2 Моделювання об'єкта захисту
З позиції системного підходу сукупність взаємопов'язаних елементів, що функціонують з метою забезпечення безпеки інформації, утворюють систему захисту інформації. Такими елементами є люди, тобто керівники співробітники служби безпеки; об'єкт захисту, представляє собою будівлю, інженерні конструкції; засоби обчислювальної техніки, технічні засоби захисту інформації та контролю її ефективності. Проектування необхідної системи захисту інформації починається з системного аналізу існуючої системи захисту інформації, який включає:
1 Моделювання об'єкту захисту:
визначення джерел інформації, що захищається (люди, документи, фізичні поля, матеріальні об'єкти);
опис просторового розташування основних місць розташування джерел інформації, що захищається.
2 Моделювання загроз безпеці інформації:
моделювання фізичного проникнення зловмисника до джерелам інформації;
моделювання технічних каналів витоку.
Для створення повної моделі об'єкта захисту необхідно для початку визначити ту інформацію, яку необхідно захищати, тому необхідно провести її структурування.
Структурування інформації здійснюється шляхом класифікації інформації відповідно до функцій, завданнями і структурою організації з прив'язкою елементів інформації до її джерел.
Деталізацію інформації доцільно проводити до рівня, на якому елементу інформації відповідає одне джерело.
Моделювання полягає в аналізі на основі просторових моделей можливих шляхів розповсюдження інформації за межі контрольованої зони [3].
2.1 Структурна модель об'єкта захисту
Виберемо наступні ціни одиниці інформації (Кб) залежно від грифа конфіденційності:
комерційна таємниця – 100 грн;
строго конфіденційно – 60 грн;
конфіденційно – 30 грн.
Ціна інформації може обчислюватися залежно від збитку, що буде заподіяний фірмі при її витоку. У цьому випадку ціна інформації встановлюється методом експертних оцінок.
Ціна інформації також може обчислюватися по загальному обсязі інформації по формулі:
Ц=О*Цкб, (2.1)
де Ц – ціна інформації, О – об’єм інформації в Кб, Цкб – ціна інформації за 1 Кб.
Обсяг інформації в Кб може бути обчислений як:
О=Оинф + Обум +О0 , (2.2)
де Оинф – об’єм інформації в цифровому вигляді,Обум – об’єм інформації в паперовому вигляді, О0 – середній об’єм інформації в 1 сторінці.
Середній обсяг інформації в сторінці розміром А4 для шрифту кеглем 14 становить приблизно 4 тисячі знаків, що становить 4 Кб. З огляду на те, що аркуші практично не бувають заповненими повністю, можна прийняти середній обсяг інформації в 2,5 Кб на сторінку. Необхідно врахувати, що інформація а паперовому й цифровому виді не повинна дублювати одна одну, тобто в цій формулі враховується тільки обсяг унікальної інформації. Також необхідно застосувати для обчислення обсяг корисної інформації, тобто інформації в чистому виді, тому що іноді невелика кількість інформації може займати значний обсяг. Особливо це характерно для електронної інформації.
Для обліку корисної інформації введемо «Коефіцієнт корисної цифрової інформації» (КК). У базі даних обсягом 2 Мб може втримуватися всього 100Кб корисної інформації – весь інший обсяг займають службові дані, що не мають практичної цінності. У цьому випадку «КК цифрової інформації » буде становити 5%. Наприклад, в MsWord при створенні документа без графічних картинок «Коефіцієнт корисної цифрової інформації » буде становити не більше 15%.
Очевидно, що не всі елементи інформації мають однакову вартість, тому обчислювати ціну інформацію можна тільки для інформації, що має гриф конфіденційно. Для такої інформації обчислення методом експертних оцінок буде неефективним, і обчислення за допомогою застосування обсягу інформації буде мати незначну погрішність. У всіх інших випадках ціна інформації визначається методом експертних оцінок [2].
Розрахуємо вартість захищаємої інформації згідно діяльності підприємства за допомогою формул (2.1) та (2.2).
У таблиці 2.1 представимо розрахунок вартості захищаємої інформації згідно діяльності підприємства.
Складемо структурну модель підприємства з урахуванням ціни інформації та грифу конфіденційності.
У таблиці 2.2 наведено структурнурну модель підприємства.
