Similar presentations:
Презентация к диплому 2
1. МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РЕСПУБЛИКИ БУРЯТИЯ ГАПОУ РБ «Бурятский республиканский многопрофильный техникум
инновационныхтехнологий»
Дипломный проект
Разработка политики информационной
безопасности для дизайнерской фирмы
Выполнил:
Студент группы ОИБАС-23
Красный Дмитрий
Руководитель: Манжуева О.М
2. • Актуальность проблемы • Информация – основной актив дизайн-фирмы (исходники, брендбуки, 3D-модели). • Специфика: облака,
удаленка, обмен с клиентами.• Риски: от шифровальщиков до кражи интеллектуальной собственности.
Структура угроз для дизайн-индустрии
Прочее; 5%
Взлом облаков; 15%
Вредоносное ПО;
35%
Внутренние утечки;
20%
Фишинг ; 25%
Вредоносное ПО
Фишинг
Внутренние утечки
Взлом облаков
Прочее
3.
• Цель и задачи работы• Цель: Разработать проект политики информационной безопасности для
дизайнерской фирмы.
• Задачи:
• Анализ теоретических основ и моделей ИБ.
• Выявление и классификация рисков.
• Разработка модели разграничения доступа.
• Формулирование требований к защите.
• Составление программы внедрения.
4.
Теоретическая основа — «Треугольник CIA»• Конфиденциальность: доступ только для уполномоченных.
• Целостность: защита от искажений.
• Доступность: данные доступны, когда нужны.
• Принципы: минимальные привилегии, многоуровневость, баланс безопасности и
удобства.
5.
Выбор модели управления доступом• DAC (дискреционная) — владелец сам решает (риск хаоса).
• MAC (мандатная) — жесткие метки секретности (негибко).
• RBAC (ролевая) — доступ через должность (удобно, управляемо).
⁃ RBAC: Базовый каркас. Доступ предоставляется по ролям (арт-директор,
дизайнер, менеджер проектов). Преимущества: Управляемость, соответствие бизнеспроцессам, принцип минимальных привилегий.
• ABAC (атрибутивная) — доступ по контексту (гибко, но сложно).
⁃ ABAC: Расширение для особо ценных данных. Доступ определяется
динамически (роль + проект + местоположение + время). Пример: «Дизайнер может
редактировать черновики только с корпоративного ноутбука в офисе».
• Наш выбор: гибрид RBAC + ABAC.
6.
Анализ рисков — ключевые активы и угрозыТаблица активов и рисков:
Пример
Риск
Креативный контент
PSD, Figma
Кража, шифрование
Данные клиентов
Брифинги, ПДн
Утечка, штрафы 152-ФЗ
Учетные записи
Figma, Google Workspace
Взлом
Актив
7.
Решение 1. Ролевая матрица доступа (RBAC)Пример ролей и прав:
Дизайнер
Рук. проекта
Бухгалтер
Ресурс / Роль
Текущие проекты
Нет
Чтение/Запись
Полный
Финансы / 1С
Нет
Просмотр
Полный
CRM / База клиентов
Нет
Полный
Просмотр
8.
Решение 2. Контекстный контроль (ABAC)Добавляем атрибуты:
• Пользователь (роль, проект, стаж).
• Ресурс (гриф секретности, владелец).
• Окружение (время, место, устройство, наличие 2FA).
Пример правила:
Дизайнер может скачать «Строго конфиденциальный» файл только если:
• он в команде проекта;
• в офисе (IP-адрес);
• на корпоративном ноутбуке;
• включен BitLocker.
9.
Программа внедрения• Этап 1 (1-2 мес.): Организация — создание рабочей группы, утверждение документов.
• Этап 2 (3-6 мес.): Базовая гигиена — 2FA, резервное копирование, шифрование
дисков, обучение.
• Этап 3 (7-9 мес.): Углубление — регламенты, MDM, ревизия прав.
• Этап 3 (10-12 мес.): Контроль — аудит, пересмотр
политик.
1
Месяц
Этап 1
Этап 2
Этап 3
Этап 3
1
2
3
4
5
6
7
8
9
10
11
12
10.
Ожидаемый эффект• Снижение рисков: защита от утечек и шифровальщиков.
• Соответствие 152-ФЗ: избежание штрафов.
• Конкурентное преимущество: доверие крупных клиентов.
• Прозрачность: сотрудники понимают правила.
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
Риск
До внедрения
После внедрения
11.
Заключение1. ИБ для дизайн-фирмы — защита прибыли и репутации.
2. Разработана гибридная модель RBAC + ABAC, учитывающая творческую специфику.
3. Создана реалистичная программа внедрения.
4. Переход от «латания дыр» к проактивному управлению рисками.
12.
Спасибо за внимание! Готов ответить на вашивопросы.