ВВЕДЕНИЕ 5
1. ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ ВОПРОСА ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ 12
1.1 Правовые основы понятия критической информационной инфраструктуры 12
1.2 Критическая информационная инфраструктура как объект обеспечения
безопасности 15
1.3 Анализ существующих методов обеспечения информационной
безопасности критической информационной инфраструктуры 21
1.4 Принципы обеспечения комплексной безопасности критической
информационной инфраструктуры 26
1.5 Выводы по разделу 1 30
2 ИССЛЕДОВАНИЕ ВОПРОСА НЕОБХОДИМОСТИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ, ОСУЩЕСТВЛЯЮЩЕЙ МЕДИЦИНСКУЮ ДЕЯТЕЛЬНОСТЬ 32
2.1 Изучение деятельности и организационной структуры организации,
осуществляющей медицинскую деятельность 32
2.2 Анализ технической архитектуры организации, осуществляющей
медицинскую деятельность 34
2.3 Анализ программной архитектуры и данных, обрабатываемых медицинской
организацией 36
2.4 Анализ обрабатываемых в медицинской организации данных 38
2.5 Выводы по разделу 2 42
3. КАТЕГОРИРОВАНИЕ ОБЪЕКТА КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ ОРГАНИЗАЦИИ, ОСУЩЕСТВЛЯЮЩЕЙ МЕДИЦИНСКУЮ ДЕЯТЕЛЬНОСТЬ 44
3.1 Выявление критических процессов и определение объектов критической
информационной инфраструктуры организации, осуществляющей
медицинскую деятельность 44
3.2 Оценка факторов активности потенциального злоумышленника в контексте
информационной безопасности организации, осуществляющей медицинскую деятельность 47
3.3 Анализ уязвимостей и угроз безопасности организации, осуществляющей
медицинскую деятельность 51
3.4 Разработка модели актуальных угроз безопасности объектов критической инфраструктуры организации, осуществляющей медицинскую деятельность . 57
3.5 Определение категории выявленных объектов критической
информационной инфраструктуры организации, осуществляющей медицинскую деятельность 58
3.6 Выводы по разделу 3 61
4. СОВЕРШЕНСТВОВАНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ОБЕСПЕЧЕНИЯИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ,
ОСУЩЕСТВЛЯЮЩЕЙ МЕДИЦИНСКУЮ ДЕЯТЕЛЬНОСТЬ 63
4.1 Определение оптимального комплекса организационных мер и методов
обеспечения информационной безопасности 69
4.2 Определение оптимального комплекса программно-аппаратных мер и методов обеспечения информационной безопасности в части технической и
физической защиты 71
4.3 Разработка мер защиты информации в целях нейтрализации выявленных
актуальных угроз 78
4.4 Выводы по разделу 4 80
ЗАКЛЮЧЕНИЕ 82
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ 84
Приложение А Порядок выявления и присвоения категорий объектам критической информационной инфраструктуры 90
Приложение Б Схема первого этажа медицинской организации 91
Приложение В Топология локальной сети первого этажа медицинской организации 93
Приложение Г Оценка актуальности угроз выявленных объектов критической информационной инфраструктуры организации 95
Приложение Д Оценка значимости объектов критической информационной инфраструктуры организации 98
Актуальность исследования. Совершенствование информационных технологий и непрерывность процесса информатизации является характерной особенностью развития современного общества. Интеграция IT-технологий во все сферы жизнедеятельности людей привела к необходимости создания информационной инфраструктуры, способной обеспечить сохранность и безопасность конфиденциальных данных. Учитывая повсеместное внедрение передовых технологий в разные отрасли общества, возникают проблемы информационной безопасности (ИБ) организаций, которые с каждым годом становятся все более сложными и разноплановыми [21,33].
