3. Моделирование объекта защиты
Моделирование объекта защиты включает в себя:
- структурирование защищаемой информации;
- построение структурной модели объекта защиты;
- построение пространственной модели объекта защиты
- разработку модели объекта защиты;
- разработка модели угроз безопасности информации.
Структурирование производится путем классификации защищаемой информации в соответствии с функциями, задачами и дальнейшей привязкой элементов информации к их носителям.
Для выбранного объекта защиты структурная модель (не детализированная) защищаемой информации, приведена ниже.
Как видно из структурной схемы в основном это бумажные и электронные документы а также речевая информация, содержащаяся в беседах сотрудников и телефонных разговорах.
3.1 Структурная модель
3.1.1 Грифы секретности
При организации режима защиты коммерческая фирма руководствуется законом "О коммерческой тайне", согласно которому и назначает грифы секретности конфиденциальной информации.
|
гриф секретности (сокращение) |
гриф секретности (полное название) |
описание грифа секретности |
|
ДСП |
Для Служебного пользования |
Имеет наименьшую секретность, назначается в основном внутренним документам |
|
К |
Конфиденциально |
Назначается всем документам, содержащим сведения, полученные от клиентов в рамках аудита и наиболее важным внутренним документам |
|
СК |
Строго Конфиденциально |
Имеет наивысшую секретность, назначается документам, содержащим выводы и результаты проделанных аудиторских операций. Разглашение документов с этим грифом может иметь самые тяжкие последствия, вплоть до банкротства фирмы. |
3.1.2 Расчет цены защищаемой информации
Для определения стоимости защищаемой информации используются два подхода. Первый состоит в оценке стоимости информации по стоимости ущерба, который будет причинен при потере или разглашении защищаемой информации, в этом случае цена информации назначается методом экспертной оценки. Второй подход состоит в вычислении стоимости информации исходя из её объема и стоимости единицы информации (1 килобайт, 1страница и др.). Рассмотрим подробнее оба подхода.
Согласно первому подходу, следующие элементы информации после проведения экспертной оценки получили заявленную стоимость:
|
№ |
наименование элемента информации |
цена элемента информации, руб |
примечание |
|
1.2.1 |
Сведения о кредитно-инвестиционной деятельности клиентов |
500 000 |
равна ущербу от потери заключенного контракта на проведение аудита |
|
1.2.2 |
Финансовая документация клиентов |
500 000 |
равна ущербу от потери заключенного контракта на проведение аудита |
|
1.2.3 |
Сведения об организационной структуре клиентов |
500 000 |
равна ущербу от потери заключенного контракта на проведение аудита |
|
1.2.4 |
Иная информация, предоставленная клиентами в рамках аудита |
500 000 |
равна ущербу от потери заключенного контракта на проведение аудита |
|
1.2.5 |
Иная информация о клиентах, полученная из неафишируемых источников |
50 000 |
равна стоимостной доли (до 10%) информации, получаемой из этих источников |
|
1.4.1 |
Промежуточные и предварительные результат аудиторских проверок клиента |
500 000 |
равна ущербу от потери заключенного контракта на проведение аудита |
|
1.4.2 |
Итоговые результаты аудиторской проверки клиентов, подготовленные для них |
500 000 |
равна ущербу от потери заключенного контракта на проведение аудита |
|
1.4.3 |
Результаты аудиторской проверки клиента, для внутреннего пользования |
200 000 |
равна себестоимости работ по проведению аудиторской проверки |
|
1.1.7 |
Сведения о не афишируемых источниках информации, задействованных в рамках ведения аудиторской деятельности |
50 000 |
Равна потери информации от этих источников, до 10% от общего объема информации |
|
1.3.2 |
Разработанные методические указания по методам проведения аудита |
200 000 |
равна себестоимости работ по проведению аудиторской проверки |
|
1.3.3 |
Исходные коды и работающие версии ПО, разработанного для проведения аудита |
200 000 |
равна себестоимости работ по проведению аудиторской проверки |
В рамках второго подхода стоимость информации вычисляется по общему объему информации V, по стоимости единицы информации C0 и коэффициенту информативности К. Коэффициент информативности означает долю полезной информации в общем объеме информации, например для документов широко распространенной программы MS Word К=20%, именно столько занимает сам текст, оставшиеся 80% - служебная информация программы.
