Практика 2 другое / Отчет
.pdfВведение
Целью данной работы является получение навыков комплексного моделирования угроз информационной безопасности, включая анализ защищаемых элементов процесса и выявление потенциальных угроз их конфиденциальности, целостности и доступности.
2
1 ХОД РАБОТЫ
1.1 Модель процесса
Тема: «Подача заявления на получение места в общежитии». Черный ящик представлен на рисунке 1.1.
Рисунок 1.1 — Модель «черного ящика»
Также была составлена его декомпозиция, которая представлена на рисунке 1.2.
Рисунок 1.2 — Декомпозиция процесса
3
В ходе анализа процесса обработки информации были выделены ключевые элементы, требующие защиты: информационные данные, исполнители и управляющие механизмы. В таблице 1 представлены возможные угрозы для каждого из этих элементов, сгруппированные по критериям конфиденциальности, целостности и доступности.
4
Таблица 1 — Перечень угроз
Тип |
Наименование |
|
Угрозы, направленные на элемент |
|
|
элемента |
элемента |
Конфиденциальности |
|
Целостности |
Доступности |
→ |
Персональные данные |
Утечка персональных данных |
|
Несанкционированное изменение |
Отказ в предоставлении |
|
|
заявителя |
|
данных |
доступа к данным |
|
Документы |
Перехват сканированных |
|
Подмена или редактирование |
Блокировка |
|
|
документов |
|
файлов |
загрузки/скачивания |
|
|
|
|
|
документов |
|
Справка о зачислении |
Разглашение информации о |
|
Фальсификация справки о |
Невозможность получения |
|
|
зачислении |
|
зачислении |
справки |
|
Результаты мед. |
Утечка медицинских данных |
|
Модификация результатов |
Недоступность результатов |
|
комиссии |
|
|
медкомиссии |
медосмотра |
|
Статус заявления |
Раскрытие промежуточного |
|
Изменение статуса заявки без |
Задержка обновления статуса |
|
|
статуса заявки |
|
разрешения |
заявки |
|
Информация о |
Утечка информации о |
|
Некорректное распределение |
Неверное отображение |
|
предоставленном |
выделенных местах |
|
мест |
наличия свободных мест |
|
месте |
|
|
|
|
↑ |
Заявитель |
Сбор информации о заявителе |
|
Подмена заявителя |
– |
|
|
(история подачи, документы) |
|
(идентификационные данные) |
|
|
Комиссия |
Утечка данных о составе |
|
Несанкционированное влияние |
– |
|
|
комиссии |
|
на решение комиссии |
|
↓ |
Доступность мест |
Утечка информации о количестве |
|
Неправильное отражение числа |
– |
|
|
доступных мест |
|
доступных мест |
|
|
Требования к |
Разглашение критериев отбора |
|
Несанкционированное изменение |
– |
|
категории студентов |
|
|
требований |
|
|
Очередность подачи |
Перехват информации о позиции |
|
Манипуляции с порядком |
– |
|
заявлений |
в очереди |
|
очереди |
|
5
Заключение
В ходе работы была проведена декомпозиция процесса, выделены ключевые элементы защиты и смоделированы угрозы для каждого из них, что позволило закрепить практические навыки анализа информационных рисков.
6