Основы организации системы обеспечения информационной безопасности для специальности «Прикладная информатика в экономике»
Благовещенский Александр Николаевич к.т.н., доцент кафедры динамики процессов и управления Казанский национальный исследовательский технический университет (КНИТУ-КАИ) им.А.Н.Туполева, ул. К.Маркса, 10, г. Казань, 420111, (843)236-62-83 [email protected]
Благовещенский Павел Александрович ассистент кафедры динамики процессов и управления,
Казанский национальный исследовательский технический университет (КНИТУ-КАИ) им.А.Н.Туполева, ул. К.Маркса, 10, г. Казань, 420111, (843)236-62-83 j etsoftware @mail. ru
Аннотация
Обсуждаются подходы к преподаванию основ организации системы информационной безопасности предприятия в курсе «Информационная безопасность» для студентов, обучающихся по специальности «Прикладная информатика (в экономике)» с квалификацией «информатик - экономист». Рассматриваются вопросы организации противодействия угрозам информационной безопасности, обосновываются риск-ориентированный и процесс-ориентированный подходы к созданию и совершенствованию системы обеспечения информационной безопасности.
The approaches to teaching the basics of organizing information security of a company in the course "Information Security" for students majoring in "Applied Informatics in Economics" with a "computer scientist - economist" qualification are discussed. The questions of organization counteract information security threats are considered, risk-oriented and process-oriented approaches to the creation and improvement of information security are justified.
Ключевые слова
Угрозы информационной безопасности, модель злоумышленника,
категорирование объектов информационной инфраструктуры, комплекс защитных мер, требования к системе информационной безопасности.
Information security threats, an intruder model, object categorization of information infrastructure, a complex of protective measures, requirements for a system of information security.
Введение
Модернизация предприятий, в частности, применение систем автоматизации производственных процессов, порождают риски воздействия деструктивных факторов, как на качество выпускаемой продукции, так и возможность простоев
производства, связанных с реализацией угрозы "Отказ в обслуживании". Такие факторы классифицируются следующим образом: ошибочные действия персонала, действия внешних или внутренних злоумышленников, вирусные атаки, отказы и сбои оборудования и программного обеспечения. Поэтому противодействие угрозам информационной безопасности (ИБ) современного предприятия включает не только оснащение информационной сети средствами защиты [1], но и разработку организационного обеспечения, включающего принятия соответствующей политики ИБ, представляющей концептуальный подход в создании системы обеспечения информационной безопасности (СОИБ), а также ряда частных политик, конкретизирующих решение вопросов выработки защитных мер направленных на минимизацию степени воздействия деструктивных факторов на информационную инфраструктуру предприятия. Выпускники ВУЗов, поступая на работу, должны ориентироваться как в вопросах производственно-экономической деятельности предприятия, так и иметь четкое представление об организации СОИБ. Поэтому при подготовке ГГ специалистов [2], в том числе и по специальности "Прикладная информатика в экономике", эти вопросы должны быть освещены в соответствующих курсах.
Раздел "Основы организация системы обеспечения информационной безопасности предприятия" в курсе «Информационная безопасность»
В КНИТУ-КАИ на кафедре «Динамики процессов и управления» (ДПУ) учебным планом подготовки бакалавров по специальности «Прикладная информатика (в экономике)» при чтение курса «Информационная безопасность» [3] предусматривается раздел "Основы организации системы обеспечения информационной безопасности предприятия". Данный раздел дополняет технологическую составляющую курса "Информационная безопасность", включающую изучение основ криптографии, защиты от НСД и сетевой безопасности, вопросами построения эффективной СОИБ предприятия организационными мерами в сочетании с применением средств защиты информации, на основе анализа угроз ИБ и контроля рисков, связанных с нарушением ИБ. Таким образом, основное отличие читаемого на кафедре ДПУ курса "Информационная безопасность" от других курсов, освящающих вопросы защиты информации, является комплексность подходов к изучению специальных технических разделов ИБ и организационной поддержки процессов обеспечения должного уровня ИБ на предприятии.
Реализация лекционного цикла
В состав лекционного цикла по разделу "Основы организации системы обеспечения информационной безопасности предприятия" входят темы:
• Введение в "Политику информационной безопасности предприятия";
• Требования к системе информационной безопасности предприятия;
• Организация системы менеджмента информационной безопасности предприятия.
