Работа основы информационной безопасности
Автор: Ксения Бойко • Июнь 7, 2020 • Практическая работа • 742 Слов (3 Страниц) • 348 Просмотры
Министерство науки и высшего образования Российской Федерации[pic 1][pic 2]
Федеральное государственное бюджетное образовательное
учреждение высшего образования
ТОМСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ СИСТЕМ УПРАВЛЕНИЯ И РАДИОЭЛЕКТРОНИКИ (ТУСУР)
Кафедра безопасности информационных систем (БИС)
Отчет по практической работе
по дисциплине «Основы информационной безопасности»
РЕГИСТРАЦИЯ НА МЕРОПРИЯТИЕ
Студент гр. 738-2
_______ Бойко К.Ю
15.07.2019
Принял
Преподаватель
_______ _______ Конев А.А
15.07.2019
Томск 2019
1 Введение
Цель работы: изучение основ построения моделей информационных систем, определения элементов информационных систем, подверженных угрозам, и преобразования структуры информационных систем за счет добавления средств защиты информации, нейтрализующих данные угрозы.
Задание:
Необходимо выбрать информационную систему, связанную с информационной безопасностью, и процесс вэтой системе. Для данного процесса необходимо:
- построить модель, используя методологию функционального моделирования IDEF0
- составить перечень угроз целостности и конфиденциальности к элементам выбранного процесса;
- выбрать средства защиты, нейтрализующие данные угрозы;
- составить перечень документов, которые регламентируют применение выбранных средств защиты.
2 Ход работы
[pic 3][pic 4]
Рисунок 2.1 – Черный ящик
[pic 5]
Рисунок 2.2 – Декомпозиция черного ящика
Описание блоков:
«Проверка наличия билета»: секретарь должен проверить наличие мероприятия в системе на запрашиваемую дату и время.
«Проверка паспортных данных»: для того, чтобы сверить документ, секретарь имеет информацию из паспорта (фотографию, ФИО и т.д.), он сверяет с биометрическими данными человека, желающего зарегистрироваться на мероприятие (внешность) и вносит в систему ФИО.
«Печать билета»: имея ФИО человека и данные о мероприятии, секретарь печатает билет, чтобы человек мог позже его предъявить как доказательство регистрации.
«Внесение изменений в БД»: после проведения процедуры регистрации результаты, такие как занятое место и оставшееся количество билетов, фиксируются в базе данных.
При завершении выполнения всех блоков выдаётся билет.
Далее представлен перечень угроз целостности и конфиденциальности к элементам выбранного процесса (таблица 1).
Стрелка[pic 6] | Объект | Угроза | Меры защиты | Угроза | Меры защиты | ||
→ | Целостности | Технические | Организационные | Конфиденциальности | Технические | Организационные | |
Название мероприятия | Злонамеренное изменение при НСД к бумажному документу | Использование сейфа для хранения конфиденциальных документов | Ввод правил безопасного хранения документов в организации | Разглашение третьим лицам | _______ | Проведение проверок лояльности сотрудников | |
Дата и время мероприятия | Злонамеренное изменение данных при НСД к БД | Применение средств разграничения доступа | Введение политики использования паролей | Визуальное считывание с бумажного носителя | Установка турникета с пропускной системой | Введение правил доступа субъектов в помещение | |
Биометрические данные | Подмена фотографии третьим лицом | Использование средств подтверждения подлинности фотографии (водяных знаков, печати) | Нормативный | Найти в интернете фото посетителя | _______ | Общедоступная информация | |
Паспортные данные | Непреднамеренное или несанкционирован-ное изменение информации в паспорте | Укрепление области, где находятся данные (ламинирова-ние) | Нормативный | Разглашение субъектом своих данных третьим лицам | _______ | Соглашение о неразглашении информации | |
Факт наличия билетов | Несанкционированное изменение при доступе к БД | Применение средств разграничения доступа | Введение политики использования паролей | Разглашение третьим лицам сотрудниками | _______ | Проведение проверок лояльности сотрудников | |
ФИО | Злонамеренное изменение при НСД к бумажному документу | Использование сейфа для хранения конфиденциальных документов | Ввод правил безопасного хранения документов в организации | Получение данных злоумышленником с помощью подслушивания | _______ | Соглашение о неразглашении информации | |
Билет | Нарушение физической целостности носителя (билета) злоумышленником | Укрепление области, где находятся данные (ламинирова-ние) | Проведение инструктажа по безопасному хранению документов | Визуальное считывание реквизитов с билета | Установка турникета с пропускной системой | Введение правил доступа субъектов в помещение | |
Количество оставшихся билетов на мероприятия | Злонамеренное изменение данных при НСД к БД | Применение средств разграничения доступа | Введение политики использования паролей | Получение информации из БД путём реализации сетевого вторжения | _______ | Общедоступная информация | |
Список свободных мест | Злонамеренное изменение при НСД к бумажному документу | Использование сейфа для хранения конфиденциальных документов | Ввод правил безопасного хранения документов в организации | Визуальное считывание с бумажного носителя | _______ | Общедоступная информация | |
Изменённое кол-во оставшихся билетов | Злонамеренное изменение данных при НСД к БД | Применение средств разграничения доступа | Введение политики использования паролей | Получение информации из БД путём реализации сетевого вторжения | _______ | Соглашение о неразглашении информации | |
Изменённый список свободных мест | Злонамеренное изменение при НСД к бумажному документу | Использование сейфа для хранения конфиденциальных документов | Ввод правил безопасного хранения документов в организации | Визуальное считывание с бумажного носителя | _______ | Соглашение о неразглашении информации | |
↓ | Форма билета | Неправильная | _______ | Прохождение экспертизы | _______ | _______ | _______ |
Порядок регистрации | Несанкционированное изменение порядка регистрации | Разграничение прав доступа к изменению | Введение правил доступа субъектов к изменению информации | Разглашение информации третьим лицом | _______ | Инструктаж персонала о неразглашении | |
↑ | СУБД | Заражение вирусом | Применение антивирусных средств защиты | Введение расписания обязательного обновления баз антивирусных средств защиты | Знание пароля, идентификатора | Применение двухфакторной аутентификации | Введение политики использования паролей |
Секретарь | Подмена секретаря | Подтверждение личности при помощи СМС (предъявление паспорта) | Инструктаж по обеспечению безопасности жизнедеятельно-сти | Разглашение персональных | _______ | Соглашение о неразглашении |
...