Проектирование и функционирование системы информационной безопасности в строительной организации: академический реферат

За последние два года число кибератак на российскую строительную отрасль выросло более чем вдвое, при этом в первом полугодии 2024 года зафиксирован двукратный рост по сравнению с аналогичным периодом 2023 года. Этот факт не просто указывает на тревожную тенденцию, но и подчеркивает критическую актуальность проблемы информационной безопасности (ИБ) в строительстве. Цифровизация, проникающая во все сферы деятельности – от BIM-моделирования до электронного документооборота и удаленного управления проектами – многократно увеличила объем высокочувствительных данных. Проектные чертежи, сметы, финансовые планы, данные об инвесторах и подрядчиках, а также персональные данные клиентов теперь хранятся и обрабатываются в цифровом виде, превращая строительные организации в привлекательную мишень для киберпреступников и инсайдеров. Таким образом, инвестиции в надёжную систему ИБ становятся не просто желательными, а жизненно необходимыми для сохранения конкурентоспособности и устойчивости бизнеса.

Настоящий реферат посвящен разработке структурированного предложения по созданию и функционированию системы информационной безопасности (СИБ) для строительной организации. Его целью является всесторонний анализ специфических угроз, присущих этой отрасли, а также выработка комплексных подходов к проектированию, внедрению и эксплуатации эффективной СИБ. Мы рассмотрим как теоретические основы ИБ, так и практические аспекты, включая организационные и технические меры защиты, нормативно-правовую базу, экономическое обоснование и этапы реализации. Материал ориентирован на академическую аудиторию – студентов, аспирантов и исследователей, – стремящихся к глубокому пониманию проблематики ИБ в контексте строительного сектора. Структура реферата построена таким образом, чтобы последовательно раскрыть все ключевые вопросы, необходимые для формирования целостного представления о создании надежной и устойчивой системы информационной безопасности в современном строительном предприятии.

Теоретические основы информационной безопасности и отраслевая специфика

Для начала глубокого погружения в проблематику информационной безопасности строительной отрасли необходимо очертить базовые понятия, на которых строится вся концепция защиты информации. Без четкого понимания терминологии и основополагающих принципов невозможно выстроить эффективную систему, способную противостоять современным угрозам, что, несомненно, скажется на стабильности и надёжности всей строительной деятельности.

Основные понятия и принципы информационной безопасности

Информационная безопасность – это не просто набор антивирусов или брандмауэров, а комплексное состояние защищенности информации, при котором обеспечиваются ее ключевые свойства. Согласно ГОСТ Р ИСО/МЭК 27000-2021, информационная безопасность определяется как сохранение конфиденциальности, целостности и доступности информации. Эти три столпа, известные как триада CIA (Confidentiality, Integrity, Availability), являются фундаментом любого подхода к защите.

• Конфиденциальность (Confidentiality) означает, что информация не становится доступной или не раскрывается неуполномоченным лицам, процессам или объектам. В строительстве это критически важно для защиты проектной документации, коммерческих предложений и данных о подрядчиках.
• Целостность (Integrity) гарантирует точность и полноту информации, а также методов ее обработки. Любое несанкционированное изменение чертежей или финансовых отчетов может привести к катастрофическим последствиям.
• Доступность (Availability) подразумевает, что уполномоченные пользователи могут получить доступ к информации и связанным с ней активам по мере необходимости. Сбои в работе информационных систем, ведущие к потере доступа к данным, могут остановить строительные работы и сорвать сроки сдачи объектов.

Помимо этой триады, ГОСТ Р ИСО/МЭК 27000-2021 расширяет понятие ИБ, включая такие аспекты, как:

• Подлинность (Authenticity): свойство, при котором субъект или ресурс является тем, за кого или что он себя выдает.
• Подотчетность (Accountability): свойство, при котором действия субъекта могут быть однозначно приписаны только этому субъекту.
• Неотказуемость (Non-repudiation): свойство, обеспечивающее невозможность отказа от факта совершения действия.
• Достоверность (Reliability): свойство, гарантирующее соответствие информации ожиданиям и требованиям.

Построение СИБ базируется на ряде фундаментальных принципов:

1. Системность: защита должна охватывать все взаимосвязанные элементы информационной системы и не оставлять «дыр» из-за изолированного подхода.
2. Комплексность: СИБ должна использовать согласованное применение разнородных средств – как организационных, так и технических.
3. Непрерывность защиты: информационная безопасность не может быть разовым актом, она требует постоянного мониторинга, обновления и адаптации к новым угрозам.
4. Разумная достаточность: уровень защиты должен быть оптимальным, соизмеримым с ценностью защищаемой информации и потенциальным ущербом от ее компрометации.
5. Гибкость управления и применения: СИБ должна адаптироваться к изменяющимся условиям, технологиям и угрозам.
6. Открытость алгоритмов и механизмов защиты: это способствует проверке и повышению доверия к используемым решениям.
7. Простота применения защитных мер и средств: сложные в использовании системы безопасности часто обходятся или игнорируются пользователями.

Классификация угроз информационной безопасности в строительстве

Строительная отрасль, переживающая бурный период цифровизации, сталкивается с уникальным спектром угроз информационной безопасности. Эти угрозы можно классифицировать по источнику, характеру воздействия и объекту атаки. Общий объем опубликованных данных в результате утечек в 2023 году составил 91,8 ТБ, при этом 98,8% от этого объема приходилось на архивы внутренней документации и исходники программного обеспечения организаций, что подчеркивает масштаб проблемы, а ведь это лишь вершина айсберга.

Внутренние угрозы (Инсайдерские)

Инсайдеры – сотрудники или бывшие сотрудники, имеющие легитимный доступ к информационным активам, – представляют собой одну из наиболее опасных угроз. В 2022 году в строительных компаниях 63% нарушителей являлись рядовыми сотрудниками, 39% – линейными руководителями, а 20% – топ-менеджерами (рост с 13% в 2021 году). Инсайдер может нанести вред, значительно превосходящий возможный ущерб от внешних атак.

• Рискованное поведение сотрудников: включает в себя небрежное обращение с данными, использование небезопасных каналов связи, открытие фишинговых писем, переход по подозрительным ссылкам. Согласно опросу «СёрчИнформ» 2022 года, рискованное поведение сотрудников составило 57% инцидентов в строительных компаниях.
• Промышленный шпионаж: целенаправленное хищение конфиденциальной информации конкурентами через внутренних агентов. В 2022 году промышленный шпионаж составил 16% инцидентов.
• Создание фирм-боковиков/сторонняя занятость: использование ресурсов компании для личной выгоды или работы на конкурентов, что фиксировалось в 23% инцидентов.
• Несанкционированное использование или распространение готовых проектов и сметной документации: может привести к прямым финансовым потерям и потере конкурентных преимуществ.
• Несанкционированное изменение технологических процессов: внесение изменений в проектную или технологическую документацию без должного контроля, что может поставить под угрозу качество и безопасность строительства.