Введение в "Политику информационной безопасности предприятия"
Проблема противодействия угрозам ИБ должна решаться на всех уровнях информационной инфраструктуры современного предприятия. На начальном этапе разрабатывается «Политика информационной безопасности предприятия», в которой определяются цели и задачи СОИБ, модели угроз и нарушителей, принципы реализации процедур оценки рисков ИБ, включающие категорирование объектов информационной инфраструктуры и разработку комплекса защитных мер. Кроме того, вырабатываются требования к системе информационной безопасности (СИБ) и подходы к организации системы менеджмента информационной безопасности (СМИБ) [4].
Целью СОИБ [5] является создание и постоянное соблюдение на предприятии условий, при которых риски, связанные с нарушением безопасности информационных активов (ИА) предприятия, постоянно контролируются и исключаются, либо находятся на допустимом (приемлемом) уровне остаточного риска.
Задачами СОИБ являются снижение экономических и технологических рисков предприятия, связанных с использованием информационных технологий, создание условий для максимальной автоматизации выполнения операций, связанных с обработкой данных, и исключения ручных операций. Важной задачей является контроль состояния ИБ на всех этапах жизненного цикла (ЖЦ) автоматизированных систем (АС), обеспечение жизнедеятельности предприятия и безопасности его информационных активов (ИА) в условиях неблагоприятных событий (природные и техногенные катастрофы, террористические угрозы и пр.).
СОИБ состоит из двух компонентов: СИБ - это совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное обеспечение и СМИБ, представляющего собой часть менеджмента предприятия, процессы которого сгруппированы в цикле Деминга и предназначенной для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования СОИБ. Взаимосвязь СИБ, СМИБ и СОИБ [5] представлена на рисунке 1.
------------------------------------------
. СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
I БЕЗОПАСНОСТИ
Рис. 1. Взаимосвязь СИБ, СМИБ и СОИБ.
При описании модели угроз и нарушителей информационной безопасности определяется, что главной целью злоумышленника является получение контроля над ИА, приводящего к нарушению его доступности, целостности или конфиденциальности. Модель злоумышленника предполагает, что наибольшими возможностями для нанесения ущерба предприятию обладает ее собственный персонал, содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для достижения поставленных целей. Условно злоумышленники делятся на внешних и внутренних, внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри предприятия.
Угрозами информационной безопасности предприятия являются: внешние и внутренние злоумышленники; ошибочные действия персонала, вирусные атаки, отказы и сбои оборудования и (или) программного обеспечения, техногенные и природные катастрофы и террористические угрозы. При оценке рисков на предприятии проводится категорирование информационных активов по степени их критичности. Категорирование осуществляется подразделением - владельцем информационного актива с учетом свойств: доступности, целостности и
конфиденциально. Для каждой категории информации определяются типовые требования ИБ и принимается комплекс защитных мер.
Категорирование ИА осуществляется следующим образом:
- ИА0 - сведения составляющие государственную тайну. Информация категории ИА0 не обрабатывается в информационной сети предприятия. Требования по комплексу защиты автономных рабочих мест, обрабатывающих информацию
категории ИА0, определены нормативными документами в области защиты государственной тайны;
- ИАІ - информация, несанкционированный доступ (НСД) к которой приводит к прямому (невосполнимому) ущербу, например, ноу-хау предприятия, платежные документы;
- ИАІІ - конфиденциальная информация, определен перечень сведений, составляющий коммерческую тайну предприятия. Информация, доступ к которой должен быть регламентирован руководящими документами (РД) (законы, постановления, приказы);
- ИАІІІ - служебная информация, разовый НСД не наносит ущерба, опасен систематический НСД;
- ИА^ - свободный доступ.
Принципы категорирования объектов информационной инфраструктуры определяющие взаимозависимость между категориями информационных активов, оборудования, на котором эта информация обрабатывается и (или) хранится, помещений, в которых размещено оборудование и комплекса предлагаемых защитных мер, снижающих риски несанкционированного доступа к информационным активам, представлены в таблице.
