Министерство образования и науки Кыргызской Республики

Кыргызский государственный технический университет им. И.Раззакова

Институт информационных технологий
Кафедра «Программное обеспечение компьютерных систем»

Дисциплина: «Проектирование и обеспечение безопасности ПО 2»

Отчет
Темы: Анализ исследуемой области
Идентификация активов
Разработка модели угроз
Разработка модели нарушителей
Информационная система: « SmartBuild»
Выполнил: студенты группы ПИ-2-21
Байташев Бекназар
Тойчубекова Айчурок
Проверила: ст. преподаватель Ашымова А.Ж.

Бишкек 2023

Оглавление
Цель................................................................................................................................................3
Задачи.............................................................................................................................................3
Требования к функциям:...........................................................................................................5
Требования по безопасности:...................................................................................................5
Модель угрозы:..........................................................................................................................7
Цель
Цель работы заключается в обеспечении информационной безопасности и непрерывности функционирования
информационной системы строительной компании:
Защита данных клиентов.
Предотвращение мошенничества.
Гарантирование доступности сайта.
Защита от вредоносных программ.
Соблюдение нормативных требований.

Задачи

Для достижения цели необходимо проделать следующие задачи:

● Провести проектировочные работы

● Подобрать инструменты для разработки системы

● Изучить и освоить инструменты разработки системы

● Идентифицировать информационные активы

● Описать основной процесс системы

● Разработать модель нарушителя ИБ

● Разработать модель угроз ИБ

● Разработать проект политики ИБ

● Сигнатурный анализ

● Защита от сетевых атак:

o SQL инъекция
o RCE
o Аuth Bypаss
o XSS

● Моментально обрабатывать трафик

● Блокировать нелегитимные запросы

 ● Выявлять бот-активность

● Выявлять брутфорс-атаки, краулинг

● Блокировать DоS

● Шифрования данных

1. Анализ исследуемой области

2. Анализ существующих систем
В нашей стране строительные компании не используют АС по управлению строительством. Однако существуют
системы поддерживающие управление строительной компании (СК).
1. PlanGrid - система управления строительными проектами, которая позволяет управлять документами, планировать
и контролировать задачи, обмениваться информацией и координировать работу команды.
2. Procore - облачная система управления строительными проектами, которая включает инструменты для
планирования, управления ресурсами, бюджетирования, учета проектов и многого другого.
3. AutoCAD - система автоматизированного проектирования, которая используется для разработки 2D и 3D
чертежей, моделирования объектов, визуализации и тестирования проектов.
 4. Oracle Primavera - система планирования и управления проектами, которая позволяет управлять задачами,
бюджетами, ресурсами, производственными циклами и т.д.
5. 1С: Управление строительством - программа учета и управления строительными проектами, которая включает
инструменты для учета смет, контроля стадий строительства, управления закупками и многое другое.

Как и любая технология, данные программы имеют свои недостатки:

1. Стоимость - многие системы имеют высокую стоимость, особенно для малых и средних компаний.
2. Сложность внедрения - автоматизированные системы требуют квалифицированных специалистов для их
внедрения и настройки, что может быть сложным и затратным процессом.
3. Необходимость обучения - чтобы использовать систему эффективно, сотрудники компании должны быть обучены
ее использованию, что может занять много времени и ресурсов.
4. Сложность интеграции - некоторые системы могут быть сложны в интеграции с другими программными
продуктами, используемыми в компании.
5. Ограниченность функциональности - некоторые системы могут быть ограничены в функциональности и не могут
удовлетворить специфические потребности компании.
6. Зависимость от интернет-соединения - многие автоматизированные системы требуют доступа к Интернету, что
может вызвать проблемы в случае отсутствия или низкой скорости соединения.
7. Риски безопасности - использование автоматизированных систем может привести к рискам безопасности, таким
как возможность взлома системы, утечки конфиденциальной информации и другие.
Преимуществом «SmartBuild» перед аналогами будет то, что разрабатываемая программа не будет иметь
вышеперечисленных недостатков.

