- •Выводы ……………………………………………………………………...
- •1. Моделирование объекта защиты
- •1 . 1 Структурная модель объекта защиты
- •Где о – объём защищаемой информации, Кбайт; Оциф – объём защищаемой информации на цифровом носителе в Кб;
- •1.2. Пространственная модель объекта защиты
- •2.1. Модель способов физического проникновения злоумышленника к источникам информации
- •2.2. Моделирование технических каналов утечки информации
2.1. Модель способов физического проникновения злоумышленника к источникам информации
На этом этапе рассматриваются всевозможные пути непосредственного доступа к информации путем физического проникновения в помещение. цена элементов информации взята из Таблицы 1. Путь злоумышленника показан последовательностью условных обозначений окон (О) , дверей (Д) и заканчивается в комнате (К), в которой расположен источник соответствующего элемента информации в соответствии с Приложениями 1,3. Величина угрозы находится по формуле:
Ву=Ор*Ц,
где Ву – величина угрозы, у.е.;
Ор – оценка реальности пути;
Ц – цена элемента информации. у.е.
Оценка реальности пути показывает, насколько сложно осуществить тот или иной путь. Она определяется экспертной оценкой из следующих соображений:
1. Чем путь длиннее, тем менее он вероятен.
2. Проникнуть в окно труднее, чем проникнуть в дверь.
3. Проникнуть через железную дверь сложнее, чем через деревянную.
4. Проникнуть через зарешеченное окно сложнее, чем через обычное.
Рассматривая пути с такой точки зрения, можно распределить их по трем группам: наиболее вероятные, вероятные, маловероятные. Соответственно вероятности проникновения пусть будут 0,7; 0,4; 0,1.
Ранжирование угроз производится по следующему способу: величины угроз разбиваются на интервалы, каждому интервалу соответствует свой ранг угрозы, см. Таблицу 4 (1 – самая высокая угроза, 4 самая малая угроза).
Таблица 4 – Ранжирование угроз
-
Интервал величины угрозы
Ранг угрозы
1 … 100
4
100 … 1000
3
1000 … 10 000
2
10 000 … 100 000
1
В первую очередь необходимо улучшить защиту тех элементов информации, которым соответствует ранг 1. Модель способов физического проникновения злоумышленника к источникам информации представлена в Таблице 5.
Таблица 5. Модель способов физического проникновения
Номер и наименование элемента информации |
Цена информации, у.е. |
Путь проникновения злоумышленника |
Оценка реальности пути |
Величина угрозы, у.е. |
Ранг угрозы |
1 |
2 |
3 |
4 |
5 |
6 |
1.Сведения об экономическом состоянии фирмы |
100 000 |
1. О2-К4 2. О1-Д3-Д4-К4 3. О3-К5 4. О4-Д7-К5 |
0,4 0,4 0,4 0,7 |
70 000 |
1 |
2. Информация об экономической и маркетинговой политике фирмы |
100 000 |
1. О2-К4 2. Д1-Д2-Д3-Д4-К4 3. О3-К5 4. Д1-Д2-Д3-Д7-К5 |
0,4 0,1 0,4 0,1 |
40 000 |
1 |
3. База данных заказчиков, партнеров, субподрядчиков фирмы |
157 |
1. О1-К2 2. Д1-Д2-К2 3. О2-К4 4. О3-К5 |
0,7 0,1 0,4 0,4 |
109,9 |
3 |
4. Архив заключенных, выполненных контрактов |
50 000 |
1. О2-К4 2. Д1-Д2-Д3-Д4-К4 3. О3-К5 4. О4-Д7-К5 |
0,4 0,1 0,4 0,7 |
35 000 |
1 |
5. База данных сотрудников фирмы |
210 |
1. Д1-Д2-К2 2. Д1-Д2-Д3-Д4-К4 3. О4-Д7-К5 |
0,1 0,1 0,7 |
147 |
3 |
6. Сводный список правил и внутреннего распорядка дня |
12,5 |
1. Д1-Д2-К2 2. О2-К4 3. О2-Д4-Д5-К3 4. Д1-Д2-Д3-Д5-К3 |
0,1 0,4 0,4 0,1 |
5 |
4 |
7. Архив контрактов, заключенных с сотрудниками |
1 050 |
1. О3-К5 2. О4-Д7-К5 3. Д1-Д2-Д3-Д7-К5 |
0,4 0,7 0,1 |
735 |
3 |
8. Сведения о распределении прибыли между сотрудниками |
52,5 |
1. О2-К4 2. Д1-Д2-Д3-Д4-К4 3. О4-Д4- К4 |
0,4 0,1 0,7 |
36,75 |
4 |
9. Информация о сформированных рабочих группах |
25 |
1. О2-К4 2. О4-Д4-К4 3. О4-Д5-К3 4. Д1-Д2-Д3-Д5-К3
|
0,4 0,7 0,7 0,1 |
4,375 |
4 |
10. Список отсутствующих сотрудников, сроки их отсутствия |
10 000 |
1. О2-К4 2. О4-Д4-К4 3. О1-К2 4. Д1-Д2-К2 |
0,4 0,4 0,7 0,1 |
7 000 |
2 |
11. Список программных средств, используемых в разработке ПО |
11 115 |
1. Д1-Д2-Д3-Д5-К3 2. О1-Д3-Д5-К3 3. О4-Д5-К3 4. О2-Д4-Д5-К3
|
0,1 0,4 0,7 0,4 |
7605 |
2 |
12. Сведения об аппаратных средствах, поддерживающих разрабатываемое ПО |
52,5 |
1. Д1-Д2-Д3-Д5-К3 2. О1-Д3-Д5-К3 3. О4-Д5-К3 4. О2-Д4-Д5-К3 |
0,1 0,4 0,7 0,4 |
36,75 |
4 |
13. Сведения и типе, области применения, требованиях к разрабатываемому ПО |
100 000 |
1. Д1-Д2-К2 2. О2-Д4-Д5-К3 3. Д1-Д2-Д3-Д5-К3 |
0,1 0,4 0,1 |
40 000 |
1 |
14. Данные об альфа- и бета- версиях ПО, результатах тестирования |
20 480 |
1. Д1-Д2-Д3-Д5-К3 2. О1-Д3-Д5-К3 3. О4-Д5-К3 4. О2-Д4-Д5-К3 |
0,1 0,4 0,7 0,4 |
14336 |
1 |
15. Базы исходных данных, необходимых для разрабатываемого ПО |
7 168 |
1. Д1-Д2-Д3-Д5-К3 2. О1-Д3-Д5-К3 3. О4-Д5-К3 4. О2-Д4-Д5-К3 |
0,1 0,4 0,7 0,4 |
5017,6 |
2 |
16. Информация о сопровождении ПО |
100 |
1. Д1-Д2-К2 2. О4-Д3-К2 3. О4-Д5-К3 4. О2-Д4-Д5-К3 |
0,1 0,7 0,7 0,4 |
70 |
4 |
17. Архив различных версий разрабатываемого ПО |
20 480 |
1. Д1-Д2-Д3-Д5-К3 2. О1-Д3-Д5-К3 3. О4-Д5-К3 4. О2-Д4-Д5-К3 |
0,1 0,4 0,7 0,4 |
14336 |
1 |
18. Базы справочных данных |
2 560 |
1. Д1-Д2-Д3-Д5-К3 2. О1-Д3-Д5-К3 3. О4-Д5-К3 4. О2-Д4-Д5-К3 |
0,1 0,4 0,7 0,4 |
1792 |
2 |