Внешние угрозы (Кибератаки)

Внешние угрозы исходят от злоумышленников, не имеющих прямого доступа к внутренней сети. В первом полугодии 2024 года в России зафиксирован двукратный рост числа кибератак на строительную отрасль.

• Вредоносное программное обеспечение (ВПО): вирусы, черви, трояны, программы-вымогатели (ransomware). Успешная атака ВПО может зашифровать все данные, парализовать работу и требовать выкуп.
• Фишинг и социальная инженерия: методы манипуляции, направленные на получение конфиденциальной информации или принуждение к определенным действиям (например, переводу средств).
• DDoS-атаки: направлены на перегрузку серверов и нарушение доступности информационных ресурсов, что приводит к простою и финансовым потерям.
• Целевые атаки (APT): сложные, многоэтапные атаки, разработанные для проникновения в конкретную организацию с целью длительного скрытого присутствия и хищения ценных данных.

Угрозы по объекту атаки

Строительные компании оперируют широким спектром ценной информации, которая может стать целью атак. В 2022 году 41% строительных организаций сталкивались с утечками информации, из которых 49% касались данных о клиентах и сделках, а 41% — технической документации.

• Производственная тайна:
  • Планы проектов строительства, технические спецификации, чертежи (включая BIM-модели): утечка на ранних стадиях может дать конкурентам преимущество или позволить копировать уникальные решения.
  • Сведения о модификации технологий, процессов и оборудования: критически важны для сохранения инновационного потенциала компании.
  • Сметная документация: раскрытие смет может подорвать переговорные позиции компании.
• Коммерческая тайна:
  • Информация об инвесторах, партнерах, бизнес-планы, стратегии развития: утечки могут подорвать доверие, привести к срыву сделок и потере стратегического преимущества.
  • Договоры с поставщиками и подрядчиками: компрометация этой информации может привести к недобросовестной конкуренции и изменению условий сотрудничества.
  • Данные о продаже участков под застройку до официального опубликования: может использоваться для спекуляций на рынке недвижимости.
• Персональные данные клиентов и сотрудников:
  • Паспортные данные, финансовая информация, электронная почта, номера телефонов: утечки этих данных влекут за собой привлечение к ответственности по Федеральному закону № 152-ФЗ «О персональных данных» и серьезный репутационный ущерб. В 2022 году 41% строительных организаций сталкивались с утечками информации, из которых 49% касались данных о клиентах и сделках.

Категория угроз	Источник	Примеры специфических инцидентов в строительстве	Последствия
Внутренние (инсайдерские)	Рядовые сотрудники (63%), линейные руководители (39%), топ-менеджеры (20%)	Несанкционированное копирование чертежей и смет; передача данных о тендерах конкурентам; использование рабочих ресурсов для «фирм-боковиков»; случайное удаление критически важных файлов	Финансовые потери, срыв проектов, репутационный ущерб, штрафы по ФЗ-152, потеря конкурентных преимуществ
Внешние (кибератаки)	Хакерские группы, киберпреступники, государственные спонсируемые хакеры	Атаки программ-вымогателей на серверы с проектной документацией; фишинг с целью получения доступа к финансовым системам; DDoS-атаки на корпоративные порталы; кража BIM-моделей	Парализация работы, потеря данных, финансовый шантаж, утечка конфиденциальной информации, нарушение основной деятельности (37% случаев в I квартале 2024 года)
По объекту атаки: Производственная тайна	Внутренние, внешние	Утечка планов строительства, технических спецификаций, чертежей (BIM-моделей); компрометация информации о ноу-хау и модификациях технологий	Потеря инновационного потенциала, снижение конкурентоспособности, срыв проектов
По объекту атаки: Коммерческая тайна	Внутренние, внешние	Утечка данных об инвесторах, бизнес-планах, договорах с поставщиками и подрядчиками; несанкционированное разглашение информации о продаже участков	Срыв сделок, потеря доверия партнеров, финансовый ущерб
По объекту атаки: Персональные данные	Внутренние, внешние	Утечка паспортных данных клиентов, финансовой информации, контактов сотрудников и клиентов	Штрафы по ФЗ-152, репутационный ущерб, судебные иски

Эти угрозы в совокупности формируют сложный ландшафт рисков, требующий от строительных организаций стратегического и системного подхода к построению системы информационной безопасности.

Информационные активы и объекты защиты в строительной организации

В строительной организации информационные активы представляют собой не просто данные, а интеллектуальный капитал, от сохранности, целостности и доступности которого напрямую зависит успех и устойчивость бизнеса. Цифровизация отрасли превратила эти активы в ключевые объекты защиты.

Круг информационных активов, подлежащих защите, включает в себя:

1. Проектная документация:
   • BIM-модели (Building Information Modeling): комплексные цифровые модели объектов строительства, содержащие исчерпывающую информацию об архитектуре, конструкциях, инженерных системах, материалах и этапах строительства. Утечка или модификация BIM-модели может привести к серьезным проектным ошибкам, срыву сроков и финансовым потерям.
   • Чертежи и схемы: традиционная техническая документация, детализирующая все аспекты проекта.
   • Пояснительные записки, расчеты, технические задания: текстовые и расчетные документы, обосновывающие проектные решения.
2. Сметная и финансовая документация:
   • Сметы и календарные планы: содержат информацию о стоимости материалов, работ, сроках, что является коммерческой тайной.
   • Договоры с поставщиками, подрядчиками и субподрядчиками: условия сотрудничества, цены, сроки поставок.
   • Бухгалтерские и финансовые отчеты: сведения о доходах, расходах, прибыли.
   • Банковские данные и платежные реквизиты: критически важная информация для проведения операций.
3. Организационно-распорядительная документация:
   • Внутренние политики, регламенты, инструкции: определяют правила работы с информацией и порядок действий сотрудников.
   • Приказы, распоряжения, протоколы совещаний: важная внутренняя управленческая информация.
4. Базы данных:
   • Базы данных клиентов: включают персональные данные (ФИО, паспортные данные, контактная информация, финансовые сведения), историю взаимодействия, предпочтения.
   • Базы данных сотрудников: персональные данные, информация о заработной плате, стаже, квалификации.
   • Базы данных партнеров и инвесторов: конфиденциальные сведения, условия сотрудничества.
   • Базы данных проектов: агрегированная информация по всем текущим и завершенным проектам.
5. Электронный документооборот:
   • Корреспонденция: служебные письма, электронные сообщения, содержащие конфиденциальную информацию.
   • Визы, согласования, утверждения: электронные отметки о прохождении документа.
6. Учетные данные и права доступа: логины, пароли, ключи доступа к информационным системам.
7. Программное обеспечение и исходные коды: если компания разрабатывает собственные IT-решения или адаптирует их под свои нужды.

