Информационная безопасность в строительной отрасли. Почему это актуально?
18 ноября 2019
Получить на почту (скачать) доклад (презентацию) спикера в PDF: https://infosecurity-building.syssoft.ru/
Подпишитесь на наш канал!
Что такое информационная безопасность в строительстве? Почему это стало актуально для любой строительной компании? Какие дает возможности и какие создает угрозы для строительной организации Building Information Modeling (BIM)? В ходе данного вебинара, проведенного компанией «Системный софт», рассматриваются типовые проблемы ИБ в строительной отрасли.
Более 70% строительных компаний сталкивались с утечками информации. Ущерб от подобного рода инцидентов может составлять миллионы рублей. Похищают маркетинговые данные и техническую информацию о новых проектах, а также данные клиентов и финансовую информацию. Источниками угрозы могут быть как конкуренты, так и собственные сотрудники строительной организации, не обладающими знаниями в области современной информационной безопасности.
Что создает угрозы ИБ в строительстве?
-
Использование корпоративных ресурсов в личных целях
-
Невыполненные требования 152-ФЗ «О персональных данных»
-
Отсутствие базовых средств защиты (файрволл, антивирус, SIEM)
-
Отсутствие мониторинга стройплощадок
Какие средства защиты информации применяются в строительной отрасли?
-
DLP-система
-
Система менеджмента изменений
-
Ввод режима коммерческой тайны
-
Cloud Access Security Broker
-
Виртуальная комната данных
-
Решение по маркированию файлов
-
EMM-решение
-
Система повышения осведомленности сотрудников по ИБ
Что требуется в рамках ИБ непосредственно на стройке, и для чего используются видеонаблюдение, алкорамки и СКУД?
-
Контроль за материалами
-
Контроль рабочего времени
-
Контроль перемещения и использования техники и транспорта
-
Контроль алкогольного опьянения
-
Контроль доступа на стройплощадку
Подробно рассматривается информационная безопасность с BIM: какие проблемы может создать бесконтрольное использование BIM, отсутствие строго контроля учетных записей и пр.
Как создается информационная безопасность строительного бизнеса с помощью компании «Системный софт»?
Ведущий вебинара: Яков Гродзенский, руководитель отдела ИБ в компании «Системный софт».
Важность кибербезопасности применима для бизнеса любого размера и становится жизненно важной в строительной отрасли
По мере цифровизации строительной отрасли растут риски, связанные с кибербезопасностью. Хранение большого количества информации об объекте в электронном виде, включая технические, финансовые, конфиденциальные и прочие данные, ставит вопросы об увеличении потенциальной уязвимости строительного бизнеса от хакерских атак. Цифровизация процесса строительства развивается столь стремительно, что мы, возможно, еще не до конца оцениваем имеющиеся риски. Приводим вашему вниманию статью компании Viewpoint, которая специализируется на софте для строительства.
Все, что нужно знать об информационной безопасности
в строительной отрасли.
Независимо от того, работаете вы в строительной отрасли или нет, вам, вероятно, известно, что угрозы кибербезопасности растут, а самые тяжелые случаи попадают в СМИ с тревожной регулярностью. Проблемы более низкого уровня, затрагивающие компании поменьше, редко попадают в заголовки. Это может ввести вас в заблуждение о том, что утечка данных затрагивает только крупные корпорации, однако, как гласит отчет Verizon Data Breach Investigations Report (DBIR), 43% кибератак в 2019 году были нацелены на малый бизнес. По мере того, как строительная отрасль движется вперед, быстро осваивая новые технологии почти каждый день, риски становятся все более распространенными. Это уже не просто защита офисов и строительных площадок от воров.
Цифровизация строительной отрасли сейчас означает, что огромные объемы высокочувствительных данных, включая модели зданий, документы, чертежи и личные данные, обрабатываются, хранятся и передаются. Отраслевые процессы все чаще основываются на программных системах и зависят от доступности этих систем для обеспечения быстрой связи и проверяемых записей. Сбои в работе и утечка данных могут иметь серьезные последствия. Среди них: перебои в работе и потеря доходов; время и продуктивность; стабильность работы; и капитал бренда. Увеличение количества высокочувствительных данных потребовало большего внимания и действий. Согласно правительственным данным, проанализированным Specops Software, в строительной отрасли после многолетнего отставания расходы на кибербезопасность увеличились на 188% в 2018-19 годах. Увеличение расходов — это положительная новость, но в конечном итоге наличие хорошо продуманной стратегии снижения рисков является ключом к минимизации рисков.
