Уязвимости информационных систем Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056.53

УЯЗВИМОСТИ ИНФОРМАЦИОННЫХ СИСТЕМ Зубарев Игорь Витальевич

К.т.н., доцент, заместитель начальника института по научной работе, Федеральное государственное бюджетное учреждение «3 Центральный научно-исследовательский институт» Министерства обороны Российской Федерации, 107564, г. Москва, Погонный проезд, 10, e-mail: 3cnii_zubarev@mail.ru

Жидков Игорь Васильевич К.т.н., доцент, заместитель начальника управления - начальник отдела, Федеральное государственное бюджетное учреждение «3 Центральный научно-исследовательский институт» Министерства обороны Российской Федерации, 107564, г. Москва, Погонный проезд, 10, e-mail: igorzh@bk.ru Кадушкин Иван Викторович Начальник отдела, Федеральное государственное бюджетное учреждение «3 Центральный научно-исследовательский институт» Министерства обороны Российской Федерации, 107564, г. Москва, Погонный проезд, 10, e-mail: ivanvk79@mail.ru Медовщикова Светлана Алексеевна Заместитель начальника отдела, Акционерное общество «Научно-производственное предприятие «Рубин», 440000, г. Пенза, ул. Байдукова, 2,

e-mail: bob12121@mail.ru

Аннотация. В статье рассмотрены уязвимости информационных систем (ИС), их классификация и правила описания в контексте стандартов Российской Федерации ГОСТ Р 56545-2015 [4], ГОСТ Р 56546-2015 [5] и ГОСТ РВ 519872002 [3]. Содержание статьи посвящено описанию классификации уязвимостей, учитывающей этапность жизненного цикла ИС и функциональные компоненты ИС, в которых содержатся уязвимости, а также структуре описания уязвимости, использование которой позволит обеспечить достаточность информации для идентификации уязвимости ИС и выполнения работ по их анализу.

Ключевые слова: информационная система, уязвимость, жизненный цикл, угроза безопасности информации, паспорт уязвимости.

Введение. Любая современная система может быть истолкована как устройство переработки информации с обратной связью [2], а достигаемые этой системой эффекты -лишь следствие рационального прагматического использования качественной выходной информации. Во многом это фундаментальное суждение предопределило выбор информационных систем как наиболее критичных объектов компьютеризированных систем, де-факто ставших их главным компонентом [8].

В современном мире информационные системы (ИС) являются либо самостоятельной системой, либо составной частью других систем (например, систем государственного управления), именуемых далее в тексте - система. В то же время различные ИС характеризуются общей функциональной целью их создания и применения:

удовлетворением потребностей пользователей в обеспечении надежного и своевременного представления полной, достоверной и конфиденциальной информации в реальных условиях функционирования системы, в том числе потенциально опасных.

Безопасность информации является одним из необходимых условий достижения требуемого качества функционирования ИС. Она определяется состоянием защищенности ИС от различных угроз, и в итоге - способностью ИС обеспечить конкретному пользователю доступность, целостность и конфиденциальность требуемой информации в системе [1, 3, 11].

1. Информационные системы. Под информационной системой, согласно Федеральному закону Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [12], понимается совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Виды информационных систем приведены на рис.1.

Рис. 1. Виды информационных систем

В соответствии с указанным законом обладатель информации и/или оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

2. Уязвимости информационных систем и их классификация. Методическим документом ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [10], а также ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 15408, ГОСТ Р ИСО/МЭК 17799 установлено, что каждая угроза безопасности информации в общем виде описывается через возможности

нарушителя, используемые нарушителем уязвимости, а также предполагаемый результат реализации угрозы, выраженный в нарушении конфиденциальности, целостности или доступности информации.

При этом угроза безопасности информации признается актуальной при наличии возможностей у нарушителя реализации этой угрозы с использованием слабых мест, то есть уязвимостей, в системе защиты информации ИС. Такие угрозы подлежат дальнейшему рассмотрению при разработке системы защиты информации.

