Выпуск № 2 (113) Апрель - Июнь (2024)
Статьи в выпуске: 5
В современных условиях компаниям приходится сталкиваться с большой конкуренцией в быстро растущих сегментах отрасли или областях рынка. Именно поэтому в бизнес-среде управление знаниями сотрудников является ключевой задачей. Организации уделяют время не только обучению персонала, но и отработке теоретических знаний на практике, разбору ошибок, которые возникают во время общения с клиентом. Компаниям необходимо искать эффективные методы оценки знаний своих сотрудников в целях повышения конкурентоспособности, но существующие платформы не предоставляют всех необходимых возможностей. Поэтому появляется необходимость в создании узконаправленного программного обеспечения, которое бы давало возможность формировать тесты для проверки знаний работников организации и анализировать полученные результаты. В настоящей статье представлены основные этапы создания онлайн-сервиса для обработки информации о результатах тестирования знаний сотрудников компании. Каждый сотрудник имеет доступ в свой личный кабинет, в котором он может выполнять тесты, отслеживать результаты и рейтинг среди других сотрудников по среднему баллу, получить обратную связь от руководителя. У руководителя компании имеется возможность отслеживать информацию по каждому сотруднику, назначать тесты, комментировать ответы, а также удалять или добавлять новых сотрудников. При создании тестов предусмотрена возможность выбрать тип вопроса, в том числе осуществлять загрузку аудиофайлов и изображений. Создана удобная панель меню, которая содержит разнообразные вкладки, соответствующие роли пользователя. Разработана база данных и определены типы связей между таблицами. Созданы учетные записи пользователей для назначения соответствующих уровней доступа.
Информация – важнейший ресурс любой компании в наше время, поэтому обеспечение ее защиты является одной из приоритетных бизнес-задач каждой организации.
С течением времени технические системы защиты всё больше и больше совершенствуются за счет развития технологий, учета множества каналов утечек информации и увеличения потребности в обеспечении информационной безопасности в целом. Грамотно выстроенные технические системы защиты всегда будут выполнять возложенные на них задачи, но один-единственный фактор может сделать их бесполезными – это человек. Люди так и будут оставаться людьми со своими слабостями, предрассудками, стереотипами и ошибками, являясь самым слабым звеном в цепочке безопасности.
Поэтому начали набирать популярность атаки, направленные не на саму систему, а на ее пользователей, так называемые социоинженерные атаки.
В настоящей статье рассмотрены вопросы угроз социальной инженерии и фишинга в современной информационной безопасности. Во время выполнения работы были проанализированы история и принцип работы социальной инженерии.
В результате работы был представлен пример настоящей фишинговой атаки (пентеста), произведен анализ статистических данных. Были представлены выводы об угрозе фишинга.
При современном развитии информационных технологий, ресурсов и компьютеризации общества во всём мире в каждой из сфер деятельности человека не обходится без информационных технологий. Некоторые из них уникальны и приносят доход своей уникальностью, и вследствие этого одной из наиболее более актуальных становится проблема обеспечения информационной безопасности в любых организациях и предприятиях, для любой сферы и бизнес-деятельности. Люди в связи со стремлением получить выгоду могут совершать преступные действия по отношению к источникам доходов, коими всегда является информация. Самым распространенным таким источником являются персональные данные. В любой организации и на любых предприятиях существуют угрозы безопасности информации, которая содержит персональные данные.
Эта информация может быть утрачена, скопирована, изменена или заблокирована как злоумышленником из корыстных побуждений, так и допущенным персоналом по ошибке и неосторожности. Потеря конфиденциальной информации может повлечь как незначительный ущерб, так и весьма серьезные последствия. Поэтому важную роль в сохранении и улучшении деятельности организаций играет обеспечение безопасности персональных данных, так как эта проблема существует во всех сферах жизнедеятельности.
В настоящей статье рассмотрены вопросы, связанные с разработкой системы по обеспечению безопасности персональных данных в информационной системе предприятия.
Во время выполнения работы были проанализированы нормативно-правовые акты
в сфере защиты и обработки персональных данных в информационной системе предприятия, был осуществлен анализ существующих средств защиты и исходной защищенности ИСПДн.
В результате выполнения работы была разработана система защиты персональных данных в ИСПДн. Был произведен выбор технических и организационных мер, а также обоснование оборудования для системы защиты.
В статье исследуются отдельные аспекты деятельности крупных IT-компаний, тесно связанные с проблемой информационной безопасности, обеспечения цифрового суверенитета как основы национальной безопасности. Особое внимание уделено борьбе транснациональных IT-корпораций США и КНР за альтернативные рынки сбыта, а также ряду ограничений, налагаемых на них законами иностранных государств. Основываясь на исследовании официальных документов американских и китайских государственных органов и IT-корпораций, а также материалов СМИ, авторы приходят к выводу, что геополитические интересы США и КНР соприкасаются с целями крупного бизнеса и вынуждают правительства прибегать к различного рода запретам и протекционистским мерам. IT-корпорации США и Китая, разработчики мессенджеров и социальных сетей уделяют недостаточно внимания вопросам информационной безопасности своих клиентов.
Угроза кибератак стала серьезной проблемой для организаций, решение которой в том числе лежит и в плоскости моделирования сценариев возможных атак с применением технологий цифровых двойников. Киберполигон, основанный на программном комплексе AMPIRE, используется для изучения воздействия киберугроз. Сценарий действий злоумышленника включает использование различных тактик и уязвимостей, таких как активное сканирование, подготовка ресурсов, уязвимости в общедоступных приложениях, вредоносные ссылки и файлы, а также компрометацию учетных записей пользователей домена. Вектор атаки злоумышленника соотносится с тактиками, техниками и процедурами матрицы Mitre ATT&CK. Уязвимости включают плагин wpDiscuz, Zerologon и последствия использования Wordpress Shell и получения несанкционированного доступа. Проводимые межвузовские киберучения позволили выявить сильные и слабые места, которые необходимо учитывать при проведении следующих мероприятий. Сценарное тестирование с участием вузов показало эффективность комплекса при оценке времени, необходимого для закрытия уязвимостей и устранения последствий. Реализация на киберполигоне разнотипных сценариев с профильным функционалом
дает возможность сформировать практические навыки по предотвращению атак на компьютерные сети, а также позволяет анализировать ситуацию, взаимодействовать
с другими специалистами-участниками.