Не стала исключением и сфера оказания медицинских услуг. В данной области остро стоит вопрос информационной безопасности. В результате интеграции высокотехнологичного оборудования и информационных систем (ИС) во все области и организации здравоохранения в связи с расширением спектра предоставляемых медицинских услуг, проблема защиты информации приобрела особую актуальность и значимость, вызвав необходимость разработки и внедрения инновационных решений по части обеспечения информационной безопасности медицинских учреждений [25, 34, 31].
Масштабность и неоднородность информационных структур предприятий медицины и здравоохранения приводит к высокой уязвимости информационных систем медицинских учреждений. Менее защищенными оказываются целые структуры, а не отдельно взятые узлы, что связано с повышением сложности инструментов и средств программно-аппаратного обеспечения компаний, а также с определенными недостатками самих информационных технологий [15].
Действующие нормы Федеральных законов и других руководящих документов требуют обеспечения комплексной информационной защиты медицинских учреждений как объектов информатизации, что является актуальной проблемой на сегодняшний день. Главной целью внедрения комплексного подхода в области информационной защищенности учреждений здравоохранения выступает обеспечение доступности и высокой степени безопасности обрабатываемых данных и защиты информации, используемой в рамках предусмотренных законодательством мер, от несанкционированного вмешательства третьих лиц [16].
Отсутствие эффективной защиты, разработанной на основе комплексного подхода к обеспечению информационной безопасности, ведет к возникновению обширного количества угроз, связанных с хищением или уничтожением персональных данных (ПД) - ключевой информации о сотрудниках и пациентах медицинских организаций, а также нарушает штатный порядок работы учреждения. В некоторых ситуациях сбои в функционировании информационных систем оборачиваются значительными финансовыми потерями, а в отдельных случаях могут стать причиной нанесения вреда жизни и здоровью людей. Например, некорректная работа диагностического оборудования приводит к получению недостоверных результатов анализов, а сбои в медицинской аппаратуре несут опасность для жизни и здоровья пациентов. Исходя из этого можно заключить, что проведение исследований в сфере повышения защиты информационной структуры медицинских организаций необходимы как для обеспечения безопасности ИС субъектов здравоохранения, так и для пациентов, получающих любой вид медицинской помощи, включая консультативную [27, 28].
Степень проработанности темы
В настоящее время активно ведется исследование вопроса защиты информации и изучение защищенности информационной инфраструктуры медицинских учреждений в контексте реализации различного вида атак. Однако вопросу обеспечения комплексной информационной безопасности организаций, осуществляющих медицинскую деятельность, в контексте изучения критических информационных инфраструктур (КИИ) почти не посвящено научных работ ввиду недавнего утверждения в 2018 году федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [3].
Представляется необходимым изучить проблему повышения надежности информационных систем медицинской сферы, найти способы обеспечения безопасного функционирования информационной структуры и свести к минимуму риск внешних и внутренних угроз. С этой целью необходимо внедрить механизм повышения защищенности ИС путем разработки и реализации мероприятий, направленных на обеспечение комплексной информационной защиты учреждений [23].
Исходя из этого, проблематика исследования заключается в надобности увеличения уровня защищенности информации в медицинских учреждениях за счет обеспечения комплексной информационной безопасности в условиях непрерывного роста числа угроз, способов их реализации, а также требований федеральных законов и других нормативных документов в отношении обработки данных на субъектах критической информационной инфраструктуры.
Отталкиваясь от актуальности и установленной проблемы можно прийти к выводу о необходимости проведения исследовательских работ в направлении обеспечения комплексной информационной безопасности в организациях, осуществляющих медицинскую деятельность.
Объектом исследования является информационная инфраструктура организации, осуществляющей медицинскую деятельность.
Предметом исследования являются методы совершенствования системы информационной безопасности организации, осуществляющей медицинскую деятельность.
Цель работы заключается в повышении уровня безопасности информационных систем организации посредством совершенствования комплексной системы защиты медицинского учреждения. Для достижения обозначенной цели подразумевается решить последующие задачи:
1. Исследовать теоретические аспекты вопроса обеспечения информационной безопасности критических информационных инфраструктур посредством анализа существующих подходов и принципов.
