Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Практическая работа 1,2

.pdf
Скачиваний:
0
Добавлен:
29.06.2024
Размер:
151.24 Кб
Скачать

Министерство науки и высшего образования Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования

ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР)

Кафедра комплексной информационной безопасности электронновычислительных систем (КИБЭВС)

ПОСТРОЕНИЕ МОДЕЛИ ОБЪЕКТА ЗАЩИТЫ Отчет по практической работе

по дисциплине «Основы информационной безопасности»

Выполнила Студентка гр. 713-2

____________ Бахтина А. М.

____________

Приняла

Преподаватель

___________ Агеева В. С.

___________

Томск 2024

Введение

Целью практической работы является получение навыков комплексного построения модели объекта защиты в виде формального описания процесса, связанного с обработкой защищаемой информации, а также комплексного моделирования угроз, учитывающего угрозы, направленные на информационную систему и обрабатываемую ей информацию.

2

1 ХОД РАБОТЫ

1.1 Описание объекта

Приложение для заказа такси – это платформа, позволяющая пользователю заказать такси без посредника в виде оператора службы такси. Самыми популярными приложениями для заказа такси в Томске являются Яндекс.Такси и Maxim.

1.2Построение модели IDEF0

Входе работы была построена модель «черного ящика» для процесса заказа такси через мобильное приложение (рисунок 1.1).

Рисунок 1.1 – Модель «черного ящика»

3

1.3 Декомпозиция модели

Была проведена декомпозиция модели IDEF0 процесса заказа такси через мобильное приложение (рисунок 1.2).

Рисунок 1.2 – Декомпозиция модели

4

1.4 Перечень угроз и мер защиты конфиденциальности, целостности и доступности процессов

На основе IDEF0 была составлена таблица 1.1, в которой были приведены примеры угроз конфиденциальности, целостности и доступности для защищаемых элементов.

Таблица 1.1 – Перечень угроз и мер защиты

Объект

Нарушения в

Угрозы

Организацион

Технические

 

ходе реализации

 

ные меры

меры

 

угроз

 

 

 

 

 

 

 

 

 

Горизонтальные стрелки

 

 

 

 

 

 

Измененная

Конфиденциаль

Получение

Инструктаж

Использовани

БД

ность

несанкциони

сотрудников

е паролей

+

 

рованного

 

 

 

доступа

 

 

БД

 

 

 

 

 

 

 

Целостность

Изменения в

Положение об

Резервное

 

 

 

БД

изменении БД

копирование

 

 

 

 

 

 

Доступность

Отказ

Положение о

Резервный

 

 

сервера

разграничени

генератор

 

 

 

и доступа

 

 

 

 

 

 

Реквизиты

Конфиденциаль

Несанкцион

Разработка

Перенос

карты

ность

ированный

правил

физической

 

 

доступ к

пользования

карты в

 

 

данным

банковскими

цифровую

 

 

карты

картами

 

 

 

 

 

 

 

Целостность

Физическое

Инструктаж

Использовани

 

 

повреждение

по правилам

е

 

 

платежной

хранения и

износостойких

 

 

карты

пользования

материалов в

 

 

 

банковских

изготовлении

 

 

 

карт

карт

 

 

 

 

 

 

Доступность

Взлом

Установка

Ведение

 

 

 

 

 

5

 

 

системы

систем

аудита для

 

 

банка для

мониторинга

обнаружения

 

 

получения

и

аномалий

 

 

доступа к

обнаружения

 

 

 

данным

аномалий для

 

 

 

банковской

своевременно

 

 

 

карты

го выявления

 

 

 

 

подозрительн

 

 

 

 

ой активности

 

 

 

 

 

 

 

Верхние стрелки

 

 

 

 

 

 

Федеральный

Конфиденциаль

Общедоступ

Соблюдение

 

закон №152

ность

на

принятия

 

 

информация

пунктов ФЗ

 

 

 

 

 

 

 

Целостность

Фальсифика

Проверка на

ПО для

 

 

ция пунктов

соответствие

проверки на

 

 

закона

структуре ФЗ

соответствие

 

 

 

 

ФЗ

 

 

 

 

 

Структура

Конфиденциаль

Несанкцион

Разработка

Использовани

БД

ность

ированный

системы

я метода

 

 

внутренний

управления

разграничения

 

 

доступ к

доступом

доступа

 

 

алгоритму

 

 

 

 

БД

 

 

 

 

неавторизова

 

 

 

 

нными

 

 

 

 

пользователя

 

 

 

 

ми

 

 

 

 

 

 

 

 

Целостность

Некорректна

Регламент по

Использовани

 

 

я реализация

использовани

е типовых

 

 

структуры

ю типовых

шаблонов

 

 

базы данных

шаблонов

 

 

Нижние стрелки

 

 

 

 

 

 

Пользователь

Конфиденциаль

Утечка

Осведомление

Хранение

(Пассажир,

ность

информации

пользователя

паролей в

Водитель

 

о

об

шифрованном

 

 

пользователе

обязательност

 

6

такси)

 

 

и сложного

виде

 

 

 

пароля при

 

 

 

 

регистрации

 

 

 

 

 

 

 

Целостность

Подмена

Инструкция

Дополнительн

 

 

личной

по настройке

ая

 

 

информации

дополнительн

аутентификац

 

 

пользователя

ой

ия

 

 

 

аутентификац

 

 

 

 

ии

 

CRM система

Конфиденциаль

Разглашение

Соглашение о

Двухфакторна

 

ность

пароля от

неразглашени

я авторизация

 

 

системы

и

с

 

 

 

 

использование

 

 

 

 

м USB-ключа

 

 

 

 

и пароля

 

 

 

 

 

 

Целостность

Несанкцион

Разработка

Система

 

 

ированное

политики

автоматическо

 

 

удаление

взаимодейств

го резервного

 

 

информации

ия с системой

копирования

 

 

 

 

данных

 

 

 

 

 

АБС

Конфиденциаль

Разглашение

Соглашение о

 

 

ность

структуры

неразглашени

 

 

банковской

и

 

 

 

системы

 

 

 

Целостность

Внедрение

Регламент

Использовани

 

 

вредоносног

банка о

е сетевых

 

 

о кода

замкнутой

фаерволов

 

 

программной

 

 

 

среде

 

7

Заключение

В процессе выполнения практической работы были получены навыки комплексного построения модели объекта защиты в виде формального описания процесса, связанного с обработкой защищаемой информации и комплексного моделирования угроз, учитывающего угрозы, направленные на информационную систему и обрабатываемую ей информацию, а также построена модель IDEF0 и проведена её декомпозиция.

8