Требования к функциям:
Для администратора:
1) Регистрация (Паспортные данные, номер телефона, адрес проживания фактический)
2) Авторизация ( логин и пароль)
3)Добавлять, удалять, редактировать информацию о сотрудниках компании (Персональные данные)
4)Добавлять новые объекты строительства (Проектные данные объекта)
5)Регистрировать сотрудников в системе (Паспортные данные, номер телефона, фактический адрес проживания)

Для сотрудника:
1)Регистрация (Паспортные данные, номер телефона, фактический адрес проживания)
2)Авторизация (Логин и пароль)
2)Ввод стоимости 1 м 2
3) Составлять договора (Нормативные документы)
4)Добавлять, редактировать, удалять клиентов в/из БД. (Персональные данные о клиентах)
5)Просмотр отчета (Финансовые данные)
6)Редактировать данные об объектах строительства (Проектные данные)
7)Создавать отчет по продажам (Финансовые данные)
8)Ввод стоимости по параметрам ремонта (Финансовые и проектные данные)
9) Связываться с клиентами (Контактные данные)
Для клиента:
Регистрация (номер телефона, email адрес )
1)Авторизация(Логин и пароль)
2)Просматривать информацию об объектах строительства
3)Просматривать стоимость 1 квадратного метра за определенную квартиру.
4)Просматривать стоимость ремонта квартиры.
5)Просматривать стоимость выбранной квартиры в условиях ипотеки.
6)Добавление/удаление брони на квартиру.
7)Создавать свой вариант квартиры и его просмотр.
8)Оставлять заявку для обратного звонка.
9)Просмотр контактов компании.
Требования по безопасности:
Система должна обеспечивать надежную безопасность данных, основываясь на стандарт ГОСТ 17799, такую как:
1. Авторизация пользователей и контроль доступа;
2. Шифрование данных в базе;
3. Защита обмена данными;
Сетевая инфраструктура системы
Идентификация активов

Согласно ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации.

Основные термины и определения»

Актив – все, что имеет ценность для организации в интересах достижения целей деятельности и находится в ее
распоряжении.

Информационный актив – знания или данные, которые имеют значение для организации.

К активам организации могут относиться:

● Информационные активы, в том числе различные виды информации, циркулирующие в информационной системе

(служебная, управляющая, аналитическая, деловая и т.д.) на всех этапах жизненного цикла (генерация, хранение,
обработка, передача, уничтожение);

● Ресурсы (финансовые, людские, вычислительные, информационные, телекоммуникационные и прочие);

● Процессы (технологические, информационные и т.д.);

Браузер:
 ● BDU:2020-03276: Уязвимость веб-приложения, связанная с недостаточным ограничением попыток

аутентификации, позволяющая нарушителю обойти существующие ограничения безопасности с помощью атаки

методом «грубой силы» (brute force).

Процесс Тип актива Свойства ИБ в Среда Уязвимость

обработки среды
порядке приоритета

Информационные активы

Регистрация Персональные данные Конфиденциальность Djago

Номер телефона Целостность Python 18

Фактический адрес проживания Доступность

Авторизация Пользовательские данные Конфиденциальность Python 18

(логин и пароль) Целостность

Доступность

Добавлять, удалять, Персональные данные Целостность Python

18
редактировать Доступность
информацию о
Конфиденциальность
сотрудниках компании

Добавлять новые Проектные данные объекта Целостность Python 18

объекты строительства Доступность

конфиденциальность

Регистрировать Паспортные данные Конфиденциальность Python 18

сотрудников в системе сотрудника ,номер телефона,
Целостность
фактический адрес проживания
Доступность

Составлять договора Нормативные документы Доступность Python 18

Конфиденциальность

Целостность

Редактировать данные об Проектные данные Целостность Python 18

объектах строительства
Доступность

Конфиденциальность
Создавать отчет по Финансовые данные Конфиденциальность Python 18
продажам
Доступность

