Болтушкин Л.С., группа 712-2, практика
.pdfМинистерство науки и высшего образования Российской Федерации Федеральное государственное бюджетное образовательное учреждение высшего образования
ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИCТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР)
Кафедра комплексной информационной безопасности электронно-
вычислительных систем (КИБЭВС)
ПОСТРОЕНИЕ МОДЕЛИ ОБЪЕКТА ЗАЩИТЫ Отчет по практической работе по дисциплине
«Основы информационной безопасности»
Студент гр. 712-2
________ Л.С. Болтушкин
________
Руководитель Преподаватель кафедры КИБЭВС
________ ________В.С. Агеева
________
Томск 2023
Введение
Целью практической работы является получение навыков комплексного построения модели объекта защиты в виде формального описания процесса,
связанного с обработкой защищаемой информации, комплексного моделирования угроз, учитывающие угрозы, направленные на информационную систему и обрабатываемую ей информацию.
Задачи практической работы:
Составить описание объекта;
Выбрать информационный процесс, в котором происходит обработка защищаемой информации;
Построить модель «чёрного ящика» данного процесса в нотации
IDEF0;
Составить декомпозицию модели на 3 этапа в нотации IDEF0;
2
1 Ход работы
1.1 Описание объекта по варианту
Объект: детский сад.
Описание: Детский сад в городе Томск приставляет собой здание,
которое вокруг огорожено площадками для детей, каждая для отдельной группы. В задней части двора расположен маленький огород, в котором дети выращивают свои цветы и овощи. В середине территории расположена маленькая изба Бабы Яги. Вход в здание расположен с лицевой стороны, так же вход на саму территорию контролируем специальными пропусками.
1.2 Информационный процесс
Входе работы был выбран процесс подачи заявления на запись ребенка
вдетский сад через Госуслуги
1.3 Модель «черного ящика»
Объект: детский сад.
Процесс: Подача заявления на запись ребенка в детский сад через Госуслуги.
На рисунке 1.3.1 представлена модель «черного ящика» выбранного процесса в нотации IDEF0.
Рисунок 1.3.1 – Модель «черного ящика» в нотации IDEF0
3
1.4 Декомпозиция модели
Объект: детский сад.
Процесс: Подача заявления на запись ребенка в детский сад через Госуслуги.
На рисунке 1.4.1 представлена декомпозиция модели на 3 этапа в нотации IDEF0.
Рисунок 1.4.1 – Декомпозиция модели
1.5. Моделирование угроз
Задачи:
На основе IDEF0 модели процесса, обрабатывающего защищаемую информацию, выделить перечень защищаемых элементов.
Привести по одному примеру угроз конфиденциальности,
целостности и доступности для каждого информационного элемента
(каждой горизонтальной стрелки).
Привести по одному примеру угроз конфиденциальности,
целостности для каждого механизма реализации процесса (каждой
стрелки снизу).
Привести по одному примеру угроз конфиденциальности,
целостности для каждого элемента управления процессом (каждой
стрелки сверху).
