Россия
Россия
Россия
Безопасность информационных систем в высших учебных заведениях является критически важной в связи с возрастающей сложностью и координацией кибератак, направленных на персональные данные и критическую инфраструктуру. В данном исследовании рассматриваются требования к защите персональных данных в информационных системах ДонНТУ с акцентом на соответствие российским нормативным стандартам, таким как рекомендации ФСТЭК и четвертый уровень безопасности (УЗ-4). Предложена многоуровневая архитектура защиты, включающая контроль доступа пользователей, защиту на уровне приложений, системного программного обеспечения и сетевой инфраструктуры. В исследовании представлен алгоритм оценки уязвимости активов на основе вероятности угроз и существующих средств защиты, а также алгоритм определения приемлемого уровня риска, который определяется экспертными группами для баланса затрат на защиту и стоимости активов. Ключевые меры защиты включают многофакторную аутентификацию, шифрование данных, регулярное резервное копирование и обнаружение аномалий для обеспечения целостности, конфиденциальности и доступности данных. В исследовании также подчеркивается важность импортозамещения для снижения зависимости от иностранных технологий в условиях геополитических ограничений. Количественные оценки уязвимости получены с использованием статистических данных и взвешенных коэффициентов для оценки частоты угроз и эффективности защиты. Будущие направления исследований включают совершенствование внутренних инструментов безопасности и отработку методологий оценки рисков для противодействия эволюционирующим киберугрозам, обеспечения надежной защиты.
защита персональных данных, импортозамещение, оценка уязвимости активов, приемлемый риск
1. Доктрина информационной безопасности Российской Федерации. Утверждена Указом Президента Российской Федерации от 5 декабря 2016 г. N 646.
2. Ягнина О.А., Щербов И.Л., Якушина А.Е. Принятие решения по организации защиты информации на объектах информатизации // Информатика, управляющие системы, математическое и компьютерное моделирование (ИУСМКМ-2022): Материалы XIII Международной научно-технической конференции в рамках VIII Международного Научного форума Донецкой Народной Республики, Донецк, 25–26 мая 2022 года. – Донецк: Донецкий национальный технический университет, 2022. – С. 390. – EDN FAKABI.
3. Абрамова О.В., Микрюков А.А. Актуальные вопросы информационной безопасности при реализации технологии больших данных // XXXV международные Плехановские чтения : сборник статей участников : в 4 т., Москва, 22–24 марта 2022 года. Том 1. – Москва: Российский экономический университет имени Г.В. Плеханова, 2022. – С. 120-125. – EDN PWERHL.
4. Емдиханов Р.А., Смирнов Ю.Н. Основные этапы и стратегии успешной цифровой трансформации // Технологический суверенитет и цифровая трансформация: Международная научно-техническая конференция, Казань, 05 апреля 2023 года. – Казань: Казанский государственный энергетический университет, 2023. – С. 216-218. – EDN ZFGTWO.
5. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
6. Национальный стандарт РФ ГОСТ Р 50922-2006 "Защита информации Основные термины и определения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. N 373-ст).
7. Методика оценки угроз безопасности информации, методический документ, утвержден ФСТЭК России 5 февраля 2021 г.
8. ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология»
9. ГОСТ Р ИСО/МЭК 13335-1 — 2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий. [Электронный ресурс]. — Режим доступа: https://ohranatruda.ru/upload/iblock/925/4293846603.pdf
10. Рекомендации в области стандартизации банка России РС БР ИББС-2.9-2016
11. Воропаева В.Я., Щербов И.Л., Хаустова Е.Д. Управление информационной безопасностью информационно-телекоммуникационных систем на основе модели «plan-do-check-act» // Научные труды Донецкого национального технического университета. Серия: вычислительная техника и автоматизация. – 2013. – № 25. – С-104-110.
