Сведения о стандарте


Требования к сохранности и безопасности данных



страница10/21
Дата09.08.2019
Размер10.5 Mb.
#127142
1   ...   6   7   8   9   10   11   12   13   ...   21

5.9 Требования к сохранности и безопасности данных


При создании информационных моделей должны применяться те же принципы обеспечения сохранности и безопасности данных, что и при разработке проектной или рабочей документации, принятые в конкретной организации.

Если в организации отсутствует политика обеспечения информационной безопасности, ее необходимо разработать. Данную задачу следует поручить подразделению информационных технологий (IT) совместно с BIM-менеджером и ГИПом. Важно понимать, что создаваемая информационная модель является такой же коммерческой тайной, как и бухгалтерская отчетность, вплоть до момента передачи результатов работ заказчику.

В случае привлечения соисполнителей (субподрядных организаций) также необходимо проработать вопрос обеспечения безопасности и сохранности данных. Необходимо согласовать политику безопасности всех участников процесса.

К основным вопросам обеспечения сохранности и безопасности данных относятся:



  • информирование команды проекта,

  • безопасность каналов связи,

  • антивирусная защита,

  • распределение прав доступа,

  • журнал событий,

  • резервное копирование,

  • применение электронной подписи (ЭП),

  • противодействие методам социальной инженерии.

Рассмотрим все аспекты подробнее.

5.9.1 Информирование команды проекта


Первой и самой важной мерой является информирование команды проекта о важности обеспечения безопасности и сохранности данных по проекту. Достигается путем проведения совещания с описанием несложных мер, которые следует применять каждому сотруднику: безопасно хранить свои логин и пароль и не передавать его другим пользователям (не на бумажке под клавиатурой), не пересылать важные части информационной модели через различные бесплатные файловые хранилища (Яндекс-диск, Google-drive и другие), по рабочим вопросам пользоваться лишь корпоративной электронной почтой, обсудить вопросы, связанные с работой, на дому.

5.9.2 Безопасность каналов связи


При организации среды общих данных (CDE), как внутри одной организации, так и при распределенной группе исполнителей, данные будут пересылаться по каналам связи. Обеспечение безопасности каналов связи преследует главную цель – недопущение утечки коммерчески важной информации.

Если CDE организуется с помощью сети Интернет (различные PDM-системы), то следует отдавать предпочтение протоколам типа https с аутентификацией (проверка логина и пароля). Если среду общих данных решено организовать с помощью ftp (протокол передачи данных), также необходимо настроить аутентификацию. В случае если CDE создается просто в виде общих папок на сервере, можно повысить безопасность данного подхода путем создания виртуальной частной сети (VPN), что также позволит подключаться удаленным членам команды проекта.

Важно помнить, что даже простая пересылка информационной модели или ее части по электронной почте, а также передача информации на флеш-носителе – это также использование каналов связи, и если для обеспечения безопасности электронной почты подразделение IT будет применять те же методы, что и для обеспечения безопасности локальной сети компании в целом, то противостоять утечке информации на физических носителях (флешки, внешние жесткие диски, CD-R и т. п.) гораздо сложнее. Можно отключить USB-входы, но такая радикальная мера может заметно затруднить работу команды.

Пример последствий пренебрежения безопасностью каналов связи: вследствие утечки информации об утвержденном коридоре прохождения новой автомобильной дороги, злоумышленник стал систематически выкупать земельные участки в данном коридоре с целью продажи заказчику по завышенным ценам.


5.9.3 Антивирусная защита


Обеспечение бесперебойной работы компьютеров членов команды проекта, а также недопущение утраты результатов работы в связи с вирусной атакой связано с антивирусной защитой. На всех рабочих станциях и на сервере, где располагается CDE, должно быть установлено лицензионное антивирусное программное обеспечение, следует регулярно обновлять антивирусные базы. Даже несмотря на то, что в составе информационной модели может не быть исполняемых файлов (.bat, .com, .exe), существует множество вирусов, которые способны распространяться через файлы MS Office (.doc, .xls), а также через флеш-накопители. Пренебрежение данным пунктом обеспечения безопасности данных может повлечь уничтожение результатов работы за несколько месяцев и, как следствие, неисполнение договорных обязательств в срок.

