125 Кібербезпека / 4 Курс / 4.2_Управління інформаційною безпекою / Лiтература / Навчальний посібник. Інформаційна безпека. Кавун С.В
..pdf
не як сукупність окремих елементів деякої множини, а як взаємопов'язану структуру елементів, яку можна описати (узявши за основу модель із джерела [47]) у вигляді чотиридольного графа (рис.
3.3).
У матричному представленні вершини графа системи об'єктів захисту представляються чотирма векторами R , Rф, RИ і RП, елементи яких виражають ваги (відносну цінність) об'єктів відповідних груп. Міжгрупові взаємозв'язки, що відображаються дугами графа, виражаються наступними матрицями:
Елф – бінарна прямокутна матриця розмірності N1 × N2 (N1 – кількість користувачів, N2 – кількість носіїв об'єктів захисту), що описує простір доступу персоналу до носіїв (1 – дозволений доступ, 0 – немає доступу);
|
|
|
|
Множина |
|
|
|
|
|
|
|
|
|
|
Множина |
||||||
|
|
|
|
носіїв R ф |
|
|
|
|
|
|
|
|
|
програмних |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
об’єктів |
|||||||
|
|
|
|
|
|
ф |
|
|
|
|
|
|
|
|
|
|
|
|
|
R п |
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
|
|
|
|
|
0 |
0 |
|
|
|
r п |
|||||
|
|
|
|
|
rф |
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
|
|
|
|
|
|
|
|
|
|
|
Eпф 0 |
|
|
|
|
|
r2п |
||||||
|
|
|
|
|
2 |
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
rф |
|
|
|
|
|
0 |
1 |
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
1 |
0 |
N2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
r п |
||
|
|
|
|
|
|
|
1 |
0 |
|
|
|
|
|
|
|||||||
|
|
Eлф |
|
|
|
|
|
Eиф |
|
|
|
|
|
|
N4 |
||||||
|
|
0 |
|
|
|
|
0 |
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0 |
|
|
|
|
|
|
|
|
|
|
|
|
1 |
|
0 |
|
||
|
|
|
1 |
|
|
|
|
|
|
1 |
0 |
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Персонал |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Eпи |
0 |
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
0 |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
п |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
R |
|
Eлп |
0 |
|
|
|
|
|
|
|
|
|
|
|
1 |
|
0 |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
r |
л |
|
|
|
|
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
1 |
|
|
|
|
|
|
|
|
r1и |
|
|
|
|
|
|||||||
r |
л |
|
|
|
|
|
|
|
|
|
|
|
Множина |
|
|
||||||
|
|
|
|
|
|
0 |
0 |
|
|
|
|||||||||||
2 |
|
|
|
|
|
|
|
|
|
и |
інформаційних |
||||||||||
|
|
|
|
Eли |
0 |
|
|
|
r |
||||||||||||
|
|
|
|
|
|
|
|
|
|
и |
|||||||||||
|
|
|
|
|
|
|
2 |
|
об’єктів R |
||||||||||||
л |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
rN1 |
|
|
|
|
|
|
1 |
1 |
|
r и |
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
N3 |
|
|
|
|
|
||
Доступ до …
Розміщено на … 
Під керівництвом …
Рис. 3.3. Структурна модель системи об’єктів захисту
Ели – бінарна прямокутна матриця розмірності N1 × N3 (N3 – кількість інформаційних об'єктів), що описує простір доступу персоналу до інформаційних ресурсів системи (1 – є доступ, 0 – немає доступу);
Елп – бінарна прямокутна матриця розмірності N1 × N4 (N4 – кількість програмних об'єктів), що описує простір доступу персоналу до об'єктів програмного забезпечення системи (1 – є доступ, 0 – немає доступу);
Еиф – бінарна прямокутна матриця розмірності N2 × N3, що описує простір розміщення інформаційних ресурсів на носіях (1 – розміщено, 0 – не розміщено);
Епф – бінарна прямокутна матриця розмірності N2 × N4, що описує простір розміщення ПЗ на носіях (1 – розміщено, 0 – не розміщено);
Епи – бінарна прямокутна матриця розмірності N3 × N4, що описує простір керування ПЗ інформаційними об'єктами системи (1 – керує, 0 – не керує).
