- •Выводы ……………………………………………………………………...
- •1. Моделирование объекта защиты
- •1 . 1 Структурная модель объекта защиты
- •Где о – объём защищаемой информации, Кбайт; Оциф – объём защищаемой информации на цифровом носителе в Кб;
- •1.2. Пространственная модель объекта защиты
- •2.1. Модель способов физического проникновения злоумышленника к источникам информации
- •2.2. Моделирование технических каналов утечки информации
1. Моделирование объекта защиты
1 . 1 Структурная модель объекта защиты
Первым шагом в построении системы защиты информации является построение структурной модели объекта защиты. Для этого, в свою очередь, необходимо выбрать элементы информации, подлежащие защите. Все выбранные мной элементы информации можно распределить по трем категориям: экономическая информация, сведения о деятельности фирмы и данные о разработке ПО. Так как фирма – коммерческая организация, то, для категорирования информации по важности введено три грифа конфиденциальности. Каждому грифу конфиденциальности информации соответствует своя цена за единицу информации (Кбайт) в условных единицах:
Конфиденциально – 0.5
Строго конфиденциально – 0.7
Коммерческая тайна - 1
Источником информации может выступать физическое лицо, материальный объект или физическое поле. Проще говоря, это могут быть сотрудники фирмы, бумажные источники и электронные файлы на различных носителях.
Цена защищаемой информации (в условных единицах) либо определяется экспертной оценкой исходя из ущерба, наносимого фирме при ее утечке, либо вычисляется по формуле:
Ц=О*Цк,
где Ц – цена защищаемой информации;
О – объём защищаемой информации, Кбайт;
Цк – цена за 1 Кбайт информации.
Объём защищаемой информации определяется по формуле:
О=Оциф + Обум*Остр,
Где о – объём защищаемой информации, Кбайт; Оциф – объём защищаемой информации на цифровом носителе в Кб;
Обум – объём защищаемой информации на бумажном носителе в страницах;
Остр – средний объём информации на 1 стр. из 4 тыс. знаков, равен
2,5 Кб.
Эта формула справедлива, если информация на магнитных и бумажных носителях отличается друг от друга. В некоторых случаях информация дублирована, поэтому нужно учитывать объем информации, содержащейся в одном из ее источников. Определим цену информации, объем которой поддается экспертной оценке:
Таблица 1. Расчет цен информации
№ |
Наименование элемента информации |
Гриф конфиденциальности |
Оциф, Кб |
Обум, стр |
Цена |
3 |
База данных заказчиков, партнеров, субподрядчиков фирмы |
Строго конфиденциально |
100 |
50 |
157 |
5 |
База данных сотрудников фирмы |
Строго конфиденциально |
300 |
– |
210 |
6 |
Сводный список правил и внутреннего распорядка дня |
Конфиденциально |
- |
10 |
12,5 |
7 |
Архив контрактов, заключенных с сотрудниками |
Строго конфиденциально |
- |
600 |
1 050 |
8 |
Сведения о распределении прибыли между сотрудниками |
Строго конфиденциально |
- |
30 |
52,5 |
9 |
Информация о сформированных рабочих группах |
Конфиденциально |
- |
20 |
25 |
11 |
Список программных средств, используемых в разработке ПО |
Конфиденциально |
20 480 |
700 |
11 115 |
12 |
Сведения об аппаратных средствах, поддерживающих разрабатываемое ПО |
Строго конфиденциально |
- |
30 |
52,5 |
14 |
Данные об альфа- и бета- версиях ПО, результатах тестирования |
Коммерческая тайна |
20 480 |
- |
20 480 |
15 |
Базы исходных данных, необходимых для разрабатываемого ПО |
Строго конфиденциально |
10 240 |
- |
7 168 |
16 |
Информация о сопровождении ПО |
Конфиденциально |
200 |
- |
100 |
17 |
Архив различных версий разрабатываемого ПО |
Коммерческая тайна |
20 480 |
- |
20 480 |
18 |
Базы справочных данных |
Конфиденциально |
5 120 |
- |
2 560 |
Информация, относящаяся к коммерческой тайне, несмотря на возможный малый объем, представляет большую ценность, поэтому ее цену необходимо определить с помощью экспертной оценки, основываясь на уже определенной цене других элементов информации.