2. Провести анализ методов обеспечения информационной безопасности критической информационной инфраструктуры.
3. Провести анализ деятельности и исследовать текущий уровень информационной безопасности систем организации, осуществляющей медицинскую деятельность.
4. Провести анализ уязвимостей и угроз информационной безопасности объектов критической информационной инфраструктуры организации, осуществляющей медицинскую деятельность.
5. Разработать модели нарушителя и актуальных угроз безопасности объектов критической информационной инфраструктуры организации, осуществляющей медицинскую деятельность.
6. Категорировать существующие объекты критической информационной инфраструктуры организации, осуществляющей медицинскую деятельность.
7. Усовершенствовать существующую систему защиты организации, осуществляющей медицинскую деятельность, за счет подбора оптимального комплекса мер и использования методов информационной безопасности в части соответствия ФЗ № 187.
В этой работе выдвигается следующая гипотеза: внедрение современных подходов и адаптация существующих методов обеспечения комплексной информационной безопасности является необходимым условием для обеспечения достаточной степени защищенности информационной инфраструктуры организации, осуществляющей медицинскую деятельность.
Теоретическую основу исследования составили труды отечественных и зарубежных ученых, монографии, материалы, периодических научных изданий, диссертаций научно-практических конференций по исследуемой проблематике.
В частности, существенную роль при написании работы сыграли труды таких авторов, как Михалевич И.Ф., Фролов Я.О., Сидоренко В.Л., Азаров С.И., Власенко Е.А., Бойченко О. В., Аношкина А. А., посвященные разным аспектам обеспечения безопасности критически важных объектов информационных инфраструктур [16, 22, 23, 29, 30, 32].
Методологической основой исследования является совокупность методов научного познания, используемых для достижения поставленной цели:
1. Изучение и анализ научной литературы.
2. Системный анализ и моделирование.
3. Методы индукции и дедукции.
Научная новизна работы заключается в том, что исследование вопроса обеспечения комплексной информационной безопасности в организации, осуществляющей медицинскую деятельность, реализуется в контексте обеспечения безопасности критических информационных инфраструктур.
Теоретическая значимость заключается в возможности применения полученных результатов в исследованиях и работах, посвященных различным аспектам обеспечения безопасности объектов критической информационной инфраструктуры.
Практическая значимость исследования состоит в возможности последующего применения полученных результатов работы коммерческими медицинскими компаниями для разработки и внедрения эффективных комплексных мер по защите информации, спроектированных с учетом положений и требований Федеральных законов и прочих нормативно-правовых документов в области обработки данных субъектов информационных инфраструктур с высокой уязвимостью (критических объектов медицинской сферы).
Этапы исследования:
1. Изучение теоретических аспектов вопроса обеспечения безопасности критических информационных инфраструктур.
2. Освещение деятельности организации, осуществляющей
медицинскую деятельность.
3. Разработка моделей нарушителя и актуальных угроз безопасности для информационных систем организации, осуществляющей медицинскую деятельность.
4. Выработка рекомендаций по разработке комплексной системы обеспечения информационной безопасности.
На защиту выносятся:
1. Модель актуальных угроз информационной безопасности информационных систем ООО «Семейная поликлиника».
2. Модели нарушителя и актуальных угроз безопасности объектов критической информационной инфраструктуры ООО «Семейная поликлиника».
3. Проект совершенствования комплексной системы информационной безопасности ООО «Семейная поликлиника» за счет подбора оптимального комплекса мер и использования методов информационной безопасности в части соответствия ФЗ № 187.
Объем и структура диссертации - 87 страницы, которые включают текст, 2 схемы, 11 таблиц, 17 изображений. Диссертация состоит из введения, четырех разделов и заключения.