Вагові коефіцієнти r(и,п,ф, л) визначаються таким чином:
|
|
(и,п,ф,л) |
(и,п,ф,л) |
(и,п,ф,л) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
i 1,M, M |
N , N |
|
, N |
|
, N |
|
|
|
|||||||
|
|
ri |
rисх i |
rсис i |
|
, |
2 |
3 |
4 |
, |
(3.1) |
|||||||
|
|
|
|
|
|
|
|
|
1 |
|
|
|
||||||
де |
r(и,п,ф, л) |
– вага об'єкта, |
що |
визначається |
як |
відносна |
|
фінансова |
||||||||||
исх |
|
|||||||||||||||||
|
|
|||||||||||||||||
вартість об'єкта до загальних фінансових витрат на придбання об'єктів того ж роду;
r(и,п,ф, л) |
– вага об'єкта в конкретній ІС з урахуванням взаємозв'язків |
||
сис |
|||
|
|||
усіх елементів. |
|
|
|
Системні ваги |
r(и,п,ф, л) |
можна визначити, використовуючи наступні |
|
сис |
|||
|
|||
твердження:
чим більше і з більшою вагою користувачів мають доступ до інформаційного об'єкта, тим вища його цінність і значущість в ІС;
чим більше і більш цінних інформаційних ресурсів знаходиться під керуванням даного об'єкта ПЗ, тим більш цінним і важливим є дане програмне забезпечення;
чим більше і більш цінних інформаційних і програмних об'єктів розміщено на даному фізичному об'єкті, тим вищою є його цінність в ІС;
чим до більшого числа найбільш цінних інформаційних, програмних і фізичних об'єктів має доступ користувач, тим вище його вага (значущість в ІС).
Дані твердження реалізуються наступними співвідношеннями [37]:
R л |
1 |
|
|
1 |
|
E л ф Rф |
|
1 |
E л и Rи |
|
1 |
E л п |
Rп |
; |
||||||
|
|
|
|
|
|
|
|
|
|
|
||||||||||
сис |
|
|
|
|
|
|
сис |
|
N3 |
|
|
сис |
N4 |
сис |
|
|||||
|
3 |
|
|
N2 |
|
|
|
|
|
|
|
|
||||||||
Rсисф |
|
1 |
|
|
1 |
E иф |
|
Rсиси |
1 |
|
E пф |
Rсисп |
; |
|
||||||
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
2 |
|
N 3 |
|
|
|
|
|
N 4 |
|
|
|
|
|
|||||
|
(Rсисп )T |
|
1 |
|
|
Rсиси |
Т E пи ; |
|
|
|||||||||||
|
N 3 |
|
|
|||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
(3.2)
(3.3)
(3.4)
(Rсиси )T |
|
1 |
|
Rсисл |
Т E л и . |
|
N1 |
||||
|
|
|
(3.5) |
||
|
|
|
|
|
|
Наведені співвідношення |
(3.2 |
– |
3.5) визначають рекурсивну |
||
процедуру взаємного обліку вагових коефіцієнтів під час їх обчислення за різними групами об'єктів захисту ІС. На першому кроці значення rсис передбачаються рівними одиниці, після обчислення ітеративної процедури, що сходиться, виходять підсумкові системні ваги об'єктів захисту.
