Практика 2 другое 2 / Практика №2 ОИБ
.odtМинистерство науки и высшего образования Российской Федерации Федеральное государственное автономное образовательное учреждение высшего образования
«ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ» (ТУСУР)
Кафедра комплексной информационной безопасности электронно-вычислительных систем (КИБЭВС)
МОДЕЛИРОВАНИЕ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Отчет по практической работе №2
по дисциплине “Основы информационной безопасности”
Студент гр.
________
__.__.2025
Принял
Преподаватель
кафедры КИБЭВС
________ А.В. Вовченко
__.__.2025
Введение
Целью данной работы является получение навыков комплексного моделирования угроз информационной безопасности, включая анализ защищаемых элементов процесса и выявление потенциальных угроз их конфиденциальности, целостности и доступности.
1 ХОД РАБОТЫ
1.1 Модель процесса
Тема: «Покупка билетов на поезд в кассе».
Черный ящик представлен на рисунке 1.1.
Рисунок
1.1 — Модель «черного ящика»
Также была составлена его декомпозиция, которая представлена на рисунке 1.2.
Р
исунок
1.2 — Декомпозиция процесса
В ходе анализа процесса обработки информации были выделены ключевые элементы, требующие защиты: информационные данные, исполнители и управляющие механизмы. В таблице 1 представлены возможные угрозы для каждого из этих элементов, сгруппированные по критериям конфиденциальности, целостности и доступности.
Таблица 1 — Перечень угроз
Тип элемента |
Наименование элемента |
Угрозы, направленные на элемент |
||
Конфиденциальности |
Целостности |
Доступности |
||
→ |
Документы |
Утечка персональных данных из документов (паспортные данные) |
Подделка документов (например, фальшивые удостоверения) |
Утрата документов из-за сбоя системы хранения |
Обращение в кассу |
Перехват данных о запросе (например, номер поезда) |
Фальсификация запроса (изменение параметров бронирования) |
Отказ в обслуживании из-за перегруженности кассы |
|
Список типов вагонов |
Общедоступно
|
Несанкционированное изменение списка вагонов
|
Блокировка доступа к списку вагонов |
|
Информация о стоимости |
Общедоступно |
Изменение стоимости билетов злоумышленниками |
Сбой в отображении цен |
|
Денежные средства |
Кража данных о сумме денежных средств |
Подмена суммы платежа |
Блокировка проведения платежа |
|
Способ оплаты |
Утечка информации о выбранном способе оплаты |
Подмена способа оплаты (например, начисление на другой счет) |
Отказ системы приема платежей |
|
Информация об оплате |
Утечка данных о проведенных платежах |
Фальсификация подтверждения оплаты |
Отсутствие подтверждения оплаты из-за сбоя |
|
Билет |
Утечка данных пассажира (ФИО, место) |
Подделка билета |
Потеря билета из-за сбоя системы печати |
|
Чек об оплате |
Утечка данных о платеже |
Фальсификация чека |
Невозможность печати чека |
|
↑ |
Система бронирования |
Сбор данных о работе системы |
Фальсификация статуса бронирования |
– |
Кассир |
Утечка данных о кассире (логины, пароли) |
Подмена действий кассира (например, оформление билетов на себя) |
– |
|
Пассажир |
Сбор данных о пассажире (история поездок) |
Фальсификация пассажира |
– |
|
Терминал |
Сбор информации о терминале (модель, ПО) |
Внедрение вредоносного ПО |
– |
|
↓ |
Расписание поездов |
Общедоступно |
Ошибки в составлении расписания на этапе его разработки |
– |
Количество мест |
Общедоступно |
Ошибки в разработке системы бронирования |
– |
|
Бюджет |
Утечка данных о бюджете |
Ошибки в разработке планирования бюджета |
– |
|
Печатные требования |
Утечка требований (например, служебных инструкций) |
Ошибки в разработке печатных требований |
– |
|
Заключение
В ходе работы была проведена декомпозиция процесса, выделены ключевые элементы защиты и смоделированы угрозы для каждого из них, что позволило закрепить практические навыки анализа информационных рисков.