<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">vdgtu</journal-id><journal-title-group><journal-title xml:lang="ru">Вестник Дагестанского государственного технического университета. Технические науки</journal-title><trans-title-group xml:lang="en"><trans-title>Herald of Dagestan State Technical University. Technical Sciences</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2073-6185</issn><issn pub-type="epub">2542-095X</issn><publisher><publisher-name>Daghestan State Technical University</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.21822/2073-6185-2025-52-1-97-104</article-id><article-id custom-type="elpub" pub-id-type="custom">vdgtu-1703</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ТЕЛЕКОММУНИКАЦИИ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>INFORMATION TECHNOLOGY AND TELECOMMUNICATIONS</subject></subj-group></article-categories><title-group><article-title>Оценка рисков утечки персональных данных от атак по каналам поставщиков</article-title><trans-title-group xml:lang="en"><trans-title>Assessment of the risks of personal data leakage from through supplier channel attacks</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Лившиц</surname><given-names>И. И.</given-names></name><name name-style="western" xml:lang="en"><surname>Livshits</surname><given-names>I. I.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Лившиц Илья Иосифович, доктор технических наук, профессор практики,</p><p>197101, г. Санкт-Петербург, Кронверкский проспект, д. 49</p></bio><bio xml:lang="en"><p>Ilya I. Livshits, Dr. Sci.(Eng.), Prof. of Practice,</p><p>49 Kronverksky Ave., St. Petersburg 197101</p></bio><email xlink:type="simple">Livshitz.i@yandex.ru</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Национальный исследовательский университет ИТМО</institution><country>Россия</country></aff><aff xml:lang="en"><institution>National Research University ITMO</institution><country>Russian Federation</country></aff></aff-alternatives><pub-date pub-type="collection"><year>2025</year></pub-date><pub-date pub-type="epub"><day>18</day><month>04</month><year>2025</year></pub-date><volume>52</volume><issue>1</issue><fpage>97</fpage><lpage>104</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Лившиц И.И., 2025</copyright-statement><copyright-year>2025</copyright-year><copyright-holder xml:lang="ru">Лившиц И.И.</copyright-holder><copyright-holder xml:lang="en">Livshits I.I.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://vestnik.dgtu.ru/jour/article/view/1703">https://vestnik.dgtu.ru/jour/article/view/1703</self-uri><abstract><sec><title>Цель</title><p>Цель. Проблема защиты персональных данных (ПДн) продолжает оставаться актуальной даже несмотря на более чем значительное количество нормативной документации, разработанной различными регуляторами. Целью исследования является разработка методов оценки риска утечки персональных данных от атак злоумышленников по каналам поставщиков.</p></sec><sec><title>Метод</title><p>Метод. В представленной работе исследуется проблема защиты ПДн в информационных системах ВУЗов через сторонние каналы – поставщиков сервисов (supply chain attack), которые, в большинстве случаев, недостаточно изучены экспертами в области информационной безопасности.</p></sec><sec><title>Результат</title><p>Результат. В отличие от известных «коммерческих» предложений, предусматривающих внедрение новых мер защиты (ограниченных только бюджетом), предлагается применять метод оценки рисков утечки ПДн по всем существующим каналам циркуляции ПДн, а не только для простейшего формализованного выполнения требований владельца ПДн. Акцент представленной работы сделан на обеспечении защиты ПДн для ВУЗов в РФ. Изучены несколько каналов распространения ПДн по основным критическим направлениям (предоставления учебного контента, данных абитуриентов и их представителей, запросов работодателей и пр.).</p></sec><sec><title>Вывод</title><p>Вывод. Представленные результаты могут быть востребованы как в учебном процессе для программ обучения по специальности «Информационная безопасность», так и экспертами, занимающимися практическими аспектами обеспечения защиты ПДн в ВУЗах.