Болтушкин Л.С., группа 712-2, лабораторная 1
.docxМинистерство науки и высшего образования Российской Федерации
Федеральное государственное автономное образовательное учреждение высшего образования
ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОННИКИ (ТУСУР)
Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)
АНАЛИЗ И УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ СИСТЕМЫ КОМПАНИИ
Отчет по лабораторной работе №1
по дисциплине «Основы управления информационной безопасностью»
Вариант №3
Студент гр. 712-2: ___________ Л.С. Болтушкин
__________
Руководитель Доцент кафедры КИБЭВС, к.т.н.
_______ __________ А.К. Новохрестов
__________
Томск 2025
Введение
Целью данной лабораторной работы является практическое изучение анализа рисков информационной системы на основе программного продукта ГРИФ 2006 из состава Digital Security Office.
Вариант №3 – Информационная система компании состоит из трех отделов: отдел продаж, бухгалтерия и отдел по приему товара. В компании одна сетевая группа, которая состоит из 2 компьютеров и сервера, которые связаны между собой коммутатором. На сервере хранится информация о себестоимости продукции и бухгалтерская информация, на компьютере в отделе по приему товара – информация о ценовых предложениях. В системе есть такие пользователи, как менеджер, бухгалтер и секретарь. В компании осуществляется обслуживание клиентов, закупка товаров и начисление з/п. При этом, менеджер имеет локальный доступ к информации о себестоимости продукции с правами чтения и записи, бухгалтер имеет удаленный доступ к бухгалтерской информации с правами записи, чтения и удаления, а секретарь имеет локальный доступ к информации о ценовых предложениях с правом одного чтения. Средства защиты укажите исходя из логических соображений (в реальной ситуации необходимо будет узнать об их наличии/отсутствии в рассматриваемой системе).
1 ХОД РАБОТЫ
Для начала работы с программой был запущен ярлык «ГРИФ 2006» на рабочем столе и для входа в систему совершен вход под именем пользователя «user». В окне «Алгоритм анализа рисков» выбран пункт «Анализ модели информационных потоков», после чего создан новый проект (рисунок 1.1).
Рисунок 1.1 – Создание проекта
Для описания информационной системы существуют такие виды объектов, как отделы, сетевые группы, ресурсы, сетевые устройства, виды информации, группы пользователей, бизнес-процессы (рисунок 1.2).
Рисунок 1.2 – Основное окно программы
Далее были внесены входные данные. Согласно индивидуальному варианту №3 информационная система Компании состоит из трех отделов: отдел продаж, бухгалтерия и отдел по приему товаров, на рисунке 1.3 представлено их создание.
Рисунок 1.3 – Создание нового отдела
В компании одна сетевая группа, которая состоит из 2 компьютеров и сервера, которые связаны между собой коммутатором. Созданная сетевая группа представлена на рисунке 1.4.
Рисунок 1.4 – Создание сетевой группы
Далее были созданы 2 компьютера и сервер (рисунок 1.5).
Рисунок 1.5 – Создание ресурсов
На сервере хранится информация о себестоимости продукции и бухгалтерская информация, на компьютере в отделе по приему товара – информация о ценовых предложениях. Вся данная информация была добавлена (рисунок 1.6).
Рисунок 1.6 – Добавление вида информации
После были добавлены пользователи: менеджер, бухгалтер и секретарь (рисунок 1.7).
Рисунок 1.7 – Создание пользователей
В компании осуществляется обслуживание клиентов, закупка товаров и начисление з/п, данные осуществления добавляются в разделе бизнес-процессы (рисунок 1.8).
Рисунок 1.8 – Создание бизнес-процессов
При этом, менеджер имеет локальный доступ к информации о себестоимости продукции с правами чтения и записи. Данный доступ был настроен через раздел «Связи» и во вкладке «Группы пользователей» добавлен менеджер с установленными настройками (рисунок 1.9).
Рисунок 1.9 – Настройка доступа к информации у менеджера
Бухгалтер имеет удаленный доступ к бухгалтерской информации с правами записи, чтения и удаления (рисунок 1.10).
Рисунок 1.10 – Настройка доступа к информации у бухгалтера
Секретарь имеет локальный доступ к информации о ценовых предложениях с правом одного чтения (рисунок 1.11).
Рисунок 1.11 - Настройка доступа к информации у секретаря
Также был добавлен коммутатор, благодаря которому объединены 2 компьютера и сервер (рисунок 1.12).
Рисунок 1.12 – Добавленный коммутатор
Далее в настройках каналов связи добавлен коммутатор для бухгалтера, поскольку он имеет к серверу удаленный доступ (рисунок 1.13).
Рисунок 1.13 – Настройка каналов связи
Для указания средства защиты ресурса был совершен переход на вкладку «Средства защиты» и указаны для ресурса «Сервер» следующие пункты: контроль доступа в помещение, где расположен ресурс, отсутствие возможности подключения внешних носителей, межсетевой экран, обманная система, система антивирусной защиты на сервере, аппаратная система контроля целостности (рисунок 1.14).
Рисунок 1.14 – Заданные средства защиты ресурса «Сервер»
Аналогичные средства защиты были установлены для 2 компьютера. Во вкладке СЗИ, укажем необходимые средства защиты для каждого вида информации в каждом ресурсе.
Для информации «Себестоимость продукции» отметим все средства защиты, кроме «Дополнительная программно-аппаратная система контроля доступа» (рисунок 1.15).
Рисунок 1.15 – СЗИ Себестоимости продукции
Для информации бухгалтерии отметим только резервное копирование и программную систему контроля целостности (рисунок 1.16).
Рисунок 1.16 – СЗИ Бухгалтерской информации
Так как модель «Информационных потоков» не может учесть организационные меры, связанные с поведением сотрудников организации, существует раздел «Политика безопасности». В нем пользователю необходимо ответить на ряд вопросов, ответы на вопросы влияют на веса средств защиты и изменяют риск реализации информационной безопасности. Ниже на рисунке 1.17 представлены все отвеченные вопросы в разделе «Политика безопасности».
Рисунок 1.17 – Отвеченные вопросы в разделе «Политика безопасности»
После выполнения всех этапов на входе пользователь получает полную сформированную модель информационной системы с точки зрения информационной безопасности, что позволяет перейти к программному анализу введенных данных для комплексной оценки рисков, а также внедрению контрмер. Далее в управлении рисками были заданы новые контрмеры (рисунок 1.18).
Рисунок 1.18 – Заданные параметры
Результатом работы системы ГРИФ является отчет. На рисунках 1.19 и 1.20 представлены изображения отчета.
Рисунок 1.19 – Выжимка из отчета, часть 1
Рисунок 1.20 – Выжимка из отчета, часть 2
Заключение
В ходе выполнения данной лабораторной работы были изучены анализы рисков информационной системы на основе программного продукта ГРИФ 2006 из состава Digital Security Office по индивидуальному заданию.