Таблиця 2.1 – Розрахунок вартості захищаємої інформації
|
№ |
Найменування елемента інформації |
Гриф конфіден - ційності |
Обсяг інформації в електро нному вигляді |
КП циф. інф. |
Обсяг інформації в паперовому вигляді |
Ціна, грн |
|
1 |
Особисті відомості про співробітників фірми |
К |
1,2 Мб |
30% |
460 стр |
20000 |
|
2 |
Відомості про заробітну плату працівників |
К |
0,4 Мб |
50% |
Дублює ел. інформацію |
6000 |
|
3 |
Відомості про фінансові операції |
К |
2.5 Мб |
50% |
Дублює ел. інформацію |
37500 |
|
4 |
Відомості про цінову політику підприємства |
К |
1,1 Мб |
40 % |
Дублює ел. інформацію |
13500 |
|
5 |
Відомості про клієнтів і партнерів |
СК |
3,6 Мб |
30 % |
Дублює ел. інформацію |
65000 |
|
6 |
Відомості про переговори |
СК |
2,9 Мб |
40% |
Дублює ел. інформацію |
70000 |
|
7 |
Відомості про контракти |
СК |
5 Мб |
35% |
Дублює ел. інформацію |
100000 |
|
8 |
Відомості про методи управління підприємством |
КТ |
4,5 Мб |
30% |
Дублює ел. інформацію |
135000 |
|
9 |
Відомості про плани на розвиток |
КТ |
1,5 Мб |
50% |
Дублює ел. інформацію |
300000 |
|
10 |
Відомості про комерційні переговори |
КТ |
0,5 Мб |
35% |
Дублює ел. інформацію |
200000 |
|
11 |
Відомості про структуру і склад системи безпеки |
КТ |
0,75 Мб |
50% |
Дублює ел. інформацію |
150000 |
|
12 |
Відомості про плани протидії конкурентам |
КТ |
1,75 Мб |
50% |
Дублює ел. інформацію |
350000 |
|
13 |
Відомості про постачання |
КТ |
7 Мб |
20% |
Дублює ел. інформацію |
140000 |
|
14 |
Відомості про контакти з іноземними фірмами |
СК |
1,1 Мб |
15% |
Дублює ел. інформацію |
100000 |
|
15 |
Стратегія дій на ринку |
КТ |
0,68 Мб |
20% |
Дублює ел. інформацію |
340000 |
Таблиця 2.2 – Структурна модель підприємства
|
№ |
Найменування елемента інформації |
Гриф конфіденційності |
Ціна інформації, грн |
Найменування джерела інформації |
Місце знаходження джерела інформації |
|
1 |
2 |
3 |
4 |
5 |
6 |
|
1 |
Відомості про клієнтів і партнерів |
СК |
65000 |
Документи на паперових носіях, БД в комп'ютері |
Сейф і комп'ютер в кабінетах генерального директора та менеджера з продажу та роботи з клієнтами |
|
2 |
Відомості про переговори |
СК |
70000 |
Документи на паперових носіях, БД в комп'ютері |
Сейф і комп'ютер в кабінеті генерального директора |
|
3 |
Відомості про контракти |
СК |
100000. |
Ген. директор, електронні і паперові документи |
Сейф і комп'ютер в кабінеті генерального директора |
|
4 |
Відомості про методи управління підприємством |
КТ |
135000 |
Ген. директор, електронні і паперові документи |
Сейф і комп'ютер в кабінеті генерального директора |
|
5 |
Відомості про плани на розвиток |
КТ |
300000 |
Ген. директор, електронні і паперові документи |
Сейф і комп'ютер в кабінеті генерального директора |
|
6 |
Відомості про комерційні переговори |
КТ |
200000 |
Ген. директор, електронні і паперові документи |
Сейф і комп'ютер в кабінетах генерального директора та менеджера з продажу та роботи з клієнтами |
|
7 |
Відомості про структуру і склад системи безпеки |
КТ |
150000 |
Заступник директора, комп. документи |
Комп'ютер в кабінеті заступника директора |
|
8 |
Відомості про плани протидії конкурентам |
КТ |
350000 |
Ген. директор, електронні і паперові документи |
Комп'ютер і сейф в кабінетах генерального директора та заступника директора |
|
9 |
Відомості про постачання |
КТ |
140000 |