</p></sec></abstract><trans-abstract xml:lang="en"><sec><title>Objective</title><p>Objective. The problem of personal data (PD) protection continues to be relevant even despite the more than significant amount of regulatory documentation developed by various regulators. The aim of the study is to develop methods for assessing the risk of personal data leakage from malicious attacks through supplier channels.</p></sec><sec><title>Method</title><p>Method. The presented paper examines the problem of protecting personal data in information systems of universities through third–party channels – service providers (supply chain attack), which, in most cases, have not been sufficiently studied by experts in the field of IT-security.</p></sec><sec><title>Result</title><p>Result. Unlike the well-known "commercial" proposals providing for the introduction of new and new countermeasures (limited only by the budget), it is proposed to apply the method of assessing the risks of PD leakage through all existing PD circulation channels, and not only for the simplest formalized fulfillment of the requirements of the PD owner. The focus of the presented work is on ensuring the protection of PD for Universities in the Russian Federation, accordingly, several channels for the dissemination of PD in the main critical areas (provision of educational content, data of applicants and their representatives, requests from employers, etc.) were studied.</p></sec><sec><title>Conclusion</title><p>Conclusion. The presented results can be in demand both in the educational process for University programs in the specialty "Information Security", and by experts dealing with practical aspects of ensuring the protection of PD in Universities.</p></sec></trans-abstract><kwd-group xml:lang="ru"><kwd>персональные данные</kwd><kwd>ВУЗ</kwd><kwd>угрозы</kwd><kwd>риски</kwd><kwd>утечки</kwd><kwd>уязвимости</kwd><kwd>оценка рисков</kwd><kwd>остаточный риск</kwd><kwd>атаки по сторонним каналам</kwd><kwd>сервисы</kwd></kwd-group><kwd-group xml:lang="en"><kwd>personal data</kwd><kwd>University</kwd><kwd>threats</kwd><kwd>risks</kwd><kwd>leakage</kwd><kwd>vulnerability</kwd><kwd>risk assessment</kwd><kwd>residual risk</kwd><kwd>attacks through third-party channels</kwd><kwd>personal data</kwd><kwd>service</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.securitylab.ru/news/532395.php</mixed-citation><mixed-citation xml:lang="en">https://www.securitylab.ru/news/532395.php</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.verizon.com/business/resources/reports/dbir/</mixed-citation><mixed-citation xml:lang="en">https://www.verizon.com/business/resources/reports/dbir/</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.securitylab.ru/news/536418.php</mixed-citation><mixed-citation xml:lang="en">https://www.securitylab.ru/news/536418.php</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.securitylab.ru/news/539183.php</mixed-citation><mixed-citation xml:lang="en">https://www.securitylab.ru/news/539183.php</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.securitylab.ru/news/536310.php</mixed-citation><mixed-citation xml:lang="en">https://www.securitylab.ru/news/536310.php</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.securitylab.ru/news/547531.php</mixed-citation><mixed-citation xml:lang="en">https://www.securitylab.ru/news/547531.php</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.securitylab.ru/blog/personal/achekanov/92297.php</mixed-citation><mixed-citation xml:lang="en">https://www.securitylab.ru/blog/personal/achekanov/92297.php</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.forbes.com/sites/sungardas/2014/09/04/youve-completed-a-vendor-risk-assessment-now-what/</mixed-citation><mixed-citation xml:lang="en">https://www.forbes.com/sites/sungardas/2014/09/04/youve-completed-a-vendor-risk-assessment-now-what/</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.tarlogic.com/blog/supply-chain-attacks/</mixed-citation><mixed-citation xml:lang="en">https://www.tarlogic.com/blog/supply-chain-attacks/</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.infowatch.ru/analytics/analitika/issledovaniye-utechek-informatsii-v-otraslyakh-za-tri-goda</mixed-citation><mixed-citation