Академический Документы
Профессиональный Документы
Культура Документы
Отчет
Темы: Анализ исследуемой области
Идентификация активов
Разработка модели угроз
Разработка модели нарушителей
Информационная система: « SmartBuild»
Выполнил: студенты группы ПИ-2-21
Байташев Бекназар
Тойчубекова Айчурок
Проверила: ст. преподаватель Ашымова А.Ж.
Бишкек 2023
Оглавление
Цель................................................................................................................................................3
Задачи.............................................................................................................................................3
Требования к функциям:...........................................................................................................5
Требования по безопасности:...................................................................................................5
Модель угрозы:..........................................................................................................................7
Цель
Цель работы заключается в обеспечении информационной безопасности и непрерывности функционирования
информационной системы строительной компании:
Защита данных клиентов.
Предотвращение мошенничества.
Гарантирование доступности сайта.
Защита от вредоносных программ.
Соблюдение нормативных требований.
Задачи
● Сигнатурный анализ
o SQL инъекция
o RCE
o Аuth Bypаss
o XSS
● Блокировать DоS
● Шифрования данных
Требования к функциям:
Для администратора:
1) Регистрация (Паспортные данные, номер телефона, адрес проживания фактический)
2) Авторизация ( логин и пароль)
3)Добавлять, удалять, редактировать информацию о сотрудниках компании (Персональные данные)
4)Добавлять новые объекты строительства (Проектные данные объекта)
5)Регистрировать сотрудников в системе (Паспортные данные, номер телефона, фактический адрес проживания)
Для сотрудника:
1)Регистрация (Паспортные данные, номер телефона, фактический адрес проживания)
2)Авторизация (Логин и пароль)
2)Ввод стоимости 1 м 2
3) Составлять договора (Нормативные документы)
4)Добавлять, редактировать, удалять клиентов в/из БД. (Персональные данные о клиентах)
5)Просмотр отчета (Финансовые данные)
6)Редактировать данные об объектах строительства (Проектные данные)
7)Создавать отчет по продажам (Финансовые данные)
8)Ввод стоимости по параметрам ремонта (Финансовые и проектные данные)
9) Связываться с клиентами (Контактные данные)
Для клиента:
Регистрация (номер телефона, email адрес )
1)Авторизация(Логин и пароль)
2)Просматривать информацию об объектах строительства
3)Просматривать стоимость 1 квадратного метра за определенную квартиру.
4)Просматривать стоимость ремонта квартиры.
5)Просматривать стоимость выбранной квартиры в условиях ипотеки.
6)Добавление/удаление брони на квартиру.
7)Создавать свой вариант квартиры и его просмотр.
8)Оставлять заявку для обратного звонка.
9)Просмотр контактов компании.
Требования по безопасности:
Система должна обеспечивать надежную безопасность данных, основываясь на стандарт ГОСТ 17799, такую как:
1. Авторизация пользователей и контроль доступа;
2. Шифрование данных в базе;
3. Защита обмена данными;
Сетевая инфраструктура системы
Идентификация активов
Актив – все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее
распоряжении.
Информационный актив – знания или данные, которые имеют значение для организации.
● Информационные активы, в том числе различные виды информации, циркулирующие в информационной системе
(служебная, управляющая, аналитическая, деловая и т.д.) на всех этапах жизненного цикла (генерация, хранение,
обработка, передача, уничтожение);
Браузер:
● BDU:2020-03276: Уязвимость веб-приложения, связанная с недостаточным ограничением попыток
Информационные активы
Доступность
конфиденциальность
Конфиденциальность
Целостность
Конфиденциальность
Создавать отчет по Финансовые данные Конфиденциальность Python 18
продажам
Доступность
Целостность
Доступность
Целостность
Процессами Целостность
Доступность
Целостность
Доступность
И проекты Целостность
Доступность
Неинформационные активы
Информационные активы:
1) Алгоритмы управления процессами: Разработанные алгоритмы и методы управления строительными процессами с
использованием технологий искусственного интеллекта и анализа данных.
2) Информационная платформа: Система и интерфейс, позволяющие объединить данные, анализы, планирование и
управление проектами строительства.
3) База данных проектов: Хранилище данных о проектах, предназначенных для планирования и управления
строительством.