Нарушение конфиденциальности, целостности или доступности любого из этих активов может повлечь за собой не только серьезные финансовые потери (средний ущерб от одной утечки информации для российских компаний составляет около 11,5 млн рублей, по максимальным оценкам – более 41 млн рублей), но и репутационный ущерб, срыв проектов, потерю конкурентных преимуществ и юридическую ответственность (например, за нарушение ФЗ-152). Таким образом, все перечисленные информационные активы являются ключевыми объектами защиты, требующими внимательного подхода при проектировании СИБ.

Нормативно-правовая база и стандарты в области информационной безопасности для строительных компаний

Создание эффективной системы информационной безопасности в любой организации, включая строительную, невозможно без опоры на действующее законодательство и общепринятые стандарты. Они формируют обязательные требования, лучшие практики и методологические подходы, обеспечивая юридическую легитимность и техническую обоснованность предпринимаемых мер защиты.

Законодательство Российской Федерации

Нормативно-правовая база Российской Федерации по обеспечению информационной безопасности представляет собой многоуровневую систему, включающую федеральные законы, указы Президента, постановления Правительства и приказы федеральных органов исполнительной власти, таких как ФСТЭК России и ФСБ России. Для строительных компаний особенно значимы следующие акты:

• Конституция Российской Федерации: является основой для защиты прав граждан, включая право на неприкосновенность частной жизни, личную и семейную тайну, ��ащиту своей чести и доброго имени. Это положение непосредственно влияет на защиту персональных данных.
• Федеральный закон от 28 декабря 2010 г. № 390-ФЗ «О безопасности»: определяет основные принципы и содержание деятельности по обеспечению безопасности личности, общества и государства. Он закладывает общие основы для понимания информационной безопасности как одного из ключевых элементов национальной безопасности.
• Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»: это основной закон, регулирующий отношения, возникающие при создании, использовании и защите информации. Он определяет такие ключевые понятия, как «информация», «информационные технологии», «информационная система», «защита информации», и устанавливает общие принципы обеспечения информационной безопасности. Для строительной отрасли этот закон является краеугольным камнем, регулирующим весь цикл работы с данными.
• Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»: обязывает компании, обрабатывающие персональные данные (а это все строительные организации, работающие с данными клиентов, сотрудников, партнеров), обеспечивать высокий уровень их защиты. Закон устанавливает требования к сбору, хранению, обработке, передаче и уничтожению персональных данных, а также предусматривает ответственность за их нарушение.
• Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи»: регулирует использование электронной подписи, определяет ее виды (простая, усиленная неквалифицированная, усиленная квалифицированная) и устанавливает условия признания электронных документов, подписанных ЭП, равнозначными документам на бумажном носителе. Для строительной отрасли, активно переходящей на электронный документооборот (вспомним Главгосэкспертизу, принимающую проектную документацию в электронном виде), этот закон имеет критическое значение.
• Федеральный закон от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне»: устанавливает правовые основы защиты коммерческой тайны, определяя ее понятие и меры по ее охране. В контексте строительных компаний это относится к защите проектных решений, смет, бизнес-планов, информации о торгах и инвесторах.
• Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»: хотя этот закон в первую очередь касается критически важных объектов, некоторые крупные строительные компании, участвующие в стратегически важных проектах или обслуживающие объекты КИИ, могут подпадать под его действие, что накладывает дополнительные, более строгие требования к СИБ.
• Указы Президента РФ: например, Указ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» (определяет категории информации, требующей защиты) и Указ от 05.12.2016 № 646 «Об утверждении Доктрины информационной безопасности Российской Федерации» (определяет стратегические цели и задачи в сфере ИБ).
• Приказы ФСБ России и ФСТЭК России: эти органы разрабатывают и утверждают конкретные требования к системам защиты информации, включая методики оценки угроз, модели нарушителя, требования к средствам защиты, составу и содержанию организационных и технических мер. Например, Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных» является ключевым документом для выполнения требований ФЗ-152.

Эти нормативно-правовые акты формируют правовой каркас, в рамках которого строительные организации обязаны создавать, внедрять и поддерживать свои системы информационной безопасности. Игнорирование этих требований может привести к серьезным штрафам, судебным искам и репутационным потерям.

Международные и национальные стандарты ИБ

Помимо законодательных актов, значительную роль в формировании эффективной СИБ играют международные и национальные стандарты. Они предоставляют унифицированные методологии, лучшие практики и рекомендации, помогающие организациям систематизировать подход к управлению информационной безопасностью.

В Российской Федерации ключевое место занимает семейство стандартов ГОСТ Р ИСО/МЭК 27000. Эти стандарты являются прямым аналогом международных стандартов ISO/IEC 27000 и предоставляют модель для создания и функционирования системы менеджмента информационной безопасности (СМИБ). Их применение позволяет организации не только соответствовать законодательным требованиям, но и строить проактивную, постоянно совершенствующуюся систему защиты.

• ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология»: этот стандарт является отправной точкой для всего семейства. Он предоставляет общий обзор стандартов серии 27000 и определяет ключевую терминологию. Для строительных компаний это позволяет создать единый словарь и понимание концепций ИБ внутри организации и при взаимодействии с внешними аудиторами или партнерами.
• ГОСТ Р ИСО/МЭК 27001: устанавливает требования к СМИБ, позволяя организациям сертифицировать свою систему.
• ГОСТ Р ИСО/МЭК 27002: содержит набор практических рекомендаций и контролей для управления информационной безопасностью.

Помимо семейства 27000, важное значение имеют и другие стандарты, регулирующие отдельные аспекты ИБ:

• ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер»: хотя стандарт ориентирован на финансовый сектор, его раздел, регулирующий требования к подпроцессу «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа», имеет универсальное значение и может быть применен в любой строительной организации. Он задает высокие планки для обеспечения безопасности доступа к информационным системам, что критически важно для защиты проектной и коммерческой тайны.
• NIST Cybersecurity Framework: хотя это американский стандарт, его принципы и методология широко используются во всем мире как основа для построения и оценки кибербезопасности, включая идентификацию, защиту, обнаружение, реагирование и восстановление.

Применение этих стандартов позволяет строительным компаниям:

• Систематизировать подход к управлению ИБ, обеспечивая охват всех критически важных областей.
• Минимизировать риски и ущерб от инцидентов ИБ за счет внедрения проверенных практик.
• Повысить доверие со стороны партнеров, инвесторов и клиентов.
• Обеспечить соответствие законодательным и регуляторным требованиям.

Таким образом, комплексное использование законодательной базы РФ и международных/национальных стандартов является фундаментальной основой для формирования надежной и эффективной системы информационной безопасности в строительной организации, позволяющей ей не только выживать, но и процветать в условиях стремительной цифровизации и растущих киберугроз.