Первый раздел посвящен освещению теоретических аспектов вопроса обеспечения безопасности критических информационных инфраструктур. Второй раздел посвящен освещению деятельности организации, осуществляющей медицинскую деятельность, с конкретизацией помещений и обрабатываемых данных в этих помещениях и информационных системах организации.
В третьем разделе содержится информация о разработке моделей нарушителя и актуальных угроз безопасности для информационных систем организации, осуществляющей медицинскую деятельность, а также об определение категории выявленных объектов критической информационной инфраструктуры.
Четвертый раздел содержит рекомендации по разработке комплексной системы обеспечения информационной безопасности в целях повышения уровня информационной защиты объектов информационной инфраструктуры организации, осуществляющей медицинскую деятельность.
В данной работе было проведено исследование вопроса обеспечения информационной безопасности критической информационной инфраструктуры, на основании которого можно сделать вывод о широком перечне уязвимостей и угроз информационной безопасности применительно к медицинским организациям. В работе были проанализированы ключевые аспекты ФЗ № 187 и определены принципы обеспечения безопасности критической информационной инфраструктуры, на основании чего был сделан вывод о необходимости повышения защищенности критических информационных инфраструктур, в частности медицинского учреждения.
Вместе с тем в работе были выявлены критические процессы, определены объекты критической информационной инфраструктуры медицинской организации ООО «Семейная поликлиника», проведена оценка факторов активности потенциального злоумышленника, а также разработана модель угроз безопасности объектов критической инфраструктуры медицинского учреждения. По результату проведенного анализа была проведена оценка категорий значимых объектов критической информационной инфраструктуры ООО «Семейная поликлиника» в соответствие с Постановлением Правительства РФ № 127 от 8 февраля 2018 г.
На основании проведенного категорирования и приказа № 239 от 25 декабря 2017 "Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" был предложен проект совершенствования комплексной системы обеспечения информационной безопасности медицинской организации ООО «Семейная поликлиника». Предложенный проект содержит оптимальные комплексы организационных, технических и программно-аппаратных мер и методов обеспечения информационной безопасности, внедрение которых позволяет нейтрализовать выявленные актуальные угрозы безопасности медицинской организации ООО «Семейная поликлиника».
Таким образом в результате работы были исследованы организационно-правовое и инженерно-техническое направления обеспечения информационной безопасности, подобраны меры и методы обеспечения комплексной безопасности в целях нейтрализации угроз, определенных в 3 главе, а также построены схемы размещения средств защиты информации.
Полученные результаты могут быть использованы государственными и коммерческими медицинскими организациями для проектирования современных комплексных систем защиты информации, учитывающих требования закона № 187-ФЗ, а также других нормативных документов в отношении обработки данных на субъектах критической информационной инфраструктуры.
1. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения М.: Стандартинформ, 2008 [Электронный ресурс] : справочная правовая система: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=EX P&n=418509#06367720451532759 (Дата обращения: 20.11.2019).
2. ГОСТ Р ИСО/МЭК 27002-2012. Информационная технология. Методы
и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности [Электронный ресурс] : сайт Федерального агентства по техническому регулированию и метрологии:
http://protect. gost.ru/document.aspx?control=7&id=183918 (Дата обращения:
20.11.2019) .
3. О безопасности критической информационной инфраструктуры
Российской Федерации: Федеральный закон (от 26.07.2017 № 187-ФЗ)
[Электронный ресурс] : сайт Президента Российской Федерации:
http://www.kremlin.ru/acts/bank/42489(Дата обращения: 20.11.2019).
4. О внесении изменений в Положение о ФСТЭК: Указ Президента
Российской Федерации (от 25.11.2017 г. № 569) [Электронный ресурс] : сайт Федерального агентства по техническому регулированию и метрологии: http://protect. gost.ru/document.aspx?control=7&id=183918 (Дата обращения:
20.11.2019) .