5.9.4 Распределение прав доступа


Учитывая, что проекты бывают весьма большими, включать множество различных дисциплин (автомобильная дорога, искусственные сооружения, АСУДД и др.), разрабатываться различными командами, в т. ч. и различными организациями, то при организации CDE следует спланировать то, как распределять права доступа к составным частям модели и томам проектной или рабочей документации.

Распределение прав доступа позволит достичь нескольких целей:



  • обеспечение безопасности других разделов,

  • уменьшение объема материала, с которым предстоит работать проектной группе, разрабатывающей отдельную дисциплину.

5.9.5 Журнал событий


С целью недопущения повторения критических сбоев в работе систем (при наличии таковых), выявления слабых мест и проведения превентивных действий на сервере CDE и по возможности на рабочих станциях должно быть организовано автоматическое ведение журнала работы систем. Для успешного выполнения данного пункта важно, чтобы все члены команды проекта работали исключительного под собственными логинами и не передавали их коллегам.

Отделу информационных технологий следует регулярно анализировать журнал событий на предмет выявления подозрительных подключений извне сети (если такое допустимо политикой безопасности), но, например, подключения происходят в нерабочее время.


5.9.6 Резервное копирование


Для успешного восстановления данных после критических сбоев в системе является обеспечение резервного копирования данных. Наилучшей практикой является организация автоматического резервного копирования с помощью создания RAID-массива на сервере CDE. Но даже в случае разработки информационной модели небольшой командой без использования отдельного сервера хранения данных, можно реализовать ежедневное резервное копирование данных путем сохранения всей папки проекта на внешний жесткий диск. Место хранения резервных копий информационной модели должно быть максимально изолировано от локальной сети команды проекта (на случай вирусной атаки на всю сеть). При наличии достаточного объема для хранения резервных копий следует хранить копии за несколько предыдущих периодов (нормальным считается до 1 месяца), при разработке политики безопасности данный вопрос формализуется исходя из потребностей и имеющихся аппаратных возможностей.

5.9.7 Применение электронной подписи


Все материалы, передаваемые подрядчиком заказчику в печатном виде, должны обязательно быть продублированы в виде соответствующего РDF-файла. Файлы должны быть совместимы со стандартом ISO 19005-1 (PDF/A), а также быть подписаны электронной подписью, удостоверяющей подрядчика. Электронная подпись должна быть получена в соответствии с законодательством Российской Федерации об электронной подписи.

Использование электронной подписи (ЭП) зачастую позволяет сократить количество бумажных документов при передаче результатов работ. Однако юридическая значимость электронных документов, подписанных ЭП, следует дополнительно согласовать с заказчиком и закрепить в тексте договора.


5.9.8 Противодействие методам социальной инженерии


Последним (по счету, но не по важности) аспектом обеспечения безопасности и сохранности данных является противодействие методам социальной инженерии. Существуют способы получения цифровой информации без каких-либо специальных технических средств, путем простого телефонного звонка с просьбой «срочно скинуть весь проект на указанный интернет-ресурс». Для уменьшения вероятности утечки информации такими путями следует предпринять следующее меры:

  • все участники проекта должны подписать соглашение о неразглашении информации, составляющей коммерческую тайну (желательно перед каждым проектом);

  • необходимо регулярно (как минимум перед каждым очередным проектом) проводить совещания с целью разъяснения сотрудникам важности мер предосторожности и следования регламентам политики безопасности компании;

  • установить периодическую смену паролей, чтобы даже если злоумышленник и узнал один из паролей от учетной записи члена команды проекта, этот пароль через определенный промежуток времени становился бесполезным;

  • разделять каналы, по которым передается пароль, и канал связи, к которому он применяется: бесполезно передавать новый пароль от электронной почты по той же самой электронной почте, лучше всего новые пароли выдавать лично;

  • отдел информационных технологий должен отслеживать подозрительные по величине объема транзакции исходящего трафика, выявляя выгрузки больших объемов информации в сеть, и интересоваться у сотрудников, с какой целью проект «заливается» не в CDE, а в иные нерегламентированные ресурсы.





Поделитесь с Вашими друзьями:
1   ...   6   7   8   9   10   11   12   13   ...   21




База данных защищена авторским правом ©vossta.ru 2022
обратиться к администрации

    Главная страница