Архитектура и компоненты системы информационной безопасности строительной организации

Эффективная система информационной безопасности (СИБ) для строительной организации – это не просто набор разрозненных программ и устройств, а целостная, многоуровневая архитектура, органично интегрированная в автоматизированное производственно-контрольное управление (АПКУ) и учитывающая специфику отрасли. Её задача – не только предотвращать угрозы, но и обеспечивать непрерывность бизнес-процессов, а также соответствие нормативным требованиям.

Принципы построения и общая структура СИБ

Проектирование СИБ для строительного предприятия требует особого внимания к многообразию используемых программных систем (САПР, BIM-платформы, сметные программы, ERP-системы) и необходимости их бесшовной интеграции. Часто строительные организации функционируют в рамках крупных холдингов, что обуславливает интенсивное взаимодействие информационных систем различных организаций, а значит, и общих стандартов безопасности.

Общие принципы построения СИБ, такие как системность, комплексность, непрерывность, разумная достаточность, гибкость, открытость и простота, остаются неизменными. Однако в контексте строительного холдинга они приобретают дополнительные нюансы:

• Системность: подразумевает не только защиту отдельных IT-активов, но и обеспечение безопасности информационных потоков между различными юридическими лицами холдинга, а также с внешними контрагентами (поставщиками, субподрядчиками, государственными органами).
• Комплексность: означает сочетание централизованных политик безопасности на уровне холдинга с локальными решениями, учитывающими специфику отдельных подразделений или дочерних компаний.

Общая многоуровневая структура СИБ должна включать в себя:

1. Уровень организационных мер: политики, регламенты, обучение, управление персоналом.
2. Уровень физической защиты: контроль доступа к зданиям, серверам, оборудованию.
3. Уровень сетевой защиты: межсетевые экраны, VPN, системы обнаружения вторжений.
4. Уровень защиты серверов и рабочих станций: антивирусное ПО, системы контроля целостности, управления патчами.
5. Уровень защиты данных и приложений: шифрование, DLP-системы, резервное копирование.
6. Уровень управления ИБ: SIEM-системы, системы аудита, управления инцидентами.

Эта структура должна быть динамичной, постоянно адаптирующейся к изменяющимся угрозам и технологиям.

Организационные меры защиты информации

Организационные меры – это фундамент, на котором строится вся система информационной безопасности. Без четких правил, процедур и ответственности даже самые совершенные технические средства будут неэффективны. Защита информации, согласно ФЗ-149, включает принятие правовых, организационных и технических мер, направленных на защиту от несанкционированного доступа, модифицирования, блокирования, уничтожения, распространения, соблюдение конфиденциальности и реализацию прав на доступ.

Ключевые организационные меры для строительной компании включают:

1. Разработка и внедрение Политики информационной безопасности (ПИБ): это основной документ, который регламентирует общие требования к обеспечению ИБ в организации. Он должен быть разработан с учетом ГОСТ Р ИСО/МЭК 27001 и включать:
   • Цели и задачи ИБ.
   • Область действия СИБ.
   • Основные принципы и подходы к управлению рисками ИБ.
   • Роли и ответственность сотрудников за ИБ.
   • Общие требования к конфиденциальности, целостности и доступности информации.
2. Разработка регламентов и процедур:
   • Регламент управления доступом: определяет порядок предоставления, изменения и отзыва прав доступа к информационным ресурсам.
   • Положение о конфиденциальной информации и коммерческой тайне: устанавливает перечень сведений, составляющих эти тайны, порядок их обработки и меры по защите.
   • Процедуры резервного копирования и восстановления данных (Disaster Recovery Plan, DRP): критически важны для обеспечения непрерывности работы. Они должны описывать, как часто производится резервное копирование, где хранятся копии, и как быстро можно восстановить работоспособность систем в случае сбоя.
   • Процедуры реагирования на инциденты ИБ: описывают порядок действий при обнаружении инцидента, его локализации, расследовании и устранении последствий.
   • Политика использования оконечных устройств (включая BYOD): регулирует правила работы с корпоративной информацией на личных устройствах сотрудников.
   • Политика парольной защиты: устанавливает требования к сложности паролей, срокам их действия, порядку смены.
3. Обучение и повышение осведомленности персонала: регулярные тренинги для всех сотрудников, объясняющие правила работы с конфиденциальной информацией, основы кибергигиены, распознавание фишинга и порядок действий при обнаружении подозрительной активности. Учитывая, что рискованное поведение сотрудников составляет значительную долю инцидентов, обучение является одной из самых эффективных мер.
4. Распределение ролей и ответственности: четкое определение, кто отвечает за различные аспекты ИБ – от системных администраторов до топ-менеджмента. Создание должности или отдела по информационной безопасности.
5. Регулярный аудит и контроль: проведение внутренних и внешних аудитов СИБ для оценки её эффективности, выявления уязвимостей и соответствия требованиям.

Технические средства защиты информации

Технические средства защиты (ТСЗИ) – это инструментарий, который реализует организационные меры и непосредственно защищает информационные активы. Российские компании активно используют различные ТСЗИ: антивирусные программы (97%), средства администрирования (87%), межсетевые экраны нового поколения (NGFW) (78%).

Основные технические компоненты СИБ для строительной организации:

1. Антивирусное программное обеспечение и средства защиты от вредоносного ПО: устанавливается на все рабочие станции и серверы, обеспечивая защиту от вирусов, троянов, программ-вымогателей и других угроз.
2. Межсетевые экраны (Firewalls), включая NGFW (Next-Generation Firewalls): контролируют и фильтруют сетевой трафик, предотвращая несанкционированный доступ к внутренней сети и обратно. NGFW обладают расширенными функциями, такими как глубокий анализ пакетов, обнаружение вторжений и защита от угроз на уровне приложений.
3. Системы обнаружения/предотвращения вторжений (IDS/IPS): IDS (Intrusion Detection Systems) мониторят сетевой трафик и системные события на предмет признаков вторжения или аномальной активности. IPS (Intrusion Prevention Systems) активно блокируют или предотвращают обнаруженные атаки.
4. Системы предотвращения утечек данных (DLP-системы): DLP-системы отслеживают, блокируют и архивируют конфиденциальную информацию, которая покидает периметр организации через различные каналы (электронная почта, облачные хранилища, USB-носители). Они критически важны для защиты проектной, коммерческой и персональной тайны. В 2022 году 41% строительных организаций сталкивались с утечками информации, из которых 49% касались данных о клиентах и сделках, а 41% — технической документации, что подчеркивает актуальность DLP-решений.
5. Системы управления событиями безопасности и информацией (SIEM-системы): агрегируют и анализируют журналы событий безопасности со всех элементов СИБ (серверы, сетевое оборудование, приложения, СЗИ). SIEM-системы помогают выявлять аномалии и инциденты, которые невозможно обнаружить отдельными средствами.
6. ITDR (Identity Threat Detection and Response): новый класс решений, активно развивающийся на рынке в 2024 году, направленный на выявление угроз учетным данным и реагирование на них. Учитывая рост инсайдерских угроз, защита идентификаторов становится приоритетом.
7. Криптографические средства защиты информации (СКЗИ): используются для шифрования данных при хранении (на дисках, в базах данных) и при передаче (VPN, SSL/TLS). Обеспечивают конфиденциальность и целостность информации.
8. Системы контроля версий и резервного копирования: для проектной документации (BIM-модели, чертежи) критически важно иметь возможность отслеживать все изменения и откатываться к предыдущим версиям, а также регулярно создавать резервные копии.