4
Таблица 1.5.1 – Угрозы
Объект/ |
Угрозы |
Нарушения в |
Организационные |
Технические |
элемент |
|
ходе |
меры защиты |
меры защиты |
|
|
реализации |
|
|
|
|
угроз |
|
|
|
|
|
|
|
|
|
Горизонтальные стрелки |
|
|
|
|
|
|
|
|
Несанкцион |
Конфиденци |
Разработка |
Ограничить |
|
ированный |
альность |
положений, |
круг лиц, |
|
доступ к |
|
регламентов и |
которые |
|
данным в |
|
процессов |
смогут |
|
заявлении |
|
взаимодействия с |
просматрива |
|
|
|
конфиденциальной |
ть |
|
|
|
информацией |
информацию |
|
|
|
|
|
|
Несанкцион |
Целостность |
Инструкции по |
Резервное |
Заявлени |
ированное |
|
внесению данных |
копирование |
е |
удаление/ |
|
|
данных |
|
изменение |
|
|
|
|
данных |
|
|
|
|
|
|
|
|
|
Отказ в |
Доступность |
Разграничение |
Увеличение |
|
обслуживан |
|
доступа |
пропускной |
|
ии из-за |
|
пользователей |
способности |
|
перегрузки |
|
|
сетевого |
|
сетевого |
|
|
канала |
|
канала |
|
|
|
|
|
|
|
|
|
Несанкцион |
Конфиденци |
Разработка |
Использован |
Свидетел |
ированный |
альность |
положений, |
ие механизма |
ьство о |
доступ к |
|
регламентов и |
разграничени |
рождении |
данным в |
|
процессов |
я доступа |
|
|
|
взаимодействия с |
|
|
|
|
|
|
|
|
5 |
|
|
Продолжение таблицы 1.5.1
|
свидетельст |
|
конфиденциальной |
|
|
|
ве |
|
информацией |
|
|
|
|
|
|
|
|
|
Несанкцион |
Целостность |
Инструкции по |
Резервное |
|
|
ированное |
|
внесению данных |
копировани |
|
|
удаление/ |
|
|
е данных |
|
|
изменение |
|
|
|
|
|
данных |
|
|
|
|
|
|
|
|
|
|
|
Отказ в |
Доступность |
Разграничение |
Увеличение |
|
|
обслуживан |
|
доступа |
пропускной |
|
|
ии из-за |
|
пользователей |
способност |
|
|
перегрузки |
|
|
и сетевого |
|
|
сетевого |
|
|
канала |
|
|
канала |
|
|
|
|
|
|
|
|
|
|
|
Несанкцион |
Конфиденци |
Разработка |
Использова |
|
|
ированный |
альность |
положений, |
ние |
|
|
доступ к |
|
регламентов и |
механизма |
|
|
данным в |
|
процессов |
разграничен |
|
|
БД |
|
взаимодействия с |
ия доступа |
|
|
|
|
конфиденциальной |
|
|
|
|
|
информацией |
|
|
БД |
|
|
|
|
|
Несанкцион |
Целостность |
Инструкции по |
Настройки |
||
|
|||||
|
ированное |
|
внесению данных |
СУБД |
|
|
удаление/ |
|
|
|
|
|
изменение |
|
|
|
|
|
данных |
|
|
|
|
|
|
|
|
|
|
|
Отказ в |
Доступность |
Разграничение |
Увеличение |
|
|
обслуживан |
|
доступа |
пропускной |
|
|
ии из-за |
|
пользователей |
|
|
|
|
|
|
|
|
|
|
6 |
|
|
Продолжение таблицы 1.5.1
|
перегрузки |
|
|
способности |
|
сетевого |
|
|
сетевого |
|
канала |
|
|
канала |
|
|
|
|
|
|
Несанкцион |
Конфиденци |
Разработка |
Использова |
|
ированный |
альность |
положений, |
ние |
|
доступ к |
|
регламентов и |
механизма |
|
данным |
|
процессов |
разграничен |
|
паспортов |
|
взаимодействия с |
ия доступа |
|
|
|
конфиденциальной |
|
|
|
|
информацией |
|
|
|
|
|
|
|
Несанкцион |
Целостность |
Инструкции по |
Резервное |
Паспорта |
ированное |
|
внесению данных |
копировани |
удаление/ |
|
|
е данных |
|
|
|
|
||
|
изменение |
|
|
|
|
данных |
|
|
|
|
|
|
|
|
|
Отказ в |
Доступность |
Разграничение |
Увеличение |
|
обслуживан |
|
доступа |
пропускной |
|
ии из-за |
|
пользователей |
способности |
|
перегрузки |
|
|
сетевого |
|
сетевого |
|
|
канала |
|
канала |
|
|
|
|
|
|
|
|
|
|
Нижние стрелки |
|
|
|
|
|
|
|
|
Утечка |
Конфиденци |
