- •Курсовая работа
- •1. Моделирование объекта защиты
- •Структурная модель объекта защиты
- •1.2 Пространственная модель объекта защиты
- •2.1. Модель способов физического проникновения злоумышленника к источникам информации
- •2.2. Моделирование технических каналов утечки информации
- •3. Описание средств реализации одного из каналов утечки
- •Использованные источники
1. Моделирование объекта защиты
В данной курсовой работе применение системного анализа показано на конкретном примере. Выбранный мною объект защиты – реально существующая лаборатория испытания топлив – одно из подразделений исследовательского института, достаточно автономное, чтобы его можно было рассматривать как самостоятельный объект. Исследовательский институт, в состав которого входит данная лаборатория, занимается разработкой новых видов топлив, которые используются в различных отраслях экономики.
Защита информации в данной лаборатории особенно важна, так как испытания в там проходит большая часть образцов, разработанных в институте.
Получение образцов контролируется начальником лаборатории, образцы хранятся в специальных вытяжных шкафах в помещении для хранения образцов топлив (R4). Лабораторные исследования ведутся в трех лабораторных боксах (R1.1, R1.2, R1.3), в которых установлены лабораторные установки различных типов, оснащенные электронными запоминающими устройствами, несколько раз в секунду фиксирующими все показания датчиков установок, а также вспомогательное оборудование.
С помощью специального интерфейсного устройства информация переносится на компьютер начальника лаборатории, где происходит ее обработка и готовятся отчеты об испытаниях.
Для обслуживания оборудования в лаборатории предусмотрено специальное помещение (R2), в котором имеются средства для электронной диагностики и ремонта лабораторных установок и вспомогательного оборудования.
Схемы с расположением лаборатории на территории института, внутренней планировкой лаборатории, системами коммуникаций (вентиляция, электропроводка, заземление, водоснабжение, отопление, системы сигнализации, линии связи) приведены в Приложении.
Моделирования объекта защиты включает в себя два этапа:
Построение структурной модели объекта защиты.
Построение пространственной модели объекта защиты.
Структурная модель объекта защиты
Построение системы защиты информации начинается с создания структурной модели объекта защиты. Для этого необходимо сформировать список элементов информации, подлежащих защите. Все выбранные элементы информации можно разделить на три категории: информация об основной деятельности института (в первую очередь, сведения о химическом составе образцов), о результатах непосредственной деятельности лаборатории (например, отчеты об испытаниях), а также различные другие сведения, имеющие меньшую ценность. Исследовательский институт, в состав которого входит рассматриваемая лаборатория, является негосударственным учреждением (он принадлежит одной топливной компании). Для категорирования информации по важности в институте введены следующие три грифа конфиденциальности: “Конфиденциально”, ”Строго конфиденциально” и ”Коммерческая тайна”. Каждому грифу конфиденциальности информации я поставил в соответствие свой коэффициент ценности информации (чем выше этот коэффициент, тем ценнее информация):
Конфиденциально (К) – 0.2
Строго конфиденциально (СК) – 0.6
Коммерческая тайна (КТ) – 1
Цена защищаемой информации (в условных единицах) либо определяется экспертной оценкой исходя из ущерба, наносимого фирме при ее утечке, либо вычисляется по формуле:
Ц=О*Це,
где Ц – цена защищаемой информации;
О – объём защищаемой информации, в каких-либо единицах;
Це – цена за единицу объема информации.
В данной курсовой работе применены оба этих подхода. Рассмотрим по очереди все три категории защищаемой информации.
1) Информация об основной деятельности института
Здесь я выделил два элемента информации, подлежащих защите:
Сведения о химическом составе образцов (№1 в списке защищаемой информации).
Данные о названиях и параметрах образцов (№2).
Эти сведения являются очень важными, имеют гриф конфиденциальности “КТ”. Так как для конкурентов самое большое значение имеет именно информация о химическом составе образцов, то, на основании экспертной оценки, ущерб при утечке данных о химическом составе образца будет в 10 раз выше ущерба при утечке других сведений о нем. В связи с этим, установим следующее соотношение цен двух вышеуказанных элементов информации – 10 к 1. Стоимость информации о разных образцах различна, среднюю цену сведений о химическом составе одного из образцов будем считать равной 100. В лаборатории одновременно хранится от 5 до 15 различных образцов, т. е. в среднем – 10.