Координати векторів R є відносними ваговими коефіцієнтами, що виражають значущість відповідних об'єктів для функціонування ІС організації. Абсолютні ж показники цих об'єктів (їх вартість, вектор-
стовпець R(r1, r2 , , rN2 ) ) визначаються таким чином:
r( л,ф,п,и ) |
Y ( л,ф,п,и ) |
r |
( л,ф,п,и ) |
|
|
|
|
|
|
|
i |
|
, i 1, M , M N , N |
, N |
, N |
|
, |
||||
М |
|
4 |
||||||||
i |
|
1 2 |
3 |
|
|
|||||
|
|
|
r( л,ф,п,и ) |
|
|
|
|
|||
|
|
|
j |
|
|
|
|
|||
j 1 |
(3.6) |
|
де Y(л,ф,п,и) – вартість відповідних об'єктів організації, яка визначається методом експертних оцінок.
Аналогічно розраховуються координати векторів R л і R п .
Як підсумок, після проведення робіт відповідно до першого етапу побудови СЗІ необхідно мати наступні документи (табл. 3.1).
Таблиця 3.3
Перелік необхідних документів до першого етапу побудови СЗІ
№ |
Найменування документа |
Примітка |
|
з/п |
|||
|
|
||
|
|
|
|
1 |
Перелік відомостей, які містять інформацію |
|
|
з обмеженим доступом і підлягають захисту |
|
||
|
|
||
|
|
|
|
2 |
Перелік відкритих відомостей організації, що |
Якщо такі відомості |
|
потребують захисту їх цілісності та доступності |
визначені |
||
|
|||
|
|
|
|
3 |
Перелік виділених приміщень, автоматизованих |
|
|
систем та інших об'єктів, на яких циркулює ІПЗ |
|
||
|
|
||
|
|
|
№ |
Найменування документа |
Примітка |
|
з/п |
|||
|
|
||
|
|
|
|
|
(об’єктів інформаційної діяльності – ОІД) |
|
|
|
|
|
|
4 |
Акти категорювання виділених об'єктів |
За кількістю |
|
|
виділених об'єктів |
||
|
|
||
|
|
|
|
|
Акт встановлення меж контрольованої зони з |
|
|
5 |
додатком Плану контрольованої зони, для якої |
|
|
|
здійснюється ТЗІ |
|
|
|
|
|
|
|
Акти обстеження виділених об'єктів з додатком |
В акті описуються |
|
|
протоколів проведення спеціальних вимірювань |
ОТЗ, ДТСЗ, наявні |
|
6 |
на предмет наявності несанкціонованих |
засоби ТЗІ, |
|
перетворень у технічних засобах |
наводяться усі |
||
|
|||
|
|
необхідні плани й |
|
|
|
схеми |
|
|
|
|
3.3. Методика розробки ПБ
Загальні відомості. ПБ є юридичним документом (поряд з уставом організації), прийнятим на підприємстві й затвердженому директором або радою директорів із відповідними юридичними реквізитами (підписом і печаткою). Розробляє ПБ адміністратор, хоча це не є його прямим обов'язком, і узгоджується з юристом (у плані коректності й відповідності законодавству) і може в окремих випадках із начальником відділу безпеки підприємства (не обов'язково).
Загальним принципом ПБ на підприємстві є заборона всіх видів доступу, дій і операцій, які не дозволені явно в розробленій ПБ. Тобто, якщо немає спеціального дозволу на проведення конкретних дій (операцій) або використання конкретних мережних ресурсів, то такі дії, або таке використання заборонені, а особи, які їх здійснюють, підлягають покаранню.
Звичайно, ПБ складається із двох основних частин:
1.Політика для роботи в окремій мережі.
2.Політика для роботи в міжмережному середовищі.
Щодо реалізації ПБ визначають межі відповідальності й звітності, описаної в наступних розділах. ПБ визначає відповідальних посадових осіб за реалізацію ПБ, до яких вона застосовна.