Стратегия кибербезопасности. Кибербезопасность ничем не отличается от любого подхода в бизнесе; не существует такого золотого стандарта, который работал бы одинаково во всех компаниях и отраслях. Ваша стратегия должна соответствовать размеру вашего бизнеса и потенциальным рискам, с которыми вы можете столкнуться. При этом мы рассмотрим действия, которые вам следует рассмотреть в качестве отправной точки. Сертификация независимыми органами — хороший способ повысить вашу уверенность в себе и минимизировать риски. Например, Национальный центр кибербезопасности (NCSC) правительства Великобритании предоставляет схему Cyber Essentials, которая обеспечивает прочную основу для оценки ваших средств защиты и позволяет получить сертификат, который поможет защитить ваш бизнес от угроз. Что важно, это также придаст вам, вашим сотрудникам, поставщикам и клиентам уверенность в вашей приверженности кибербезопасности. Базовая сертификация может быть получена всего за 300 фунтов стерлингов. Также доступна более полная сертификация под названием «Cyber Essentials Plus». Это более глубокая оценка, при которой аудиторы посещают ваш сайт и тестируют ваши внутренние активы. Первоначальные попытки соответствовать стандарту не следует рассматривать как неудачу, а скорее как методологию выявления слабых мест и улучшения. Знание своих слабых мест — это часть пути к совершенствованию. Важно продолжать. Сертификаты по Cyber Essentials действительны в течение года, и вам нужно будет пройти повторную сертификацию, чтобы обеспечить актуальность вашей киберзащиты, что еще раз продемонстрирует ваши постоянные обязательства. Пять технических средств контроля в базовой схеме при их реализации помогают защитить вашу организацию от большинства распространенных кибератак и повысить безопасность.
Эти пять основных элементов управления — это брандмауэры, безопасные конфигурации, управление доступом пользователей, защита от вредоносных программ и фишинга. Если у вас уже есть эти сертификаты, возможно, имеет смысл получить международно признанные сертификаты, но имейте в виду, что они требуют значительных инвестиций и постоянных обязательств. Вот два примера: ISO 27001 — широко известен ISO / IEC 27001, устанавливающий требования к системе менеджмента информационной безопасности. Его использование позволяет организациям любого типа управлять безопасностью активов, таких как финансовая информация, интеллектуальная собственность, данные о сотрудниках или информация, доверенная третьими сторонами. SOC 2 — SOC 2 определяет критерии для управления данными клиентов на основе пяти «принципов доверительного обслуживания» — безопасность, доступность, целостность обработки, конфиденциальность и приватность. Еще один важный аспект, который следует учитывать, — это ваша цепочка поставок. Здесь действует старый афоризм, который гласит, что прочность цепи зависит от самого слабого звена. Важно отметить, что при выборе партнера или поставщика — особенно тех, которым будут доверены ключевые процессы или данные — жизненно важно убедиться, что они принимают меры по обеспечению информационной безопасности.
Один пример: несколько лет назад, розничный торговец Target подвергся взлому, хакеры взломали учетные данные для входа в сеть от стороннего поставщика — субподрядчика HVAC, который выполнял работы в нескольких магазинах Target. Часто самый простой способ проверить поставщика — это запросить подтверждение его сертификации по ключевым стандартам кибербезопасности и информационной безопасности. Кроме того, спросите, сертифицированы ли ИХ поставщики или субподрядчики, потому что вы хотите иметь возможность обеспечить безопасность на всем протяжении цепочки поставок.
Выбор поставщика технологий, которому вы можете доверять. Как подчеркивается в этом блоге, важность кибербезопасности применима для бизнеса любого размера и становится жизненно важной в строительной отрасли, поскольку компаниям необходимо защищать свои высокочувствительные данные. Количество атак также растет и продолжает расти вместе со страховщиком, Hiscox отмечает, что более 60% компаний сообщили об одной или нескольких кибератаках в 2019 году по сравнению с 45% в 2018 году. В соответствии с этим, средние убытки от кибернетических нарушений выросли на 61% — со 176 000 фунтов стерлингов до 283 722 фунтов стерлингов. Когда дело касается безопасности, крайне важно выбрать поставщика, которому доверяют, и он будет поставлять сертифицированные продукты. Viewpoint UK недавно получила сертификат Cyber Essentials Plus, что еще больше расширило его существующий портфель сертификатов безопасности. Viewpoint For Projects (VFP) — это облачное решение для управления документами и информацией от Viewpoint, которое позволяет вам обмениваться проектными документами, управлять ими и совместно работать над ними с разрозненными проектными группами. Компонент, который дает Viewpoint конкурентное преимущество на рынке программного обеспечения, — это сертификаты, а также безопасность и сертификаты цепочки поставок.