Таблица
КАТЕГОРИЯ
№ п.п. Информационный актив (ИА) Оборудование (О) Помещение (П) Защитные меры
1 I I (серверы, хранят ИА1 на НЖМД ) I (серверные помещения) Специальные требования к оборудованию серверных помещений: СКУД, видеонаблюдение, укрепленность дверей, оконных проемов, стен
2 I II (рабочие станции (РС), обрабатывающие ИА1 без хранения на НЖМД) II (помещения сотрудников, имеющих доступ к ИАІ) Требования к дополнительным мерам по настройке рабочих станциях (РС) и контролю доступа в помещения (СКУД, кодовые замки)
3 I, II II (коммутаторы, маршрутизаторы) II (узел связи, коммуникационные шкафы) Требования к дополнительным мерам по контролю доступа в помещения (СКУД, кодовые замки)
4 II II (рабочие станции, обрабатывающие ИАН) II (помещения сотрудников, имеющих доступ к ИАН) Требования к дополнительным мерам по настройке РС и контролю доступа в помещения (СКУД, кодовые замки)
5 III III (рабочие станции, обрабатывающие ИАШ) III (помещения сотрудников, имеющих доступ к ИАШ) Стандартная парольная защита входа в систему на РС
6 IV IV IV Не требуются защитные меры
Требования к системе информационной безопасности предприятия
Требования к СИБ формируются для таких областей как назначения и распределения ролей и обеспечения доверия к персоналу, обеспечения ИБ на стадиях ЖЦ АС. Кроме того, формулируются общие требования к системам защиты от несанкционированного доступа (НСД), управления доступом и антивирусной защите. Весьма важными являются разделы требований, касающихся использования ресурсов сети Интернет, а также использования средств криптографической защиты информации (СКЗИ). И, наконец, предъявляются требования к защите информационных технологических процессов.
При назначении и распределении ролей и обеспечении доверия к персоналу выделяются и документально определяются роли ее работников. Формирование ролей должно осуществляться на основании существующих бизнес -процессов предприятия и проводиться с целью исключения концентрации полномочий и снижения риска инцидентов ИБ, связанных с потерей информационными активами свойств доступности, целостности или конфиденциальности. Роли формируются с учетом принципа минимальности полномочий, они персонифицированы с установлением ответственности за их выполнение. Ответственность документально зафиксирована в должностных инструкциях.
С целью снижения рисков нарушения ИБ не рекомендуется, чтобы в рамках одной роли совмещались функции разработки и сопровождения
системы/программного обеспечения (ПО), разработки ПО и его эксплуатации, выполнения операций в системе и контроля их выполнения.
На предприятии не должно быть ролей, позволяющих пользователю проводить единолично критичные операции. Критичные информационные технологические процессы должны быть защищены от ошибочных и (или) несанкционированных действий администраторов.
В целях минимизации ущерба от ошибочных действий персонала, сотрудники предприятия проходят плановое обучение вопросам ИБ. Периодически проводится контроль знаний и уровень компетентности персонала в этих вопросах.
При формировании требований по обеспечению ИБ на стадиях ЖЦ АС рассматриваются следующие общие стадии модели ЖЦ АС: разработка технических заданий, проектирование, создание и тестирование, приемка и ввод в действие, эксплуатация, сопровождение и модернизация, а также снятие с эксплуатации.
Разработка технических заданий и приемка АС должны осуществляться по согласованию и при участии подразделения ИБ, а ввод в действие, эксплуатация и сопровождение (модернизация), снятие с эксплуатации АС должны осуществляться под контролем подразделения ИБ.
Привлекаемые для разработки и (или) производства средств и систем защиты АС на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ. В контрактах со сторонними разработчиками на поставку систем должна предусматриваться их ответственность за наличие в системах скрытых недокументированных возможностей, ведущих к финансовому ущербу предприятия, а также соблюдение условий конфиденциальности. Разрабатываемые АС и (или) их компоненты должны быть снабжены документацией, содержащей описание реализованных защитных мер, в том числе в отношении угроз ИБ (источников угроз).
Разработка, тестирование АС отделяются от эксплуатации: разработчики программного обеспечения не допускаются к его промышленной эксплуатации, разработка и тестирование программного обеспечения проводятся на выделенных физически или логически средствах вычислительной техники (виртуальные серверы), не использующихся для промышленной эксплуатации АС. Обязательным условием считается выделение рабочих станций (РС) и серверов, предназначенных для разработки и тестирования программного обеспечения, в отдельный сегмент ЛВС, доступ из которого к промышленным системам ограничивается.
На стадии эксплуатации АС должны быть документально определены и выполняться процедуры контроля работоспособности реализованных в АС защитных мер. На стадии сопровождения (модернизации) должны быть документально определены и выполняться процедуры контроля, обеспечивающие защиту от НСД.