Таким образом, качество и полнота выявления угроз безопасности информации зависят от качества оценки возможностей нарушителя по реализации этой угрозы и полноты оценки и анализа уязвимостей в системе защиты информации ИС.

Оценка возможностей нарушителя осуществляется в соответствии с базовыми моделями угроз безопасности информации, утвержденными ФСТЭК России. При этом в указанных методических документах приведена достаточно подробная характеристика типов возможных нарушителей и уровней их возможностей.

В части уязвимостей в методических документах до настоящего времени были приведены только общие классы уязвимостей. При этом понятие уязвимости ИС, признаки классификации и характеристики уязвимостей, подходы к оценке, анализу и правилам описания уязвимостей, а также виды и содержание работ по выявлению уязвимостей применительно к стадиям создания и эксплуатации ИС и средств защиты информации не были определены.

Для исправления ситуации и повышения эффективности работ по стандартизации в области защиты информации в 2013-2015 гг. организациями, входящими в состав технического комитета по стандартизации ТК 362 «Защита информации», в соответствии с Программой разработки национальных стандартов на 2013 год была проведена работа по разработке национальных стандартов «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей» и «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем».

В соответствии с указанными стандартами под уязвимостью понимается недостаток (слабость) программного (программно-технического) средства или информационной системы в целом, который (которая) может быть использована для реализации угроз безопасности информации.

В основе классификации уязвимостей ИС используются следующие классификационные признаки [5]:

- область происхождения уязвимости;

- типы недостатков ИС;

- место возникновения (проявления) уязвимости ИС.

Уязвимости ИС по области происхождения приведены на рис. 2.

Многофакторны уязвимости

Уязвимости ИС

Организационньи уязвимости

Уязвимости конфигурации

Рис. 2. Уязвимости ИС по области происхождения

Среди уязвимостей ИС по типам недостатков ИС можно выделить уязвимости, связанные:

- с неправильной настройкой параметров ПО;

- с неполнотой проверки вводимых (входных) данных;

- с возможностью внедрения команд операционных систем;

- с внедрением произвольного кода;

- с переполнением буфера памяти и др.

Следует отметить, что основу классификации уязвимостей ИС составляют уязвимости программного обеспечения ИС, т.к. в большинстве случаев именно программное обеспечение имеет различные ошибки и дефекты.

Так, например, ряд программных средств (например, BIOS) поставляются без исходных текстов и соответствующей документации, позволяющей провести их полноценную сертификацию по требованиям безопасности. В свою очередь, сертификация, хотя и выявляет дефекты ПО, идентифицируемые как критические уязвимости, а также дефекты безопасности [6, 9], но не дает 100%-ной гарантии отсутствия закладок и выявления недекларированных возможностей (см. рис. 3).

Уязвимости ИС по месту возникновения (проявления) подразделяются на следующие

типы:

- в общем (общесистемном) программном обеспечении;

- в прикладном программном обеспечении;

- в специальном программном обеспечении;

- в технических средствах;

- в сетевом (коммуникационном, телекоммуникационном) оборудовании;

- в средствах защиты.

___

■у

■ Аутентифмкационные данные в коде программы (СМ/Е-798)

■ Переполнение буфера (СЛ/Е-120)

■ Оталадочная информация а коде, приводящие к возможности повышения привелешй (С\Л/Е-267)

■ Скрытый канал передачи информации (С\Л/Е-489)

Некорректное удаление остаточной информации (СУУЕ-7б2)

■ Межсайтоеый скриптинг(С\МЕ-79)

Рис. 3. Статистика по типам уязвимостей

Принятая классификация направлена на совершенствование методического обеспечения определения и описания угроз безопасности информации при проведении работ по защите информации в ИС и должна применяться при разработке баз данных (БД) уязвимостей.

Анализ и описание уязвимостей. Анализ уязвимостей ИС связан с методами их выявления. Начальным этапом выявления уязвимости и описания уязвимости является определение структурно-функциональных характеристик информационной системы, включающих структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимов обработки информации в информационной системе и в ее отдельных сегментах.