Целостность

Связываться с клиентами Контактные данные клиентов Конфиденциальность Python 18

Доступность

Целостность

Алгоритмы управления Алгоритмы и схемы управления Конфиденциальность Python 18

Процессами Целостность

Доступность

Хранение проектов Чертежи, документация, планы Конфиденциальность Python 18

Целостность

Доступность

Архитектурные решения Документация, планы, чертежи Конфиденциальность Python 18

И проекты Целостность
 Доступность

Неинформационные активы

Обработка данных Сервер ПА Серверное Физическая

помещение безопасность

Выписать типы и виды активов и описать к какому БП

Информационные активы:
1) Алгоритмы управления процессами: Разработанные алгоритмы и методы управления строительными процессами с
использованием технологий искусственного интеллекта и анализа данных.
2) Информационная платформа: Система и интерфейс, позволяющие объединить данные, анализы, планирование и
управление проектами строительства.
3) База данных проектов: Хранилище данных о проектах, предназначенных для планирования и управления
строительством.
4) Хранилище данных о сотрудниках компании, их логины и пароли.
5) Счета клиентов и хранилища данных договоров
6) Архитектурные решения и проекты: Документация, планы, чертежи и другие материалы, необходимые для
строительства
Угрозы для активов компании:
1) Взлом и несанкционированный доступ: Злоумышленники могут попытаться взломать систему управления или
хранилища данных, чтобы получить несанкционированный доступ к конфиденциальной информации.
2) DDoS-атаки: Атаки на отказ в обслуживании могут нарушить работу информационной платформы, что приведет к
потере доступа к данным и прерыванию строительных процессов.
3) Утечка конфиденциальной информации:
4) Несанкционированное распространение данных: Сведения о проектах, планах, стратегиях и инновациях могут
быть украдены и использованы конкурентами или злоумышленниками.
5) Утечка персональных данных: Если проект содержит личные данные сотрудников или заказчиков, их утечка
может привести к нарушению приватности и возникновению репутационных проблем.
6) Технические сбои и аварии: Сбои систем и программ: Внезапные отказы оборудования или программного
обеспечения могут привести к потере или повреждению данных, а также остановке строительных процессов.
Потеря данных из-за аварий: Непредвиденные аварии, такие как пожары, наводнения или катастрофы, могут
привести к уничтожению данных и документации.
7) Социальная инженерия: Злоумышленники могут использовать манипуляции и обман, чтобы получить доступ к
системам от имени сотрудников или заказчиков.
8) Несанкционированный физический доступ: Неуполномоченные лица могут получить доступ к физическим
устройствам и компонентам системы, что может привести к компрометации информационных активов.
 9) Недостаточная безопасность системы Слабые пароли и аутентификация: Ненадежные пароли или недостаточные
меры аутентификации могут сделать систему уязвимой для несанкционированного доступа.
10) Отсутствие обновлений и патчей: Неприменение обновлений безопасности может оставить систему
уязвимой для известных угроз.

Модель угроз

Модель угроз ИБ – это описание существующих угроз ИБ, их актуальности, возможности реализации и последствий.
ГОСТ Р 53114-2008: модель угроз (безопасности информации): Физическое, математическое, описательное
представление свойств или характеристик угроз безопасности информации.
Модели угроз информационной безопасности позволяют выявить существующие угрозы, разработать эффективные
контрмеры, повысив тем самым уровень ИБ, и оптимизировать затраты на защиту (сфокусировав её на актуальных
угрозах).
Составление модели угроз является необходимым этапом для решения следующих задач:
Определения методов и средств обеспечения безопасности информации, хранящейся на серверах университета и
передаваемой по сети.
Формирования плана мероприятий, направленных на предотвращение несанкционированного доступа к ресурсам
внутренних серверов и передачу данных лицам, не имеющим права доступа к этой информации.
Предупреждения и предотвращения воздействия на физические компоненты, которое может привести к нарушению
нормального функционирования.
Контроля за обеспечением уровня защищенности активов и информационных ресурсов.
Оценки уровня безопасности веб-приложения, а также разработки плана мероприятий для предотвращения
несанкционированного доступа к ресурсам веб-приложения.
Эта модель разрабатывается на основе анализа исходных данных объекта исследования, учитывая нормативные и
правовые документы, регулирующие вопросы безопасности информационных систем. При этом важно учесть все
актуальные угрозы на всех этапах их существования. Различные информационные системы и их компоненты могут
подвергаться разнообразным угрозам, зависящим от их особенностей, объектов и контекста использования.