На стадии снятия с эксплуатации АС должны быть определены и выполняться процедуры, обеспечивающие удаление информации, несанкционированное использование которой может нанести ущерб бизнес -деятельности предприятия, а также информации, используемой средствами обеспечения ИБ.
Требования к защите от НСД и управления доступом включают следующие пункты: на предприятии определен перечень информационных активов, каждый информационный актив категорируется владельцем данного актива. Сотрудники предприятия получают доступ к информационным активам на основании заявок, согласованных с их владельцем, а также с подразделениями ИБ и автоматизации, которая оценивает техническую возможность предоставления запрашиваемого доступа. По умолчанию определяется отсутствие доступа.
При изменении функциональных и должностных обязанностей сотрудников, а также в случае увольнения или длительного, например, декретного, отпуска доступ к информационным активам блокируется (прекращается).
На предприятии организован периодический контроль соответствия реальных прав доступа к ИА пользователей заявленным. Доступ пользователей к ИА без авторизации запрещен. Лучшей практикой является применения систем аутентификации, не имеющих недостатков клавиатурных паролей.
Результаты аудита действий пользователей и администраторов АС фиксируются в log-журналах. Архивы результатов аудита защищены ЭП и хранятся в течение срока, необходимого в случаях расследования возможных инцидентов ИБ.
В целях обеспечения антивирусной защиты на всех РС, интернет-киосках (ИК) и серверах предприятия должны быть установлены средства антивирусной защиты. В информационной сети предприятия реализовано построение эшелонированной централизованной системы антивирусной защиты, предусматривающей использование средств антивирусной защиты различных производителей и их раздельную установку на РС, серверах и ИК.
Установку и сопровождение надлежащего функционирования антивирусного программного обеспечения (АВПО) на РС, ИК и серверах обеспечивает подразделение автоматизации (ПА). Процедуры регулярного обновления средств антивирусной защиты (версий и баз данных) на РС, ИК и серверах должны быть документированы и осуществляться централизовано администраторами соответствующих антивирусных комплексов. Мониторинг состояния РС и ИК на предмет проникновения компьютерных вирусов осуществляется сотрудниками подразделения ИБ, вирусная обстановка на серверах контролируется администраторами серверов.
Техническая возможность подключения пользователями к РС ЛВС внешних накопителей информации, модемов, мобильных устройств, беспроводных интерфейсов максимально ограничивается.
Использование ресурсов Интернет сотрудникам предприятия разрешается исключительно в производственных целях.
Доступ сотрудников к ресурсам Интернет обеспечивается с ИК из выделенного сегмента ЛВС, не имеющего подключений к производственной ЛВС. На ИК запрещается обрабатывать и хранить информацию категории выше, чем ИА]^. Подключение к РС производственной ЛВС предприятия мобильных устройств, позволяющих выходить в Интернет, запрещается.
Сотрудники получают доступ к ресурсам сети Интернет на основании заявки, подписанной руководителем подразделения, согласованной службами безопасности и автоматизации и утвержденной руководством предприятия.
На предприятии все подключения к сети Интернет осуществляются через узел доступа, на котором установлены средства фильтрации трафика от сетевых воздействий, несущих потенциальную опасность, а также включены механизмы авторизации пользователей и контроля использования ресурсов сети Интернет в непроизводственных целях.
Использование СКЗИ для обеспечения безопасности информационных активов предприятия производится в соответствии с порядком, установленным государственными уполномоченными органами.
При передаче информации за пределы периметра сети предприятия защита конфиденциальности данных обеспечивается применением шифрования. Конфиденциальность данных, курсирующих в пределах ЛВС предприятия, обеспечивается средствами сетевых операционных систем путем назначения соответствующих полномочий участникам обмена.
Лучшей практикой организации электронного документооборота при взаимодействии с вышестоящими организациями и контрагентами является
использование средств электронной подписи (ЭП), обеспечивающей целостность электронного документа и подтверждение авторства подписавшей его стороны.
При организации внутренних информационных потоков предприятия, с целью разделения ответственности между подразделениями и сотрудниками, может применяться ЭП или другие технологии контроля целостности и подтверждения авторства.
Лучшей практикой является самостоятельное изготовление секретных ключей электронной подписи сторонами защищенного взаимодействия.
