Научная статья: Обеспечение безопасности персональных данных в информационной системе предприятия (2024) (читать, скачать)

Обеспечение безопасности персональных данных в информационной системе предприятия (2024)

При современном развитии информационных технологий, ресурсов и компьютеризации общества во всём мире в каждой из сфер деятельности человека не обходится без информационных технологий. Некоторые из них уникальны и приносят доход своей уникальностью, и вследствие этого одной из наиболее более актуальных становится проблема обеспечения информационной безопасности в любых организациях и предприятиях, для любой сферы и бизнес-деятельности. Люди в связи со стремлением получить выгоду могут совершать преступные действия по отношению к источникам доходов, коими всегда является информация. Самым распространенным таким источником являются персональные данные. В любой организации и на любых предприятиях существуют угрозы безопасности информации, которая содержит персональные данные.

Эта информация может быть утрачена, скопирована, изменена или заблокирована как злоумышленником из корыстных побуждений, так и допущенным персоналом по ошибке и неосторожности. Потеря конфиденциальной информации может повлечь как незначительный ущерб, так и весьма серьезные последствия. Поэтому важную роль в сохранении и улучшении деятельности организаций играет обеспечение безопасности персональных данных, так как эта проблема существует во всех сферах жизнедеятельности.

В настоящей статье рассмотрены вопросы, связанные с разработкой системы по обеспечению безопасности персональных данных в информационной системе предприятия.

Во время выполнения работы были проанализированы нормативно-правовые акты

в сфере защиты и обработки персональных данных в информационной системе предприятия, был осуществлен анализ существующих средств защиты и исходной защищенности ИСПДн.

В результате выполнения работы была разработана система защиты персональных данных в ИСПДн. Был произведен выбор технических и организационных мер, а также обоснование оборудования для системы защиты.

Тип: Статья

Автор (ы): Карпова Надежда Евгеньевна, Бабинова Анна Андреевна

Ключевые фразы: персональные данные, конфиденциальная информация, информационная система персональных данных, информационные технологии, исходная защищенность, актуальные угрозы, нарушитель, меры по обеспечению безопасности, система защиты

Идентификаторы и классификаторы

УДК: 004. Информационные технологии. Компьютерные технологии. Теория вычислительных машин и систем
Префикс DOI: 10.17212/2782-2230-2024-2-5

Текстовый фрагмент статьи

Список литературы

1.Convention on the Protection of Natural Persons in the Automated Processing of Personal Data (Strasbourg, 28 January 1981). Konsul’tantPlyus. (In Russian). Available at: http:///ww.consultant.ru/document/cons_doc_LAW_121499/ (accessed 30.05.2024).

2.Federal Law of the Russian Federation of July 27, 2006 No. 152-FZ “About personal data”. Konsul’tantPlyus. (In Russian). Available at: www.consultant.ru/tant.ru/

document/cons_doc_LAW_61801/ (accessed 30.05.2024).

3.Federal Law of the Russian Federation of July 27, 2011. “On amendments to the Federal Law “About Personal Data””. Konsul’tantPlyus. (In Russian). Available at: https://www.consultant.ru/document/cons_doc_LAW_117437/ (accessed 30.05.2024).

4.Federal Law of the Russian Federation of July 27, 2006 No. 149-FZ “On information, information technologies and on information protection”. Konsul’tantPlyus. (In Russian). Available at: http:////ww.consul.tant.ru/document/cons_doc_

LAW_61798/ (accessed 30.05.2024).

5.Order of FSTEC of Russia No. 21 dated 18.02.2013 “On approval of the composition and content of organizational and technical measures to ensure security of personal data during their processing in personal data information systems”. FSTEC of Russia. (In Russian). Available at: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (accessed 30.05.2024).

6.Resolution of the Government of the Russian Federation from 15.09.2008 No. 687 “On approval of the Regulation on the features of the processing of personal data carried out without the use of automation means”. Garant.Ru: web-site.

(In Russian). Available at: https://base.garant.ru/193875 (accessed 30.05.2024).

7.Methodological document of the FSTEC of Russia dated February 05, 2021 “Methods of assessment of threats to information security”. FSTEC of Russia.

(In Russian). Available at: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya-2021-g (accessed 30.05.2024).

8.Methodological document of the FSTEC of Russia dated February 14, 2008 “Methods of identification of actual threats of security of personal data during their processing in information systems of personal data”. FSTEC of Russia. (In Russian). Available at: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodika-ot-14-fevralya-2008-g (accessed 30.05.2024).