© Acceleration.ru по материалам pbctoday.co.uk
Прошлый год для строительной отрасли России стал знаковым. Ростехнадзор разрешил использование наравне с бумажными электронных документов, подписанных усиленной квалифицированной электронной подписью (ЭЦП), а Главгосэкспертиза перешла на прием проектной документации в электронном виде. Эти два важных события позволили говорить о том, что цифровизация в строительной отрасли России стала реальностью.
Те строительные компании, которые, опираясь на мировую практику, ранее по собственной инициативе переходили на «цифру», на своем опыте убедились: электронный документооборот и проектирование с использованием специализированного софта имеют преимущества перед документооборотом на бумаге. К примеру, цифровой документ, попавший в систему, невозможно потерять и уничтожить. Работать и подписывать его можно удаленно, причем ЭЦП точно покажет время подписи и подтвердит личность подписанта. Несмотря на преимущества, говорить о том, что вся отрасль в одночасье перейдет с бумаги на цифровой документооборот, нельзя. В подавляющем большинстве люди, которые сейчас принимают решение, довольно далеки от современных IT-технологий, и, не вникая в принципы действия специализированного софта, испытывают к нему недоверие. Здесь даже пункт договора с гарантиями сохранения конфиденциальности и неразглашении третьим лицам не всегда бывает достаточным аргументом. Поэтому стоит немного подробнее посмотреть, как сейчас решается вопрос с безопасностью мобильных решений для строительства, и можно ли им доверять конфиденциальную информацию.
БЕЗОПАСНОСТЬ — ЭТО СЕРЬЕЗНО
Вопрос о том, почему безопасности уделяется большая роль в принятии решения, очевиден. Это не только хранение коммерческой тайны и другая конфиденциальная информация. Речь идет и о физической без- опасности пользователей объекта во время эксплуатации. Трудно представить масштаб последствий, если особенности конструкций зданий общественного пользования попадут в руки террористов. Именно поэтому многие строительные организации задаются вопросом о необходимости получения специальных лицензий ФСБ. На самом деле такая лицензия нужна только определенному виду компаний, которые занимаются специфическими разработками, в частности — создают ключи шифрования, какие-то криптосистемы, то есть системы шифрования. В привязке к отрасли это может быть некая база российских данных, которую можно купить и передать третьим лицам. Вот в этом случае придется получать разрешение ФСБ. В большинстве же случаев можно опираться на классификатор средств защиты информационных систем ФСТЭК. В Федеральной службе по техническому и экспорт- ному контролю принято 5 уровней, где 5 — минимальный, а 1 — максимальный. В последнем случае речь идет о государственной тайне. Как правило, в строительной отрасли достаточно первых трех уровней, с которыми работает большинство поставщиков ИТ-оборудования. Однако встречаются и более секретные данные. К примеру, для применения программного комплекса на объектах нефтегазового сектора компании «Мобильные решения для строительства» необходимо было подтвердить 4 класс секретности, и это скорее исключение, чем правило. Сейчас во всем мире в 99,9% случаев требованиям предприятий строительной отрасли по уровню безопасности удовлетворяет технология передачи данных по шифрованному каналу https. Стандарт широко применяется во многих отраслях. Показательно, что именно его применяют в банковской сфере. Несмотря на это, в России есть разработанные стандарты информационной без- опасности, так называемые ГОСТы, и они применяются на предприятиях с государственным участием. К примеру, ГОСТ Р ИСО/ МЭК 15408 содержит перечень требований, по которым можно сравнить результаты не- зависимых оценок безопасности, благодаря которым заказчик с государственным участием принимает решение о безопасности продукта.