xml:lang="en">https://www.infowatch.ru/analytics/analitika/issledovaniye-utechek-informatsii-v-otraslyakh-za-tri-goda</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">https://docs.cntd.ru/document/1200084141?ysclid=lwuuccw1n5461596370</mixed-citation><mixed-citation xml:lang="en">https://docs.cntd.ru/document/1200084141?ysclid=lwuuccw1n5461596370</mixed-citation></citation-alternatives></ref><ref id="cit12"><label>12</label><citation-alternatives><mixed-citation xml:lang="ru">https://docs.cntd.ru/document/1200170125?ysclid=lwuube9s8s433673326</mixed-citation><mixed-citation xml:lang="en">https://docs.cntd.ru/document/1200170125?ysclid=lwuube9s8s433673326</mixed-citation></citation-alternatives></ref><ref id="cit13"><label>13</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.rbc.ru/technology_and_media/28/05/2024/6655fc979a79477dbc9e33c4?from=from_main_2</mixed-citation><mixed-citation xml:lang="en">https://www.rbc.ru/technology_and_media/28/05/2024/6655fc979a79477dbc9e33c4?from=from_main_2</mixed-citation></citation-alternatives></ref><ref id="cit14"><label>14</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.cnews.ru/news/line/2024-06-10_glava_mintsifry_rossii_podderzhal</mixed-citation><mixed-citation xml:lang="en">https://www.cnews.ru/news/line/2024-06-10_glava_mintsifry_rossii_podderzhal</mixed-citation></citation-alternatives></ref><ref id="cit15"><label>15</label><citation-alternatives><mixed-citation xml:lang="ru">https://internet-law.ru/gosts/gost/73107/?ysclid=ly5sf3zra8363383699</mixed-citation><mixed-citation xml:lang="en">https://internet-law.ru/gosts/gost/73107/?ysclid=ly5sf3zra8363383699</mixed-citation></citation-alternatives></ref><ref id="cit16"><label>16</label><citation-alternatives><mixed-citation xml:lang="ru">https://internet-law.ru/gosts/gost/50679/?ysclid=ly5seejcc9653928983</mixed-citation><mixed-citation xml:lang="en">https://internet-law.ru/gosts/gost/50679/?ysclid=ly5seejcc9653928983</mixed-citation></citation-alternatives></ref><ref id="cit17"><label>17</label><citation-alternatives><mixed-citation xml:lang="ru">https://xakep.ru/2024/06/28/au10tix-leak/</mixed-citation><mixed-citation xml:lang="en">https://xakep.ru/2024/06/28/au10tix-leak/</mixed-citation></citation-alternatives></ref><ref id="cit18"><label>18</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.darkreading.com/cyber-risk/opentext-goes-all-in-on-cybersecurity-size-and-scale-with-microfocus-purchase</mixed-citation><mixed-citation xml:lang="en">https://www.darkreading.com/cyber-risk/opentext-goes-all-in-on-cybersecurity-size-and-scale-with-microfocus-purchase</mixed-citation></citation-alternatives></ref><ref id="cit19"><label>19</label><citation-alternatives><mixed-citation xml:lang="ru">https://habr.com/ru/articles/825210/</mixed-citation><mixed-citation xml:lang="en">https://habr.com/ru/articles/825210/</mixed-citation></citation-alternatives></ref><ref id="cit20"><label>20</label><citation-alternatives><mixed-citation xml:lang="ru">https://www.iso.org/standard/80585.html</mixed-citation><mixed-citation xml:lang="en">https://www.iso.org/standard/80585.html</mixed-citation></citation-alternatives></ref><ref id="cit21"><label>21</label><citation-alternatives><mixed-citation xml:lang="ru">Емельянников М. Защита персональных данных в электронной коммерции//Открытые системы. СУБД. 2011. № 6. С. 30.</mixed-citation><mixed-citation xml:lang="en">Emelyannikov M. Personal data protection in e-commerce. Open systems. DBMS. 2011;6:30 (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit22"><label>22</label><citation-alternatives><mixed-citation xml:lang="ru">Тимерханова С.А. Система защиты персональных данных в виртуальной инфраструктуре//Электронные средства и системы управления. Материалы докладов Международной научно-практической конференции. 2018. № 1-2. С. 92-96.</mixed-citation><mixed-citation xml:lang="en">Timerkhanova S.A. Personal data protection system in virtual infrastructure. Electronic means and control systems. Proceedings of the reports of the International scientific and practical conference. 2018;1-2: 92-96. (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit23"><label>23</label><citation-alternatives><mixed-citation xml:lang="ru">Бундин М.