Механизмы идентификации, аутентификации и авторизации

Эти три взаимосвязанных процесса являются краеугольным камнем контроля доступа в любой информационной системе. ГОСТ Р 57580.1-2017 регулирует требования к подпроцессу «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа», что подчеркивает их важность.

1. Идентификация: это процесс присвоения уникальных имен, номеров или специальных устройств (идентификаторов) субъектам (пользователям, процессам) и объектам (файлам, базам данных, серверам) системы, а также их распознавание по этим идентификаторам. Например, уникальный логин пользователя.
2. Аутентификация: это проверка подлинности заявленного идентификатора. Проще говоря, система проверяет, действительно ли пользователь является тем, за кого себя выдает. Традиционный метод – проверка соответствия введенного пароля учетной записи.
   • Многофакторная аутентификация (MFA): значительно повышает уровень безопасности, требуя от пользователя предоставления двух или более различных типов доказательств своей личности. Примеры:
     • Что-то, что вы знаете (пароль, PIN-код).
     • Что-то, что у вас есть (смарт-карта, USB-токен с криптографическим ключом, приложение на смартфоне, генерирующее одноразовые коды).
     • Что-то, что вы есть (биометрические данные – отпечаток пальца, распознавание геометрии лица, сканирование сетчатки глаза).
3. Авторизация: это процесс предоставления прав на выполнение определенных действий и проверка этих прав при попытке их выполнения. После успешной идентификации и аутентификации, система определяет, к каким ресурсам пользователь имеет доступ и какие операции он может с ними выполнять (чтение, запись, удаление, изменение). Например, инженер может иметь право только на просмотр чертежей, а руководитель проекта – на их изменение. Разграничение доступа пользователей к ресурсам системы и присвоение полномочий являются ключевыми защитными механизмами.

Электронная цифровая подпись (ЭКП) и инфраструктура открытых ключей (PKI)

В эпоху цифрового документооборота Электронная цифровая подпись (ЭКП), или, более точно, усиленная квалифицированная электронная подпись (УКЭП), играет ключевую роль в обеспечении юридической значимости электронных документов, а также аутентичности и целостности информации. ФЗ № 63-ФЗ «Об электронной подписи» определяет ее правовой статус.

• Аутентичность: ЭКП позволяет однозначно установить, кто является автором электронного документа.
• Целостность: ЭКП гарантирует, что после подписания документ не был изменен. Любое несанкционированное изменение приведет к недействительности подписи.

Применение ЭКП в строительной отрасли имеет огромное значение:

• Юридический статус электронных документов: Ростехнадзор и Главгосэкспертиза России уже разрешили использование электронных документов, подписанных УКЭП, наравне с бумажными, а Главгосэкспертиза вовсе перешла на прием проектной документации в электронном виде. Это ускоряет процессы согласования, экспертизы и утверждения проектов.
• Многосторонняя ЭКП: позволяет обеспечить аутентификацию нескольких лиц, ознакомившихся с информацией или утвердивших документ, что особенно важно для многоэтапных строительных проектов с участием множества сторон.

Инфраструктура открытых ключей (PKI) является основой для функционирования ЭКП. PKI включает в себя:

• Удостоверяющий центр (УЦ): доверенная организация, которая отвечает за выдачу, управление и отзыв сертификатов открытых ключей. УЦ гарантирует подлинность сертификатов, связывая открытый ключ с его владельцем.
• Регистрационные центры (РЦ): обеспечивают регистрацию пользователей и прием заявок на сертификаты.
• Службы хранения и распространения сертификатов: обеспечивают доступность открытых ключей для проверки подписей.
• Средства криптографической защиты информации (СКЗИ): программы или аппаратные устройства, которые генерируют и хранят ключи ЭКП. Например, USB-токен – это аппаратный носитель, который формирует пару ключей (закрытый и открытый). При этом закрытый ключ не покидает пределов токена, что исключает его компрометацию.

Размещение элементов СИБ в АПКУ строительной организации

Структура СИБ должна быть тесно интегрирована в автоматизированное производственно-контрольное управление (АПКУ) строительной организации. Размещение ее элементов зависит от масштаба компании, используемых технологий и предпочтений в части хостинга.

1. Локальное размещение (On-Premise): Крупные компании, обладающие необходимыми аппаратными и людскими ресурсами (собственный IT-отдел), часто предпочитают размещение программного продукта в своей внутренней локальной сети. Это позволяет обеспечить несколько уровней защиты и полный контроль над данными.
   • Преимущества: полный контроль над инфраструктурой и данными, высокая степень кастомизации, возможность реализации специфических политик безопасности.
   • Особенности: требует значительных инвестиций в оборудование, лицензии, квалифицированный персонал для администрирования и поддержки. Собственный IT-отдел контролирует администрирование и безопасность, решает ключевой вопрос о предоставлении сотрудникам прав доступа.
   • Примеры элементов:
     • Физические серверы с базами данных (BIM-модели, сметы, CRM).
     • Межсетевые экраны NGFW на периметре сети.
     • DLP-системы, мониторящие исходящий трафик.
     • SIEM-системы, собирающие логи со всех устройств.
     • Серверы удостоверяющего центра для PKI.
2. Удаленное размещение (Облачные технологии): Развитие облачных технологий позволяет сделать безопасным и удаленное размещение документов и приложений. Это особенно актуально для малых и средних компаний, а также для крупных холдингов, использующих гибридные облачные решения.
   • Преимущества: снижение капитальных затрат, гибкость, масштабируемость, высокая доступность, делегирование части ответственности за инфраструктуру провайдеру.
   • Особенности: важно обеспечить сохранность документов при доставке до удаленных серверов и хранение информации на удаленном сервере.
   • Меры безопасности для удаленного размещения:
     • Шифрованный канал HTTPS: для безопасной передачи данных между клиентом и облачным сервером.
     • Виртуальные частные сети (VPN): для создания защищенных туннелей между локальной сетью организации и облачной инфраструктурой.
     • Специализированные решения для защищенного удаленного доступа: такие как Solar SafeConnect, обеспечивающие контролируемый и безопасный доступ к корпоративным ресурсам извне.
     • Использование облачных DLP, SIEM, WAF (Web Application Firewall): для защиты облачных приложений и данных.
3. Интеграция с АПКУ:
   • Централизованное управление доступом («единая точка регистрации»): системный администратор должен иметь возможность управлять учетными записями пользователей для различных платформ и приложений (САПР, системы управления проектами, 1С, электронный документооборот) из единого центра. Это повышает управляемость сети и безопасность.
   • API-интеграции: для обмена данными между различными системами (например, BIM-платформа и система управления проектами) должны использоваться защищенные API с аутентификацией и авторизацией.
   • Защита СУБД: базы данных, хранящие проектную, финансовую и персональную информацию, должны быть защищены средствами шифрования, аудита доступа и регулярного мониторинга уязвимостей.