ГДЕ ХРАНЯТСЯ ЦИФРОВЫЕ ДОКУМЕНТЫ
Процесс строительства, эксплуатации или капитального ремонта объекта — это сложный комплекс работ, состоящий из множества этапов. Он описывается огромным массивом документов, включая чертежи, сметы, переписку с поставщиками, подрядчиками, контролирующими органами и т.д. Понятно, что каждый документ крайне важен, и поэтому таким острым является вопрос гарантий их сохранности при переходе на «цифру». И важнейший вопрос — как и где физически хранится весь этот массив данных. Рассмотрим, как решают этот вопрос крупные игроки, на долю которых приходится львиная доля внедрения программного продукта в России, — в проектировании и в управлении проектной документацией в целом это мировые лидеры Autodesk и их российские аналоги «Нанософт» и «Аскон», в сфере строи- тельного контроля — отечественная компания «Мобильные решения для строительства». На данный момент практически у всех профессионально исполненных программных продуктов для строительства есть два варианта итогового размещения: на серверах заказчика и на серверах, предоставленных разработчиком, либо даже в «облаке». У каждого решения есть свои нюансы, свои плюсы и минусы. Крупные компании, обладающие необходимыми аппаратными и людскими ресурсами, как правило, предпочитают размещение программного продукта в своей внутренней локальной сети. В итоге компания получает несколько уровней защиты, поскольку помимо встроенных в продукт систем сохранения информации, администрирование и безопасность контролируется собственным IT-отделом. Именно он, исходя из интересов компании, решает и ключевой вопрос о предоставлении сотрудникам прав доступа. Развитие технологий позволяет сделать не менее безопасным и удаленное размещение документов. Здесь есть две составляющие: сохранность документов при доставке до удаленных серверов и хранение информации на удаленном сервере. Как правило, под каждую конкретную организацию выделяется отдельное рабочее пространство, изолированное от других организаций. Это позволяет исключить передачу информации кому-либо помимо тех лиц, кому администраторы строительной компании выдали соответствующие права. Так- же при выборе поставщика стоит проверить оффлайн-режим. Когда речь идет о стройке промышленных объектов в труднодоступном месте, это становится первой необходимостью, так как в данном случае не стоит полагаться на мобильный интернет. Должна быть реализована возможность документ, подготовленный на стройке, сохранить в систему позже. А позже, когда интернет станет доступен, информация будет скопирована на сервер. Это стандарт для нормальных, профессионально сделанных решений.
ХАКЕРОВ МНОГО, А БИЗНЕС ОДИН
Киберпреступность сейчас достигла небывалых высот. Ежедневно появляются новые серьезные угрозы, и «подстелить соломку» за- ранее, не зная будущих вирусов, действительно очень сложно. И это всемирная проблема. Для ее решения созданная международная некоммерческая организация OWASP (Open Web Application Securitu Project). Сообщество профессионалов занимается классификацией векторов атак и уязвимостей и улучшением безопасности программного обеспечения. Они создали список из 10 самых опасных направлений кибератак, так называемых OWASP TOP10. Это открытая информация, которой пользуются и ведущие поставщики программного оборудования для строительства. Компании регулярно проверяют свои продукты по всем категориям взлома.
КАК ВЫБРАТЬ ПОСТАВЩИКА СОФТА?
В работе с поставщиками программного продукта, как и с любыми поставщиками, нужно подбирать контрагента тщательно. Крайне важно убедиться, что система, которую вы внедряете, имеет ограничения по правам доступа, что вы правильно настроили все права перед тем, как загружать туда какие-то данные и подключать пользователей. Также желательно выбирать тот продукт, где возможно автоматическое копирование всех материалов на какой-либо носитель на предприятии. И пренебрегать резервным копированием не стоит. Недавно жизнь подсказала еще одно правило. Американская компания Oracle с флагманским продуктом Primavera, системой проектного управления, на которой работает, по сути, вся нефтегазовая отрасль России, заявила, что в связи с введением санкций не готова продолжать поддержку своего продукта для ряда российских компаний. Вероятнее всего, это повлечет за собой дальнейший переход на аналогичный софт российских производителей, благо разработчики из нашей страны уже вполне успешно конкурируют на мировом уровне. Но переход этот будет крайне дорогостоящим и длительным, поскольку перенастройка процессов и цена возможных ошибок крайне высока. В ближайшей перспективе вряд ли стоит ожидать снятия санкций, так что в строительстве изначально стоит задуматься о внедрении российского продукта и проверить возможность хранения всей информации на российских серверах. В завершении хочется сказать, что, судя по изменениям, происходящим в строительной отрасли России, профессионалы начинают признавать удобство специализированных программ для стройки. Понятнее становится и главный вопрос — обеспечение безопасности, к которой закономерно предъявляются высокие требования. Эксперты IT-сферы считают, что на данный момент гораздо большим тормозом применения цифровых технологий является не обеспечение безопасности, а восприятие. Средний возраст строителя, принимающего решение о внедрении ИТ-решений, перевалил за 45. Как правило, с течением времени нам все сложнее принимать изменения. Через несколько лет сменится поколение, и тогда вопросы безопасности из обсуждаемых для принятия решения о покупке станут гигиеническими требованиями.
