National Security and Strategic Planning

Национальная безопасность и стратегическое планирование

2307-1400

112156

10.37468/2307-1400-2025-3-25-35

Информационная безопасность

Information Security

Информационная безопасность

Risk acceptance algorithm in information systems

Алгоритм принятия риска в информационных системах

Овсянников

Данил Вячеславович

Ovsyannikov

Danil V.

neizvestnyy_chelovek_1910@mail.ru

Ягнина

Ольга Андреевна

Yagnina

Olga A.

olechkainanna@mail.ru

Якушина

Анна Евгеньевна

Yakushina

Anna E.

yakuann@yandex.ru

Донецкий национальный технический университет Donetsk National Technical University

Южно-Российский государственный политехнический университет (Новочеркасский политехнический институт) им. М.И. Платова Platov South-State Polytechnic University (Novocherkassk Politechnic Institute)

20 10 2025

2025 3 25 35 17 04 2025 26 06 2025

https://futurepubl.ru/en/nauka/article/112156/view

Безопасность информационных систем в высших учебных заведениях является критически важной в связи с возрастающей сложностью и координацией кибератак, направленных на персональные данные и критическую инфраструктуру. В данном исследовании рассматриваются требования к защите персональных данных в информационных системах ДонНТУ с акцентом на соответствие российским нормативным стандартам, таким как рекомендации ФСТЭК и четвертый уровень безопасности (УЗ-4). Предложена многоуровневая архитектура защиты, включающая контроль доступа пользователей, защиту на уровне приложений, системного программного обеспечения и сетевой инфраструктуры. В исследовании представлен алгоритм оценки уязвимости активов на основе вероятности угроз и существующих средств защиты, а также алгоритм определения приемлемого уровня риска, который определяется экспертными группами для баланса затрат на защиту и стоимости активов. Ключевые меры защиты включают многофакторную аутентификацию, шифрование данных, регулярное резервное копирование и обнаружение аномалий для обеспечения целостности, конфиденциальности и доступности данных. В исследовании также подчеркивается важность импортозамещения для снижения зависимости от иностранных технологий в условиях геополитических ограничений. Количественные оценки уязвимости получены с использованием статистических данных и взвешенных коэффициентов для оценки частоты угроз и эффективности защиты. Будущие направления исследований включают совершенствование внутренних инструментов безопасности и отработку методологий оценки рисков для противодействия эволюционирующим киберугрозам, обеспечения надежной защиты.

The security of information systems in higher education institutions is critical due to the increasing complexity and coordination of cyberattacks targeting personal data and critical infrastructure. This study examines the requirements for protecting personal data within the information systems of DonNTU, emphasizing compliance with Russian regulatory standards, such as FSTEC guidelines and the fourth level of security (UZ-4). A multi-layered protection architecture is proposed, encompassing user access control, application-level security, system software, and network infrastructure. The research introduces an algorithm for assessing asset vulnerabilities based on threat likelihood and existing safeguards, alongside an algorithm for determining acceptable risk levels, which is decided by expert groups to balance protection costs against asset value. Key protection measures include multi-factor authentication, data encryption, regular backups, and anomaly detection to ensure data integrity, confidentiality, and availability. The study also highlights the importance of import substitution to reduce reliance on foreign technologies amid geopolitical constraints. Quantitative vulnerability assessments are derived using statistical data and weighted coefficients to evaluate threat frequency and protection efficacy. Future research directions include enhancing domestic security tools and refining risk assessment methodologies to address evolving cyber threats, ensuring robust protection for educational institutions' information systems.

защита персональных данных импортозамещение оценка уязвимости активов приемлемый риск

personal data protection import substitution asset vulnerability assessment acceptable risk

Доктрина информационной безопасности Российской Федерации. Утверждена Указом Президента Российской Федерации от 5 декабря 2016 г. N 646.

Doctrine of Information Security of the Russian Federation. Approved by the Decree of the President of the Russian Federation dated 5 December 2016. N 646.

Ягнина О.А., Щербов И.Л., Якушина А.Е. Принятие решения по организации защиты информации на объектах информатизации // Информатика, управляющие системы, математическое и компьютерное моделирование (ИУСМКМ-2022): Материалы XIII Международной научно-технической конференции в рамках VIII Международного Научного форума Донецкой Народной Республики, Донецк, 25–26 мая 2022 года. – Донецк: Донецкий национальный технический университет, 2022. – С. 390. – EDN FAKABI.

