Практическая работа 1,2
.pdfМинистерство науки и высшего образования Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования
ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР)
Кафедра комплексной информационной безопасности электронновычислительных систем (КИБЭВС)
ПОСТРОЕНИЕ МОДЕЛИ ОБЪЕКТА ЗАЩИТЫ Отчет по практической работе
по дисциплине «Основы информационной безопасности»
Выполнила Студентка гр. 713-2
____________ Бахтина А. М.
____________
Приняла
Преподаватель
___________ Агеева В. С.
___________
Томск 2024
Введение
Целью практической работы является получение навыков комплексного построения модели объекта защиты в виде формального описания процесса, связанного с обработкой защищаемой информации, а также комплексного моделирования угроз, учитывающего угрозы, направленные на информационную систему и обрабатываемую ей информацию.
2
1 ХОД РАБОТЫ
1.1 Описание объекта
Приложение для заказа такси – это платформа, позволяющая пользователю заказать такси без посредника в виде оператора службы такси. Самыми популярными приложениями для заказа такси в Томске являются Яндекс.Такси и Maxim.
1.2Построение модели IDEF0
Входе работы была построена модель «черного ящика» для процесса заказа такси через мобильное приложение (рисунок 1.1).
Рисунок 1.1 – Модель «черного ящика»
3
1.3 Декомпозиция модели
Была проведена декомпозиция модели IDEF0 процесса заказа такси через мобильное приложение (рисунок 1.2).
Рисунок 1.2 – Декомпозиция модели
4
1.4 Перечень угроз и мер защиты конфиденциальности, целостности и доступности процессов
На основе IDEF0 была составлена таблица 1.1, в которой были приведены примеры угроз конфиденциальности, целостности и доступности для защищаемых элементов.
Таблица 1.1 – Перечень угроз и мер защиты
Объект |
Нарушения в |
Угрозы |
Организацион |
Технические |
|
|
ходе реализации |
|
ные меры |
меры |
|
|
угроз |
|
|
|
|
|
|
|
|
|
|
|
Горизонтальные стрелки |
|
|||
|
|
|
|
|
|
Измененная |
Конфиденциаль |
Получение |
Инструктаж |
Использовани |
|
БД |
ность |
несанкциони |
сотрудников |
е паролей |
|
+ |
|
рованного |
|
|
|
|
доступа |
|
|
||
БД |
|
|
|
||
|
|
|
|
||
Целостность |
Изменения в |
Положение об |
Резервное |
||
|
|||||
|
|
БД |
изменении БД |
копирование |
|
|
|
|
|
|
|
|
Доступность |
Отказ |
Положение о |
Резервный |
|
|
|
сервера |
разграничени |
генератор |
|
|
|
|
и доступа |
|
|
|
|
|
|
|
|
Реквизиты |
Конфиденциаль |
Несанкцион |
Разработка |
Перенос |
|
карты |
ность |
ированный |
правил |
физической |
|
|
|
доступ к |
пользования |
карты в |
|
|
|
данным |
банковскими |
цифровую |
|
|
|
карты |
картами |
|
|
|
|
|
|
|
|
|
Целостность |
Физическое |
Инструктаж |
Использовани |
|
|
|
повреждение |
по правилам |
е |
|
|
|
платежной |
хранения и |
износостойких |
|
|
|
карты |
пользования |
материалов в |
|
|
|
|
банковских |
изготовлении |
|
|
|
|
карт |
карт |
|
|
|
|
|
|
|
|
Доступность |
Взлом |
Установка |
Ведение |
|
|
|
|
|
|
5
|
|
системы |
систем |
аудита для |
|
|
банка для |
мониторинга |
обнаружения |
|
|
получения |
и |
аномалий |
|
|
доступа к |
обнаружения |
|
|
|
данным |
аномалий для |
|
|
|
банковской |
своевременно |
|
|
|
карты |
го выявления |
|
|
|
|
подозрительн |
|
|
|
|
ой активности |
|
|
|
|
|
|
|
Верхние стрелки |
|
||
|
|
|
|
|
Федеральный |
Конфиденциаль |
Общедоступ |
Соблюдение |
|
закон №152 |
ность |
на |
принятия |
– |
|
|
информация |
пунктов ФЗ |
|
|
|
|
|
|
|
Целостность |
Фальсифика |
Проверка на |
ПО для |
|
|
ция пунктов |
соответствие |
проверки на |
|
|
закона |
структуре ФЗ |
соответствие |
|
|
|
|
ФЗ |
|
|
|
|
|
Структура |
Конфиденциаль |
Несанкцион |
Разработка |
Использовани |
БД |
ность |
ированный |
системы |
я метода |
|
|
внутренний |
управления |
разграничения |
|
|
доступ к |
доступом |
доступа |
|
|
алгоритму |
|
|
|
|
БД |
|
|
|
|
неавторизова |
|
|
|
|
нными |
|
|
|
|
пользователя |
|
|
|
|
ми |
|
|
|
|
|
|
|
|
Целостность |
Некорректна |
Регламент по |
Использовани |
|
|
я реализация |
использовани |
е типовых |
|
|
структуры |
ю типовых |
шаблонов |
|
|
базы данных |
шаблонов |
|
|
Нижние стрелки |
|
||
|
|
|
|
|
Пользователь |
Конфиденциаль |
Утечка |
Осведомление |
Хранение |
(Пассажир, |
ность |
информации |
пользователя |
паролей в |
Водитель |
|
о |
об |
шифрованном |
|
|
пользователе |
обязательност |
|
6
такси) |
|
|
и сложного |
виде |
|
|
|
пароля при |
|
|
|
|
регистрации |
|
|
|
|
|
|
|
Целостность |
Подмена |
Инструкция |
Дополнительн |
|
|
личной |
по настройке |
ая |
|
|
информации |
дополнительн |
аутентификац |
|
|
пользователя |
ой |
ия |
|
|
|
аутентификац |
|
|
|
|
ии |
|
CRM система |
Конфиденциаль |
Разглашение |
Соглашение о |
Двухфакторна |
|
ность |
пароля от |
неразглашени |
я авторизация |
|
|
системы |
и |
с |
|
|
|
|
использование |
|
|
|
|
м USB-ключа |
|
|
|
|
и пароля |
|
|
|
|
|
|
Целостность |
Несанкцион |
Разработка |
Система |
|
|
ированное |
политики |
автоматическо |
|
|
удаление |
взаимодейств |
го резервного |
|
|
информации |
ия с системой |
копирования |
|
|
|
|
данных |
|
|
|
|
|
АБС |
Конфиденциаль |
Разглашение |
Соглашение о |
|
|
ность |
структуры |
неразглашени |
– |
|
|
банковской |
и |
|
|
|
системы |
|
|
|
Целостность |
Внедрение |
Регламент |
Использовани |
|
|
вредоносног |
банка о |
е сетевых |
|
|
о кода |
замкнутой |
фаерволов |
|
|
программной |
||
|
|
|
среде |
|
7
Заключение
В процессе выполнения практической работы были получены навыки комплексного построения модели объекта защиты в виде формального описания процесса, связанного с обработкой защищаемой информации и комплексного моделирования угроз, учитывающего угрозы, направленные на информационную систему и обрабатываемую ей информацию, а также построена модель IDEF0 и проведена её декомпозиция.
8