Роздрукувати сторінку
Главная \ Методичні вказівки \ Методичні вказівки \ 2377 Практичне завдання по темі 12 Створення, введення в дію та супроводження захищених систем

Практичне завдання по темі 12 Створення, введення в дію та супроводження захищених систем

« Назад

Практичне завдання по темі 12 Створення, введення в дію та супроводження захищених систем

Результатом виконання практичної роботи є звіт про виконану практичну роботу.

Мета: Ознайомитися з технологією створення, введення в дію та супроводження захищених систем, а саме розробкою моделі загроз. 

Завдання. Розробити модель загроз у відповідності з номером варіанту (призначається викладачем).

Для виконання практичного завдання необхідно розробити модель загроз для інформації з обмеженим доступом, яка планується до циркуляції в автоматизованій системі. Приміщення, в якому знаходиться автоматизована система визначено варіантом завдання.

Результат виконання завдання – це звіт в електронній формі в форматі rtf шрифтом 14 пт з полуторним міжрядковим інтервалом 

№ п/п

Приміщення

3

Приймальна комісія вищого навчального закладу

Література

  1. Грайворонський М. В., Новіков О. М. Безпека інформаційно-комунікаційних систем — К. : Видавнича група BHV, 2009. — 608 с.

  2. НД T3I 1.1-002-99: Загальні положення по захисту інформації в комп'ютерних систе­мах від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБ України від 28.04.1999, № 22.

  3. НД ТЗІ 1.4-001-2000: Типове положення про службу захисту інформації в автомати­зованій системі. Затверджено наказом ДСТСЗІ СБ України від 04.12.2000, № 53.

  4. НД ТЗІ 3.7-003-05: Порядок проведення робіт із створення комплексної системи за­хисту інформації в інформаційно-телекомунікаційній системі. Затверджено наказом ДСТСЗІ СБ України від 08.11.2005, № 125.

  5. НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу», затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. № 22.

  6. НД ТЗІ 2.5-005-99 «Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблювальної інформації від несанкціонованого доступу», затверджений наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. № 22.

  7. Оформление модели угроз информационной безопасности - http://security-corp.org/infosecurity/14654-oformlenie-modeli-ugroz-informacionnoy-bezopasnosti.html

  8. Створення моделі загроз інформації та механізму її ефективного захисту - http://ena.lp.edu.ua:8080/handle/ntb/11750

  9. ДСТУ 3396.1-96 "Захист інформації. Технічний захист інформації. Порядок проведення робіт"

  10. ДСТУ 3396.1-96 "Захист інформації. Технічний захист інформації. Терміна та визначення"

  11. Модель загроз у розподілених мережах - http://dspace.nbuv.gov.ua/bitstream/handle/123456789/7538/09-Matov.pdf?sequence=1

Приклад оформлення

1. Позначення і скорочення 

АС – автоматизована система;

2. Нормативні посилання 

Ця Модель загроз створена відповідно до вимог наступних нормативних документів:

1. ДСТУ 3396.1-96 "Захист інформації. Технічний захист інформації. Порядок проведення робіт"

3. Загальні положення

Основою для проведення аналізу ризиків і формування вимог до КСЗІ є розробка моделі загроз для інформації та моделі порушника. Для створення моделі загроз необхідно скласти перелік суттєвих загроз, описати методи і способи їхнього здійснення.

4. Загальна характеристика автоматизованої системи установи і умов її функціонування

4.1 Загальна структурна схема та склад обчислювальної системи автоматизованої системи

4.2 Технічні характеристики каналів зв’язку

4.3 Характеристика інформації, що обробляється

4.4 Характеристика фізичного середовища

Сюди входять: наявність приміщень відповідно до категорій, територіальне розміщення компонентів автоматизованої системи, їх фізичні параметри, вплив на них чинників навколишнього середовища, захищеність від засобів технічної розвідки.

 

Рис. 1 Схема розміщення адміністративних приміщень автопідприємства «Ант»

4.5 Характеристика персоналу та користувачів автоматизованої системи

Правила розмежування доступу операторів та адміністраторів стосовно інформаційних об’єктів та технічних засобів наведено в табл. 1.

В таблиці вказати, хто до яких об’єктів має які права (адміністративні, читання, модифікація).

5. Описи технічних каналів витоку інформації та загроз інформації з обмеженим доступом

Потенційні загрози інформації наведені в табл. 2.

В таблиці вказати, які потенційні загрози інформації можуть порушити які властивості інформації (конфіденційність, цілісність, доступність, спостережність).

6. Загрози безпеці інформації

Визначається перелік можливих загроз і класифікація їх за результатом впливу на інформацію, тобто на порушення яких властивостей вони спрямовані (конфіденційності, цілісності та доступності інформації), а також порушення спостережності та керованості автоматизованою системою.

Для кожної з загроз визначається ймовірність її виникнення (неприпустимо висока, висока, середня, низька), що порушує (конфіденційність, цілісність, доступність), рівень шкоди (високий, середній, низький, відсутня), механізм реалізації (табл. 3).

Таблиця 3

Модель загроз

Вид загроз

Ймовірність

Що порушує

Рівень шкоди

Механізм реалізації

Моніторинг (розвідка) мережі

1

Розвідка, аналіз трафіка

Висока

к,ц,д

відсутня

Перехоплення інформації, що пересилається
в незашифрованому вигляді при відсутності виділеного каналу

Несанкціонований доступ до інформаційних ресурсів

 

 

 

 

 

7. Модель порушника

Модель порушника — абстрактний формалізований або неформалізований опис дій порушника, який відображає його практичні та теоретичні можливості, апріорні знання, час та місце дії і т.п. По відношенню до АС порушники можуть бути внутрішніми (з числа співробітників, користувачів системи) або зовнішніми (сторонні особи або будь-які особи, що знаходяться за межами контрольованої зони).

Модель порушника визначає:

  • можливу мету порушника та її градацію за ступенями небезпечності для АС;

  • категорії осіб, з числа яких може бути порушник.;

  • припущення про кваліфікацію порушника;

  • припущення про характер його дій.

Метою порушника є:

  • отримання необхідної інформації у потрібному обсязі та асортименті;

  • мати можливість вносити зміни в інформаційні потоки у відповідності зі своїми намірами (інтересами, планами);

  • нанесення збитків шляхом знищення матеріальних та інформаційних цінностей.

Класифікуються порушники за рівнем можливостей, що надаються їм засобами АС, наприклад, поділяються на чотири рівні цих можливостей. Класифікація є iєрархічною, тобто кожний наступний рівень включає в себе функціональні можливості попереднього:

  • перший рівень …

  • другий рівень …

  • третій рівень …

  • четвертий рівень …

З повагою ІЦ "KURSOVIKS"!