Учитывая все это, стоимости выделенных в данной категории элементов информации составят 10*100=1000 и 10*10=100 соответственно (средняя стоимость сведений об одном образце умножается на среднее число образцов, одновременно находящихся в лаборатории).
Таблица 1.1 Расчет цен элементов информации
№ |
Наименование элемента информации |
Гриф конфиденциальности |
Цена информации на основании экспертной оценки (у. е.) |
1 |
Сведения о химическом составе образцов |
СК |
1000 |
2 |
Данные о названиях и параметрах образцов |
КТ |
100 |
2) Информация о результатах непосредственной деятельности лаборатории
Тут мною выделены следующие элементы защищаемой информации:
Записи о лабораторных исследованиях (протоколы испытаний) (№6).
Непосредственные результаты исследований (необработанные) (№7).
Комментарии и выводы по результатам испытаний (№8).
Учитывая объемы одновременно хранящейся в лаборатории документации и приняв цену одной страницы информации (примерно 2,5 Кбайт) за 1*К (коэффициент ценности информации), получим:
Таблица 1.2 Расчет цен элементов информации
№ |
Наименование элемента информации |
Гриф конфиденциальности |
Объем документов в электронном виде, стр. |
Объем документов на бумажных носителях, стр. |
Цена информации (у. е.) |
6 |
Записи о лабораторных исследованиях (протоколы испытаний) |
СК |
– |
200 |
160 |
8 |
Комментарии и выводы по результатам испытаний. |
КТ |
200 |
30 |
200* |
*информация на бумажных носителях дублирует часть информации в электронном виде
Не обработанные результаты исследований несут в себе ту же полезную информацию, что и комментарии и выводы, сделанные по ним, однако, чтобы получить информацию, результаты испытаний (в виде массивов цифр – показаний датчиков, хранящихся в двоичной форме на электронных ЗУ установок) необходимо еще соответствующим образом обработать. Поэтому, цену элемента информации №7 возьмем равной 80% цены элемента информации № 8 – 200*0,8=160 (у. е.).
Прочая информация.
Рассмотрим оставшиеся элементы защищаемой информации. Сначала те, объем документации по которым легко поддается оценке:
Таблица 1.3 Расчет цен элементов информации
№ |
Наименование элемента информации |
Гриф конфиденциальности |
Объем документов в электронном виде, стр. |
Объем документов на бумажных носителях, стр. |
Цена информации(у. е.) |
9 |
Сведения об основных направлениях работы |
СК |
10 |
10 |
12* |
14 |
Методики исследований, правила работы |
СК |
20 |
50 |
30* |
15 |
Данные о техническом устройстве используемого оборудования |
СК |
80 |
80 |
48* |
16 |
Сведения о ПО, используемом при диагностике лабораторного оборудования |
СК |
60 |
– |
36 |
17 |
Сведения о ПО, используемом при обработке результатов исследований |
СК |
30 |
– |
18 |
18 |
Данные о режиме и внутреннем распорядке работы лаборатории |
СК |
– |
15 |
18 |
19 |
Сведения о внутренней планировке лаборатории |
К |
– |
10 |
2 |
20 |
Сведения о расположении коммуникаций (вентиляция, электропроводка, отопление и т. д.) |
К |
– |
25 |
5 |
*информация на электронных и бумажных носителях дублируется
Большая часть указанной в вышеприведенной таблице документации примерно одного и того же плана – технические описания различных объектов или процессов. Поэтому, ценность этих сведений можно оценивать по одной и той же методике. Исключение составляют сведения о режиме и внутреннем распорядке работы лаборатории и данные об основных направлениях работы. Такого рода документы более информативны, и при расчете цены этих сведений объем документации умножался на два.