Хранение личной |
Хранение |
Родители |
информаци |
альность |
информации в |
паролей в |
|
и о |
|
служебной тайне |
шифрованно |
|
родителе |
|
|
м виде |
|
|
|
|
|
7
Продолжение таблицы 1.5.1
|
Появление |
Целостность |
Инструктаж по |
Аутентификация |
|
|
моральной |
|
технике |
|
|
|
травмы, |
|
безопасности |
|
|
|
шантажирова |
|
|
|
|
|
ние |
|
|
|
|
|
|
|
|
|
|
|
Утечка |
Конфиденци |
Хранение личной |
Хранение |
|
|
информации |
альность |
информации в |
паролей в |
|
|
о работнике |
|
служебной тайне |
шифрованном |
|
Сотрудни |
|
|
|
виде |
|
к МФЦ |
|
|
|
|
|
Появление |
Целостность |
Инструктаж по |
Создание |
||
|
моральной |
|
технике |
комфортных |
|
|
травмы, |
|
безопасности |
условий труда |
|
|
шантажирова |
|
|
|
|
|
ние |
|
|
|
|
|
|
|
|
|
|
|
Утечка |
Конфиденци |
Статья 273 УК |
Хранение |
|
|
информации |
альность |
РФ: Создание, |
паролей в |
|
Единый |
о всей базе – |
|
использование и |
шифрованном |
|
работники, |
|
распространение |
виде, антивирус, |
||
портал |
|
||||
клиенты, |
|
вредоносных |
программы, |
||
государст |
|
||||
вирусы, |
|
компьютерных |
останавливающи |
||
венных и |
|
||||
взлом |
|
программ |
е DDoS – атаки |
||
муниципа |
|
||||
|
|
|
|
||
Появление |
Целостность |
Инструктаж по |
Централизованн |
||
льных |
|||||
травмы, |
|
технике |
ое и |
||
услуг |
|
||||
несанкциони |
|
безопасности |
оперативное |
||
|
|
||||
|
рованное |
|
|
управление, |
|
|
изменение |
|
|
контроль утечек |
|
|
настроек |
|
|
информации |
|
|
|
|
|
|
8
Продолжение таблицы 1.5.1
Верхние стрелки
|
Общедосту |
Конфиденци |
Соблюдение |
- |
|
пная |
альность |
регламента |
|
|
информаци |
|
принятия ФЗ |
|
№273.ФЗ |
я |
|
|
|
«Об |
|
|
|
|
Несанкцион |
Целостность |
Проверка |
Использова |
|
образова |
ированное |
|
структуры |
ние средств |
нии» |
переформул |
|
документа |
защиты |
|
ированние |
|
|
информации |
|
пунктов |
|
|
|
|
закона |
|
|
|
|
|
|
|
|
|
Общедосту |
Конфиденци |
Соблюдение |
- |
|
пная |
альность |
технического |
|
|
информаци |
|
регламента |
|
|
я |
|
|
|
Количест |
|
|
|
|
Несанкцион |
Целостность |
Проверка |
Резервное |
|
во мест |
ированное |
|
структуры |
копирование |
|
удаление/ |
|
документа |
данных и |
|
изменение |
|
|
использован |
|
пользовател |
|
|
ие средств |
|
ей в списке |
|
|
защиты |
|
|
|
|
информации |
|
|
|
|
|
|
Несанкцион |
Конфиденци |
Введение |
Шифровани |
|
ированный |
альность |
ответственности за |
е данных |
Наличие |
доступ к |
|
разглашение |
|
прививок |
сертификат |
|
|
|
|
у о |
|
|
|
|
прививках |
|
|
|
|
|
|
|
|
9
Продолжение таблицы 1.5.1
|
Несанкцион |
Целостность |
Проверка |
Резервное |
|
ированное |
|
структуры |
копирование |
|
удаление/ |
|
документа |
данных и |
|
изменение |
|
|
использован |
|
пользовател |
|
|
ие средств |
|
ей в списке |
|
|
защиты |
|
|
|
|
информации |
|
|
|
|
|
|
Общедосту |
Конфиденци |
Соблюдение |
- |
|
пная |
альность |
технического |
|
|
информаци |
|
регламента |
|
|
я |
|
|
|
Правила |
|
|
|
|
Несанкцион |
Целостность |
Проверка |
Резервное |
|
заполнен |
ированное |
|
структуры |
копирование |
ия |
переформул |
|
документа |
данных и |
документ |
ированние |
|
|
использован |
ов |
или |
|
|
ие средств |
|
частичное/ |
|
|
защиты |
|
полное |
|
|
информации |
|
удаление |
|
|
|
|
правил |
|
|
|
|
|
|
|
|
10