наиболее опасных технических каналов утечки необходимо разработать систему рангов.

Таблица 1.4. Система рангов наиболее опасных технических каналов утечки информации

Интервал величины угрозы	Ранг угрозы Ri
175,5*1021-	1
175,5*1021 - 140,4*1021	2
140,4*1021 - 105,3*1021	3
105,3*1021 - 70,2*1021	4
70,2*1021 - 35,1*1021	5
35,1*1021 - 1	6

2.      Требования к организации информационной безопасности (ИБ) на предприятии

 

2.1    Политика информационной безопасности на предприятии

Состав и назначение политики информационной безопасности организаций:

Собственник (и / или менеджмент) организации должен обеспечить разработку, принятие и внедрение политики ИБ организации, включая выделение требуемых для реализации этой политики ресурсов.

Политика ИБ должна описывать цели и задачи системы обеспечения ИБ и определять совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется организация в своей деятельности.

Должны быть назначены лица, ответственные за реализацию политики ИБ и поддержание ее в актуальном состоянии.

2.2    Общие (основные) требования по обеспечению информационной безопасности

Требования ИБ должны быть взаимоувязаны в непрерывный по задачам, подсистемам, уровням и стадиям жизненного цикла комплекс.

Требования ИБ должны определять содержание и цели деятельности организации в рамках процессов управления ИБ.

Эти требования должны быть сформулированы как минимум для следующих областей:

назначение и распределение ролей и доверия к персоналу;

стадий жизненного цикла АБС (автоматизированные банковские системы);

защиты от НСД, управления доступом и регистрацией в АБС, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.;

антивирусной защиты;

использования ресурсов Интернет;

использования средств криптографической защиты информации;

защиты банковских платежных и информационных технологических процессов.

Политика ИБ организации может учитывать и другие области, такие, как обеспечение непрерывности, физическая защита и т.д., отвечающие ее бизнес-целям.

При определении ролей для сотрудников организации необходимо учитывать цели организации, имеющиеся ресурсы, функциональные и процедурные требования, критерии оценки эффективности выполнения правил для данной роли.

Не рекомендуется, чтобы одна персональная роль целиком отражала цель, например, включала все правила, требуемые для реализации бизнес-процесса. Совокупность правил, составляющих роли, не должна быть критичной для организации с точки зрения последствий успешного нападения на ее исполнителя. Не следует совмещать в одном лице (в любой комбинации) роли разработки, сопровождения, исполнения, администрирования или контроля, например, исполнителя и администратора, администратора и контролера или других комбинаций.

Роли должны группироваться и взаимодействовать так, чтобы организационная структура соответствовала целям организации. Роль одного из руководителей организации (уполномоченного менеджера, высшего менеджера и т.п.) должна включать задачу координации своевременности и качества выполнения ролей сотрудников для достижения целей организации.

Ненадлежащее выполнение правил назначения и распределения ролей создает уязвимости.

Для контроля за качеством выполнения требований ИБ в организации должны быть выделены и определены роли по обеспечению ИБ.

При приеме на работу должны быть проверены идентичность личности, заявляемая квалификация, точность и полнота биографических фактов, наличие рекомендаций. Лиц, которых предполагается принять на работу, связанную с защищаемыми активами или операциями, следует подвергать проверке в части профессиональных навыков и оценки профессиональной пригодности. Рекомендуется выполнять контрольные проверки уже работающих сотрудников регулярно, а также внепланово при выявлении фактов их нештатного поведения, или участия в инцидентах ИБ, или подозрений в таком поведении или участии.

Весь персонал организации должен давать письменное обязательство о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов. При этом условие о соблюдении конфиденциальности должно распространяться на всю защищаемую информацию, доверенную сотруднику или ставшую ему известной в процессе выполнения им своих служебных обязанностей. Для внешних организаций требования по ИБ регламентируются положениями, включаемыми в договора (соглашения). Персонал организации должен быть компетентным для выполнения своих функций в области обеспечения ИБ. Компетентность персонала следует обеспечивать с помощью процессов обучения в области ИБ, осведомленности персонала и периодической проверки уровня компетентности. Обязанности персонала по выполнению требований ИБ в соответствии с положениями ISO TR 13569 и ISO/IEC IS 17799-2000 следует включать в трудовые контракты (соглашения, договора).