Область дії ПБ застосовна до всіх підрозділів підприємства її офісів, а також до всіх спонсорів і ділових партнерів. Підрозділам рекомендується уточнити загальні рекомендації в тій мірі, у якій вони застосовні до них, але доповнення до політики не повинні конфліктувати з основними рекомендаціями ПБ. У випадку суперечки щодо інтерпретації або реалізації локальної політики стосовно загального ПБ, останнє слово
– за відділом безпеки підприємства. Відповідальність за виконання ПБ покладає на начальника служби безпеки й адміністратора підприємства й/або на інших осіб верхньої ланки керування. Уточнення й інтерпретації ПБ можуть бути отримані у відділі безпеки у випадках очевидного конфлікту між локальними вимогами й різними тлумаченнями положень основних ПБ.
Реалізація ПБ. Кожна посадова особа й службовець підприємства, що адмініструє або використовує мережні й інші ресурси, відповідає за суворе дотримання розробленої ПБ. Кожний користувач зобов'язаний повідомляти про підозрювані або реальні уразливі місця (загрози) у безпеці системи своєму безпосередньому керівнику (менеджерові) або адміністраторові. У підприємства є своя група залагоджування інцидентів із комп'ютерною безпекою (ГУІКБ), що повинна повідомляти керівництво в обов'язковому порядку про основні інциденти, за яких відбулися компрометація, неправильне використання або псування інформаційних цінностей підприємства. Підрозділам (відділам) рекомендується організовувати свої локальні ГУІКБ для більше швидкого виявлення уразливих місць у захисті та їхнього усунення. Хоча співробітники, що входять до ГУІКБ, мають свої основні посадові обов'язки, питання безпеки мають пріоритет стосовно них. Керівники підрозділів повинні призначати своїх співробітників до складу ГУІКБ при виникненні інциденту, і звільняти від основних обов'язків до кінця розслідування.
Опис політики. У цій частині ПБ зазначаються положення й критерії, які визначають її в тій мірі, у якій вона застосовна до кожного об'єкта й суб'єкта на підприємстві. Частина, що ставиться до мереж, включає критерії, які повинні бути виконані для Інтернет із погляду безпеки.
Мережі. Інтернет складається з мереж, тому ПБ, рівною мірою застосовується до всіх мережних компонентів. Мережа, що не є частиною Інтернет, не має засобу захисту, повинна дотримувати вимог
внутрішньої мережний ПБ. Така мережа не містить точки ризику і є захищеною.
Інтереси підприємства. Мережні ресурси підприємства існують лише для того, щоб підтримувати її діяльність. У деяких випадках важко провести риску між інтересами підприємства (службовими інтересами) та іншими інтересами. Система конференцій і електронної пошти Інтернет є прикладами змішання інтересів підприємства й особистих інтересів співробітників щодо використання цих ресурсів. Підприємство розуміє, що спроби використання обмежень типу ―тільки в інтересах підприємства‖ у цих випадках безглузді. Тому необхідно дати рекомендації, а не суворі вимоги щодо інформаційних ресурсів, які служать для вирішення завдань, що стоять не тільки перед підприємством. Керівники відділів мають право ухвалити рішення щодо допустимості використання мережних ресурсів співробітниками для вирішення завдань, відмінних від службових, у тому випадку, якщо при цьому підвищується ефективність роботи даного співробітника. З
іншого боку менеджери повинні перешкоджати некоректному використанню мережних і інших ресурсів як для особистих цілей, так і для цілей відпочинку й розваги співробітників. Мережні адміністратори повинні повідомляти про інциденти керівнику відділу безпеки, пов'язані із підозрюваним або доведеним використанням інформаційних ресурсів не за призначенням.
Принцип “знай тільки те, що ти повинен знати для роботи”.
Доступ до інформаційних цінностей підприємства не буде здійснений, якщо не виникне необхідності в такій інформації. Це означає, що критична інформація повинна бути захищена таким чином, щоб вона була невідома основній масі співробітників. У певних випадках може виявитися необхідність перетворити мережу таким чином, щоб навколо критичних інформаційних цінностей був створений периметр безпеки за допомогою технічних і організаційних мір.