Несколько элементов информации составляют сведения, о приходе/уходе образцов в лабораторию, а также о том, какие образцы хранятся в помещении R4 в данный момент. Ценность этих элементов информации непосредственно связана со стоимостью сведений об образцах (зная что и когда поступает в лабораторию или хранится в ней, легче получить данные об интересующих кого-либо образцах). Возьмем цену каждого из таких элементов информации равной некоторой доле от цены сведений об образцах (элементы информации №1 и №2, суммарная цена – 1100). Доли определены на основании экспертной оценки:
Таблица 1.4 Расчет цен элементов информации
№ |
Наименование элемента информации |
Доля от стоимости сведений об образцах, % |
Цена элемента информации (у. е.) |
3 |
Список образцов, хранимых в помещении R4 в данный момент |
5 |
55
|
4 |
Данные о будущем поступлении образцов |
10 |
110 |
5 |
Порядок возвращения (уничтожения) не использованных во время испытаний образцов |
8 |
88
|
По такому же принципу оценим ценность информации о различных электронных кодах доступа (цена информации о коде равна 30% от стоимости той информации, доступ к которой обеспечивает этот код).
Таблица 1.5 Расчет цен элементов информации
№ |
Наименование элемента информации (сведения о каком-либо коде доступа) |
Сведения, доступ к которым обеспечивается данным кодом (указаны номера элементов в списке защищаемой информации) |
Цена этих сведений |
Цена элемента информации (у. е.) |
10 |
Коды для переноса данных с лабораторных установок на ПЭВМ |
№7 |
160 |
48
|
11 |
Код доступа к компьютеру начальника лаборатории, |
№7, 8, 9, 17 |
372 |
112 |
12 |
Пароли и логины для входа в ЛВС института и выхода в Internet |
Данные, не относящиеся к деятельности лаборатории, но представляющие ценность, которые можно получить из ЛВС института. Их стоимость взята равной 100. |
100 |
30 |
13 |
Код доступа к компьютеру в помещении R4 |
№ 14, 15, 16 |
90 |
27
|
Составим итоговую таблицу, которая будет содержать список элементов информации, подлежащих защите, оценку их ценности, а также источники, из которых эти элементы информации могут быть получены (источниками могут являться люди, документы на различных носителях, физические поля и материальные объекты). Эта таблица и будет представлять собой структурную модель объекта защиты. В случае, если в таблице не указано, на каких носителях хранятся документы, то подразумеваются бумажные носители. Если в колонке “Местонахождение источника информации” для документов указано только помещение, это означает, что данные документы часто используются (т. е. меняется их точное местоположение в помещении), как правило, такие документы находятся на рабочих местах сотрудников, в столах, либо в шкафах.
Таблица 2. Структурная модель объекта защиты
№ |
Наименование элемента информации |
Гриф конфиден-циальности |
Цена информации (у. е.) |
Источник информации |
Местонахождение источника (указаны номера помещений по экспликации) |
1 |
2 |
3 |
4 |
5 |
6 |
1 |
Сведения о химическом составе образцов |
КТ |
1000 |
Образцы (пробы) |
R1, R2 (лабораторные установки),R4 (вытяжные шкафы, система слива) |
Пары образцов |
R1,R4, системы вентиляции, вытяжки | ||||
Выхлопы лабораторных установок |
R1, системы вытяжки | ||||
2 |
Данные о названиях и параметрах образцов |
КТ |
100 |
Сопроводительные документы |
Столы, шкафы в R1,R3,R4 |
Отчетные документы |
R3 | ||||
Начальник лаборатории | |||||
Лаборанты |
R1 | ||||
3 |
Список образцов, хранимых в помещении R4 в данный момент |
СК |
55 |
Журнал поступления образцов |
R3,R4 |
Начальник лаборатории |
R3 | ||||
Лаборанты |
R1 | ||||
4 |
Данные о будущем поступлении образцов |
СК |
110 |
Документы с планами работ |
Стол в R3 |
Начальник лаборатории |
R3 | ||||
5 |
Порядок возвращения (уничтожения) неиспользованных образцов |