Уровень / Компонент	Локальное размещение (On-Premise)	Удаленное размещение (Облачное/Гибридное)
Периметр сети	NGFW, IDS/IPS, VPN-шлюзы	Облачные WAF, Security Group, VPN-шлюзы, Защита от DDoS
Серверы и базы данных	Физические серверы, гипервизоры, СУБД с шифрованием	Облачные инстансы (IaaS, PaaS), Managed Databases с шифрованием
Рабочие станции	Антивирус, EDR, DLP-агенты, СКЗИ на токенах	Антивирус, EDR, DLP-агенты, СКЗИ на токенах/ПО, VDI
Сеть	Коммутаторы, маршрутизаторы, сегментация сети, NAC	VPN-туннели, SD-WAN, Security Group, микросегментация
Управление ИБ	SIEM-система, SOC (при наличии), ITDR	Облачные SIEM/SOC as a Service, Cloud Access Security Broker (CASB)
Документооборот	Серверы СЭД, файловые хранилища, архив ЭКП	Облачные СЭД, Защищенные облачные хранилища, УЦ в облаке
Доступ	Active Directory, LDAP, MFA-сервер, биометрические сканеры	IdP (Identity Provider), SSO, MFA-as-a-Service, ITDR

Интеграция СИБ в АПКУ требует глубокого понимания бизнес-процессов строительной организации, используемых IT-систем и потенциальных векторов атак. Только комплексный подход, сочетающий надежные технические средства с продуманными организационными мерами и непрерывным контролем, позволит обеспечить адекватный уровень защиты информационных активов.

Экономические аспекты и этапы реализации СИБ

Внедрение и поддержание системы информационной безопасности – это не просто техническая или организационная задача, это стратегическая инвестиция. Руководство строительной организации должно понимать, что затраты на СИБ являются не расходами, а вложениями в устойчивость бизнеса, репутацию и соблюдение законодательства. Отсутствие должного внимания к ИБ может привести к значительно более серьёзным финансовым и репутационным потерям, чем стоимость её внедрения. Но разве не очевидно, что защита активов должна быть приоритетом для любого серьёзного предприятия?

Оценка рисков и потенциального ущерба от инцидентов ИБ

Нарушение конфиденциальности корпоративных данных, сбои в работе информационных систем или утечки информации влекут за собой серьёзный ущерб. По данным исследований, средний ущерб от одной утечки информации для российских компаний составляет около 11,5 млн рублей. Однако эти цифры могут быть значительно выше: по максимальным оценкам пострадавших организаций, совокупный ущерб от одного инцидента может превышать 41 млн рублей, а эксперты называют цифры до 140 млн рублей.

Последствия инцидентов ИБ можно разделить на несколько категорий:

1. Прямой финансовый ущерб:
   • Сорванные сделки: до 5 млн рублей за инцидент. Утечка коммерческой тайны или потеря доверия могут привести к отказу инвесторов или партнёров от сотрудничества.
   • Штрафы и судебные издержки: за нарушение Федерального закона № 152-ФЗ «О персональных данных» и других нормативных актов.
   • Расходы на расследование инцидента: проведение компьютерно-технической экспертизы (до 3,4 млн рублей).
   • Расходы на восстановление систем и данных: включая оплату труда специалистов, покупку нового оборудования, восстановление репутационных данных.
   • Потеря доходов от простоя: сбои в работе IT-систем могут остановить строительные работы, привести к задержкам в проектах и, как следствие, к штрафам за нарушение сроков.
   • Увеличение страховых взносов: до 3,3 млн рублей после инцидента.
2. Репутационный ущерб: тесно связан с финансовыми потерями и оказывает прямое воздействие на снижение доходов. По оценкам экспертов, более 55% расходов на ликвидацию последствий инцидентов тратятся именно на решение проблем, связанных с репутационными потерями. К 2025 году 51% россиян готовы отказаться от услуг компаний после утечки персональных данных. Для строительных компаний, где репутация играет ключевую роль в привлечении инвесторов и клиентов, это критически важно. Ущерб от репутационных потерь может проявляться в:
   • Снижении доверия клиентов и партнёров.
   • Падении стоимости акций (для публичных компаний).
   • Сложностях с привлечением новых проектов.
   • Потере конкурентных преимуществ.
3. Нематериальный ущерб:
   • Потеря интеллектуальной собственности: утечка уникальных проектных решений, технологий, ноу-хау.
   • Снижение морального духа сотрудников: инциденты могут вызвать чувство незащищённости и недоверия.
   • Ухудшение условий труда: из-за необходимости внедрения новых, более строгих процедур.

Обоснование необходимости инвестиций в ИБ должно основываться на чётком понимании этих рисков и потенциального ущерба. Вложения в СИБ – это инвестиции в стабильность, непрерывность бизнеса и долгосрочную конкурентоспособность.

Экономическое обоснование и методы оценки эффективности СИБ

Экономическое обоснование СИБ требует не только оценки потенциального ущерба, но и методов оценки эффективности инвестиций. Важно найти баланс между затратами на внедрение и поддержку мер ИБ и возможными потерями от инцидентов.

Одним из наиболее распространённых подходов является расчёт единовременных потерь (ALE — Annualized Loss Expectancy) и сравнение их с затратами на внедрение средств защиты.

ALE = ARO * SLE

Где:

• SLE (Single Loss Expectancy): единовременные ожидаемые потери от одного инцидента.
• ARO (Annualized Rate of Occurrence): ежегодная вероятность возникновения инцидента.

Пример расчёта SLE:

Предположим, стоимость BIM-модели крупного объекта (информационный актив) оценивается в 10 000 000 рублей. Если в результате утечки этой модели компания теряет конкурентное преимущество и возможность участвовать в крупном тендере, а также сталкивается с необходимостью переработки части проекта (из-за компрометации), то прямой ущерб от одного инцидента может составить:

• Упущенная выгода от тендера: 5 000 000 рублей.
• Стоимость переработки проекта: 2 000 000 рублей.
• Расходы на расследование и PR-кампанию: 1 000 000 рублей.
• SLE = 5 000 000 + 2 000 000 + 1 000 000 = 8 000 000 рублей.