2.3   
Общие требования по обеспечению информационной безопасности автоматизированных банковских систем на стадиях жизненного цикл

ИБ АБС должна обеспечиваться на всех стадиях жизненного цикла (ЖЦ) АБС, автоматизирующих банковские технологические процессы, с учетом всех сторон, вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений организации). При заказе АБС модель ЖЦ (стадии ЖЦ, этапы работ и процессы ЖЦ, выполняемые на этих стадиях) рекомендуется определять в соответствии с ГОСТ 34.601 и документом ISO/IEC IS 15288. Разработка технических заданий, проектирование, создание и тестирование и приемка средств и систем защиты АБС должны осуществляться по согласованию с подразделениями (лицами) в организации БС РФ, ответственными за обеспечение ИБ. Ввод в действие, эксплуатация, снятие с эксплуатации АБС в части вопросов ИБ должны осуществляться при участии подразделения (лиц) в организации, ответственного за обеспечение ИБ. На стадиях, связанных с разработкой АБС (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция и верификация, поставка, ввод в действие), разработчиком должна быть обеспечена защита от угроз:

неверной формулировки требований к АБС;

выбора неадекватной модели ЖЦ АБС, в том числе неадекватного выбора процессов ЖЦ и вовлеченных в них участников;

принятия неверных проектных решений;

внесения разработчиком дефектов на уровне архитектурных решений;

внесения разработчиком недокументированных возможностей в АБС;

неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к АБС;

разработки некачественной документации;

сборки АБС разработчиком / производителем с нарушением требований, что приводит к появлению недокументированных возможностей в АБС либо к неадекватной реализации требований;

неверного конфигурирования АБС;

приемки АБС, не отвечающей требованиям заказчика;

внесения недокументированных возможностей в АБС в процессе проведения приемочных испытаний посредством недокументированных возможностей функциональных тестов и тестов ИБ.

Привлекаемые для разработки и(или) производства средств и систем защиты АБС на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ. При приобретении организациями БС РФ готовых АБС и их компонентов разработчиком должна быть предоставлена документация, содержащая в том числе описание защитных мер, предпринятых разработчиком в отношении угроз.

Также разработчиком должна быть представлена документация, содержащая описание защитных мер, предпринятых разработчиком АБС и их компонентов относительно безопасности разработки, безопасности поставки и эксплуатации, поддержки жизненного цикла, включая описание модели жизненного цикла, оценки уязвимости. Данная документация может быть представлена в рамках декларации о соответствии или быть результатом оценки соответствия изделия, проведенной в рамках соответствующей системы оценки.

В договор (контракт) о поставке АБС и их компонентов организациям БС РФ рекомендуется включать положения по сопровождению поставляемых изделий на весь срок их службы. В случае невозможности включения в договор (контракт) указанных требований к разработчику должна быть рассмотрена возможность приобретения полного комплекта рабочей конструкторской документации на изделие, обеспечивающего возможность сопровождения АБС и их компонентов без участия разработчика. Если оба указанных варианта неприемлемы, например, вследствие высокой стоимости, руководство организации должно обеспечить анализ влияния угрозы невозможности сопровождения АБС и их компонентов на обеспечение непрерывности бизнеса.

На стадии эксплуатации в соответствии с документом ISO TR 13569 должна быть обеспечена защита от следующих угроз:

умышленное несанкционированное раскрытие, модификация или уничтожение информации;

неумышленная модификация или уничтожение информации;

недоставка или ошибочная доставка информации;

отказ в обслуживании или ухудшение обслуживания.

Кроме этого, актуальной является угроза отказа от авторства сообщения.

На стадии сопровождения должна быть обеспечена защита от угроз:

внесения изменений в АБС, приводящих к нарушению ее функциональности либо к появлению недокументированных возможностей;

невнесения разработчиком / поставщиком изменений, необходимых для поддержки правильного функционирования и правильного состояния АБС.

На стадии снятия с эксплуатации должно быть обеспечено удаление информации, несанкционированное использование которой может нанести ущерб бизнес-деятельности организации, и информации, используемой средствами обеспечения ИБ, из постоянной памяти АБС или с внешних носителей. Требования ИБ должны включаться во все договора и контракты на проведение работ или оказание услуг на всех стадиях ЖЦ АБС.

2.4   
Общие требования по обеспечению информационной безопасности при управлении доступом и регистрации

При распределении прав доступа персонала и клиентов к активам организации БС РФ следует руководствоваться специальным принципом «знание своих клиентов и служащих», выражаемым следующим образом:

«знать своего клиента»;

«знать своего служащего»;

«необходимо знать»,

а также руководствоваться принципом «двойное управление».