Описание уязвимости ИС должно характеризовать причину и следствие использования уязвимости. Уязвимости ИС являются следствием наличия ошибок в её различных компонентах (сегментах) и некорректных настроек компонентов ИС.

Описание уязвимости необходимо выполнять в соответствии с правилами его описания, т.е. совокупностью положений, регламентирующих структуру и содержание описания уязвимости. При этом структура описания должна обеспечивать достаточность информации для идентификации уязвимости ИС и выполнения работ по анализу уязвимостей ИС [4].

Описание уязвимости ИС оформляется в виде паспорта уязвимости, форма которого и содержание элементов представлены в таблице 1.

Таблица 1. Форма паспорта уязвимости

Элемент описания уязвимости Содержание

Наименование уязвимости Текстовая информация об уязвимости, на основе которой возможно установить причину и (или) последствия

уязвимости. Наименование уязвимости должно быть представлено на русском языке (в скобках на английском языке - при необходимости).

Идентификатор уязвимости Алфавитно-цифровой код, включающий код базы данных уязвимостей, год выявления уязвимости и порядковый номер уязвимости, выявленной в текущем году. При определении идентификатора уязвимости код базы данных уязвимостей, год выявления уязвимости и порядковый номер уязвимости должны быть отделены друг от друга знаком "-", при этом знак пробела не ставится.

Идентификаторы других систем описаний уязвимостей Идентификаторы уязвимости в других системах описаний. Данный элемент включает идентификаторы уязвимости из общедоступных источников и содержит, как правило, цифровой или алфавитно-цифровой код. Описание может быть выполнено в виде гиперссылок в формате адресов URL.

Краткое описание уязвимости Текстовая информация об уязвимости и возможностях ее использования.

Класс уязвимости Текстовая информация, которую определяют в соответствии с ГОСТ Р 56546-2015.

Наименование ПО и его версия Текстовая информация о наименовании ПО и его версии.

Служба (порт), которая (который) используется для функционирования ПО Комбинированная информация о службе (системной или сетевой), о сетевом порте, который используют для функционирования ПО, и о наименовании сетевого протокола передачи данных. Номер сетевого порта и наименование сетевого протокола передачи данных отделяют друг от друга знаком «/».

Язык программирования ПО Наименование языка программирования, используемого при разработке (представлении) ПО, с информацией о технологии (среде) программирования.

Тип недостатка Текстовая информация, которую определяют в соответствии с ГОСТ Р 56546-2015.

Идентификатор типа недостатка Уникальный идентификатор типа недостатка содержит алфавитно-цифровой код. Может быть взят (и при необходимости дополнен) из общедоступных источников.

Место возникновения (переполнения) уязвимости Текстовая информация о компонентах ИС, которые содержат рассматриваемую уязвимость.

Наименование операционной системы и тип аппаратной платформы Информация об операционной системе и типе аппаратной платформы (типами аппаратной платформы являются: IA-32, IA-64, X86, ARM, PA-RISC, SPARC, System z и другие).

Дата выявления уязвимости Информация о дате выявления уязвимости в формате ДД/ММ/ГГ. В случае фактической невозможности ее установления считается совпадающей с датой регистрации сообщения об уязвимости в базе данных уязвимостей.

Автор, опубликовавший информацию о выявленной уязвимости Информация об авторе, который обнаружил и опубликовал уязвимость

Способ (правило) обнаружения уязвимости Формализованное правило определения уязвимости. Способ (правило) обнаружения уязвимости позволяет при помощи специальной процедуры провести проверку наличия уязвимости.

Критерии опасности уязвимости Совокупность информации о критериях, используемых при оценке степени опасности уязвимости, и об их значениях. Каждый критерий может принимать значения, согласно следующей номенклатуре: - критерий «тип доступа» (локальный, удаленный, другой тип доступа); - критерий «условия доступа» (управление доступом, другие условия, управление доступом не применяется); - критерий «требования аутентификации» (однократная аутентификация, использование (многократный ввод) различной аутентификационной информации, аутентификация не требуется); - критерий «влияние на конфиденциальность» (не оказывает влияния, нарушение конфиденциальности); - критерий «влияние на целостность» (не оказывает влияния, нарушение целостности); - критерий «влияние на доступность» (не оказывает влияния, нарушение доступности).