Подборка по базе: Методическая разработка сценария _ЮИДу — 45 лет!_.docx, методическая разработка занимательная математика.docx, Лабораторная работа №3. Справочники, разработка форм.doc, ВЫБОР МИССИИ ПРЕДПРИЯТИЯ.docx, Экономика и финансы предприятия.pdf, Курсовая Разработка базы данных «Мебельный салон».docx, Методическая разработка внеклассного мероприятия дисциплин.docx, Методическая разработка занятия Создание сайтов.pdf, Оценка стоимости предприятия (бизнеса) теория и практика реферат, Особенности формирования и элементы планирования ассортимента пр
-
Политика информационной безопасности в строительной компании
Политика информационной безопасности определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в компании [32].
Основными объектами системы информационной безопасности в компании являются:
информационные ресурсы, необходимые для работы. Информация предприятия как ресурс имеет очень большое значение для стабильного развития компании. А стабильное развитие компании – это благополучие ее сотрудников, поэтому информацию необходимо подвергать тщательной защите. И данную защиту возможно осуществить согласно политике информационной безопасности;
информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков и пользователей системы и ее обслуживающий персонал;
информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения.
Основной целью политики информационной безопасности является защита субъектов информационных отношений от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, ее носители,
процессы обработки и передачи, а также минимизация уровня операционного и других рисков [32].
Кроме того, целями информационной безопасности компании являются: защита экономических данных компании;
защита данных о разработках проектов;
защита конфиденциальности информации клиентов и сотрудников;
соответствие веб — сервисов, автоматизированных систем и внутренних сетей стандартам защиты информации;
защита имущества предприятия.
Для достижения основной цели обеспечения информационной безопасности необходимо решить следующие задачи [32]:
своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений; создание механизма оперативного реагирования на угрозы
безопасности информации и негативные тенденции;
создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации;
защиту от вмешательства в процесс функционирования информационной системы посторонних лиц (доступ к информационным ресурсам должны иметь только зарегистрированные в установленном порядке пользователи);
разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам, то есть защиту от несанкционированного доступа;
обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
защиту от несанкционированной модификации используемых программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
обеспечение криптографических средств защиты информации. Решение обозначенных задач может быть достигнуто:
строгим учетом всех подлежащих защите ресурсов (информации о клиентах, автоматизированных рабочих мест сотрудников);
учет всех действий сотрудников, осуществляющих обслуживание и модификацию программных и технических средств корпоративной информационной системы;
разграничением прав доступа к ресурсам в зависимости от решаемых задач сотрудниками;
четким знанием и строгим соблюдением всеми сотрудниками требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
персональной ответственностью за свои действия каждого сотрудника, в рамках своих функциональных обязанностей;
применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования.
Данная политика распространяется на всех сотрудников предприятия и требует полного исполнения. Данная политика укрепляет общую политику безопасности компании. Весь персонал должен быть ознакомлен и подотчетен за информационную безопасность в отношении своих должностных полномочий.
Генеральный директор отвечает за обеспечение соответствующей проработки информации во всей организации. Каждый начальник отдела отвечает за то, чтобы сотрудники, работающие под его руководством,
осуществляли защиту информации в соответствии со стандартами организации. Начальник отела безопасности информирует группу руководителей высшего звена, оказывает консультативную помощь сотрудникам организации и обеспечивает доступность отчетов о состоянии информационной безопасности. Каждый сотрудник организации отвечает за информационную безопасность как часть выполнения своих должностных обязанностей.
Таким образом, определены основные задачи по организации политики информационной безопасности в строительной компании и пути их решения.