Ген. директор, бухгалтер-касир, заступник директора, бум. комп. документи |
Комп'ютери, сейфи у кабінетах бухгалтера-касира і заступника директора |
Продовження таблиці 2.2 – Структурна модель підприємства
|
| |||||
|
1 |
2 |
3 |
4 |
5 |
6 |
|
10 |
Відомості про контакти з іноземними фірмами |
СК |
1000 |
Генер. директор, документи на паперових носіях |
Документи в кабінеті ген. директора |
|
11 |
Стратегія дій на ринку |
КТ |
340000 |
Генер. директор, менеджер з продажу та роботі з клієнтами, бум. і комп. документи |
Комп'ютери, шафи в кабінетах ген. директора та менеджера з продажу та роботі з клієнтами |
|
12 |
Особисті відомості про співробітників фірми |
К |
20000 |
Контракти і електронні документи у заступника директора, бухгалтера-касира |
Шафа і комп'ютер у кабінетах заступника директора та бухгалтера-касира |
|
13 |
Відомості про заробітну плату працівників |
К |
6000 |
Електронні і паперові документи |
Шафа і комп'ютер у кабінеті бухгалтера-касира |
|
14 |
Відомості про фінансові операції |
К |
37500 |
Електронні і паперові документи |
Шафа і комп'ютер у кабінеті бухгалтера-касира |
|
15 |
Відомості про цінову політику підприємства |
К |
13500 |
Електронні і паперові документи |
Шафа і комп'ютер у кабінеті бухгалтера-касира |
2.2 Просторова модель об'єкта захисту
Просторова модель об'єкта - це модель просторових зон з вказаним місцем розташування джерел інформації, що захищається [11].
План приміщення представлений у розділі 1. На плані зазначені двері, вікна, розташування робочих місць, персональних комп'ютерів, телефонів, шаф і сейфів.
Інформація по опису об'єкта захисту структурована в таблицю 2.3:
Таблиця 2.3 – Опис об’єкта захисту
|
№ |
Елемент |
Примітка |
|
1 |
2 |
3 |
|
1 |
Назва приміщення |
Офіс фірми «UNIX» |
|
2 |
Поверх |
Третій поверх восьми поверхового будинку |
|
3 |
Вікна |
Всього 6 вікон |
|
4 |
Двері |
9 дерев'яних міжкімнатних дверей, 1 вхідні двері і 1 двері ліфта |
|
5 |
Сусідні приміщення |
|
Продовження таблиці 2.3 – Опис об’єкта захисту
|
1 |
2 |
3 |
|
6 |
Приміщення над стелею |
присутнє |
|
7 |
Приміщення під підлогою |
присутнє |
|
8 |
Вентиляція |
віддушина в туалеті |
|
9 |
Батареї опалення |
розміщені уздовж вікон |
|
10 |
Ланцюги електроживлення |
22 електророзеток, підключення через внутрішній електрощит із захисними фільтрами в загальний силовий кабель. Напруга – 220 В, |
|
11 |
Телефон |
всього 8 телефонів |
|
12 |
Радіотрансляція |
відсутня |
|
13 |
Електронні годинники |
відсутня |
|
14 |
Побутові радіозасоби |
відсутня |
|
15 |
Побутові електроприлади |
4 багатофункціональних пристроїв, 1 холодильник, 1 мікрохвильова піч, 1 нагрівач води, 1 охолоджувач води, 1 кавоварка |
|
16 |
ПЕОМ |
8 ПК на архітектурі Intel x86: 1 у генерального директора, 1 у заступника директора, 1 у бухгалтера-касира, 1 у менеджера з продажу та роботи з клієнтами, 4 у програмістів |
|
17 |
Технічні засоби охорони |
відсутня |
|
18 |
Телевізійні засоби спостереження |
відсутня |
|
19 |
Пожежна сигналізація |
відсутня |
|
20 |
Інші засоби |
відсутня |
Моделювання загроз безпеці інформації
Моделювання загроз безпеки інформації передбачає аналіз способів її розкладання, змін або знищення з метою оцінки збитку.
Моделювання загроз передбачає:
моделювання способів фізичного проникнення зловмисника до джерел інформації;
моделювання технічних каналів витоку інформації.