Степень опасности уязвимости Текстовая информация, которая может принимать одно из четырех значений: критический, высокий, средний и низкий уровень опасности. Степень опасности определяется в соответствии с отдельной методикой.

Возможные меры по устранению уязвимости Предложения и рекомендации по устранению выявленных уязвимостей или исключению возможности использованию нарушителем выявленных уязвимостей. Предложения и рекомендации должны содержать ссылки на необходимое ПО и (или) описание конфигураций ПО, для которых угрозы безопасности информации, использующие данную уязвимость, не являются актуальными.

Прочая информация Текстовая информация, которая позволяет дополнить общую информацию об уязвимости: - описание реализуемой технологии обработки (передачи) информации; - описание конфигурации ПО, определяемой параметрами установки; - описание настроек ПО, при которых выявлена уязвимость; - описание полномочий (прав доступа) к ИС, необходимых нарушителю для эксплуатации уязвимости; - описание возможных угроз безопасности информации, реализация которых возможна при эксплуатации уязвимости; - описание возможных последствий от эксплуатации уязвимости ИС; - наименование организации, которая опубликовала информацию о выявленной уязвимости; - дата опубликования уведомления о выявленной уязвимости, а также дата устранения уязвимости разработчиком ПО; - другие сведения.

Интересен тот факт, что степень опасности уязвимости определяется в соответствии с отдельной методикой, и в этом процессе может быть применим математический и методический аппарат, рекомендуемый ГОСТ РВ 51987-2002. Положения стандарта

подлежат применению при формировании требований технического задания, при сравнительном анализе, оценке и обосновании технических решений, при проведении испытаний (в том числе сертификационных) и настройке технологических параметров ИС, при контроле качества функционирования создаваемых, модернизируемых и эксплуатируемых ИС, то есть практически на всех этапах жизненного цикла современных систем.

Математические модели, рекомендованные стандартом и реализованные в рамках «Инструментально-моделирующего комплекса для оценки качества функционирования ИС», предварительно прошли многолетнюю апробацию в десятках организаций промышленности и научно-исследовательских организациях Минобороны России применительно к системам самого широкого спектра приложений, как военных, так и гражданских - от систем разведки и управления оружием до систем государственного управления. Накопленный опыт показывает, что реализованные в стандарте концептуальные положения являются вполне приемлемыми также для ИС невоенного назначения. Расширение области приложения положений стандарта на критичные автоматизированные системы (в первую очередь государственного и финансового управления, нефте- и газодобывающей отраслей, энергетической, атомной промышленности и др.) и ИС иного функционального бизнес-применения было бы весьма естественным для заказчиков и разработчиков этих систем [7].

Заключение. Принятие национальных стандартов ГОСТ Р 56546-2015 и ГОСТ Р 56545-2015 позволяет повысить эффективность работ по стандартизации в области защиты информации:

Классификация уязвимостей будет применяться при разработке БД уязвимостей, а их использование средствами анализа защищенности (средствами поиска уязвимостей) значительно повысит эффективность работы специалистов, занимающихся аудитом информационной безопасности.

Описание выявленной уязвимости в структурированном виде предназначено для использования специалистами по информационной безопасности при формировании отчетов по результатам проведения анализа уязвимостей ИС, уточнения модели угроз безопасности информации, при создании и ведении базы данных уязвимостей и при проектировании средств анализа (контроля) защищенности информации (сканеров безопасности).

СПИСОК ЛИТЕРАТУРЫ

1. Безкоровайный М.М., Костогрызов А.И., Львов В.М. Инструментально -моделирующий комплекс для оценки качества функционирования информационных систем. Руководство системного аналитика. 2-е изд., доп.: М.: Вооружение. Политика. Конверсия, 2002. 305 с.

2. Винер Н. Кибернетика или управление и связь в животном и машине. Изд.2-е: М.: Наука, 1983. 344 с.

