Оценка рисков утечки персональных данных от атак по каналам поставщиков

Цель. Проблема защиты персональных данных (ПДн) продолжает оставаться актуальной даже несмотря на более чем значительное количество нормативной документации, разработанной различными регуляторами. Целью исследования является разработка методов оценки риска утечки персональных данных от атак злоумышленников по каналам поставщиков.

Метод. В представленной работе исследуется проблема защиты ПДн в информационных системах ВУЗов через сторонние каналы – поставщиков сервисов (supply chain attack), которые, в большинстве случаев, недостаточно изучены экспертами в области информационной безопасности.

Результат. В отличие от известных «коммерческих» предложений, предусматривающих внедрение новых мер защиты (ограниченных только бюджетом), предлагается применять метод оценки рисков утечки ПДн по всем существующим каналам циркуляции ПДн, а не только для простейшего формализованного выполнения требований владельца ПДн. Акцент представленной работы сделан на обеспечении защиты ПДн для ВУЗов в РФ. Изучены несколько каналов распространения ПДн по основным критическим направлениям (предоставления учебного контента, данных абитуриентов и их представителей, запросов работодателей и пр.).

Вывод. Представленные результаты могут быть востребованы как в учебном процессе для программ обучения по специальности «Информационная безопасность», так и экспертами, занимающимися практическими аспектами обеспечения защиты ПДн в ВУЗах.

1. https://www.securitylab.ru/news/532395.php

2. https://www.verizon.com/business/resources/reports/dbir/

3. https://www.securitylab.ru/news/536418.php

4. https://www.securitylab.ru/news/539183.php

5. https://www.securitylab.ru/news/536310.php

6. https://www.securitylab.ru/news/547531.php

7. https://www.securitylab.ru/blog/personal/achekanov/92297.php

8. https://www.forbes.com/sites/sungardas/2014/09/04/youve-completed-a-vendor-risk-assessment-now-what/

9. https://www.tarlogic.com/blog/supply-chain-attacks/

10. https://www.infowatch.ru/analytics/analitika/issledovaniye-utechek-informatsii-v-otraslyakh-za-tri-goda

11. https://docs.cntd.ru/document/1200084141?ysclid=lwuuccw1n5461596370

12. https://docs.cntd.ru/document/1200170125?ysclid=lwuube9s8s433673326

13. https://www.rbc.ru/technology_and_media/28/05/2024/6655fc979a79477dbc9e33c4?from=from_main_2

14. https://www.cnews.ru/news/line/2024-06-10_glava_mintsifry_rossii_podderzhal

15. https://internet-law.ru/gosts/gost/73107/?ysclid=ly5sf3zra8363383699

16. https://internet-law.ru/gosts/gost/50679/?ysclid=ly5seejcc9653928983

17. https://xakep.ru/2024/06/28/au10tix-leak/

18. https://www.darkreading.com/cyber-risk/opentext-goes-all-in-on-cybersecurity-size-and-scale-with-microfocus-purchase

19. https://habr.com/ru/articles/825210/

20. https://www.iso.org/standard/80585.html

21. Емельянников М. Защита персональных данных в электронной коммерции//Открытые системы. СУБД. 2011. № 6. С. 30.

22. Тимерханова С.А. Система защиты персональных данных в виртуальной инфраструктуре//Электронные средства и системы управления. Материалы докладов Международной научно-практической конференции. 2018. № 1-2. С. 92-96.

23. Бундин М.В. К вопросу о монетизации персональных данных // В книге: Московский юридический форум онлайн 2020. Сборник тезисов докладов: в 4 частях. Москва, 2020. С. 162-166.

24. Щепетов В.В., Бурденко Е.В. Персональные данные в сети Интернет: общие риски и пути их минимизации // В сборнике: Экономическое развитие в XXI веке: тенденции, вызовы и перспективы. Сборник научных трудов IX Международной научно-практической конференции «Горизонты России» 23 апреля 2021 г.: в 2 ч. Российский экономический университет имени Г.В. Плеханова. 2021. С. 172-184

25. Орешкина А.С., Лившиц И.И., Соколов Е.О. Правовые проблемы деятельности инспекторов по защите персональных данных: содержание, особенности, специфика для нефтегазовых компаний холдингового типа // Газовая промышленность. 2023. № 4 (847). С. 96-104.

26. Лившиц И.И., Лившиц М.И. Применение национальных стандартов ГОСТ Р и международных стандартов ISO серии 31000 для обеспечения современного уровня менеджмента рисков // Управление финансовыми рисками. 2022. № 4. С. 312-323.

27. Лившиц И.И., Соколов Е.О., Лукьянова А.А. Схемотехнические решения для практической реализации безопасного электронного документооборота. Часть 1. Аналитический обзор. // Газовая промышленность. – 2022. – № 9. – С. 40-56

28. Лившиц И.И., Соколов Е.О., Лукьянова А.А. Схемотехнические решения для практической реализации безопасного электронного документооборота. Часть 2. Новая разработка. // Газовая промышленность. – 2022. – № 11. – С.50-70.

29. Лившиц И.И. Практика управления киберрисками в нефтегазовых проектах компаний холдингового типа. Вопросы кибербезопасности. – 2020. - №1 (35). – С. 42 – 51.