5. О внесении изменений в регламент ФСТЭК: Приказ ФСТЭК (от 26.04.2018 №72) [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/index?id=1596:prikaz- fstek-rossii-ot-26-aprelya-2018-g-n-72(Дата обращения: 20.11.2019).
6. Об информации, информационных технологиях и о защите
информации: Федеральный Закон (от 27 июля 2006 г. № 149-ФЗ) [Электронный ресурс]: справочная правовая система:
http://www.consultant.ru/document/cons_doc_LAW_61798/(Дата обращения:
20.11.2019) .
7. Об утверждении порядка ведения реестра значимых объектов
критической информационной инфраструктуры Российской Федерации: Приказ ФСТЭК России (от 06.12.2017 № 227) [Электронный ресурс] : сайт
Федеральной службы по техническому и экспортному контролю: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1587-prikaz-fstek-rossii-ot-6- dekabrya-2017-g-n-227(Дата обращения: 20.11.2019).
8. Об утверждении Правил категорирования объектов критической
информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений: Постановление Правительства РФ (от 8 февраля 2018 г. № 127) [Электронный ресурс] : информационно-правовой портал:
http: //www.garant.ru/products/ipo/prime/doc/71776120/ (Дата обращения:
20.11.2019) .
9. Об утверждении Правил осуществления государственного контроля в
области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Постановление Правительства Российской Федерации (от 17.02.2018 г. № 162) [Электронный ресурс], информационно-правовой портал:
http://www.garant.rU/products/ipo/prime/doc/71783452/ (Дата обращения:
20.11.2019) .
10. Об утверждении Требований к созданию систем безопасности
значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования: Приказ ФСТЭК (от 21.12.2017 №235) [Электронный ресурс] : сайт Федеральной службы по
техническому и экспортному контролю: https://fstec.ru/index?id=1606:prikaz- fstek-rossii-ot-21-dekabrya-2017-g-n-235(Дата обращения: 20.11.2019).
11. Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Приказ ФСТЭК (от 25.12.2017 № 239) [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/en/53-normotvorcheskaya/akty/prikazy/1592-prikaz-fstek-rossii-ot-25- dekabrya-2017-g-n-239(Дата обращения: 20.11.2019).
12. Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации: Приказ ФСТЭК России (от 11.12.2017 № 229) [Электронный ресурс]: сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/1475-prikaz-fstek-rossii-ot-11- dekabrya-2017-g-n-229(Дата обращения: 20.11.2019).
13. Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий: Приказ ФСТЭК России (от 22.12.2017 № 236) [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/index?id=1607:prikaz-fstek-rossii-ot-22- dekabrya-2017-g-n-236(Дата обращения: 20.11.2019).
14. О персональных данных: Федеральный Закон (от 27 июля 2006 г.
№152-ФЗ) [Электронный ресурс] : справочная правовая система:
http://www.consultant.ru/document/Cons_doc_LAW_61801/ (Дата обращения:
20.11.2019) .
Научная и методическая литература
15. Безкоровайный Д. Безопасность компонентов / Д. Безкоровайный. - Открытые системы. СУБД. - М: Издательство «Открытые системы», 2011. - 26 с.
16. Бойченко О. В. Обеспечение безопасности критически важных объектов инфраструктуры российской федерации / А. А. Аношкина // Ученые записки Крымского федерального университета имени В. И. Вернадского. Экономика и управление, 2016 - С.15-19.
17. Жидко Е.А. Информационные риски как аргумент безопасного и устойчивого развития организаций / Е.А. Жидко, Л.Г. Попова // Информация и безопасность, 2010. - №4. - С. 543-552.
18. Козин И.С. Метод определения опасности угрозы персональным данным при их обработке в информационной системе. 2017. - C. 19-26.
19. Кудрявцев А.М. Киберустойчивость информационно¬
телекоммуникационной сети / М.А. Коцыняк, И.А. Кулешов, А.М. Кудрявцев, О.С. Лаутаи. - СПб.: Бостон-спектр, 2015. - 150 с.
