Болтушкин Л.С., группа 712-2, лабораторная 2
.docxМинистерство науки и высшего образования Российской Федерации
Федеральное государственное автономное образовательное учреждение высшего образования
ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОННИКИ (ТУСУР)
Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)
МОДЕЛИ УГРОЗ И УЯЗВИМОСТЕЙ
Отчет по лабораторной работе №2
по дисциплине «Основы управления информационной безопасностью»
Вариант №3
Студент гр. 712-2: ___________ Л.С. Болтушкин
__________
Руководитель Доцент кафедры КИБЭВС, к.т.н.
_______ __________ А.К. Новохрестов
__________
Томск 2025
Введение
Целью данной лабораторной работы является практическое изучение создания моделей угроз и уязвимостей в программе «ГРИФ 2006» из состава Digital Security Office.
Вариант №3 – Информационная система компании состоит из трех отделов: отдел продаж, бухгалтерия и отдел по приему товара. В компании одна сетевая группа, которая состоит из 2 компьютеров и сервера, которые связаны между собой коммутатором. На сервере хранится информация о себестоимости продукции и бухгалтерская информация, на компьютере в отделе по приему товара – информация о ценовых предложениях. В системе есть такие пользователи, как менеджер, бухгалтер и секретарь. В компании осуществляется обслуживание клиентов, закупка товаров и начисление з/п. При этом, менеджер имеет локальный доступ к информации о себестоимости продукции с правами чтения и записи, бухгалтер имеет удаленный доступ к бухгалтерской информации с правами записи, чтения и удаления, а секретарь имеет локальный доступ к информации о ценовых предложениях с правом одного чтения. Средства защиты укажите исходя из логических соображений (в реальной ситуации необходимо будет узнать об их наличии/отсутствии в рассматриваемой системе).
1 ХОД РАБОТЫ
1.1 Модель информационной системы
В первой лабораторной работе были добавлены все необходимые отделы, поэтому в данной лабораторной работе мы начнем с добавления всех возможных угроз.
Для того, чтобы задать нужные угрозы самому (не из списка), для этого нужно ввести название угрозы, описание угрозы и обязательно указать к какой категории относится данная угроза (рисунок 1.1.1).
Рисунок 1.1.1 – Добавление новой угрозы
Чтобы добавить уязвимость, то её необходимо связать с угрозой, поставив галочку напротив данной угрозы (рисунок 1.1.2).
Рисунок 1.1.2 – Связь угрозы и уязвимости
1.2 Связь
Далее были проставлены связи, то есть указаны какие угрозы действуют на ресурс и через какие уязвимости они реализуются.
Для добавления связи ресурс – угроза необходимо нажать кнопку «Добавить…» и далее следовать пошагово (рисунок 1.2.1).
Рисунок 1.2.1 – Добавление связи угрозы
1.3 Управление рисками и контрмерами
После того, как построена полностью информационная система, указаны все угрозы на ресурсы, можно перейти к управлению рисков и применению контрмер. Для этого в главном меню выбран пункт «Управление» и далее «Управление рисками» (рисунок 1.3.1).
Рисунок 1.3.1 – Задание контрмеры
1.4 Отчет
Далее был создан отчет, который разбит на 4 отдела:
Инвентаризация;
Информационные риски;
Соотношение ущерба и риска;
Контрмеры.
На рисунках 1.4.1 – 1.4.3 представлены выжимки из отчета.
Рисунок 1.4.1 – Описание угроз и уязвимостей
Рисунок 1.4.2 – Ущерб и риски информационной системы
Рисунок 1.4.3 – Контрмеры
Заключение
В ходе выполнения данной лабораторной работы были получены практические навыки при создании модели угроз и уязвимостей в программе «ГРИФ 2006» из состава Digital Security Office.