Практика 2 другое 2 / Практика №2 ОИБ
.pdfМинистерство науки и высшего образования Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования
«ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ» (ТУСУР)
Кафедра комплексной информационной безопасности электронновычислительных систем (КИБЭВС)
МОДЕЛИРОВАНИЕ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Отчет по практической работе №2
по дисциплине “Основы информационной безопасности”
Студент гр.
________
__.__.2025
Принял
Преподаватель кафедры КИБЭВС
________ А.В. Вовченко __.__.2025
Томск 2025
Введение
Целью данной работы является получение навыков комплексного моделирования угроз информационной безопасности, включая анализ защищаемых элементов процесса и выявление потенциальных угроз их конфиденциальности, целостности и доступности.
2
1 ХОД РАБОТЫ
1.1 Модель процесса
Тема: «Покупка билетов на поезд в кассе». Черный ящик представлен на рисунке 1.1.
Рисунок 1.1 — Модель «черного ящика»
Также была составлена его декомпозиция, которая представлена на рисунке 1.2.
Рисунок 1.2 — Декомпозиция процесса
3
В ходе анализа процесса обработки информации были выделены ключевые элементы, требующие защиты: информационные данные, исполнители и управляющие механизмы. В таблице 1 представлены возможные угрозы для каждого из этих элементов, сгруппированные по критериям конфиденциальности, целостности и доступности.
4
Таблица 1 — Перечень угроз
Тип |
Наименование |
|
Угрозы, направленные на элемент |
|
|
элемента |
элемента |
Конфиденциальности |
|
Целостности |
Доступности |
→ |
Документы |
Утечка персональных данных из |
|
Подделка документов (например, |
Утрата документов из-за сбоя |
|
|
документов (паспортные данные) |
|
фальшивые удостоверения) |
системы хранения |
|
Обращение в кассу |
Перехват данных о запросе |
|
Фальсификация запроса |
Отказ в обслуживании из-за |
|
|
(например, номер поезда) |
|
(изменение параметров |
перегруженности кассы |
|
|
|
|
бронирования) |
|
|
Список типов вагонов |
Общедоступно |
|
Несанкционированное изменение |
Блокировка доступа к списку |
|
|
|
|
списка вагонов |
вагонов |
|
|
|
|
|
|
|
Информация о |
Общедоступно |
|
Изменение стоимости билетов |
Сбой в отображении цен |
|
стоимости |
|
|
злоумышленниками |
|
|
Денежные средства |
Кража данных о сумме денежных |
|
Подмена суммы платежа |
Блокировка проведения |
|
|
средств |
|
|
платежа |
|
Способ оплаты |
Утечка информации о |
|
Подмена способа оплаты |
Отказ системы приема |
|
|
выбранном способе оплаты |
|
(например, начисление на другой |
платежей |
|
|
|
|
счет) |
|
|
Информация об |
Утечка данных о проведенных |
|
Фальсификация подтверждения |
Отсутствие подтверждения |
|
оплате |
платежах |
|
оплаты |
оплаты из-за сбоя |
|
Билет |
Утечка данных пассажира (ФИО, |
|
Подделка билета |
Потеря билета из-за сбоя |
|
|
место) |
|
|
системы печати |
|
Чек об оплате |
Утечка данных о платеже |
|
Фальсификация чека |
Невозможность печати чека |
↑ |
Система |
Сбор данных о работе системы |
|
Фальсификация статуса |
– |
|
бронирования |
|
|
бронирования |
|
|
Кассир |
Утечка данных о кассире |
|
Подмена действий кассира |
– |
|
|
(логины, пароли) |
|
(например, оформление билетов |
|
|
|
|
|
на себя) |
|
|
Пассажир |
Сбор данных о пассажире |
|
Фальсификация пассажира |
– |
|
|
(история поездок) |
|
|
|
|
|
|
|
|
|
5
|
Терминал |
Сбор информации о терминале |
Внедрение вредоносного ПО |
– |
|
|
(модель, ПО) |
|
|
↓ |
Расписание поездов |
Общедоступно |
Ошибки в составлении |
– |
|
|
|
расписания на этапе его |
|
|
|
|
разработки |
|
|
Количество мест |
Общедоступно |
Ошибки в разработке системы |
– |
|
|
|
бронирования |
|
|
Бюджет |
Утечка данных о бюджете |
Ошибки в разработке |
– |
|
|
|
планирования бюджета |
|
|
Печатные требования |
Утечка требований (например, |
Ошибки в разработке печатных |
– |
|
|
служебных инструкций) |
требований |
|
6
Заключение
В ходе работы была проведена декомпозиция процесса, выделены ключевые элементы защиты и смоделированы угрозы для каждого из них, что позволило закрепить практические навыки анализа информационных рисков.
Томск 2025