9.Gavryushchenko A.P., Maslennikov A.V. O metodike opredeleniya aktual’-nykh ugroz informatsionnoi bezopasnosti s ispol’zovaniem BDU FSTEK [On the methodology for determining current threats to information security using the FSTEC databas]. Auditorium, 2022, no. 2 (34), pp. 37–43. (In Russian).

10.State Register of Certified Means of Information Protection. FSTEC of Russia. (In Russian). Available at: https://reestr.fstec.ru/reg3 (accessed 30.05.2024).

11.Secret Net Studio 8.5. Rukovodstvo administratora. Nastroika i ekspluatatsiya [Secret Net Studio 8.5. Administrator’s manual. Settings and operation]. Moscow, Kod bezopasnosti Publ., 2019. 106 p.

12.Secret Net Studio 8.5. Rukovodstvo administratora. Lokal’naya zashchita [Secret Net Studio 8.5. Admin Guide. Local Security]. Moscow, Kod bezopasnosti Publ., 2019. 159 p.

13.Isaev A.S., Khlyupina E.A. Pravovye osnovy organizatsii zashchity personal’nykh dannykh [Legal framework for personal data protection organization]. St. Petersburg, ITMO University Publ., 2014. 106 p. Available at: https://books.ifmo.ru/file/pdf/1570.pdf (accessed 30.05.2024).

14.Slepov O. Zashchita personal’nykh dannykh [Protection of personal data]. Available at: https://ww.jetinfo.ru/zaschita-personalnykh/ru (accessed 30.05.2024).

15.Basic model of threats to the security of personal data during their processing in personal data information systems (Extract) (approved by the FSTEC of Russia in 15.02.2008). Konsul’tantPlyus. (In Russian). Available at: http://www.consultant.ru/document/cons_doc_LAW_99662 (accessed 30.05.2024).

Выпуск

Выпуск № 2 (113) Апрель - Июнь (2024)

Кол-во страниц: 1 страница

Другие статьи выпуска

Разработка онлайн-сервиса для обработки информации о проверке знаний сотрудников компании (2024)

Авторы: Трошина Галина Васильевна, Калинкина Ариана Сергеевна

В современных условиях компаниям приходится сталкиваться с большой конкуренцией в быстро растущих сегментах отрасли или областях рынка. Именно поэтому в бизнес-среде управление знаниями сотрудников является ключевой задачей. Организации уделяют время не только обучению персонала, но и отработке теоретических знаний на практике, разбору ошибок, которые возникают во время общения с клиентом. Компаниям необходимо искать эффективные методы оценки знаний своих сотрудников в целях повышения конкурентоспособности, но существующие платформы не предоставляют всех необходимых возможностей. Поэтому появляется необходимость в создании узконаправленного программного обеспечения, которое бы давало возможность формировать тесты для проверки знаний работников организации и анализировать полученные результаты. В настоящей статье представлены основные этапы создания онлайн-сервиса для обработки информации о результатах тестирования знаний сотрудников компании. Каждый сотрудник имеет доступ в свой личный кабинет, в котором он может выполнять тесты, отслеживать результаты и рейтинг среди других сотрудников по среднему баллу, получить обратную связь от руководителя. У руководителя компании имеется возможность отслеживать информацию по каждому сотруднику, назначать тесты, комментировать ответы, а также удалять или добавлять новых сотрудников. При создании тестов предусмотрена возможность выбрать тип вопроса, в том числе осуществлять загрузку аудиофайлов и изображений. Создана удобная панель меню, которая содержит разнообразные вкладки, соответствующие роли пользователя. Разработана база данных и определены типы связей между таблицами. Созданы учетные записи пользователей для назначения соответствующих уровней доступа.

Сохранить в закладках

Угроза социальной инженерии и фишинга в современной информационной безопасности (2024)

Авторы: Карпова Надежда Евгеньевна, Восканян Игит Игитович

Информация – важнейший ресурс любой компании в наше время, поэтому обеспечение ее защиты является одной из приоритетных бизнес-задач каждой организации.

С течением времени технические системы защиты всё больше и больше совершенствуются за счет развития технологий, учета множества каналов утечек информации и увеличения потребности в обеспечении информационной безопасности в целом. Грамотно выстроенные технические системы защиты всегда будут выполнять возложенные на них задачи, но один-единственный фактор может сделать их бесполезными – это человек. Люди так и будут оставаться людьми со своими слабостями, предрассудками, стереотипами и ошибками, являясь самым слабым звеном в цепочке безопасности.

Поэтому начали набирать популярность атаки, направленные не на саму систему, а на ее пользователей, так называемые социоинженерные атаки.

