Практика 2 / Практика№2 ОИБ
.pdfВведение
Целью данной работы является получение навыков комплексного моделирования угроз информационной безопасности, включая анализ защищаемых элементов процесса и выявление потенциальных угроз их конфиденциальности, целостности и доступности.
2
1 ХОД РАБОТЫ
1.1 Модель процесса
Тема: «Заказ такси через приложение». Черный ящик представлен на рисунке 1.1.
Рисунок 1.1 — Модель «черного ящика»
Также была составлена его декомпозиция, которая представлена на рисунке 1.2.
Рисунок 1.2 — Декомпозиция процесса
3
В ходе анализа процесса обработки информации были выделены ключевые элементы, требующие защиты: информационные данные, исполнители и управляющие механизмы. В таблице 1 представлены возможные угрозы для каждого из этих элементов, сгруппированные по критериям конфиденциальности, целостности и доступности.
4
Таблица 1 — Перечень угроз
Тип |
Наименование |
|
Угрозы, направленные на элемент |
|
|
элемента |
элемента |
Конфиденциальности |
|
Целостности |
Доступности |
→ |
Местоположение |
Утечка геоданных пользователя |
|
Фальсификация координат |
Блокировка передачи |
|
|
|
|
|
геоданных |
|
Пункт назначения |
Перехват данных о конечной |
|
Подмена адреса назначения |
Отказ в обработке пункта |
|
|
точке |
|
|
назначения |
|
Тариф |
Утечка данных о динамическом |
|
Несанкционированное изменение |
Сбой в системе тарификации |
|
|
ценообразовании |
|
стоимости |
|
|
Способ оплаты |
Утечка данных о способе оплаты |
|
Подмена способа оплаты |
Сбой в выборе способа оплаты |
|
Запрос от |
Перехват сетевых пакетов с |
|
Подмена данных запроса |
DDoS-атака на сервер |
|
пользователя |
запросом |
|
|
|
|
Обработанный запрос |
Утечка информации о заказе |
|
Несанкционированное изменение |
Сбой в обработке запроса |
|
|
|
|
данных запроса |
|
|
Данные о водителе |
Разглашение персональных |
|
Фальсификация рейтинга или |
Блокировка доступа к данным |
|
|
данных водителя |
|
стажа |
водителя |
|
Время подачи |
Утечка данных о времени подачи |
|
Манипуляции с временем |
Сбой в системе учета времени |
|
|
|
|
ожидания |
|
|
База данных |
Утечка персональных данных |
|
Несанкционированное изменение |
Блокировка доступа к базе |
|
водителей |
водителей |
|
данных |
данных водителей |
↑ |
Пользователь |
Сбор информации о клиенте |
|
Фальсификация пользователя |
– |
|
|
(история поездок, платежи) |
|
(например, подмена номера |
|
|
|
|
|
телефона или имени) |
|
|
Приложение |
Сбор информации о работе |
|
Заражение вредоносным ПО |
– |
|
|
приложения |
|
|
|
|
Сервер такси-сервиса |
Сбор информации о |
|
Изменение конфигурации |
– |
|
|
конфигурации сервера, |
|
сервера |
|
|
|
уязвимостях |
|
|
|
↓ |
Тарификация |
Утечка алгоритмов расчета |
|
Ошибки в разработке алгоритма |
– |
|
|
стоимости |
|
расчета |
|
|
|
|
|
|
|
5
|
Политика |
Утечка данных о алгоритме |
Ошибки в разработке алгоритма |
– |
|
распределения заказов |
политики распределения |
распределения заказов |
|
|
Политика |
Утечка данных о алгоритме |
Ошибки в разработке алгоритма |
– |
|
подтверждения заказа |
подтверждения заказов |
подтверждения заказов |
|
6
Заключение
В ходе работы была построена декомпозиция процесса, выделены ключевые элементы защиты и смоделированы угрозы для каждого из них, что позволило закрепить практические навыки анализа информационных рисков.
7