Пример расчёта ARO:

Если за последние 5 лет в компании было 2 крупных утечки, связанных с проектной документацией, то ARO = 2 инцидента / 5 лет = 0.4.

ALE = 0.4 * 8 000 000 = 3 200 000 рублей.

Это означает, что ежегодно компания потенциально теряет 3 200 000 рублей из-за инцидентов с утечкой проектной документации.

Обоснование инвестиций:

Если годовые затраты на внедрение DLP-системы, обучение персонала и аудит, способных предотвратить такие утечки, составят 1 500 000 рублей, то экономический эффект от внедрения будет:

Экономия = ALE - Затраты на СИБ = 3 200 000 - 1 500 000 = 1 700 000 рублей в год.

Другие методы оценки включают:

• Анализ затрат-выгод (Cost-Benefit Analysis): сравнивает затраты на внедрение СИБ с предотвращённым ущербом.
• ROI (Return on Investment): позволяет оценить, насколько инвестиции в ИБ окупаются.
• Анализ TCO (Total Cost of Ownership): учитывает не только прямые затраты на покупку, но и затраты на внедрение, обслуживание, обучение, обновление.

Ключевой задачей при экономическом обосновании является демонстрация руководству, что инвестиции в ИБ не только снижают риски, но и приносят конкретную экономическую выгоду, предотвращая потери и обеспечивая непрерывность бизнес-процессов.

Этапы проектирования и внедрения СИБ

Процесс создания СИБ представляет собой совокупность упорядоченных во времени, взаимосвязанных работ, объединённых в стадии и этапы. Это трудоёмкий процесс, который требует постоянной поддержки и совершенствования.

Типичная программа проектов для создания СИБ включает следующие этапы:

1. Определение активов и бизнес-процессов (Аудит):
   • Инвентаризация всех информационных активов (серверы, рабочие станции, ПО, данные).
   • Описание критически важных бизнес-процессов (проектирование, согласование, строительство, финансовые операции).
   • Выявление владельцев информационных активов и ответственных за процессы.
2. Построение модели угроз и нарушителя:
   • Анализ специфических угроз для строительной отрасли (см. раздел «Классификация угроз информационной безопасности в строительстве»).
   • Разработка модели потенциального нарушителя (инсайдер, внешний хакер), его мотивов, ресурсов и возможных действий.
   • Определение потенциальных уязвимостей в существующей IT-инфраструктуре.
3. Анализ рисков информационной безопасности:
   • Оценка вероятности реализации каждой угрозы и потенциального ущерба от неё.
   • Определение допустимого уровня риска для каждого актива.
   • Ранжирование рисков по степени критичности.
4. Проектирование СИБ:
   • Разработка концепции СИБ, определение целей и задач.
   • Выбор архитектуры СИБ и её компонентов (организационных и технических).
   • Разработка проектных решений для каждого уровня защиты.
   • Планирование ресурсов (бюджет, персонал, сроки).
5. Разработка организационно-распорядительной документации:
   • Создание Политики информационной безопасности.
   • Разработка регламентов, инструкций, положений (см. раздел «Организационные меры защиты информации»).
   • Согласование и утверждение всех документов.
6. Внедрение технических средств защиты информации (СЗИ):
   • Закупка и установка оборудования и ПО (NGFW, DLP, SIEM, антивирусы, СКЗИ).
   • Конфигурирование и интеграция СЗИ в существующую IT-инфраструктуру.
   • Настройка используемых систем.
7. Внедрение организационных мер защиты:
   • Обучение персонала правилам работы с СИБ и политикой ИБ.
   • Создание службы ИБ или назначение ответственных лиц.
   • Развёртывание процедур реагирования на инциденты.
8. Контроль и управление функционированием СИБ:
   • Мониторинг событий безопасности (с помощью SIEM).
   • Регулярный аудит эффективности СИБ.
   • Обновление СЗИ и программного обеспечения.
   • Управление уязвимостями.
9. Совершенствование разработанной системы:
   • Периодический пересмотр модели угроз и рисков.
   • Адаптация СИБ к новым угрозам и изменениям в законодательстве.
   • Оптимизация процессов и технологий защиты.

Этап	Основные действия	Ожидаемые результаты
1. Аудит и анализ	Инвентаризация активов, описание процессов, построение модели угроз и нарушителя, анализ рисков.	Отчёт по аудиту, модель угроз, карта рисков, требования к СИБ.
2. Проектирование	Разработка концепции СИБ, выбор архитектуры, планирование ресурсов.	Техническое задание, проектная документация, план реализации.
3. Документирование	Разработка Политики ИБ, регламентов, инструкций.	Полный комплект организационно-распорядительной документации.
4. Внедрение СЗИ	Закупка, установка, конфигурирование и интеграция технических средств.	Работоспособные и настроенные СЗИ, интегрированные в IT-инфраструктуру.
5. Внедрение оргмер	Обучение персонала, распределение ролей, запуск процедур.	Обученный персонал, функционирующие процессы ИБ.
6. Контроль и управление	Мониторинг, аудит, обновление СЗИ.	Непрерывный контроль состояния ИБ, оперативное реагирование на инциденты.
7. Совершенствование	Пересмотр рисков, адаптация к изменениям.	Актуальная и эффективная СИБ, соответствующая текущим угрозам.

Таким образом, создание и поддержка СИБ – это итеративный процесс, требующий постоянного внимания и инвестиций, но эти вложения многократно окупаются за счёт обеспечения непрерывнос��и деятельности, защиты репутации и предотвращения колоссальных потерь, которые могут возникнуть от инцидентов информационной безопасности.

Заключение

Цифровизация строительной отрасли, приносящая беспрецедентные возможности для оптимизации и инноваций, одновременно открывает новые, сложные горизонты для рисков информационной безопасности. Масштабный рост кибератак и утечек данных, зафиксированный в последние годы, недвусмысленно демонстрирует, что информационная безопасность для строительных организаций перестала быть второстепенным вопросом и превратилась в критический фактор устойчивого развития.

В данном реферате мы детально проанализировали специфические угрозы, характерные для строительного сектора, включая риски, связанные с производственной и коммерческой тайной, а также персональными данными. Было показано, что угрозы исходят как извне (целевые атаки, вредоносное ПО), так и изнутри (инсайдеры, рискованное поведение сотрудников), и их последствия могут быть катастрофическими – от многомиллионных финансовых потерь до полного подрыва репутации и срыва ключевых проектов.

