Главная
АИ #12 (142)
Статьи журнала АИ #12 (142)
Модель защиты процесса учета кадров в IT-компании

Модель защиты процесса учета кадров в IT-компании

Автор(-ы):

Ткачев Евгений Юрьевич

Федин Федор Олегович

21 марта 2023

Секция

Информационные технологии

Ключевые слова

защита информации
модель защиты
информационная безопасность
автоматизированная система
IT-компания

Аннотация статьи

Построена модель защиты процесса учета кадров IT-компании. Построение модели защиты процесса найма сотрудника было выполнено в инструментальном средстве Bizagi Modeler, реализующем стандарт моделирования BPMN 2.0. Выявлены недостатки защиты процесса найма сотрудника отдела кадров IT-компании.

Текст статьи

Вводная часть

Статистические исследования указывают, что в настоящее время существенно увеличилось количество кибератак на частные предприятия с целью кражи конфиденциальной информации. При этом, помимо увеличения количества атак, значительно улучшилась оснащенность хакера – улучшилась как компетентность, так и технические возможности. Как итог значительно увеличилось число инцидентов информационной безопасности.

В связи с этим увеличивается потребность в разработке и создании защищенных автоматизированных систем с целью предотвращения несанкционированного доступа к информации.

В данной работе авторами представлена модель процесса найма сотрудника. В ходе построения данной модели выявлены основные недостатки существующей автоматизированной системы, а также сформулированы требования к автоматизированной системы для устранения ряда выявленных недостатков.

Основная часть

Независимо от того, какие услуги предоставляет IT-компания, необходима защита автоматизированной системы от несанкционированного доступа для предотвращения утечек персональных и иных данных, ведь подобные утечки принесут компании серьезные убытки, как финансовые, так и репутационные.

Одним из процессов отдела кадров, при котором происходит обработка персональных данных, а также использование базы данных предприятия, является процесс найма сотрудника. Для построения защиты процесса необходимо сначала простроить модель защиты процесса и провести ее анализ. Построение модели защиты процесса найма сотрудника было выполнено в инструментальном средстве Bizagi Modeler, реализующем стандарт моделирования BPMN 2.0 [3].

Процесс найма сотрудника включает в себя 3 этапа: рассмотрение резюме; проведение собеседования; зачисление в штат. В данном процессе участвуют кандидат, специалист по учету персонала, ведущий специалист, начальник отдела кадров, специалист по ИБ. Процесс найма сотрудника начинается с отправки кандидатом своего резюме специалисту по учету персонала. После этого специалист по учету персонала входит в систему, выполнив однофакторную парольную аутентификацию, и начинает обработку персональных данных кандидата, указанных в резюме.

Стоит отметить, что однофакторная аутентификация имеет ряд недостатков, например, пользователи могут применять простые пароли, уязвимые при переборе паролей, логин и пароль могут быть перехвачены или подсмотрены в процессе его ввода, отсутствие аутентификации в базе данных и так далее.

Процесс обработки резюме и последующее хранение файлов производится в Excel файлах. Само автоматизированное рабочее место (далее АРМ) защищено несертифицированным антивирусом. Хранение данных в файлах MS Excel имеет также определенные минусы, такие как ненадежность связанных файлов Microsoft Excel, возможность сбоя программы, сложность защиты структуры данных от изменения, невысокие возможности с точки зрения производительности и т.д.

Несертифицированный антивирус также нежелателен в подобных системах ввиду отсутствия проверки исполняемых и упакованных файлов, невозможности «лечения» вредоносного файла (только удаление), ложных срабатываний и прочего. На этом завершается этап рассмотрения резюме и начинается этап выполнения проверки персональных данных.

Затем специалистом по учету персонала проводится проверка персональных данных. В случае недостоверности данных кандидат уведомляется о неактуальных данных в резюме. Если персональные данные актуальны, специалист по учету персонала связывается с кандидатом и согласовывает дату собеседования.

Когда дата собеседования согласована, специалист по учету персонала отправляет данные кандидата ведущему специалисту по электронной почте, что недопустимо в защищенной автоматизированной системы. Передача сообщений через электронную почту ведет к уязвимость к fishing-атакам, атаке man-in-the-middle, возможной компрометации почты.

Ведущий специалист входит в операционную систему (далее ОС) АРМ, выполнив однофакторную парольную аутентификацию, знакомится с резюме кандидата и проводит с ним собеседование. АРМ защищено несертифицированным антивирусом. После проведенного собеседования, ведущий специалист составляет отчет о результатах собеседования. Отчет хранится в Word файле. Если собеседование прошло неудачно, то ведущий специалист отправляет результаты специалисту по учету персонала по почте, после чего данные о кандидатах, хранящиеся в файле Microsoft Excel, обновляются. Если собеседование прошло успешно, то ведущий специалист составляет трудовой договор в виде Word файла и отправляет его начальнику отдела кадров.

Начальник отдела кадров входит в ОС АРМ, выполнив однофакторную парольную аутентификацию, подписывает трудовой договор и отправляет его специалисту по учету персонала.

Специалист по учету персонала, получив отчет о найме по электронной почте, сообщает кандидату о приеме в штат, обновляет данные в файле Microsoft Excel, хранящем данные о кандидатах, а также обновляет данные о сотрудниках.

Специалист по ИБ получает сообщения об ошибке при неудачной попытке входа в ОС АРМ. Если сообщение об ошибке не является ложной тревогой, специалист по ИБ меняет пароль на рабочем месте и составляет отчет о работе.

Построенная в Bizagi Modeler модель защиты процесса учета кадров представлена на рисунке.

Рис. Модель защиты процесса учета кадров

На основании исследования предметной области и построения модели защиты информации в процессе деятельности отдела кадров могут быть сформулированы требования к защищенной автоматизированной системе [1, 2, 4].

Таким образом, в результате проделанной работы: проведено исследование предметной области с построением организационной структуры управления и схемы информационного обмена; построена и проанализирована модель защиты учета кадров в IT-компании; выявлены недостатки защиты процесса учета кадров в IT-компании.

Список литературы

  1. Коданев В.Л., Федин Ф.О. Карты самоорганиазции в обеспечении безопасности информации автоматизированных систем предприятия. Автоматизация в промышленности // Автоматизация в промышленности. 2022, №10. – С. 51-55.
  2. Чискидов С.В., Федин Ф.О. Методологии и технологии проектирования информационных систем: учебно-методическое пособие. – Ч. IV. – М.: МГПУ, 2022. – 96 с.
  3. Чискидов С.В., Федин Ф.О. Методологии и технологии проектирования информационных систем: учебно­методическое пособие. – Ч. V. – М.: МГПУ, 2022. – 136 с.
  4. Fedin F.O., Trubienko O.V., Chiskidov S.V. Assessment of intelligent decision support systems effectiveness in technological processes of big data processing. Всборнике: Proceedings - 2019 International Russian Automation Conference, RusAutoCon 2019. 2019. С. 8867640.

Поделиться

356

Ткачев Е. Ю., Федин Ф. О. Модель защиты процесса учета кадров в IT-компании // Актуальные исследования. 2023. №12 (142). Ч.I.С. 25-28. URL: https://apni.ru/article/5862-model-zashchiti-protsessa-ucheta-kadrov-v-it

Похожие статьи

Другие статьи из раздела «Информационные технологии»

Все статьи выпуска
Актуальные исследования

#25 (207)

Прием материалов

15 июня - 21 июня

осталось 5 дней

Размещение PDF-версии журнала

26 июня

Размещение электронной версии статьи

сразу после оплаты

Рассылка печатных экземпляров

5 июля