В составе АБС должны использоваться сертифицированные или разрешенные к применению средства защиты информации от НСД. В организации должны обеспечиваться: идентификация, аутентификация, авторизация; управление доступом; контроль целостности; регистрация, включая:

функционирование системы парольной защиты электронных вычислительных машин (ЭВМ) и локальных вычислительных сетей (ЛВС). Рекомендуется организовать службу централизованной парольной защиты для генерации, распространения, смены, удаления паролей, разработки необходимых инструкций, контроля за действиями персонала по работе с паролями;

непротиворечивая и прозрачная административно-техническая поддержка задач управления доступом к ресурсам ЭВМ и / или ЛВС. Назначение/лишение полномочий по доступу сотрудников к ресурсам ЭВМ и / или ЛВС санкционируется руководителем функционального подразделения организации, несущего персональную ответственность за обеспечение ИБ в данном подразделении;

контроль доступа пользователей к ресурсам ЭВМ и / или ЛВС. Оперативный контроль доступа пользователей осуществляется подразделениями (лицами) в организации, ответственными за обеспечение ИБ;

формирование уникальных идентификаторов сообщений и идентификаторов пользователей (виды идентификаторов определяются особенностями конкретного технологического процесса);

регистрация действий персонала и пользователей в специальном электронном журнале. Данный электронный журнал должен быть доступным для чтения, просмотра, анализа, хранения и резервного копирования только администратору ИБ. При невозможности поддержки данного режима эксплуатирующимися в организации БС РФ аппаратно-программными средствами, реализация данного требования должна быть обеспечена организационными и / или административными мерами.

Список литературы

угроза безопасность моделирование банк

1.     Андрианов В.И., Бородин В.А., Соколов А.В. Устройства для защиты объектов информатизации: Справочное пособие, С.-Пб.:Лань, 1998.

2.      Барсуков В.С. Безопасность: технологии, средства, услуги. - М.: КУДИЦ - ОБРАЗ, 2001. - 496 с.

.        Корнеев И.К, Степанов Е.А. Информационная безопасность и защита информации: Учебное пособие. - М.: ИНФРА - М, 2001. - 304 с. - (Серия высшее образование).

4.     Хорев А.А. Технические каналы утечки акустической (речевой) информации. - «Специальная Техника» №1, 1998.

5.      Железняк В.К., Макаров Ю.К., Хорев А.А. Некоторые методические подходы к оценке эффективности защиты речевой информации. - «Специальная техника» №4, 2000.

6.     Хорев А.А., Методы и средства защиты телефонных линий.

7.      Торокин А.А. Инженерно-техническая защита информации: учеб. пособие для студентов, обучающихся по специальностям в обл. инф. безопасности / А.А. Торокин. - М.: Гелиос АРВ, 2005. - 960 с.: ил. - ISBN 5-85438-140-0.

.        Стандарт банка России. Обеспечение информационной безопасности организаций банковской системы РФ: М.: СТО БР ИББС-1.0-2010.

.        Гамза В.А., Ткачук И.Б. Концепция и система безопасности банка. - М.: Изд-ль Шумилова И.И., 2003. - 109 с. - (Серия «Бизнес, безопасность и право»).

.        Ясенев В.Н. информационная безопасность в экономических системах: Учебное пособие - Н. Новгород: Изд-во ННГУ, 2006.

.        ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;

.        ГОСТ Р 34.10-94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»;

.        ГОСТ Р 34.11-94 «Информационная технология. Криптографическая защита информации. Функция хэширования»;

.        ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».

.        Гражданский кодекс Российской Федерации. Часть I, гл. 9, ст. 160. «Письменная форма сделки».

.        Законы Российской Федерации в области защиты информации (защиты государственной тайны)

.        Закон РФ от 23 сентября 1992 г. №3523-1 «О правовой охране программ для электронных вычислительных машин и баз данных»;

.        Закон РФ от 19 февраля 1993 г. №4524-1 «О федеральных органах правительственной связи и информации (с изменениями от 24 декабря 1993 года, по состоянию на 1 апреля 1994 года)»;

.        Закон РФ от 10 июня 1993 года №5151-1 «О сертификации продуктов и услуг»;

.        Закон РФ от 10 июня 1993 года №5154-1 «О стандартизации»;

.        Закон РФ от 01 июля 1993 г. №5306-1 «О внесении изменений и дополнений в Закон Российской Федерации «О федеральных органах государственной безопасности»;

.        Закон РФ от 21 июля 1993 года №5485-1 «О Государственной тайне»;

.        Закон РФ от 20 января 1995 года №15-Ф3 «О связи»;

.        Закон РФ от 20 февраля 1995 г. №24-ФЗ «Об информации, информатизации и защите информации» (с комментариями)

.        Закон РФ от 03 апреля 1995 г. №40-Ф3 «Об органах Федеральной службы безопасности в Российской Федерации»;

.        Закон РФ от 4 июля 1996 года №85-ФЗ «Об участии в международном информационном обмене»