В настоящей статье рассмотрены вопросы угроз социальной инженерии и фишинга в современной информационной безопасности. Во время выполнения работы были проанализированы история и принцип работы социальной инженерии.

В результате работы был представлен пример настоящей фишинговой атаки (пентеста), произведен анализ статистических данных. Были представлены выводы об угрозе фишинга.

Сохранить в закладках

От информационной безопасности к национальной: противоборство IT-компаний США и КНР (2024)

Авторы: Петрунин Юрий Юрьевич, Бухарин Владислав Викторович

В статье исследуются отдельные аспекты деятельности крупных IT-компаний, тесно связанные с проблемой информационной безопасности, обеспечения цифрового суверенитета как основы национальной безопасности. Особое внимание уделено борьбе транснациональных IT-корпораций США и КНР за альтернативные рынки сбыта, а также ряду ограничений, налагаемых на них законами иностранных государств. Основываясь на исследовании официальных документов американских и китайских государственных органов и IT-корпораций, а также материалов СМИ, авторы приходят к выводу, что геополитические интересы США и КНР соприкасаются с целями крупного бизнеса и вынуждают правительства прибегать к различного рода запретам и протекционистским мерам. IT-корпорации США и Китая, разработчики мессенджеров и социальных сетей уделяют недостаточно внимания вопросам информационной безопасности своих клиентов.

Сохранить в закладках

Опыт проведения киберучений с использованием разработанного сценария (2024)

Авторы: Касимова Алина Ринадовна, Воробьёв Дмитрий Андреевич, Севрунов Александр Николаевич

Угроза кибератак стала серьезной проблемой для организаций, решение которой в том числе лежит и в плоскости моделирования сценариев возможных атак с применением технологий цифровых двойников. Киберполигон, основанный на программном комплексе AMPIRE, используется для изучения воздействия киберугроз. Сценарий действий злоумышленника включает использование различных тактик и уязвимостей, таких как активное сканирование, подготовка ресурсов, уязвимости в общедоступных приложениях, вредоносные ссылки и файлы, а также компрометацию учетных записей пользователей домена. Вектор атаки злоумышленника соотносится с тактиками, техниками и процедурами матрицы Mitre ATT&CK. Уязвимости включают плагин wpDiscuz, Zerologon и последствия использования Wordpress Shell и получения несанкционированного доступа. Проводимые межвузовские киберучения позволили выявить сильные и слабые места, которые необходимо учитывать при проведении следующих мероприятий. Сценарное тестирование с участием вузов показало эффективность комплекса при оценке времени, необходимого для закрытия уязвимостей и устранения последствий. Реализация на киберполигоне разнотипных сценариев с профильным функционалом
дает возможность сформировать практические навыки по предотвращению атак на компьютерные сети, а также позволяет анализировать ситуацию, взаимодействовать
с другими специалистами-участниками.

Сохранить в закладках

Издательство

Издательство: НГТУ
Регион: Россия, Новосибирск
Почтовый адрес: 630073, Новосибирск, проспект Карла Маркса, 20,
Юр. адрес: 630073, Новосибирск, проспект Карла Маркса, 20,
ФИО: Батаев Анатолий Андреевич (Ректор)
E-mail адрес: rector@nstu.ru
Контактный телефон: +7 (383) 3465001
Сайт: https://nstu.ru/

Все права на тексты и товарные знаки принадлежат их законным владельцам. Подробнее...

Сайт https://scinetwork.ru (далее – сайт) работает по принципу агрегатора – собирает и структурирует информацию из публичных источников в сети Интернет, то есть передает полнотекстовую информацию о товарных знаках в том виде, в котором она содержится в открытом доступе.

Сайт и администрация сайта не используют отображаемые на сайте товарные знаки в коммерческих и рекламных целях, не декларируют своего участия в процессе их государственной регистрации, не заявляют о своих исключительных правах на товарные знаки, а также не гарантируют точность, полноту и достоверность информации.

Все права на товарные знаки принадлежат их законным владельцам!

Сайт носит исключительно информационный характер, и предоставляемые им сведения являются открытыми публичными данными.

Администрация сайта не несет ответственность за какие бы то ни было убытки, возникающие в результате доступа и использования сайта.

Спасибо, понятно.

БЕЗОПАСНОСТЬ ЦИФРОВЫХ ТЕХНОЛОГИЙ

Обеспечение безопасности персональных данных в информационной системе предприятия (2024)

Идентификаторы и классификаторы

Список литературы

Выпуск

Другие статьи выпуска

Издательство