Практичне завдання по темі 12 Створення, введення в дію та супроводження захищених систем
« НазадПрактичне завдання по темі 12 Створення, введення в дію та супроводження захищених системРезультатом виконання практичної роботи є звіт про виконану практичну роботу. Мета: Ознайомитися з технологією створення, введення в дію та супроводження захищених систем, а саме розробкою моделі загроз. Завдання. Розробити модель загроз у відповідності з номером варіанту (призначається викладачем). Для виконання практичного завдання необхідно розробити модель загроз для інформації з обмеженим доступом, яка планується до циркуляції в автоматизованій системі. Приміщення, в якому знаходиться автоматизована система визначено варіантом завдання. Результат виконання завдання – це звіт в електронній формі в форматі rtf шрифтом 14 пт з полуторним міжрядковим інтервалом
Література
Приклад оформлення 1. Позначення і скорочення АС – автоматизована система;… 2. Нормативні посилання Ця Модель загроз створена відповідно до вимог наступних нормативних документів: 1. ДСТУ 3396.1-96 "Захист інформації. Технічний захист інформації. Порядок проведення робіт"… 3. Загальні положення Основою для проведення аналізу ризиків і формування вимог до КСЗІ є розробка моделі загроз для інформації та моделі порушника. Для створення моделі загроз необхідно скласти перелік суттєвих загроз, описати методи і способи їхнього здійснення. … 4. Загальна характеристика автоматизованої системи установи і умов її функціонування 4.1 Загальна структурна схема та склад обчислювальної системи автоматизованої системи … 4.2 Технічні характеристики каналів зв’язку … 4.3 Характеристика інформації, що обробляється … 4.4 Характеристика фізичного середовища Сюди входять: наявність приміщень відповідно до категорій, територіальне розміщення компонентів автоматизованої системи, їх фізичні параметри, вплив на них чинників навколишнього середовища, захищеність від засобів технічної розвідки. … Рис. 1 Схема розміщення адміністративних приміщень автопідприємства «Ант» 4.5 Характеристика персоналу та користувачів автоматизованої системи … Правила розмежування доступу операторів та адміністраторів стосовно інформаційних об’єктів та технічних засобів наведено в табл. 1. В таблиці вказати, хто до яких об’єктів має які права (адміністративні, читання, модифікація). 5. Описи технічних каналів витоку інформації та загроз інформації з обмеженим доступом … Потенційні загрози інформації наведені в табл. 2. В таблиці вказати, які потенційні загрози інформації можуть порушити які властивості інформації (конфіденційність, цілісність, доступність, спостережність). 6. Загрози безпеці інформації Визначається перелік можливих загроз і класифікація їх за результатом впливу на інформацію, тобто на порушення яких властивостей вони спрямовані (конфіденційності, цілісності та доступності інформації), а також порушення спостережності та керованості автоматизованою системою. Для кожної з загроз визначається ймовірність її виникнення (неприпустимо висока, висока, середня, низька), що порушує (конфіденційність, цілісність, доступність), рівень шкоди (високий, середній, низький, відсутня), механізм реалізації (табл. 3). Таблиця 3
7. Модель порушника Модель порушника — абстрактний формалізований або неформалізований опис дій порушника, який відображає його практичні та теоретичні можливості, апріорні знання, час та місце дії і т.п. По відношенню до АС порушники можуть бути внутрішніми (з числа співробітників, користувачів системи) або зовнішніми (сторонні особи або будь-які особи, що знаходяться за межами контрольованої зони). Модель порушника визначає:
Метою порушника є:
Класифікуються порушники за рівнем можливостей, що надаються їм засобами АС, наприклад, поділяються на чотири рівні цих можливостей. Класифікація є iєрархічною, тобто кожний наступний рівень включає в себе функціональні можливості попереднього:
З повагою ІЦ "KURSOVIKS"! |