В целях защиты информационных технологических процессов определяется, что они должны быть максимально автоматизированы и обеспечивать возможность выполнения массовых и потенциально опасных операций без участия персонала за счет реализации эффективных процедур контентного контроля и защиты. Электронные документы, не прошедшие процедуры контентного контроля и защиты, на ручную обработку не передаются.
Выполнение критичных операций в ручном режиме осуществляется, по возможности, с соблюдением принципа “двух рук”. Работники предприятия, в том числе администраторы автоматизированных систем и средств защиты информации, не должны обладать полномочиями для бесконтрольного создания, авторизации, уничтожения и изменения технологической документации, а также проведения несанкционированных операций по управлению производственным оборудованием.
Для защиты информационных технологических процессов применяются штатные средства безопасности сетевых операционных систем и СУБД. Кроме того, по результатам анализа рисков информационной безопасности, могут применяться специализированные программно-аппаратные комплексы защиты от НСД и криптографические средства. Обязанности по администрированию специализированных средств защиты технологической информации рекомендуется возлагать приказом или распоряжением по предприятию на сотрудников подразделения ИБ с отражением этих обязанностей в их должностных инструкциях.
Непрерывность критичных бизнес-процессов при наступлении отказов и сбоев, в том числе и в условиях неблагоприятных событий, обеспечивается резервированием оборудования, каналов связи, резервным копированием информации, регулярной проверкой их работоспособности и адекватности. Процедуры восстановления после сбоев документируются в соответствующих регламентах и планах.
Организация системы менеджмента информационной безопасности предприятия
Организация СМИБ на предприятии: процессы СМИБ группируются в виде цикла Деминга, представленного на рисунке 1. На этапе «проверка СОИБ» выполняются контрольные процедуры, в результате которых выявляются недостатки СИБ. Этап «совершенствование СОИБ» связан с принятием решения об устранении недостатков и выражается в рекомендациях по их устранению. На этапе «планирование СОИБ» составляется «План устранения недостатков», учитывающий временные рамки и ресурсное обеспечение процесса совершенствования СОИБ. Непосредственное устранение недостатков, выявленных на этапе «проверка СОИБ», осуществляется на этапе «реализация СОИБ». Структура СМИБ предприятия представлена на рисунке 2.
Рис.2. Структура СМИБ предприятия.
Общее руководство СОИБ на предприятии осуществляют Генеральный директор, главный инженер, заместители генерального директора. Руководство рассматривает и утверждает политику ИБ, организует взаимодействие между подразделениями при выполнении функций, связанных с процессами управления ИБ на предприятии, определяя ответственность подразделений за управление отдельными процессами обеспечения ИБ, утверждает бюджет для эффективной реализации политики ИБ, рассматривает отчеты о состоянии ИБ предприятия.
Подразделение информационной безопасности разрабатывает нормативные документы (НД) и методические рекомендации по вопросам организации защиты информации на предприятии, разрабатывает требования по защите информационных активов в аспектах целостности и конфиденциальности на основе анализа рисков ИБ. Обеспечивает криптографическую защиту систем предприятия, включая генерацию, регистрацию и распределение криптографических ключей, эксплуатирует специализированные средства обеспечения безопасности информационных активов - межсетевые экраны (МЭ), обеспечивает организацию и проведение работ по созданию на предприятии эффективной и комплексной системы обеспечения антивирусной безопасности. Кроме того, подразделение ИБ организует работу и осуществляет взаимодействие с помощниками руководителей подразделений предприятия по ИБ, проводит расследования инцидентов и фактов нарушений ИБ, организует обучение персонала предприятия по вопросам ИБ.
В порядке выполнения функции «проверка СИБ» циклической модели Деминга осуществляет инструментальный контроль и мониторинг текущего состояния ИБ, регулярно информируя руководство предприятия. Совместно с подразделениями предприятия осуществляет категорирование объектов информационной инфраструктуры на основе прогноза рисков, связанных с нарушением ИБ.
Подразделение автоматизации обеспечивает выполнение требований информационной безопасности при подключении и администрировании коммуникационного оборудования, операционных систем, СУБД и систем доставки.