Эмпирическим путем определены коэффициенты информативности для наиболее распространенных объектов, содержащих информацию:
|
объект, содержащий информацию |
К |
примечание |
|
Текст договора, соглашения или иного официального документа |
25% |
на 75% приходится повторяющаяся информация, общие фразы и формулировки |
|
Схема, таблица, чертеж, технический рисунок |
90% |
что подтверждает "лучше один раз увидеть чем сто раз услышать" |
|
электронный документ, подготовленный в текстовом процессоре |
20% |
например MS Word, OpenOffice и др. |
|
электронная база данных различного ПО |
85% |
форматы специально разработанные для хранения значительных объемов данных, например DBF,MDBи др. |
|
исходный код ПО в виде листинга (распечатки) |
90% |
10% - комментарии |
|
речь человека |
30% |
без учета эмоциональной составляющей |
Согласно второму подходу эти элементы информации были оценены:
|
№ |
наименование элемента информации |
Расчет цены информации | |||
|
С0, руб/Мб. |
V (Мб) |
К |
С=С0∙V∙K | ||
|
1.1.1 |
стратегический план развития фирмы |
10 000 |
20 |
20% |
40 000 |
|
1.1.2 |
внутренняя кадровая информация |
15 |
500 |
85% |
6500 |
|
1.1.3 |
внутренняя финансовая документация |
18 |
1000 |
85% |
15300 |
|
1.1.4 |
сведения о достигнутых соглашениях и договоренностях |
100 |
300 |
25% |
7500 |
|
1.1.5 |
планы встреч и поездок руководства |
300 |
100 |
30% |
9 000 |
|
1.1.6 |
Сведения по внутренней безопасности фирмы |
400 |
500 |
25% |
50 000 |
|
1.4.4 |
Архив проведенных аудиторских операций |
15 |
10000 |
85% |
127500 |
В итоге, структурная детализированная структурная модель защищаемой информации, представленная в виде таблицы будет иметь вид:
|
№ |
наименование элемента информации |
гриф конфид. |
цена информации |
наименование источника информации |
местонахождение источника информации |
|
1.1.1 |
стратегический план развития фирмы |
К |
40 000 |
Руководство фирмы, бумажные и электронные документы |
кабинет руководства, сейф и ПЭВМ в кабинете руководства |
|
1.1.2 |
внутренняя кадровая информация |
ДСП |
6 500 |
Бумажные и электронные документы, БД кадрового ПО |
сейф и ПЭВМ в приемной, сейф и ПЭВМ в кабинете руководства |
|
1.1.3 |
внутренняя финансовая документация |
ДСП |
15 300 |
Гл.бухгалтер, бумажные и электронные документы, БД бухгалтерского ПО |
Рабочий стол, шкаф, сейф и ПЭВМ гл. бухгалтера |
|
1.1.4 |
сведения о достигнутых соглашениях и договоренностях |
К |
7 500 |
Руководство фирмы, бумажные документы. |
Рабочий стол, сейф и ПЭВМ в кабинете руководства |
|
1.1.5 |
планы встреч и поездок руководства |
ДСП |
9 000 |
Руководство фирмы, секретарь, бумажные и электронные документы |
Кабинет руководства, приемная, рабочие столы и ПЭВМ руководства и секретаря |
|
1.1.6 |
Сведения по внутренней безопасности фирмы |
ДСП |
50 000 |
Руководство фирмы, бумажные и электронные документы |
Рабочий стол, сейф и ПЭВМ в кабинете руководства |
|
1.1.7 |
Сведения о не афишируемых источниках информации, используемых в рамках ведения аудиторской деятельности |
К |
50 000 |
Руководство, сотрудники групп информационного обеспечения, бумажные и электронные документы |
Сейф и ПЭВМ в кабинете руководства и группы информационного обеспечения |
|
1.2.1 |
Сведения о кредитно-инвестиционной деятельности клиентов, предоставленные ими для проведения аудита |
К |
500 000 |
Сотрудники группы кредитно-инвестиционного аудита, бумажные и электронные документы |
Сейфы в хранилище документов; сейфы, рабочие столы и ПЭВМ в кабинете группы кредитно-инвестиционного аудита |
|
1.2.2 |
Финансовая документация клиентов, предоставленная ими в рамках аудита |
К |
500 000 |
Сотрудники группы финансового аудита, бумажные и электронные документы |
Сейфы в хранилище документов; сейфы, рабочие столы и ПЭВМ в кабинете группы финансового аудита |
|
1.2.3 |
Сведения об организационной структуре клиентов, предоставленные ими для проведения аудиторской проверки |
К |
500 000 |
Сотрудники группы организационного аудита, бумажные и электронные документы |
Сейфы в хранилище документов; сейфы, рабочие столы и ПЭВМ в кабинете группы организационного аудита |
|
1.2.4 |
Иная информация, предоставленная клиентами для проведения аудиторской проверки |
К |
500 000 |
Руководство, сотрудники групп аудита, бумажные и электронные документы |
Сейфы в хранилище документов; сейфы, рабочие столы и ПЭВМ в кабинетах групп аудита и руководства |
|
1.2.5 |
Иная информация о клиентах, полученная из неафишируемых источников при проведении аудиторской проверки |
К |
500 000 |
Руководство, начальники групп аудита |
Сейфы в хранилище документов; сейфы, рабочие столы и ПЭВМ в кабинетах руководства и групп аудита |
|
1.3.2 |
Разработанные методические указания по проведению аудита |
ДСП |
200 000 |
Бумажные и электронные документы в группах аудита |
Шкафы, сейфы и ПЭВМ в кабинетах групп аудита |
|
1.3.3 |
Исходные коды и работающие версии ПО, разработанного для проведения аудита |
ДСП |
200 000 |
ПЭВМ |
ПЭВМ группы информационного и технического обеспечения, ПЭВМ рабочих групп |
|
1.4.1 |
Промежуточные и предварительные результаты аудиторских проверок клиента |
СК |
500 000 |
Руководство, начальники групп аудита, бумажные и электронные документы |
Кабинеты руководства и групп аудита, сейфы, рабочие столы и ПЭВМ в кабинетах групп аудита |
|
1.4.2 |
Итоговые результаты аудиторской проверки клиентов, для клиента |
СК |
500 000 |
Руководство, бумажные и электронные документы |
Кабинет руководства, сейф и ПЭВМ в кабинете руководства |
|
1.4.3 |
Результаты аудиторской проверки клиента, для внутреннего пользования |
СК |
200 000 |
бумажные и электронные документы |
Сейф и ПЭВМ в кабинете руководства, сейфы в хранилище документов |
|
1.4.4 |
Архив проведенных аудиторских операций |
СК |
127 500 |
бумажные и электронные документы |
сейфы и шкафы в помещении архива |
Таким образом, было проведена классификация и структурирование информации в соответствии с функциями, задачами и структурой организации, в результате чего защищаемая информация была представлена в виде отдельных элементов информации.