При современном развитии информационных технологий, ресурсов и компьютеризации общества во всём мире в каждой из сфер деятельности человека не обходится без информационных технологий. Некоторые из них уникальны и приносят доход своей уникальностью, и вследствие этого одной из наиболее более актуальных становится проблема обеспечения информационной безопасности в любых организациях и предприятиях, для любой сферы и бизнес-деятельности. Люди в связи со стремлением получить выгоду могут совершать преступные действия по отношению к источникам доходов, коими всегда является информация. Самым распространенным таким источником являются персональные данные. В любой организации и на любых предприятиях существуют угрозы безопасности информации, которая содержит персональные данные.
Эта информация может быть утрачена, скопирована, изменена или заблокирована как злоумышленником из корыстных побуждений, так и допущенным персоналом по ошибке и неосторожности. Потеря конфиденциальной информации может повлечь как незначительный ущерб, так и весьма серьезные последствия. Поэтому важную роль в сохранении и улучшении деятельности организаций играет обеспечение безопасности персональных данных, так как эта проблема существует во всех сферах жизнедеятельности.
В настоящей статье рассмотрены вопросы, связанные с разработкой системы по обеспечению безопасности персональных данных в информационной системе предприятия.
Во время выполнения работы были проанализированы нормативно-правовые акты
в сфере защиты и обработки персональных данных в информационной системе предприятия, был осуществлен анализ существующих средств защиты и исходной защищенности ИСПДн.
В результате выполнения работы была разработана система защиты персональных данных в ИСПДн. Был произведен выбор технических и организационных мер, а также обоснование оборудования для системы защиты.
1.?Convention on the Protection of Natural Persons in the Automated Processing of Personal Data (Strasbourg, 28 January 1981). Konsul'tantPlyus. (In Russian). Available at: http:///ww.consultant.ru/document/cons_doc_LAW_121499/ (accessed 30.05.2024).
2.?Federal Law of the Russian Federation of July 27, 2006 No. 152-FZ "About personal data". Konsul'tantPlyus. (In Russian). Available at: http:///www.consultant.ru/
document/cons_doc_LAW_61801/ (accessed 30.05.2024).
3.?Federal Law of the Russian Federation of July 27, 2011. "On amendments to the Federal Law “About Personal Data”". Konsul'tantPlyus. (In Russian). Available at: https://www.consultant.ru/document/cons_doc_LAW_117437/ (accessed 30.05.2024).
4.?Federal Law of the Russian Federation of July 27, 2006 No. 149-FZ "On information, information technologies and on information protection". Konsul'tantPlyus. (In Russian). Available at: http:////ww.consul.tant.ru/document/cons_doc_
LAW_61798/ (accessed 30.05.2024).
5.?Order of FSTEC of Russia No. 21 dated 18.02.2013 "On approval of the composition and content of organizational and technical measures to ensure security of personal data during their processing in personal data information systems". FSTEC of Russia. (In Russian). Available at: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (accessed 30.05.2024).
6.?Resolution of the Government of the Russian Federation from 15.09.2008 No. 687 "On approval of the Regulation on the features of the processing of personal data carried out without the use of automation means". Garant.Ru: web-site.
(In Russian). Available at: https://base.garant.ru/193875 (accessed 30.05.2024).
7.?Methodological document of the FSTEC of Russia dated February 05, 2021 "Methods of assessment of threats to information security". FSTEC of Russia.
(In Russian). Available at: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-5-fevralya-2021-g (accessed 30.05.2024).
8.?Methodological document of the FSTEC of Russia dated February 14, 2008 "Methods of identification of actual threats of security of personal data during their processing in information systems of personal data". FSTEC of Russia. (In Russian). Available at: https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodika-ot-14-fevralya-2008-g (accessed 30.05.2024).
9.?Gavryushchenko A.P., Maslennikov A.V. O metodike opredeleniya aktual'-nykh ugroz informatsionnoi bezopasnosti s ispol'zovaniem BDU FSTEK [On the methodology for determining current threats to information security using the FSTEC databas]. Auditorium, 2022, no. 2 (34), pp. 37–43. (In Russian).
10.?State Register of Certified Means of Information Protection. FSTEC of Russia. (In Russian). Available at: https://reestr.fstec.ru/reg3 (accessed 30.05.2024).
11.?Secret Net Studio 8.5. Rukovodstvo administratora. Nastroika i ekspluatatsiya [Secret Net Studio 8.5. Administrator’s manual. Settings and operation]. Moscow, Kod bezopasnosti Publ., 2019. 106 p.
12.?Secret Net Studio 8.5. Rukovodstvo administratora. Lokal'naya zashchita [Secret Net Studio 8.5. Admin Guide. Local Security]. Moscow, Kod bezopasnosti Publ., 2019. 159 p.
13.?Isaev A.S., Khlyupina E.A. Pravovye osnovy organizatsii zashchity personal'nykh dannykh [Legal framework for personal data protection organization]. St. Petersburg, ITMO University Publ., 2014. 106 p. Available at: https://books.ifmo.ru/file/pdf/1570.pdf (accessed 30.05.2024).
14.?Slepov O. Zashchita personal'nykh dannykh [Protection of personal data]. Available at: https://ww.jetinfo.ru/zaschita-personalnykh/ru (accessed 30.05.2024).
15.?Basic model of threats to the security of personal data during their processing in personal data information systems (Extract) (approved by the FSTEC of Russia in 15.02.2008). Konsul'tantPlyus. (In Russian). Available at: http://www.consultant.ru/document/cons_doc_LAW_99662 (accessed 30.05.2024).
Карпова Н.Е., Бабинова А.А. Обеспечение безопасности персональных данных
в информационной системе предприятия // Безопасность цифровых технологий. – 2024. – № 2 (113). – С. 55–68. – DOI: 10.17212/2782-2230-2024-2-55-68.
Karpova N.E., Babinova A.A. Obespechenie bezopasnosti personal'nykh dannykh v informatsionnoi sisteme predpriyatiy [Ensuring the security of personal data in the enterprise information system]. Bezopasnost' tsifrovykh tekhnologii = Digital Technology Security, 2024, no. 2 (113), pp. 55–68. DOI: 10.17212/2782-2230-2024-2-55-68.