Кибератаки и хакеры:
1) Угроза: Взлом и несанкционированный доступ

Модель угрозы:
Актеры: Злоумышленники, хакеры, конкуренты.
Методы: Использование уязвимостей в системе, перебор паролей, SQL-инъекции, атаки на библиотеки, подделка
аутентификационных данных.
Возможные последствия: Несанкционированный доступ к конфиденциальной информации, уничтожение данных, кража
персональных данных заказчиков.
2) Угроза: DDoS-атаки
Модель угрозы:
Актеры: Злоумышленники, конкуренты, неудовлетворенные стороны.
Методы: Отправка огромного количества запросов на серверы проекта, перегрузка системы.
Возможные последствия: Потеря доступа к системе, замедление процессов, репутационные убытки.

3)Утечка конфиденциальной информации:

Угроза: Несанкционированное распространение данных
Модель угрозы:
Актеры: Злоумышленники, конкуренты, внутренние сотрудники.
Методы: Несанкционированный доступ к хранилищам данных, утечка через недостаточно защищенные каналы связи.
Возможные последствия: Раскрытие конфиденциальных планов и стратегий, нарушение конкурентной борьбы, утрата
доверия заказчиков.

Угроза: Утечка персональных данных

Модель угрозы:
Актеры: Злоумышленники, хакеры, внутренние сотрудники.
Методы: Несанкционированный доступ к базам данных, слабые меры безопасности при обработке персональных
данных.
Возможные последствия: Утечка личных данных сотрудников, клиентов, заказчиков, нарушение конфиденциальности.
3. Технические сбои и аварии:
Угроза: Сбои систем и программ
Модель угрозы:
Актеры: Технические проблемы, ошибки в коде, администраторы с недостаточными навыками.
Методы: Ошибки программирования, неправильная настройка оборудования, несовместимость программных
компонентов.
Возможные последствия: Остановка работы системы, потеря данных, задержка в строительных процессах.
Угроза: Потеря данных из-за аварий
Модель угрозы:
Актеры: Природные катастрофы, аварии с оборудованием, пожары.
Методы: Непредвиденные события, воздействие стихийных бедствий на инфраструктуру.
Возможные последствия: Уничтожение данных, невозможность восстановления, значительные потери информации.
4. Социальная инженерия и физический доступ:
Угроза: Социальная инженерия
Модель угрозы:
Актеры: Злоумышленники, несанкционированные лица, социальные инженеры.
Методы: Манипулирование людьми для получения информации или доступа, обман, инсайдерская угроза.
Возможные последствия: Несанкционированный доступ к системам, утечка информации, компрометация безопасности.
Угроза: Несанкционированный физический доступ
Модель угрозы:
Актеры: Несанкционированные лица, злоумышленники, внутренние сотрудники.
Методы: Проникновение в помещения с оборудованием, взлом замков, обход систем безопасности.
Возможные последствия: Компрометация физической безопасности, утеря или уничтожение оборудования,
несанкционированный доступ к системам.
5. Недостаточная безопасность системы:
Угроза: Слабые пароли и аутентификация
Модель угрозы:
Актеры: Злоумышленники, брутфорсеры паролей.
Методы: Подбор паролей, использование слабых аутентификационных механизмов.
Возможные последствия: Несанкционированный доступ к системам, утечка конфиденциальной информации.
Угроза: Отсутствие обновлений и патчей
Модель угрозы:
Актеры: Злоумышленники, хакеры, вирусы.
Методы: Использование известных уязвимостей, атаки на не обновленные системы.
Возможные последствия: Уязвимость перед известными атаками, компрометация безопасности системы.
Создание и регулярное обновление стратегии безопасности проекта SmartBuild, а также обучение сотрудников уменьшат
риск возникновения данных угроз и повысят общий уровень безопасности