3. ГОСТ РВ 51987 - 2002. Информационная технология. Комплекс стандартов на автоматизированные системы. Типовые требования и показатели качества функционирования информационных систем. Общие положения. Введ. 2003-07-01. М.: Изд-во стандартов, 2002. 57 с.

4. ГОСТ Р 56545 - 2015. Защита информации. Уязвимости информационных систем. Правила описания уязвимостей. Введ. 2016-04-01. М.: Стандартинформ, 2015. 22 с.

5. ГОСТ Р 56546 - 2015. Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем. Введ. 2015-08-19. М.: Стандартинформ, 2015. 17 с.

6. Жидков И.В., Шубенин А.А., Поздняков С.Ю., Кочегаров П.Ю. Проблемы создания доверенной программно-аппаратной среды для автоматизированных систем управления // XIX Байкальская Всероссийская конференция «Информационные и математические технологии в науке и управлении». Часть II: труды. Иркутск.: ИСЭМ СО РАН, 2014. С. 142-149.

7. Костогрызов А.И. Опыт применения и развитие научно-практических положений стандарта ГОСТ РВ 51987-2002. Режим доступа:

http://www.fostas.ru/library/show_article.php?id=105 (дата обращения 15.02.2016).

8. Костогрызов А.И., Степанов П.В. Инновационное управление качеством и рисками в жизненном цикле систем: М.: Изд-во ВПК, 2008. 404 с.

9. Марков А.С., Цирлов В.Л. Опыт выявления уязвимостей в зарубежных программных продуктах // Вопросы кибербезопасности. 2013. №1(1). С. 44-48.

10. Методический документ ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (выписка). Режим доступа: http://fstec.ru/component/attachments/download/289 (дата обращения 20.01.2016).

11. Методическое руководство по оценке качества функционирования информационных систем (в контексте стандарта ГОСТ РВ 51987). М.: Изд-во 3 ЦНИИ МО РФ, 2003. 352 с.

12. Федеральный закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ. Режим доступа: http://docs.cntd.ru/document/901990051 (дата обращения 03.02.2016).

UDK 004.056.53

VULNERABILITIES IN INFORMATION SYSTEMS Igor V. Zubarev

PhD (eng), Associate Professor, Deputy director on scientific work «3 Central Research Institute» of the Ministry of defense of the Russian Federation 10, Pogonnij tr., 107564, Moscow, Russia, e-mail: 3cnii_zubarev@mail.ru

Igor V. Zhidkov PhD (eng), Associate Professor, Head of department «3 Central Research Institute» of the Ministry of defense of the Russian Federation 10, Pogonnij tr., 107564, Moscow, Russia, e-mail: igorzh@bk.ru Ivan V. Kadushkin

Head of department

«3 Central Research Institute» of the Ministry of defense of the Russian Federation 10, Pogonnij tr., 107564, Moscow, Russia, e-mail: ivanvk79@mail.ru Svetlana A. Medovshchikova

Deputy head of department Joint stock Company "Scientific-production enterprise "Rubin" 2, Baidukov str., 2, 440000, Penza, Russia, e-mail: bob12121@mail.ru

Abstract. The report considered the vulnerability of IP, their classification and the rules of the description in the context of standards of the Russian Federation GOST R 56545-2015, 56546-2015 GOST R and GOST RV 51987-2002. The content of the report is devoted to the description of the classification of vulnerabilities, taking into account the stages of the life cycle of IP and functional component IP, which contain the vulnerability, as well as the structure of the description of the vulnerability, which will provide sufficient information to identify the vulnerabilities of IP, and performance analysis.

Keywords: information system, vulnerability, life cycle, security threat information, passport vulnerability.

References

1. Bezkorovajnyj М.М., Kostogryzov A.I., L'vov V.M. Instrumental'no-modelirujushhij kompleks dlja ocenki kachestva funkcionirovanija informacionnyh system. Rukovodstvo sistemnogo analitika [Instrumental-modeling system for assessing the quality of functioning of information systems. Manual of system analyst]. Moscow, Weapons. Policy. Conversion Publ., 1985. 305 p. (in Russian).