20. Куликов С.С. Метод риск-анализа информационно¬
телекоммуникационных систем при атаках на их ресурсы / С.С. Куликов, В.И. Белоножкин // Информация и безопасность, 2013. - Т. 16. - №1. - С. 143-144.
21. Меликов У.А. Гражданско-правовая защита персональных данных / У.А. Меликов // Вестник УрФО. Безопасность в информационной сфере. 2015. № 4 (18). - С. 49-53.
22. Михалевич И.В. Вопросы классификации объектов критической информационной инфраструктуры по требованиям безопасности информации / И.В. Михалевич // XIII Всероссийское совещание по проблемам управления, 2019 - С. 2587 - 2590.
23. Сидоренко В.Л. Защита объектов критической инфраструктуры в условиях гибридной технологии ведения войны / С.И. Азаров, Е.А. Власенко,
B. А. Тищенко, 2018. - 14 с.
24. Соловьев В.В. Улучшение защищенности распределенной информационной системы персональных данных на основе технологии VPN и терминального доступа / В.В. Соловьев // Информационные технологии и проблемы математического моделирования сложных систем. - 2017. - №18. -
C. 39-44.
25. Чукарин А.В. Бизнес-процессы и информационные технологии в управлении современной инфокоммуникационной компанией / А.В. Чукарин. - М.: Альпина Паблишер. - 2016. - 512 с.
Электронные ресурсы
26. Базовая модель угроз безопасности персональных данных при их
обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.) [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/component/attachments/download/289 (Дата обращения:
20.11.2019) .
27. Банк данных угроз безопасности информации [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: http://bdu.fstec.ru/(Дата обращения: 20.11.2019).
28. Методика определения угроз безопасности информации в
информационных системах персональных данных. ФСТЭК России, 2008 г. [Электронный ресурс] : сайт Федеральной службы по техническому и экспортному контролю: https://fstec.ru/component/attachments/download/290
(Дата обращения: 20.11.2019).
29. Фролов Я.О. Методы и средства обеспечения информационной
безопасности на критически важных объектах народного хозяйства // XLIII междунар. студ. конф. № 8(43) [Электронный ресурс] : сайт научного
издательства «СибАК»: https://sibac.info/archive/meghdis/8(43).pdf(Дата
обращения: 20.11.2019).
Литература на иностранном языке
30. Arie H. Japan’s Approach to Tackling Cybersecurity Challenges, 2017
[Электронный ресурс] : новостной сайт:
www.japanindustrynews.com/2017/01/japans-approach-tackling-cybersecurity-challenges/ (Дата обращения: 20.11.2019).
31. Bekeschenko E. Security of Critical Information Infrastructure: Legal Issues, 2017. [Электронный ресурс], Режим доступа: https://www.international-bc- online.org/wp-content/uploads/2017/09/5.-Bekeschenko-ENG.pdf(Дата обращения:
20.11.2019) .
32. Giacomello G. Cybersecurity and critical information infrastructures,
2013 [Электронный ресурс] : сайт ISPI:
https://www.ispionline.it/sites/default/files/pubblicazioni/analysis_201_2013.pdf
(Дата обращения: 20.11.2019)
33. Physical Protection of Critical Infrastructure against Terrorist Attacks, Trends Report, Counter Terrorism Executive Directorate, 2017 [Электронный ресурс]: сайт ООН: https://www.un.org/sc/ctc/wp-content/uploads/2017/03/CTED- Trends-Report-8-March-2017-Final.pdf(Дата обращения: 20.11.2019).
34. Shostack A. "Threat Modeling: Designing for Security", 2014
[Электронный ресурс] : сайт электронной библиотеки:
https://avidreaders.ru/book/threat-modeling-designing-for-security.html (Дата
обращения: 20.11.2019).