оиб2

.pdf

Скачиваний:

Добавлен:

01.12.2024

Размер:

215.82 Кб

Скачать

☆

Министерство науки и высшего образования Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования

«ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ» (ТУСУР)

Кафедра комплексной информационной безопасности электронновычислительных систем (КИБЭВС)

МОДЕЛИРОВАНИЕ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Отчет по практической работе №2

по дисциплине «Основы информационной безопасности»

Студентка гр. 713-1

_______ В.С. Колосова __.__.2024

Принял Преподаватель кафедры КИБЭВС

_______ В.С. Агеева __.__.2024

Томск 2024

Введение

Целью данной лабораторной работы является получение навыков комплексного моделирования угроз, учитывающего угрозы, направленные на информационную систему и обрабатываемую ей информацию и оформление практической работы в виде отчёта в соответствии с ОС ТУСУР 01-2021.

1 ХОД РАБОТЫ

1.1 Построение модели «черного ящика»

Черный ящик(контекстная диаграмма) — самая верхняя диаграмма, на которой объект моделирования представлен единственным блоком с граничными стрелками. Эта диаграмма называется A-0 (А минус нуль).

Стрелки на этой диаграмме отображают связи объекта моделирования с окружающей средой. Диаграмма A-0 устанавливает область моделирования и ее границу.

Была построена модель черного ящика для приобретения платных стикеров в социальной сети ВКонтакте(рисунок 1).

Рисунок 1 — Модель черного ящика

1.2. Построение декомпозиции

Нотация IDEF0 поддерживает последовательную декомпозицию процесса до требуемого уровня детализации.

Дочерняя диаграмма, создаваемая при декомпозиции, охватывает ту же область, что и родительский процесс, но описывает ее более подробно.

Была построена декомпозиция для приобретения платных стикеров в социальной сети ВКонтакте(рисунок 2).

Рисунок 2 — Декомпозиция

2.1.Перечень угроз и методы защиты

Кинформационному процессу была построена модель угроз,

направленных на информационную систему и обрабатываемую ей информацию (таблица 1).

Таблица 1 ‒ Модель угроз.

Объект/элем	Нарушения в	Угрозы	Организацион	Технические
ент	ходе реализации		ные меры	меры
	угроз
БД и	Конфиденциаль	Несанкционирова	Политика	Шифрование
измененная	ность	нный доступ к	безопасности,	данных
БД		данным, утечка	ограничиваю
		информации	щая доступ к
			данным
	Целостность	Изменение или	Регламент по	Ограничение
		удаление данных	работе с БД	доступа к БД
	Доступность	Отказ в	Инструкция	Перезагрузка
		обслуживании	по работе при	сервера/увеличен
			отказе	ие его
				пропускной
				способности
Входные	Конфиденциаль	Перехват данных,	Хранение	Хэш-
данные	ность	кража учетных	данных в	пароли/двухфакт
пользовател		данных	тайне,	орная
я			информирова	аутентификация,
			ние о	Firewall,
			фишинге	антивирус
	Целостность	Несанкционирова	Проверка	Резервное
		нное	данных,	копирование
		удаление/изменен	введенных
		ие данных	пользователе
			м
	Доступность	Отказ при	Инструкция	Перезагрузка
		обращении к	по работе при	сайта/приложени
		данным	отказе	я
Данные	Конфиденциаль	Перехват данных,	Хранение	Хэш-
карты	ность	кража учетных	данных в	пароли/двухфакт
		данных	тайне,	орная
			информирова	аутентификация,
			ние о	Firewall,
			фишинге	антивирус
	Целостность	Неправильный/	Проверка	Алгоритм
		некорректный	данных	проверки
		ввод	введенных	корректности
		данных	клиентом	реквизитов
		реквизитов
	Доступность	Отсутствие	Проверка	Алгоритм
		возможности	карты на	проверки карты

		проведения	возможность	на валидность
		транзакции	использовани
			я
Приобретен	Конфиденциаль	Несанкционирова	Хранение	Проверка
ные стикеры	ность	нный доступ к	данных в	подлинности
		пользованию	тайне,	аккаунта, к
		стикерами	информирова	которому
			ние о	привязаны
			фишинге	стикеры
	Целостность	Несанкционирова	Регламент по	Резервная копия
		нное	работе со
		изменение/удален	стикерами
		ие стикеров
	Доступность	Отказ в доступе	Инструкция	Перезагрузка
		при	по работе при	сайта/приложени
		использовании	отказе	я
		стикеров
ФЗ «О	Конфиденциаль	Общедоступная	Регламент	‒
персональн	ность	информация	принятия ФЗ
ых данных»	Целостность	Несанкционирова	Сверка	СрЗИ/системы
N 152-ФЗ от		нное изменение	несоответстви	соответствия
27.06.2006		пунктов закона	й
ФЗ «О	Конфиденциаль	Общедоступная	Регламент	‒
банках и	ность	информация	принятия ФЗ
банковской	Целостность	Несанкционирова	Сверка	СрЗИ/системы
деятельност		нное изменение	несоответстви	соответствия
и» N 395-1		пунктов закона	й
от
01.12.1990
Алгоритм	Конфиденциаль	Несанкционирова	Соглашение о	Шифрование
работы	ность	нное разглашение	неразглашени	данных
		информации	и
	Целостность	Внедрение	Контроль	СрЗИ
		недекларированн	доступа к
		ых возможностей	системе
Пользовател	Конфиденциаль	Перехват данных,	Хранение	Хэш-
ь	ность	кража учетных	данных в	пароли/двухфакт
		данных	тайне,	орная
			информирова	аутентификация,
			ние о	Firewall,
			фишинге	антивирус
	Целостность	Изменение или	Проверка	Резервное
		удаление данных	данных	копирование
Социальная	Конфиденциаль	Разглашение	ФЗ «О	Контроль
сеть	ность	персональных	персональных	сотрудников,
ВКонтакте		данных	данных» N	имеющих доступ
		клиента	152-ФЗ от	к данным
			27.06.2006	клиента
	Целостность	Изменение	Проверка всех	Алгоритм
		условий	условий перед	проверки и
		сделки	совершением	уведомления

			оплаты	клиента об
				условиях сделки
АБС	Конфиденциаль	Разглашение	Соглашение о	−
	ность	информации об	неразглашени
		алгоритмах	и
		платежной
		системы
	Целостность	Внедрение	Контроль	СрЗИ
		недекларированн	доступа к
		ых возможностей	системе

Заключение

В ходе практической работы были получены навыки комплексного построения модели угроз, учитывающего угрозы, направленные на информационную систему и обрабатываемую ей информацию. В ходе практической работы была построена модель угроз предложенного информационного процесса. Практическая работа оформлена в виде отчёта в соответствии с ОС ТУСУР 01-2021.

Соседние файлы в предмете Основы информационной безопасности

#
01.12.2024183.12 Кб1оиб1.pdf
#
01.12.2024215.82 Кб2оиб2.pdf