2. Viner N. Kibernetika ili upravlenie i svjaz' v zhivotnom i mashine [Cybernetics or control and communication in the animal and the machine]. Moscow, Nauka Publ., 1983. 344 p. (in Russian).

3. GOST RV 51987 - 2002. Informacionnaja tehnologija. Kompleks standartov na avtomatizirovannye sistemy. Tipovye trebovanija i pokazateli kachestva funkcionirovanija informacionnyh sistem. Obshhie polozhenija [Information technology. A set of standards for automated systems. Standard requirements and indicators of quality of functioning of information systems. General provisions]. Moscow, Standartinform, 2002. 344 p. (in

Russian).

4. GOST R 56545 - 2015. Zashhita informacii. Ujazvimosti informacionnyh sistem. Pravila opisanija ujazvimostej [Information protection. Vulnerabilities in information systems. Rules of vulnerabilities description]. Moscow, Standartinform, 2015. 22 p. (in Russian).

5. 5 GOST R 56546 - 2015. Zashhita informacii. Ujazvimosti informacionnyh sistem. Klassifikacija ujazvimostej informacionnyh sistem [Information protection. Vulnerabilities in information systems. The classification of vulnerabilities in information systems]. Moscow, Standartinform, 2015. 17 p. (in Russian).

6. Zhidkov I.V., Shubenin A.A., Pozdnjakov S.Ju., Kochegarov P.Ju. Problemy sozdanija doverennoj programmno-apparatnoj sredy dlja avtomatizirovannyh sistem upravlenija [The problem of creating a trusted hardware-software environment for automated control systems] // XIX Bajkal'skaja Vserossijskaja konferencija «Informacionnye i matematicheskie tehnologii v nauke i upravlenii». Chast' II: trudy. Irkutsk: ISJeM SO RAN, 2014, pp. 142-149. (in Russian).

7. Kostogryzov A.I. Opyt primenenija i razvitie nauchno-prakticheskih polozhenij standarta GOST RV 51987-2002 [Experience in the application and development of scientific and practical provisions of the standard GOST RV 51987-2002]. Available at: http://www.fostas.ru/library/show_article.php?id=105, accessed 15.02.2016. (in Russian ).

8. Kostogryzov A.I., Stepanov P.V. Innovacionnoe upravlenie kachestvom i riskami v zhiznennom cikle system [Innovative management of quality and risks in systems life cycle]: Moscow, Weapons. Policy. Conversion Publ., 2008. 404 p. (in Russian).

9. Markov A.S., Cirlov V.L. Opyt vyjavlenija ujazvimostej v zarubezhnyh programmnyh produktah [Experience of identifying vulnerabilities in software products]. Voprosy kiberbezopasnosti = Cybersecurity, 2013, № 1(1), pp. 44-48. (in Russian).

10. Metodicheskij dokument FSTJeK Rossii "Bazovaja model' ugroz bezopasnosti personal'nyh dannyh pri ih obrabotke v informacionnyh sistemah personal'nyh dannyh" [Methodological document of the FSTEC of Russia "The basic model of security threats of personal data at their processing in information systems of personal data"]. Available at: http://fstec.ru/component/attachments/download/289, accessed 20.01.2016. (in Russian).

11. Metodicheskoye rukovodstvo po otsenke kachestva funktsionirovaniya informatsionnykh sistem (v kontekste standarta GOST 51987) [Methodical guidance on evaluation of quality of functioning of information systems (in the context of the standard GOST RV 51987)]. Moscow, 3 CNII Publ., 2003. 352 p. (in Russian).

12. Federal'nyj zakon Rossijskoj Federacii «Ob informacii, informacionnyh tehnologijah i o zashhite informacii» ot 27.07.2006 № 149-FZ [Federal law of the Russian Federation "On information, information technologies and protection of information" of 27.07.2006 № 149-FZ]. Available at: http://docs.cntd.ru/document/901990051, accessed 03.02.2016. (in Russian).