Дія зловмисника по добування інформації й матеріальних цінностей визначається поставленими цілями й завданнями, мотивацією, кваліфікацією й технічною оснащеністю. Прогноз способів фізичного проникнення варто почати із з’ясування, кому потрібно інформація, що захищається. Для створення моделі зловмисника необхідно подумки програти з позиції зловмисника варіанти проникнення до джерел інформації. Чим більше при цьому буде враховано факторів, що випливають на ефективність проникнення, тим вище буде ймовірність відповідності моделі реальній практиці. В умовах відсутності інформації про зловмисника краще переоцінити погрозу, хоча це може привести до збільшенню витрат [6].
Розглянемо моделювання способів фізичного проникнення. Нам необхідно змоделювати різні способи фізичного проникнення зловмисника й його доступу до інформації, що захищається. Найменування елементів інформації і її ціна береться в таблиці 1.2. Кімната призначення залежить від місця розташування елемента інформації.
Розглянемо оцінку реальності шляхів. Реальність шляху є ймовірність вибору зловмисником цього шляху. Вона визначається методом експертних оцінок. Імовірність залежить від простоти реалізації безпосередньо цього шляху проникнення. Очевидно, що через деякі вікна й двері легше проникнути, тому враховувалося кілька міркувань:
проникнути легше через вікно, що виходить на вулицю, ніж через вікно, що виходить у внутрішній двір будівлі;
проникнути легше через двері, ніж через вікно;
легше проникнути у вікно, що не містить додаткових засобів захист, ніж у вікно із гратами;
проникнути легше через звичайні двері, ніж через залізну;
у вікно першого поверху легше забратися, ніж у вікно другого (тому що впритул до будинку не прилягають будь-які будинки й немає пожежних сходів, дах перебуває під контролером; також грати на вікнах першого поверху вертикалі, тобто забратися по них на другий поверх неможливо);
чим більше потрібно минути перешкод, тим шлях менш імовірний [3].
Залежно від цих міркувань вибирається оцінка реальності шляху: для малоймовірних шляхів вона дорівнює 0,1, для ймовірних – 0,5, для найбільш імовірних – 0,9.
Величину загрози знаходимо за формулою:
Вз = Ор*Цi , (2.3)
де Вз – величина загрози,Ор – оцінка реальності,Цi – ціна інформації.
Після знаходження величини загрози необхідно зробити ранжирування. Виберемо 6 різних рангів для більш точного визначення важливості захисту даного елемента інформації. Значення величини загрози для кожного рангу наведені в таблиці 2.4
Таблиця 2.4 – Значення величини загроз для кожного рангу
|
Інтервал величини загрози |
Ранг загрози |
|
30 000
-
|
1 |
|
10 000 – 29 999 |
2 |
|
1 000 – 9 999 |
3 |
|
100 – 999 |
4 |
|
50 – 99 |
5 |
|
1 – 49 |
6 |
Далі будуємо модель способів фізичного проникнення порушника з урахуванням розрахованої величини загрози, данні зводимо у таблицю 2.5.
Таблиця 2.5 – Структура моделі способів фізичного проникнення порушника
|
№ |
Найменування елемента інформації |
Ціна інформації, грн |
Мета (кімната) |
Шлях проникнення зловмисника |
Оцінка реальності шляху |
Величина загрози в умовних одиницях |
Ранг загрози |
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
|
1 |
Особисті відомості про співробітників фірми |
20000 |
r4,r8 |
R4: 1 w3 2 d6 – d3 R8: 1 w5 2 d6 – d8 |
0.9 0.5
0.9 0.5 |
18000 |
2 |
|
2 |
Відомості про заробітну плату працівників |
6000 |
r4 |
1 w3 2 d6 – d3 |
0.9 0.5