Розробка ПБ ведеться тільки після виходу відповідного наказу на підприємстві, де регламентуються права й можливості адміністратора на етапі розробки. При цьому в наказі на розробку ПБ повинен указуватися рівень доступу адміністратора до робочих місць користувачів і в інші приміщення, а також доступ до різних категорій інформації, наприклад, у режимі перегляду файлів і папок. Зверніть увагу, що доступ забезпечується до категорій інформації, а не до її змісту. У середньому на
побудову ПБ на досить великому підприємстві повинно виділятися до 3-х місяців.
Увесь процес побудови ПБ можна розділити на 3 етапи:
1.Аналіз даних, інформації, цілей реалізації.
2.Властива розробка ПБ, результатом якої є створений юридичний документ.
3.Впровадження, зокрема, доведення обов'язків посадових осіб (під підпис), реєстрація у відділі кадрів і ін.
ПБ повинна реалізовуватися в не більше ніж трьох екземплярах, які відповідно зберігаються в юриста (копія), адміністратора й директора (копія й, до того ж, необов'язкова).
На першому етапі на кожному робочому місці користувача пропонується збирати наступну інформацію:
1.Місце розташування або топологічна прив'язка вузлів мережі до схеми приміщення.
2.Характеристики приміщень, кімнат, залів, ангарів, будинків, поверхів і т. д.
3.Технологічні норми й нормативи щодо розміщення робочого місця користувача, наприклад, відстань монітора від протилежного монітора або користувача й т. д.
4.Параметри й характеристики ПК.
5.Список користувачів, що працюють на ПК і їхні права доступу.
6.Категорії інформації, використовуваної на робочому місці, що в підсумку повинна бути кваліфікована із прив'язкою до організаційноштатної структури підприємства.
7.Типи груп користувачів, передбачуваних для використання в мережі, які обґрунтовуються й регламентуються в ПБ із обліком на подальше використання й розширення. При цьому адміністратору дозволяється додавання нових і зміна існуючих типів груп, пов'язаних із реорганізацією компанії.
Уся термінологія в ПБ повинна бути описана заздалегідь грамотно з юридичної й технічної точки зору. У ПБ має бути регламентована в окремому пункті її доля, наприклад, у випадку звільнення адміністратора ПБ втрачати свою юридичну чинність, оскільки адміністратор є її розроблювачем.
Обов'язки посадових осіб, що охоплюють усі сфери діяльності співробітника, регламентуються в ПБ в окремих розділах для кожної
категорії. Тут указуються права, обов'язки, перелік заборонених операцій і дій, а також можливі види санкцій, застосовуваних до співробітника. При цьому перелік останніх указується в ПБ окремою статтею, з узгодженням керівництва. Наприклад, це може бути список штрафних санкцій у вигляді утримання коштів, залежно від міри порушення, а також вказівки на відповідні нормативні законодавчі акти для більш серйозних порушень.
Таким чином, політика мережної безпеки на підприємстві розподіляє відповідальність за її реалізацію й підтримку між конкретними посадовими особами. Вона визначає обов'язки кожного службовця компанії при використанні мережних і інших ресурсів і необхідності повідомляти про уразливі місця в системі безпеки. Вона також установлює, що загальною політикою є – заборонено все, що явно не дозволено. Тобто, якщо діяльність або вид доступу не можуть бути знайдені або визначені в цьому документі, то вони заборонені.
За доробку ПБ відповідає особу, що займається розробкою даного документа, у міру того як потреба в безпеці й технології мережної взаємодії змінюються. Директиви, що втримуються в ПБ, повинні бути завжди інтерпретовані як наказ директора підприємства.
Методика побудови ПБ
Побудову ПБ можна реалізувати наступним алгоритмом.