Мы рассмотрели фундаментальные принципы построения системы информационной безопасности, опираясь на триаду конфиденциальности, целостности и доступности, и расширили их с учётом требований современного стандарта ГОСТ Р ИСО/МЭК 27000-2021. Особое внимание было уделено архитектуре СИБ, её ключевым компонентам и методам интеграции в автоматизированное производственно-контрольное управление (АПКУ) строительного предприятия. От детализированных организационных мер, таких как разработка политик и обучение персонала, до технических решений – межсетевых экранов нового поколения, DLP-систем, SIEM и механизмов многофакторной аутентификации – каждый элемент играет свою роль в создании надёжного защитного контура. Подчёркнута критическая важность электронной цифровой подписи (ЭКП) и инфраструктуры открытых ключей (PKI) в условиях перехода к юридически значимому электронному документообороту в строительстве.

Анализ нормативно-правовой базы Российской Федерации и международных стандартов подтвердил необходимость строгого соблюдения законодательных требований (ФЗ-149, ФЗ-152, ФЗ-63, ФЗ-98) и использования лучших практик, заложенных в семействе стандартов ГОСТ Р ИСО/МЭК 27000. Это не только вопрос compliance, но и основа для построения эффективной, проверяемой и управляемой системы.

Наконец, мы представили экономическое обоснование инвестиций в СИБ, продемонстрировав, что предотвращённый ущерб от инцидентов ИБ значительно превосходит затраты на её внедрение и поддержку. Оптимальная этапность реализации СИБ, включающая аудит, проектирование, документирование, внедрение и постоянное совершенствование, является ключом к успешному и планомерному развитию системы.

В заключение, создание и функционирование системы информационной безопасности в строительной организации – это комплексная, многогранная задача, требующая стратегического мышления, глубоких знаний и непрерывных усилий. Это не одноразовый проект, а постоянно развивающийся процесс, адаптирующийся к меняющимся угрозам и технологиям. Успешное внедрение СИБ позволит строительным компаниям не только защитить свои ценные активы, но и укрепить репутацию, обеспечить непрерывность бизнес-процессов и сохранить конкурентоспособность в условиях быстро меняющегося цифрового ландшафта. Дальнейшие исследования могут быть направлены на разработку детализированных моделей оценки рисков для BIM-проектов, а также на анализ эффективности применения искусственного интеллекта и машинного обучения в решениях для ИБ в строительстве.

Список использованной литературы

1. Агальцов В.П., Титов В.М. Информатика для экономистов: Учебник. М.: ИД «Форум», ИНФРА – М, 2006. 448 с.
2. Завгородний В.И. Комплексная защита информации в компьютерных системах: Учебное пособие. М.: Логос; ПБОЮЛ Н.А. Егоров, 2001. 264 с.
3. Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (последняя редакция).
4. ГОСТ Р ИСО/МЭК 27000-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология (утв. и введен в действие Приказом Росстандарта от 19.05.2021 N 392-ст).
5. Информационная безопасность строительных компаний под угрозой. URL: https://www.searchinform.ru/about/news/informatsionnaya-bezopasnost-stroitelnykh-kompaniy-pod-ugrozoy/ (дата обращения: 19.10.2025).
6. Информационная безопасность в строительной отрасли | МРСПро специализированный ИТ-интегратор в строительстве. URL: https://mrspro.ru/informatsionnaya-bezopasnost-v-stroitelnoy-otrasli/ (дата обращения: 19.10.2025).
7. Makves DCAP — Информационная безопасность строительных компаний. URL: https://makves.ru/blog/information_security_construction/ (дата обращения: 19.10.2025).
8. Меры защиты конфиденциальной информации: правовые, организационные, технические и способы их реализации — Солар. URL: https://solar.ru/blog/mery-zashchity-konfidentsialnoy-informatsii-pravovye-organizatsionnye-tekhnicheskie-i-sposoby-ikh-realizatsii/ (дата обращения: 19.10.2025).
9. КЛАССИФИКАЦИЯ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ — ЭЛВИС-ПЛЮС. URL: https://elvis-plus.ru/upload/ib/c46/c4632833075677864f1074a1005f564f.pdf (дата обращения: 19.10.2025).
10. Эффективная защита корпоративной сети: Системы и средства безопасности» — Ideco. URL: https://ideco.ru/blog/posts/effektivnaya-zashchita-korporativnoy-seti-sistemy-i-sredstva-bezopasnosti/ (дата обращения: 19.10.2025).
11. Разработка системы информационной безопасности для строительной компании Текст научной статьи по специальности — КиберЛенинка. URL: https://cyberleninka.ru/article/n/razrabotka-sistemy-informatsionnoy-bezopasnosti-dlya-stroitelnoy-kompanii (дата обращения: 19.10.2025).
12. ЭЦП и аутентификация: сделано в России | Журнал сетевых решений/LAN. URL: https://www.osp.ru/lan/2014/08/13042171/ (дата обращения: 19.10.2025).
13. Основные объекты обеспечения информационной безопасности — SearchInform. URL: https://searchinform.ru/base/info-security-elements/ (дата обращения: 19.10.2025).
14. ИТ-безопасность — Компания АСТ. URL: https://astco.ru/it-bezopasnost/ (дата обращения: 19.10.2025).
15. ПОСТРОЕНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ — Международный студенческий научный вестник (сетевое издание). URL: https://eduherald.ru/ru/article/view?id=14986 (дата обращения: 19.10.2025).
16. ИСПОЛЬЗОВАНИЕ СТАНДАРТА ДЛЯ РЕАЛИЗАЦИИ ТРЕБОВАНИЙ К ПОДПРОЦЕССУ «ИДЕНТИФИКАЦИЯ, АУТЕНТИФИКАЦИЯ, АВТОРИЗАЦИЯ (РАЗГРАНИЧЕНИЕ ДОСТУПА) ПРИ ОСУЩЕСТВЛЕНИИ ЛОГИЧЕСКОГО ДОСТУПА» ГОСТ Р 57580.1-2017 \ КонсультантПлюс. URL: https://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=QUEST&n=188372#u721 (дата обращения: 19.10.2025).
17. Главгосэкспертиза России. URL: https://gge.ru/ (дата обращения: 19.10.2025).
18. Проектирование информационной системы строительного предприятия ОА — Электронный научный архив УрФУ. URL: https://elar.urfu.ru/bitstream/10995/70914/1/m_emm_2019_106.pdf (дата обращения: 19.10.2025).
19. ФЕДЕРАЛЬНЫЙ ЗАКОН «Об электронной цифровой подписи». URL: http://www.college.ru/UDP/texts/pril1.html (дата обращения: 19.10.2025).
20. StrongDisk.ru. URL: http://www.strongdisk.ru/ (дата обращения: 19.10.2025).
21. E-nigma.ru. URL: www.e-nigma.ru (дата обращения: 19.10.2025).
22. Intel.ru. URL: www.Intel.ru (дата обращения: 19.10.2025).
23. Inside-zi.ru. URL: www.inside-zi.ru (дата обращения: 19.10.2025).