Моделирование объектов защиты
Для того, чтобы начать моделировать объекты защиты, необходимо получить исходные данные, содержащие семантическую и признаковую информацию и составляющие либо коммерческую тайну, либо просто не предназначенную для распространения. Источники защищаемой информации как правило определяют путём её структурирования. Существуют и другие пути, например составление списков допущенных к закрытой информации должностных лиц, документов, продукции и других источников закрытой информации. Но вполне очевидно, что такой подход к определению источников закрытой информации не даёт гарантии , что будут учтены все источники информации.
Структурирование информации — это многоуровневый процесс детализации и конкретизации тематических вопросов перечней сведений. Например — в перечне сведений «перспективные разработки» имеет какой-либо крупный тематический вопрос, который на более нижнем уровне иерархии делится на «направления разработок», ниже — тематика направлений, потом разработчики, задействованные документы. Процесс структурирования продолжается до того уровня иерархии, на котором информация о конкретном вопросе будет содержаться в одном источнике (должностном лице, документе, продукции). Одни и те же источники могут содержать информацию разных тематических вопросов, а информация по некоторым тематическим вопросам может пересекаться.
Структурированная информация представляется в виде графа и таблицы. Верхний (нулевой) уровень графа соответствует понятию «защищаемая информация», а нижний (n-ный) — информация одного источника из всего перечня защищаемой информации. На основе графа составляется таблица, пример которой представлен ниже:
№ источника информации | Наименование источника информации | Вид информации источника | Гриф конфиденциальности | Цена информации | Контролируемая зона, в которой находится источник информации |
1 | 2 | 3 | 4 | 5 | 6 |
... | ... | ... | ... | ... | ... |
№ источника информации не подразумевает просто порядковый номер документа. Он отображает номер тематического вопроса в структуре информации. Количество знаков номера — это количество уровней в структуре, а каждая цифра — порядковый номер тематического вопроса на рассматриваемом уровне среди вопросов, относящихся к одному тематическому вопросу на предыдущем уровне.
Для примера рассмотрим номер источника информации — 1423. Это говорит о том, что источник содержит данные о 3-ем тематическом вопросе (цифра 3) на 4-ом уровне (позиция тройки в числе, если считать слева), входящем во 2-ой обобщённый вопрос (цифра 2) 3-его уровня (двойка стоит 3-я слева), который, в свою очередь, является частью 4-ого тематического вопроса (цифра 4) на 2-ом уровне (позиция четвёрки в числе), представляющего собой вопрос 1-ой темы 1-ого уровня. Несколько запутано, но общую схему можно представить для себя в виде древовидной структуры:
Далее по таблице — во втором столбце указывается наименование источника информации,в графах 3-5 — характеристики: вид, гриф, стоимостная оценка. В столбец 6 заносится контролируемая зона, где может находится (храниться или обрабатываться) защищаемая информация.
Задача моделирования источников информации заключается в объективном описании источников конфиденциальной информации в рамках реально существующей и действующей системы защиты. Знание места расположения источника позволит точнее описать/смоделировать условия обеспечения защиты информации.
Описание источников информации подразумевает указание пространственного расположения источников и факторов (условий), влияющих на защищённость содержащейся в источниках информации.
Моделирование объектов защиты выполняется на основе моделей защищаемых зон с указанием мест нахождения источников информации: общей территории, этажей зданий, планов отдельных помещений. На планах помещений необходимо указать места расположения заграждений, экранов, труб отопления и водопровода, вентиляции, элементов интерьера, а так же других конструктивных элементов, затрудняющих, или наоборот — способствующих, передаче информации. Так же важно указать места размещения и зоны действия технических средств охраны и охранного видеонаблюдения. Как правило, основной объём источников информации находится в служебных помещениях, поэтому целесообразно результаты их обследования объединить в таблице, пример которой указан ниже.
№ | Параметр | свойства/особенности | ||||
1 | Название помещения | |||||
2 | Этаж | Площадь, м2 | ||||
3 | Окна в помещении | Указать количество окон, наличие штор на окнах | Направление окон | Указать, куда выходят окна (внутр.двор, наружу и т.д.) | ||
4 | Двери | кол-во, одинарные или двойные | Куда выходят двери | Коридор, соседний кабинет, на улицу... | ||
5 | Соседние помещения | названия, толщина стен | ||||
6 | Помещение над потолком | название, толщина перекрытий | ||||
7 | Помещение под полом | название, толщина перекрытий | ||||
8 | Вентиляционные отверстия | места размещения, размеры | ||||
9 | Батареи отопления | типы, куда выходят трубы | ||||
10 | Цепи электропитания | Напряжение, количество розеток электропитания, входящих и выходящих кабелей | ||||
11 | Телефон | Типы, места установки телефонных апаратов, тип кабеля | ||||
12 | Радиотрансляция | Типы громкоговорителей, места установки | ||||
13 | Электрические часы | Тип, куда выходит кабель электрических часов | ||||
14 | Бытовые радиосредства | Радиоприёмники, телевизоры, аудио- и видеомагнитофоны, их количество и типы | ||||
15 | Бытовые электроприборы | Вентиляторы и др., места их размещения | ||||
16 | ПК | Количество, типы, состав, места размещения | ||||
17 | Технические средства охраны | Типы и места установки извещателей, зоны действия излучений | ||||
18 | Системы охранного видеонаблюдения | Места установки, типы и зоны наблюдения | ||||
19 | Пожарная сигнализация | Типы извещателей, схемы соединения и вывода шлейфа | ||||
20 | Другие средства |
На планах этажей указываются схемы трубопроводов, вентиляции, кабелей телефонной и локальной сетей, места размещения технических средств охраны, «области зрения» камер охранного видеонаблюдения.
На плане территории организации необходимо отметить места нахождения зданий, КПП, забора, граничащие с территорией здания и улицы, расположения и зоны действия технических средств охраны,системы видеонаблюдения и наружного освещения. Модель объектов защиты — это набор чертежей, таблиц и комментарии к ним, содержащие следующие данные:
- полный перечень источников информации и стоимость этой информации
- описание характеристик, способных оказать влияние на защищённость информации
- описание потенциальных источников угроз информации
На первом этапе проводится оценка уровня защищённости источников информации. Данные моделирования объектов защиты — это необходимые данные для следующего этапа — моделирования угроз.