Yagnina O.A., Shcherbov I.L., Yakushina A.E. Making Decisions on Organizing Information Security at Information Technology Facilities // Informatics, Control Systems, Mathematical and Computer Modeling (IUSMKM-2022): Proceedings of the XIII International Scientific and Technical Conference within the Framework of the VIII International Scientific Forum of the Donetsk People's Republic, Donetsk, May 25–26, 2022. – Donetsk: Donetsk National Technical University, 2022. – P. 390. – EDN FAKABI.

Абрамова О.В., Микрюков А.А. Актуальные вопросы информационной безопасности при реализации технологии больших данных // XXXV международные Плехановские чтения : сборник статей участников : в 4 т., Москва, 22–24 марта 2022 года. Том 1. – Москва: Российский экономический университет имени Г.В. Плеханова, 2022. – С. 120-125. – EDN PWERHL.

Abramova O.V., Mikryukov A.A. Current Issues of Information Security in the Implementation of Big Data Technologies // XXXV International Plekhanov Readings: Collection of Articles by Participants: in 4 volumes, Moscow, March 22–24, 2022. Volume 1. – Moscow: Plekhanov Russian University of Economics, 2022. – Pp. 120–125. – EDN PWERHL.

Емдиханов Р.А., Смирнов Ю.Н. Основные этапы и стратегии успешной цифровой трансформации // Технологический суверенитет и цифровая трансформация: Международная научно-техническая конференция, Казань, 05 апреля 2023 года. – Казань: Казанский государственный энергетический университет, 2023. – С. 216-218. – EDN ZFGTWO.

Emdikhanov R.A., Smirnov Yu.N. Key Stages and Strategies for Successful Digital Transformation // Technological Sovereignty and Digital Transformation: International Scientific and Technical Conference, Kazan, April 5, 2023. – Kazan: Kazan State Power Engineering University, 2023. – Pp. 216–218. – EDN ZFGTWO.

Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Resolution of the Government of the Russian Federation of 01.11.2012 No. 1119 ‘On Approval of Requirements for the Protection of Personal Data when Processing in Information Systems of Personal Data’.

Национальный стандарт РФ ГОСТ Р 50922-2006 "Защита информации Основные термины и определения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 373-ст).

National Standard of the Russian Federation GOST R 50922-2006 ‘Information Protection Basic Terms and Definitions’ (approved by the Order of the Federal Agency for Technical Regulation and Metrology dated 27 December 2006 N 373-st).

Методика оценки угроз безопасности информации, методический документ, утвержден ФСТЭК России 5 февраля 2021 г.

Information Security Threat Assessment Methodology, methodological document, approved by the FSTEC of Russia on 5 February 2021.

ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология»

GOST R ISO/IEC 27000-2021 ‘Information Technologies. Methods and means of ensuring security. Information security management systems. General overview and terminology’

ГОСТ Р ИСО/МЭК 13335-1 — 2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. [Электронный ресурс]. — Режим доступа: https://ohranatruda.ru/upload/iblock/925/4293846603.pdf

GOST R ISO/IEC 13335-1 - 2006 Information technology. Methods and means of ensuring security. Part 1. Concept and models of information and telecommunication technologies security management. [Electronic resource]. - Access mode: https://ohranatruda.ru/upload/iblock/925/4293846603.pdf

10.

Рекомендации в области стандартизации банка России РС БР ИББС-2.9-2016

Recommendations in the field of standardisation of the Bank of Russia RS BR IBS-2.9-2016

11.

Воропаева В.Я., Щербов И.Л., Хаустова Е.Д. Управление информационной безопасностью информационно-телекоммуникационных систем на основе модели «plan-do-check-act» // Научные труды Донецкого национального технического университета. Серия: вычислительная техника и автоматизация. – 2013. – № 25. – С-104-110.

Voropaeva V.Ya., Shcherbov I.L., Khaustova E.D. Information Security Management of Information and Telecommunication Systems Based on the Plan-Do-Check-Act Model // Scientific Works of Donetsk National Technical University. Series: Computer Engineering and Automation. - 2013. - No. 25. - P-104-110.