Таблица 2. Структурная модель объекта защиты
№ |
Наименование элемента информации |
Гриф конфиденциальности |
Цена информации, у.е. |
Наименование источника информации |
Место нахождения источника информации |
1 |
2 |
3 |
4 |
5 |
6 |
1 |
Сведения об экономическом состоянии фирмы |
Коммерческая тайна |
100 000 |
Главный бухгалтер, директор, электронные таблицы, графики и бумажные документы |
Жесткие диски компьютеров директора и главного бухгалтера сейфы 1 и 3 |
2 |
Информация об экономической и маркетинговой политике фирмы |
Коммерческая тайна |
100 000 |
Главный бухгалтер, директор, электронные документы и таблицы |
Жесткие диски компьютеров директора и сотрудников бухгалтерии, |
3 |
База данных заказчиков, партнеров, субподрядчиков фирмы |
Строго конфиденциально |
157 |
Главный бухгалтер, директор, электронные таблицы и бумажные документы |
Жесткие диски компьютеров директора, секретаря, сотрудников бухгалтерии, сейфы 1 и 3 |
4 |
Архив заключенных, выполненных контрактов |
Коммерческая тайна |
50 000 |
Электронные и бумажные документы |
Жесткие диски компьютеров директора и главного бухгалтера сейфы 1 и 3 |
5 |
База данных сотрудников фирмы |
Строго конфиденциально |
210 |
Электронная база данных и бумажный архив |
Жесткие диски компьютеров директора, секретаря и главного бухгалтера, сейф 3 |
6 |
Сводный список правил и внутреннего распорядка дня |
Конфиденциально |
12,5 |
Бумажные документы, сотрудники |
Шкафы в техотделе, бухгалтерии,приемной |
7 |
Архив контрактов, заключенных с сотрудниками |
Строго конфиденциально |
1 050 |
Электронные и бумажные документы |
Компьютер директора, сейф 1 |
8 |
Сведения о распределении прибыли между сотрудниками |
Строго конфиденциально |
52,5 |
Электронные таблицы и бумажные документы |
Компьютер главного бухгалтера, сейф 3 |
9 |
Информация о сформированных рабочих группах |
Конфиденциально |
25 |
Бумажные документы, сотрудники |
Шкафы в техотделе и бухгалтерии |
10 |
Список отсутствующих сотрудников, сроки их отсутствия |
Конфиденциально |
10 000 |
Сотрудники, командировочные и больничные листы |
Шкафы в бухгалтерии, приемной |
11 |
Список программных средств, используемых в разработке ПО |
Конфиденциально |
11 115 |
Сотрудники техотдела, бумажные справочные материалы, электронные файлы |
Документы, CD-ROMв шкафах в техотделе |
12 |
Сведения об аппаратных средствах, поддерживающих разрабатываемое ПО |
Строго конфиденциально |
52,5 |
Сотрудники техотдела, технические задания |
Сейф 2 |
13 |
Сведения и типе, области применения, требованиях к разрабатываемому ПО |
Коммерческая тайна |
100 000 |
Сотрудники техотдела, технические задания, электронные таблицы |
Сейф 2, жесткие диски на компьютере главного инженера |
14 |
Данные об альфа- и бета- версиях ПО, результатах тестирования |
Коммерческая тайна |
20 480 |
Сотрудники техотдела, электронные таблицы и исполняемые файлы |
Жесткие диски на компьютерах сотрудников техотдела |
15 |
Базы исходных данных, необходимых для разрабатываемого ПО |
Строго конфиденциально |
7 168 |
Электронные базы данных, таблицы, двоичные файлы |
Жесткие диски на компьютерах сотрудников техотдела |
16 |
Информация о сопровождении ПО |
Конфиденциально |
100 |
Электронные таблицы, документы |
Жесткие диски на компьютерах сотрудников техотдела |
17 |
Архив различных версий разрабатываемого ПО |
Коммерческая тайна |
20 480 |
Исполняемые файлы, электронные справочные системы |
Жесткие диски на компьютерах сотрудников техотдела, CD-ROMв шкафах техотдела |
18 |
Базы справочных данных |
Конфиденциально |
2 560 |
Электронные документы и справочные системы |
Жесткие диски на компьютерах сотрудников техотдела, CD-ROMв шкафах техотдела |
19 |
Телефонные переговоры |
Конфиденциально |
10 000 |
Сотрудники фирмы |
Кабинет директора, бухгалтерия, техотдел, приемная |
20 |
Конфиденциальные сведения в разговорах сотрудников |
Строго конфиденциально |
30 000 |
Сотрудники фирмы |
Кабинет директора, бухгалтерия, техотдел, приемная, конференц-зал |
Расположение источников информации можно определить по плану этажа (Приложение 1), пользуясь расшифровкой условных обозначений (Приложение 3).