4) Хранилище данных о сотрудниках компании, их логины и пароли.
5) Счета клиентов и хранилища данных договоров
6) Архитектурные решения и проекты: Документация, планы, чертежи и другие материалы, необходимые для
строительства
Угрозы для активов компании:
1) Взлом и несанкционированный доступ: Злоумышленники могут попытаться взломать систему управления или
хранилища данных, чтобы получить несанкционированный доступ к конфиденциальной информации.
2) DDoS-атаки: Атаки на отказ в обслуживании могут нарушить работу информационной платформы, что приведет к
потере доступа к данным и прерыванию строительных процессов.
3) Утечка конфиденциальной информации:
4) Несанкционированное распространение данных: Сведения о проектах, планах, стратегиях и инновациях могут
быть украдены и использованы конкурентами или злоумышленниками.
5) Утечка персональных данных: Если проект содержит личные данные сотрудников или заказчиков, их утечка
может привести к нарушению приватности и возникновению репутационных проблем.
6) Технические сбои и аварии: Сбои систем и программ: Внезапные отказы оборудования или программного
обеспечения могут привести к потере или повреждению данных, а также остановке строительных процессов.
Потеря данных из-за аварий: Непредвиденные аварии, такие как пожары, наводнения или катастрофы, могут
привести к уничтожению данных и документации.
7) Социальная инженерия: Злоумышленники могут использовать манипуляции и обман, чтобы получить доступ к
системам от имени сотрудников или заказчиков.
8) Несанкционированный физический доступ: Неуполномоченные лица могут получить доступ к физическим
устройствам и компонентам системы, что может привести к компрометации информационных активов.
9) Недостаточная безопасность системы Слабые пароли и аутентификация: Ненадежные пароли или недостаточные
меры аутентификации могут сделать систему уязвимой для несанкционированного доступа.
10) Отсутствие обновлений и патчей: Неприменение обновлений безопасности может оставить систему
уязвимой для известных угроз.
Модель угроз
Модель угроз ИБ – это описание существующих угроз ИБ, их актуальности, возможности реализации и последствий.
ГОСТ Р 53114-2008: модель угроз (безопасности информации): Физическое, математическое, описательное
представление свойств или характеристик угроз безопасности информации.
Модели угроз информационной безопасности позволяют выявить существующие угрозы, разработать эффективные
контрмеры, повысив тем самым уровень ИБ, и оптимизировать затраты на защиту (сфокусировав её на актуальных
угрозах).
Составление модели угроз является необходимым этапом для решения следующих задач:
Определения методов и средств обеспечения безопасности информации, хранящейся на серверах университета и
передаваемой по сети.
Формирования плана мероприятий, направленных на предотвращение несанкционированного доступа к ресурсам
внутренних серверов и передачу данных лицам, не имеющим права доступа к этой информации.
Предупреждения и предотвращения воздействия на физические компоненты, которое может привести к нарушению
нормального функционирования.
Контроля за обеспечением уровня защищенности активов и информационных ресурсов.
Оценки уровня безопасности веб-приложения, а также разработки плана мероприятий для предотвращения
несанкционированного доступа к ресурсам веб-приложения.
Эта модель разрабатывается на основе анализа исходных данных объекта исследования, учитывая нормативные и
правовые документы, регулирующие вопросы безопасности информационных систем. При этом важно учесть все
актуальные угрозы на всех этапах их существования. Различные информационные системы и их компоненты могут
подвергаться разнообразным угрозам, зависящим от их особенностей, объектов и контекста использования.
Кибератаки и хакеры:
1) Угроза: Взлом и несанкционированный доступ
Модель угрозы:
Актеры: Злоумышленники, хакеры, конкуренты.
Методы: Использование уязвимостей в системе, перебор паролей, SQL-инъекции, атаки на библиотеки, подделка
аутентификационных данных.
Возможные последствия: Несанкционированный доступ к конфиденциальной информации, уничтожение данных, кража
персональных данных заказчиков.
2) Угроза: DDoS-атаки
Модель угрозы:
Актеры: Злоумышленники, конкуренты, неудовлетворенные стороны.
Методы: Отправка огромного количества запросов на серверы проекта, перегрузка системы.
Возможные последствия: Потеря доступа к системе, замедление процессов, репутационные убытки.