УИБ 1

Министерство науки и высшего образования Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования

ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР)

Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)

АНАЛИЗ И УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ СИСТЕМЫ КОМПАНИИ

Отчет по лабораторной работе №1

по дисциплине «Управление информационной безопасностью телекоммуникационных систем»

Вариант №1

		Студент гр.
		____________
		Руководитель
		Преподаватель каф. КИБЭВС
		____________

Введение

Цель работы: практическое изучение анализа рисков информационной системы на основе программного продукта ГРИФ 2006 из состава Digital Security Office.

Таблица 1– Данные по варианту

Вариант

Задание

1

Информационная система компании состоит из трех отделов: конструкторский отдел, отдел кадров, научно-исследовательский отдел. В компании одна сетевая группа, которая состоит из 3 компьютеров и сервера. На сервере хранится информация о новых проектах, на компьютере отдела кадров – штатное расписание, на компьютере НИО – информация о новых информационных технологиях. В системе есть такие пользователи, как инженер-конструктор, начальник отдела кадров и программист. В компании осуществляется разработка конструкций, прием новых сотрудников и создание новых технологий. При этом, инженер-конструктор имеет удаленный доступ к информации о новых проектах (через коммутатор) с правами чтения, записи и удаления, начальник отдела кадров – локальный доступ к штатному расписанию с правами чтения и записи, а программист – локальный доступ к информации о новых информационных технологиях с правами чтения и записи. Средства защиты укажите исходя из логических соображений (в реальной ситуации необходимо будет узнать об их наличии/отсутствии в рассматриваемой системе).

1 ХОД РАБОТЫ

Первоочередно была запущена система «ГРИФ 2006» для проведения анализа рисков информационной системы при помощи анализа модели информационных потоков, что представлено на рисунке 1.1.

Рисунок 1.1 – Запуск «ГРИФ 2006»

Далее были добавлены отдел «Бухгалтерия» и сетевой ресурс «Бухгалтерия», что представлено на рисунках 1.2 –1.3.

Рисунок 1.2 – Добавление отдела «Бухгалтерия»

Рисунок 1.3 – Добавления сетевого ресурса «Бухгалтерия»

Далее были добавлены ресурс «Сервер» и «Рабочая станция» и три вида информации «Бухгалтерская отчетность», «База клиентов» и «База данных наименований товаров с описанием», что представлено на рисунках 1.4 – 1.5.

Рисунок 1.4 – Добавление ресурса «Сервер»

Рисунок 1.5 – Добавление видов информации «Бухгалтерская отчетность», «База клиентов» и «База данных наименований товаров с описанием»

Были добавлены сетевые группы «Главный бухгалтер», «Бухгалтер» и «Финансовый директор», а также сетевое устройство «Коммутатор», что представлено на рисунках 1.6 – 1.7.

Рисунок 1.6 – Добавление групп пользователей

Рисунок 1.7 – Добавление сетевого устройства «Коммутатор»

Далее были добавлены связи для вида информации «База данных наименований товаров с описанием» и «Бухгалтерская отчетность», что представлено на рисунках 1.8 – 1.9.

Рисунок 1.8 – Добавления связей для ресурса «Сервер»

Рисунок 1.9 – Добавления связей для ресурса «Рабочая станция»

Далее были добавлены связи для групп пользователей, что представлено на рисунках 1.10 – 1.12.

Рисунок 1.10 – Добавление связей группы пользователей «Главный бухгалтер»

Рисунок 1.11 – Добавление связей группы пользователей «Финансовый директор»

Рисунок 1.12 – Добавление связей группы пользователей «Бухгалтер»

Также была добавлена связь для канала связи «Коммутатор», что представлено на рисунке 1.13

Рисунок 1.13 – Добавление связи для канала связи «Коммутатор»

Далее были добавлены средства защиты для ресурсов «Сервер» и «Рабочая станция», что представлено на рисунках 1.14 – 1.15.

Рисунок 1.14 – Средства защиты для ресурса «Сервер»

Рисунок 1.15 – Средства защиты для ресурса «Рабочая станция»

Далее были добавлены средства защиты информации для ресурсов «Сервер» и «Рабочая станция», что представлено на рисунках 1.16 – 1.17.