СК |
88 |
Соответствующая инструкция |
R3 (сейф) |
Начальник лаборатории |
R3 | ||||
Лаборанты |
R1 |
Таблица 2 (продолжение). Структурная модель объекта защиты
1 |
2 |
3 |
4 |
5 |
6 |
6 |
Записи о лабораторных исследованиях (протоколы лабораторных испытаний) |
СК |
160 |
Лабораторные журналы |
R1 |
R3 (сейф) | |||||
Лаборанты |
R1 | ||||
7 |
Непосредственные результаты исследований (необработанные) |
КТ |
160 |
Запоминающие устройства лабораторных установок |
R1,R2 |
Компьютерные файлы |
R3 (жесткие диски компьютера) | ||||
R3 (оптические диски –CD-RW) | |||||
ПЭМИН кабелей |
R3 | ||||
8 |
Комментарии и выводы по результатам испытаний |
КТ |
200 |
Файлы с отчетами |
R3 (жесткие диски компьютера), линия ЛВС |
ПЭМИН монитора, клавиатуры |
R3 | ||||
Отчетные документы | |||||
Начальник лаборатории | |||||
9 |
Сведения об основных направлениях работы |
СК |
12 |
Документы с планами работ |
R3 |
Файлы с планами работ |
R3 (жесткие диски компьютера) | ||||
ПЭМИН монитора, клавиатуры |
R3 | ||||
Начальник лаборатории | |||||
10 |
Коды для переноса данных с лабораторных установок на ПЭВМ |
CК |
48 |
Соответствующая инструкция |
R3 (сейф) |
Начальник лаборатории |
R3 | ||||
ПЭМИН клавиатуры, кнопочной панели на съемном ЗУ лабораторной установки |
Таблица 2 (продолжение). Структурная модель объекта защиты
1 |
2 |
3 |
4 |
5 |
6 |
11 |
Код доступа к компьютеру начальника лаборатории |
СК |
112 |
Список паролей и кодов |
R3 (сейф) |
Начальник лаборатории |
R3 | ||||
ПЭМИН клавиатуры | |||||
12 |
Пароли и логины для выхода в ЛВС института и интернет |
СК |
30 |
Список паролей и кодов |
R3 (сейф) |
Начальник лаборатории |
R3 | ||||
ПЭМИН клавиатуры | |||||
13 |
Код доступа к компьютеру в помещении техобслуживания |
СК |
27 |
Список паролей и кодов |
R3 (сейф) |
Начальник лаборатории |
R3 | ||||
Инженер по техобслуживанию лабораторного оборудования |
R2 | ||||
ПЭМИН клавиатуры | |||||
14 |
Методики исследований, правила работы |
К |
30 |
Внутренние документы по методике лабораторных испытаний |
R1,R3 |
Документация по оборудованию |
R2 (шкаф), R3 (сейф) | ||||
Электронная документация по оборудованию |
R2 (жесткий диск компьютера) | ||||
ПЭМИН монитора |
R2 | ||||
Персонал лаборатории |
Помещения лаборатории | ||||
15 |
Данные о техническом устройстве используемого оборудования |
СК |
48 |
Само оборудование. |
R1 , R2 |
Документация по оборудованию |
R2(стол), R3 (сейф) | ||||
Электронная документация по оборудованию |
R2 (жесткий диск компьютера) | ||||
ПЭМИН монитора |
R2 | ||||
Инженер по техобслуживанию лабораторного оборудования |
Таблица 2 (продолжение). Структурная модель объекта защиты
1 |
2 |
3 |
4 |
5 |
6 |
16 |
Сведения о ПО, используемом при диагностике лабораторного оборудования |
СК |
36 |
Файлы ПО |
R2 (жесткий диск компьютера), R3 (установочныйCD-ROMв сейфе) |
ПЭМИН монитора |
R2 | ||||
Начальник лаборатории |
R3 | ||||
Инженер по техобслуживанию установок |
R2 | ||||
17 |
Сведения о ПО, используемом при обработке результатов исследований |
СК |
18 |
Файлы ПО |
R3 (жесткий диск компьютера, установочный CD-ROMв сейфе) |
ПЭМИН монитора |
R3 | ||||
Начальник лаборатории |
R3 | ||||
18 |
Данные о режиме и внутреннем распорядке работы лаборатории |
СК |
18 |
Документы о внутреннем распорядке |
R1, R3, R4 |
Персонал лаборатории |
Помещения лаборатории | ||||
19 |
Сведения о внутренней планировке лаборатории |
К |
2 |
Помещения лаборатории |
Строение лаборатории |
Документация по лаборатории |
R3 (сейф) | ||||
Персонал лаборатории |
Помещения лаборатории | ||||
20 |
Сведения о расположении коммуникаций (вентиляция, электропроводка, отопление и т. д.) |
К |
5 |
Документация по лаборатории |
R3 (сейф) |
Стены и перекрытие лаборатории |
Строение лаборатории |