|
5400 |
3 |
|
3 |
Відомості про фінансові операції |
37500 |
r4 |
1 w3 2 d6 – d3 |
0.9 0.5 |
33750 |
1 |
|
4 |
Відомості про цінову політику підприємства |
13500 |
r4 |
1 w3 2 d6 – d3 |
0.9 0.5 |
12150 |
2 |
|
5 |
Відомості про клієнтів і партнерів |
65000 |
r3, r7 |
R3: 1 w2 2 d6 – d2 R7: 1 w4 2 d6 – d7 |
0.9 0.5
0.9 0.5 |
58500 |
1 |
|
6 |
Відомості про контракти |
100000 |
r3 |
1 w2 2 d6 – d2 |
0.9 0.5 |
90000 |
1 |
|
7 |
Відомості про контакти з іноземними фірмами |
1000 |
r3 |
1 w2 2 d6 – d2 |
0.9 0.5 |
900 |
4 |
|
Продовження таблиці 2.5 – Структура моделі способів фізичного проникнення порушника
| |||||||
|
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
|
8 |
Відомості про плани на розвиток |
300000 |
r3 |
1 w2 2 d6 – d2 |
0.9 0.5 |
270000 |
1 |
|
9 |
Відомості про комерційні переговори |
200000 |
r3, r7 |
R3: 1 w2 2 d6 – d2 R7: 1 w4 2 d6 – d7 |
0.9 0.5
0.9 0.5 |
180000 |
1 |
|
10 |
Стратегія дій на ринку |
340000 |
r3, r7 |
R3: 1 w2 2 d6 – d2 R7: 1 w4 2 d6 – d7 |
0.9 0.5
0.9 0.5 |
306000 |
1 |
|
11 |
Відомості про структуру і склад системи безпеки |
150000 |
r8 |
1 w5 2 d6 – d8 |
0.9 0.5 |
135000 |
1 |
|
12 |
Відомості про плани протидії конкурентам |
350000 |
r3, r8 |
R3: 1 w2 2 d6 – d2 R8: 1 w5 2 d6 – d8 |
0.9 0.5
0.9 0.5 |
315000 |
1 |
|
13 |
Відомості про методи управління підприємством |
135000 |
r3 |
1 w2 2 d6 – d2 |
0.9 0.5 |
121500 |
1 |
|
14 |
Відомості про переговори |
70000 |
r3 |
1 w2 2 d6 – d2 |
0.9 0.5 |
63000 |
1 |
|
15 |
Відомості про постачання |
140000 |
r3, r4, r8 |
R3: 1 w2 2 d6 – d2 R4: 1 w3 2 d6 – d3 R8: 1 w5 2 d6 – d8 |
0.9 0.5
0.9 0.5
0.9 0.5 |
126000 |
1 |
Складемо рекомендації щодо поліпшення якості комплексної системи захисту інформації.
Рекомендації наведено в таблиці 2.6
Таблиця 2.6 – Формування пропозицій поліпшення захищеності приміщення
|
№ |
Найменування елемента інформації |
Ранг загрози |
Пропозиції щодо покращення захисту | |
|
1 |
2 |
3 |
4 | |
|
1 |
Відомості про клієнтів і партнерів |
1 |
На двері кабінету генерального директора(d2) встановити кодовий замок, в приміщення установитть камери відеоспостереження, датчики руху, поставити сейф з посиленим захистом для кращого збереження документів |
Встановити на усі вікна датчики розбиття вікон. Встановити камери відеоспостереження та датчики руху. Посилити захист дверей d6 і d9(кодовий замок,залізні двері ) |
|
2 |
Відомості про контракти |
1 | ||
|
3 |
Відомості про комерційні переговори |
1 | ||
|
4 |
Відомості про плани на розвиток |
1 | ||
|
5 |
Відомості про методи управління підприємством |
1 | ||
|
6 |
Відомості про плани протидії конкурентам |
1 | ||
|
7 |
Стратегія дій на ринку |
1 | ||
|
8 |
Відомості про цінову політику підприємства |
2 |
Посилити захист дверей d3, встановити в кабінет відеоспостереження, датчиків руху | |
|
9 |
Особисті відомості про співробітників фірми |
2 | ||
|
10 |
Відомості про фінансові операції |
1 | ||
|
11 |
Відомості про постачання |
1 |
Посилити захист дверей d8, встановити в кабінеті камери відеоспостереження і датчики руху | |
|
12 |
Відомості про структуру і склад системи безпеки |
1 | ||
|
13 |
Відомості про плани протидії конкурентам |
1 | ||
|
14 |
Відомості про комерційні переговори |
1 |
Посилити захист дверей d7, встановити в кабінеті камери відеоспостереження і датчики руху | |
|
15 |
Стратегія дій на ринку |
1 | ||
|
16 |
Відомості про клієнтів ті партнерів |
1 | ||