Рисунок 1.16 – Средства защиты информации для ресурса «Сервер»

Рисунок 1.13 – Средства защиты информации для ресурса «Рабочая станция»

Далее были рассмотрены функции анализа политики безопасности и введения на основе рисков контрмер, что представлено на рисунках 1.18 – 1.19.

Рисунок 1.18 – Анализ политики безопасности

Рисунок 1.19 – Введение контрмер

Также была рассмотрена функция формирования отчета на основе всех ранее проведенной работы, что представлено на рисунке 1.20.

Рисунок 1.20 – Отчет о системе

2 ИНДИВИДУАЛЬНОЕ ЗАДАНИЕ

Первоочередно были создано отделы «Информационный центр», «Экономически отдел», «Бухгалтерия», а также сетевая группа «Одна сетевая группа», что представлено на рисунках 2.1 – 2.2.

Рисунок 2.1 – Созданные отделы

Рисунок 2.2 – Созданная сетевая группа

Далее были добавлены ресурсы «Сервер», «Компьютер экономического отдела» и «Компьютер бухгалтерии», что представлено на рисунках 2.3 – 2.5

Рисунок 2.3 – Создание ресурса «Сервер»

Рисунок 2.4 – Создание ресурса «Компьютер экономического отдела»

Рисунок 2.5 – Создание ресурса «Компьютер бухгалтерии»

Далее были добавлены сетевое устройство «Коммутатор» и виды информации «Бухгалтерская информация», «Ценовые предложения» и «Информация о з.п.», что представлено на рисунках 2.6 – 2.7

Рисунок 2.6 – Добавления нового сетевого устройства

Рисунок 2.7 – Добавления новых видов информации

Далее были добавлены группы пользователей «Системный администратор», «Экономист» и «Бухгалтер», а также бизнес-процессы «Внедрение изменений», «Подготовка и подписание договоров» и «Начисление з/п», что представлено на рисунках 2.8 – 2.11.

Рисунок 2.8 – Добавление группы пользователей «Системный администратор»

Рисунок 2.9 – Добавление группы пользователей «Экономист»

Рисунок 2.10 – Добавление группы пользователей «Бухгалтер»

Рисунок 2.11 – Добавление бизнес-процессов

Далее были добавлены связи видов информации «Ценовые предложения для клиентов», «Информация о з.п.» и «Бухгалтерская информация», что представлено на рисунках 2.12 – 2.14.

Рисунок 2.12 – Добавление связи видов информации «Ценовые предложения для клиентов»

Рисунок 2.13 – Добавление связи видов информации «Информация и з.п.»

Рисунок 2.14 – Добавление связи видов информации «Бухгалтерская информация»

Далее была произведена привязка групп пользователей к информации, что представлено на рисунках 2.15 – 2.18.

Рисунок 2.15 – Привязка группы пользователей «Системный администратор»

Рисунок 2.16 – Привязка группы пользователей «Экономист»

Рисунок 2.17 – Привязка группы пользователей «Экономист»

Рисунок 2.18 – Привязка группы пользователей «Бухгалтер»

Далее была произведена привязка канала связи к информации, что представлено на рисунке 2.19.

Рисунок 2.19 – Связь канала связи «Коммутатор»

Далее была произведена настройка средств защиты ресурсов, что представлено на рисунках 2.20 – 2.22.

Рисунок 2.20 – Настройка средств защиты ресурсов для «Сервер»

Рисунок 2.21 – Настройка средств защиты ресурсов для «Компьютер экономического отдела»

Рисунок 2.22 – Настройка средств защиты ресурсов для «Компьютера бухгалтерии»

Далее была произведена настройка средств защиты информации, что представлено на рисунках 2.23 – 2.25.

Рисунок 2.23 – Настройка средств защиты информации для «Ценовые предложения для клиентов»

Рисунок 2.24 – Настройка средств защиты информации для «Информация о з.п.»

Рисунок 2.25 – Настройка средств защиты информации для «Бухгалтерская информация»

Далее были проанализированы политики безопасности, применены контрмеры для рисков и сформирован отчет, что представлено на рисунках 2.26 – 2.28.

Рисунок 2.26 – Анализ политик безопастности

Рисунок 2.27 – Введение контрмер для рисков

Рисунок 2.28 – Сформированный отчет

Заключение

В ходе выполнения лабораторной работы были получены навыки анализа рисков информационной системы на основе программного продукта ГРИФ 2006 из состава Digital Security Office.

Томск 2025