1. На першому кроці необхідно скласти організаційно-штатну структуру (ОШС) підприємства (рис. 3.4) на підставі даних, наданих відділом кадрів, з узгодженням у керівництва. Дана ОШС буде основою для розробки логічної структури. ОШС наочніше за все встановити у вигляді схеми (Сх1) із зазначенням спрямованості підпорядкованості, наприклад (рис. 3.4).
Директор
|
|
|
Головний економіст |
|
Головний бухгалтер |
|
|
|
|
|
|
|
Планово- |
|
Відділ праці |
|
Фінансовий |
|
||
|
економічни |
|
та |
|
відділ |
|
||
|
й відділ |
|
заробітної |
|
|
|
|
|
|
|
|
|
плати |
|
|
|
|
|
|
|
|
|
|
|
|
Бюро |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
фінансового |
|
|
|
|
|
|
|
|
планування |
|
|
Бюро |
Бюро |
|
Постачально- |
||||
|
|
фінансове бюро |
||||||
|
планування |
|
||||||
|
планування праці |
|||||||
|
|
|
||||||
|
виробництва |
|
||||||
|
|
|
|
|
|
|||
|
Бюро |
Бюро |
|
Фінансово- |
||||
|
|
збутове бюро |
||||||
|
нормування |
|
||||||
|
собівартості та |
|
|
|
||||
|
праці |
|
|
|
||||
|
ціноутворювання |
|
|
|
||||
|
|
|
|
|
|
|||
|
|
|
|
Бюро |
|
|
|
|
|
Бюро |
матеріального |
||||||
|
хозрозрахунку |
стимулювання |
||||||
|
Цехові |
Бюро соцзмагань та |
||||||
|
колективних договорів |
|||||||
|
економічні органі |
|||||||
|
|
|
|
|
|
|||
|
виконавці |
|
|
|
|
|
||
Бухгалтерія
Бюро
матеріального
обліку
Бюро обліку основних фондів
Бюро обліку заробітної плати
Бюро обліку продуктивності
Вільнобалансове бюро
Лабораторія НОТ
Лабораторія
економічного
аналізу
Рис. 3.4. ОШС підприємства
2. На підставі Сх1 будується перша матриця інформаційних потоків (Мип) і вузлів електронної обробки, що прив'язується до топологічної схеми мережі (табл. 3.2).
Таблиця 3.2
Матриця інформаційних потоків (Мип) і вузлів електронної обробки
№ вузла |
Вузол № 1 |
Вузол № 2 |
….... |
Вузол № n |
|
№ вузла |
|||||
|
|
|
|
||
|
|
|
|
|
№ вузла |
Вузол № 1 |
Вузол № 2 |
….... |
Вузол № n |
|
№ вузла |
|||||
|
|
|
|
||
|
|
|
|
|
|
Вузол № 1 |
Обробка |
….... |
….... |
Доповідь |
|
документів |
начальникові |
||||
|
|
|
|||
|
|
|
|
|
|
Вузол № 2 |
….... |
….... |
….... |
….... |
|
|
|
|
|
|
|
….... |
….... |
Обробка |
….... |
….... |
|
документів |
|||||
|
|
|
|
||
|
|
|
|
|
|
Вузол № n |
Доповідь |
….... |
….... |
….... |
|
начальникові |
|||||
|
|
|
|
||
|
|
|
|
|
3. На підставі матриці Мип робиться друга матриця, що описує топологічний зв'язок (Мтс) об'єктів і суб'єктів (фізичне з'єднання, реальне розташування вузлів, вікон, дверей, розташування робочих місць, габарити). Виноситься в додаток із грифом. При цьому вказується все використовуване мережне комунікаційне устаткування (рис. 3.5).
Рис. 3.5. Матриця топологічного зв’язку
4. Третя матриця створюється на 1-му етапі й називається матриця категорування типів інформації – Мки. Це двовимірна матриця, де по одній осі вказуються всі типи інформації (комерційна, службова й ін.), по іншій – об'єкти, співробітники (табл. 3.3).
Таблиця 3.3
Матриця категорування типів інформації