Из числа сотрудников ПА назначаются администраторы ЛВС, ГВС, серверов, СУБД, АС, рабочих станций и ИК. Для администратора каждой из подсистем разрабатывается положение, регламентирующее функциональные обязанности администратора, области ответственности и обеспечения выполнение требований информационной безопасности. Положения согласуются с подразделением ИБ. Кроме того, ПА обеспечивает учет категорированных информационных активов и их размещения на информационных ресурсах (ИР): базах данных (БД), файловых ИР, ресурсах АС. На основе согласованных с подразделением ИБ заявок на доступ к ИР обеспечивает запрашиваемый доступ. Блокирует доступ к ИР при миновании производственной необходимости.
Важнейшим функционалом ПА является проведение единой политики эксплуатации программного обеспечения, а также сопровождение Фонда программ и документации (ФПД) предприятия, проведение обновления системного и прикладного ПО с целью устранения критических уязвимостей.
В условиях сбоев и отказов в части коммуникационного оборудования, операционных систем, СУБД и систем доставки ПА обеспечивает доступность информационных активов, а при возникновении инцидентов, нарушающих свойства информационных активов в аспектах доступности, целостности и конфиденциальности, осуществляет их регистрацию и информирует подразделение ИБ.
Подразделения предприятия (ПП) также принимают участие в осуществлении менеджмента ИБ, в частности, они выполняют функции владельцев «своих» информационных активов, включающие: оценку рисков реализации угроз информационным активам, категорирование информационных активов, согласование доступа к информационным активам сотрудников других подразделений или сторонних организаций. ПП обеспечивают выполнение требований и процедур ИБ при работе сотрудников с информационными активами предприятия, а также выполнение антивирусных мероприятий на средствах вычислительной техники, эксплуатируемой в подразделении.
В ПП назначаются помощники руководителей подразделений по информационной безопасности (ПРПИБ), они обеспечивают ведение информационной схемы подразделения, включающей: перечень информационных активов, владельцем которого является подразделение, состав сотрудников предприятия, имеющих к ним доступ, перечень РС, с которых осуществляется вышеуказанный доступ, паспорта компьютеризированных рабочих мест. ПРПИБ проводят первичный и периодический инструктажи сотрудников по вопросам ИБ, контролируют выполнения антивирусных мероприятий в подразделении, а также выполнение требований ИБ на рабочих местах сотрудников. А также они взаимодействуют с подразделением информационной безопасности по вопросам информационной безопасности, включая оценку рисков реализации угроз и категорирование информационных активов. При возникновении инцидентов ИБ помощники срочно информируют подразделения автоматизации и информационной безопасности и выполняют совместные действия по устранению последствий инцидента.
Заключение
В результате изучения лекционного цикла по разделу "Основы организации системы обеспечения информационной безопасности предприятия" студенты овладевают знаниями проведения комплекса мероприятий по внедрению «Политики информационной безопасности предприятия» и других частных политик, разработанных в соответствии с требованиями к СИБ, а также проведения цикла
Деминга в отношении объектов и процессов СИБ, в результате которых на предприятии создаются условия функционирования информационной инфраструктуры, при которых риски ИБ существенно минимизируются до приемлемого уровня остаточного риска.
Литература
1. Благовещенский А.Н., Благовещенский П.А Инструментальные средства системы информационной безопасности коммерческого банка //Информационные технологии в системе информационной безопасности России и ее регионов: Сборник трудов II Всероссийской научно-практической конференции, Казань, 20
- 23 октября 2009 года/ под ред. И.Н. Голицыной. - Казань: ТГГПУ, 2009. -С.189-192.
2. И.Н. Голицына. Информационно - коммуникационные технологии в высшем экономическом образовании // Международный электронный журнал "Образовательные технологии и общество (Educational Technology & Society)" -2010. - V. 13. - № 1. - C. 304-313. - ISSN 1436-4522. URL: http://ifets.ieee.org/russian/periodical/ioumal.html
3. А.Н. Благовещенский, П.А. Благовещенский. Опыт преподавания курса «Информационная безопасность» для специальности «Прикладная информатика (в экономике)» // Международный электронный журнал "Образовательные технологии и общество (Educational Technology & Society)" - 2012. - V.15. - № 4. -C.289-299. - ISSN 1436-4522. URL: http ://ifets.ieee.org/russian/periodical/i ournal. html
4. ГОСТ Р ИСО/МЭК 27001-2006 Информационная технология. Методы и средства обеспечения безопасности. Система менеджмента информационной безопасности. Требования.
5. Стандарт Банка России «Обеспечение информационной безопасности организации банковской системы (БС) Российской Федерации» СТО БР ИББС-1.0-2010