УПРАВЛЕНИЕ ПРОЕКТАМИ

Тема: «Информационная безопасность-кто и как ее

осуществляет при дистанционной работе проектных
организаций в строительстве».

Выполнил: Хандохов А.А. , ИГЭС 6-16

 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
• Информационной безопасностью называют комплекс организационных, технических
и технологических мер по защите информации от неавторизованного доступа,
разрушения, модификации, раскрытия и задержек в доступе. 
• Информационная безопасность дает гарантию того, что достигаются следующие цели:
• - конфиденциальность информации (свойство информационных ресурсов, в том числе
информации, связанное с тем, что они не станут доступными и не будут раскрыты для
неуполномоченных лиц);
• -целостность информации и связанных с ней процессов (неизменность информации в
процессе ее передачи или хранения);
• -доступность информации, когда она нужна (свойство информационных ресурсов, в
том числе информации, определяющее возможность их получения и использования по
требованию уполномоченных лиц);
• -учет всех процессов, связанных с информацией.
 КТО ОСУЩЕСТВЛЯЕТ ИНФОРМАЦИОННУЮ
БЕЗОПАСНОСТЬ
• Информационной безопасностью занимается служба
информационной безопасности.
• Служба информационной безопасности – это
самостоятельное подразделение предприятия, которое
занимается решением проблем информационной
безопасности данной организации. Служба
информационной безопасности должна быть
самостоятельным подразделением и подчиняться
напрямую первому лицу в организации информационной
безопасности.
• Цель защиты информации - это получение результатов от
предотвращения ущерба, обусловленного утечкой или
несанкционированным воздействием на информацию.
Эффективность защиты информации позволяет определить
уровень соответствия результатов используемой системы
защиты данных поставленным целям.
ЧТО МОЖЕТ ПРЕДЛОЖИТЬ СЛУЖБА ИБ ПРИ
УДАЛЕННОЙ РАБОТЕ СОТРУДНИКОВ

• Специализированные курсы по основам безопасной работы для компании,

Бесплатный доступ к сервисам
работающих в удаленном режиме
повышенной осведомленности • Псевдофишинговые рассылки для выявления наиболее уязвимых к социальной
по ИБ, включающих: инженерии сотрудников

Проведение тренингов для • Тренинги по основам безопасности удалённой работы;

сотрудников по основам • Тренинги по защиты от атак с использованием социальной инженерии.
безопасности удалённой работы

• Скринсейверы;
Разработку специализированных • Видеоролики;
материалов • Брошюры
 ОСНОВНЫЕ ВЕКТОРА АТАК ПРИ
УДАЛЕННОЙ РАБОТЕ
• При удаленной работе с информационными системами компании сотрудник зачастую использует
домашний компьютер. При этом сотрудник обычно не задумывается о мерах по защите информации и
обновления прикладного ПО, которое при долгом необновлении может иметь критическую уязвимость в
сочетании отсутствия VPN и доступа к платным информационным системам для злоумышленников.
ОСНОВНЫЕ КЛАССЫ РЕШЕНИЙ ПО ИБ ПРИ РАБОТЕ В
РЕЖИМЕ УДАЛЕННОГО ДОСТУПА
 МЕТОДЫ ПОВЫШЕНИЯ
ОСВЕДОМЛЕННОСТИ СОТРУДНИКОВ ПО ИБ

Рассылка писем от Разработка

IT и ИБ служб с плакатов,
предупреждениями скринсейверов,
о фишинговых видеороликов,
письмах брошюр

Внедрение
Проведение очного специализированны
или х интерактивных
дистанционного программ
обучения повышения
осведомленности
ТИПОВЫЕ ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В СТРОИТЕЛЬНОЙ ОТРАСЛИ
ТИПОВЫЕ ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ В СТРОИТЕЛЬНОЙ ОТРАСЛИ
 УТЕЧКА КОНФИДЕНЦИАЛЬНОЙ
ИНФОРМАЦИИ (КОММЕРЧЕСКАЯ ТАЙНА)
Как защищаться от утечек
DLP-система
Система менеджмента изменений
Ввод режима коммерческой тайны
Cloud Access Security Broker
Виртуальная комната данных
Решение по маркированию файлов
EMM-решение
Система повышения осведомленности сотрудников
по ИБ
Нужна для отслеживания попыток отправки вовне
чувствительной информации
Нужна для отслеживания доступа к файлам и папкам
Нужен для того, чтобы виновных можно было
привлечь к ответственности
Нужен для защиты данных в облаках
Нужна для безопасного и быстрого обмена файлами
с Контрагентами
Нужно для регламентирования доступа к файлам в
зависимости от уровня допуска сотрудников
Нужно для защиты данных на мобильных
устройствах
Нужно для защиты от атак извне (напр., с помощью
фишинговых писем)

Возможности BIM-технологий
В одной системе собрана вся
информация о будущем здании,
включая все взаимосвязи
Возможность работы с BIM «в
облаке»
BIM: ВОЗМОЖНОСТИ УГРОЗЫ
Угроза
Компрометация учетной записи
пользователя.
Возможность работы с BIM «в
облаке»
Хищение информации о
проекте сотрудниками.
Отсутствие контроля за
приложениями, сервером,
сетью, данными.
Отсутствие доступа к логам
(отслеживание попыток
неакторизованного доступа)
Последствия
Хищение части данных о
проекте, к которым имеет
доступ конкретный сотрудник
Хищение всех данных о
проекте
Хищение части или всех
данных о проекте
Хищение данных о проекте.
Использование облачных
ресурсов в личных целях.
Решение
-Парольная политика.
-Антивирусы + EDR.
-Межсетевой экран с системой
обнаружения вторжений.
-Security awareness
Защита учётной записи
администратора.
Внедрение систем DLP/DAG
систем + маркирование
файлов.
Использование брокеров
безопасного доступа в
облако.
Подключение логов,
генерируемых облачными
платформами к SIEM
(MSSP).
УРОВНИ ДОСТУПА НА ПРИМЕРЕ BIM 360
 • Список литературы:
• «Информационная безопасность в строительстве, ИБ в строительной
компании» https://infosecurity-building.syssoft.ru/
• Служба информационной безопасности
https://ru.wikipedia.org/wiki/Служба_информационной_безопасности
• «Разработка политики информационной безопасности предприятия» –
Тольятти : ТГУ, 2010 г