В. К вопросу о монетизации персональных данных // В книге: Московский юридический форум онлайн 2020. Сборник тезисов докладов: в 4 частях. Москва, 2020. С. 162-166.</mixed-citation><mixed-citation xml:lang="en">Bundin M.V. On the issue of monetization of personal data.In the book: Moscow legal forum online 2020. Collection of abstracts of reports: in 4 parts. Moscow, 2020;162-166. (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit24"><label>24</label><citation-alternatives><mixed-citation xml:lang="ru">Щепетов В.В., Бурденко Е.В. Персональные данные в сети Интернет: общие риски и пути их минимизации // В сборнике: Экономическое развитие в XXI веке: тенденции, вызовы и перспективы. Сборник научных трудов IX Международной научно-практической конференции «Горизонты России» 23 апреля 2021 г.: в 2 ч. Российский экономический университет имени Г.В. Плеханова. 2021. С. 172-184</mixed-citation><mixed-citation xml:lang="en">Shchepetov V.V., Burdenko E.V. Personal data on the Internet: common risks and ways to minimize them. In the collection: Economic development in the 21st century: trends, challenges and prospects. Collection of scientific papers of the IX International scientific and practical conference "Horizons of Russia" April 23, 2021: in 2 parts. Plekhanov Russian University of Economics. 2021:172-184(In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit25"><label>25</label><citation-alternatives><mixed-citation xml:lang="ru">Орешкина А.С., Лившиц И.И., Соколов Е.О. Правовые проблемы деятельности инспекторов по защите персональных данных: содержание, особенности, специфика для нефтегазовых компаний холдингового типа // Газовая промышленность. 2023. № 4 (847). С. 96-104.</mixed-citation><mixed-citation xml:lang="en">Oreshkina A.S., Livshits I.I., Sokolov E.O. Legal problems of the activities of inspectors for the protection personal data: content, features, specifics for oil and gas holding companies. Gas industry. 2023: 4 (847): 96-104. (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit26"><label>26</label><citation-alternatives><mixed-citation xml:lang="ru">Лившиц И.И., Лившиц М.И. Применение национальных стандартов ГОСТ Р и международных стандартов ISO серии 31000 для обеспечения современного уровня менеджмента рисков // Управление финансовыми рисками. 2022. № 4. С. 312-323.</mixed-citation><mixed-citation xml:lang="en">Livshits I.I., Livshits M.I. Application of national standards GOST R and international standards ISO 31000 series to ensure a modern level of risk management. Financial Risk Management. 2022; 4.:312-323. (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit27"><label>27</label><citation-alternatives><mixed-citation xml:lang="ru">Лившиц И.И., Соколов Е.О., Лукьянова А.А. Схемотехнические решения для практической реализации безопасного электронного документооборота. Часть 1. Аналитический обзор. // Газовая промышленность. – 2022. – № 9. – С. 40-56</mixed-citation><mixed-citation xml:lang="en">Livshits I.I., Sokolov E.O., Lukyanova A.A. Circuit solutions for the practical implementation of secure electronic document management. Part 1. Analytical review. Gas industry. 2022; 9: 40-56(In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit28"><label>28</label><citation-alternatives><mixed-citation xml:lang="ru">Лившиц И.И., Соколов Е.О., Лукьянова А.А. Схемотехнические решения для практической реализации безопасного электронного документооборота. Часть 2. Новая разработка. // Газовая промышленность. – 2022. – № 11. – С.50-70.</mixed-citation><mixed-citation xml:lang="en">Livshits I.I., Sokolov E.O., Lukyanova A.A. Circuit solutions for the practical implementation of secure electronic document management. Part 2. New development. Gas industry. 2022;11: 50-70. (In Russ).</mixed-citation></citation-alternatives></ref><ref id="cit29"><label>29</label><citation-alternatives><mixed-citation xml:lang="ru">Лившиц И.И. Практика управления киберрисками в нефтегазовых проектах компаний холдингового типа. Вопросы кибербезопасности. – 2020. - №1 (35). – С. 42 – 51.</mixed-citation><mixed-citation xml:lang="en">Livshits I.I. Practice of cyber risk management in oil and gas projects of holding-type companies. Cybersecurity issues. 2020;1 (35):42 - 51. (In Russ).</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
