Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Технiчнi засоби охорони об’єктiв
|
|
2.1 Завдання
o Моделювання об’єкту захисту
o Побудова структурною моделi об’єкта захисту
o Побудова просторова моделi об’єкта захисту
o Моделювання загроз безпецi інформації
2.2 Моделювання об’єкту захисту
З позицiї системного пiдходу сукупнiсть взаємопов’язаних елементiв, що функцiонують з метою забезпечення безпеки iнформацiї, утворюють систему захисту iнформацiї. Такими елементами є люди, тобто керівники спiвробiтники служби безпеки; об’єкт захисту, представляє собою будiвлю, iнженернi конструкцiї, засоби обчислювальної технiки, технiчнi засоби захисту iнформацiї та контролю її ефективностi. Проектування необхiдної системи захисту iнформацiї починається з системного аналiзу iснуючої системи захисту iнформацiї, який включає:
а) моделювання об’єкту захисту:
– визначення джерел iнформацiї, що захищається (люди, документи, фiзичнi поля, матерiальнi об’єкти);
– опис просторового розташування основних мiсць розташування джерел iнформацiї, що захищається;
б) моделювання загроз безпецi інформації:
– моделювання фiзичного проникнення зловмисника до джерел iнформації;
– моделювання технiчних каналiв витоку
Для створення повної моделi об’єкта захисту необхiдно для початку визначити ту iнформацiю, яку необхiдно захищати, тому необхiдно провести
її структурування.
Структурування iнформацiї здiйснюється шляхом класифiкацiї iнформацiї у вiдповiдностi з функцiями, завданнями i структурою органiзацiї з прив’язкою елементiв iнформацiї до її джерел. Деталiзацiю iнформацiї доцільно проводити до рiвня, на якому елементу iнформацiї вiдповiдає одне джерело.
Моделювання полягає в аналiзi на основi просторових моделей можливих шляхiв розповсюдження iнформацiї за межi контрольованої зони.
Моделювання об’єкту захисту починається з побудови структурної моделi.
Для цього видiляється iнформацiя, що пiдлягає захисту. Т.к. фiрма комерцiйна, то для опису рiвня секретностi використовується три грифу конфiденцiйностi: конфiденцiйно, строго конфiденцiйно i комерцiйна таємниця. Гриф конфiденцiйностi використовується для розрахунку цiни iнформацiї.
Виберемо наступнi цiни одиницi iнформацiї (Кб) в залежностi вiд грифу конфiденцiйностi:
Комерцiйна таємниця – 1
Строго конфiденцiйно – 0, 6
Конфiденцiйно – 0, 3
Iснує кiлька способiв обчислення цiни інформації.
Ціна інформації може обчислюватися залежно від збитку, що буде заподіяний фірми при її витоку. У цьому випадку ціна інформації встановлюється методом експертних оцінок.
Ціна інформації також може обчислюватися по загальному обсязі інформації по формулі:
(2.1)
де, Ц – цiна iнформацiї, О – обсяг iнформацiї у Кб, – цiна iнформацiї за 1 Кб.
Обсяг iнформацiї в Кб може бути обчислений як:
(2.2)
де, – обсяг iнформацiї, – обсяг iнформацiї в паперовому виглядi, – середнiй обсяг iнформацiї на однiй сторiнцi.
Середній обсяг інформації в сторінці розміром А4 для шрифту кеглем 14 становить приблизно 4 тисячі знаків, що становить 4 Кб. З огляду на те, що аркуші практично не бувають заповненими повністю, можна прийняти середній обсяг інформації в 2, 5 Кб на сторінку.
Необхідно врахувати, що інформація а паперовому й цифровому виді не повинна дублювати одна одну, тобто в цій формулі враховується тільки обсяг унікальної інформації. Також необхідно застосувати для обчислення обсяг корисної інформації, тобто інформації в чистому виді, тому що іноді невелика кількість інформації може займати значний обсяг. Особливо це характерно для електронної інформації.
Для обліку корисної інформації введемо «Коефіцієнт корисної цифрової інформації» (КК). У базі даних обсягом 2 Мб може втримуватися всього 100Кб корисної інформації – весь інший обсяг займають службові дані, що не мають практичної цінності. У цьому випадку «КК цифрової інформації» буде становити 
. Наприклад, в MsWord при створенні документа без графічних картинок «КК цифрової інформації» буде становити не більше 15%.
Очевидно, що не всі елементи інформації мають однакову вартість, тому обчислювати ціну інформацію можна тільки для інформації, що має гриф конфіденційно. Для такої інформації обчислення методом експертних оцінок буде неефективним, і обчислення за допомогою застосування обсягу інформації буде мати незначну погрішність. У всіх інших випадках ціна інформації визначається методом експертних оцінок.
Для суворо конфiденцiйної iнформацiї та iнформацiї, що становить комерцiйну таємницю, цiна iнформацiї заповнюється методом експертних оцiнок. За отриманими даними можна заповнити таблицю.
Таблиця 2.1 – Розрахунок вартості захищаємої інформації.
| Найменування елемента інформації | Гриф конфіденційності | Обсяг інформації в електронному вигляді | КП циф. інф. | Обсяг інформації в паперовому вигляді | Ціна, грн. |
| Особисті відомості про співробітників фірми | К | 3030 Кб | 20% | 215 стр. | |
| Відомості про заробітну плату працівників | К | 500 Кб | 30% | Дублює ел. інформацію | |
Продовження таблиці 2.1 – Розрахунок вартості захищаємої інформації. | |||||
| Вiдомостi про результати надання послуг | К | 2565 Кб | 50 % | Дублює ел. інформацію | |
| Вiдомостi про виробничi возможности пiдпрiємства | К | 5080 Кб | 50% | 80 стор. | |
| Відомості про взаємовідносини з банком | К | 500 Кб | 40% | Дублює ел. інформацію | |
| Відомості про рекламу підприємства | К | 100 Кб | 30% | Дублює ел. інформацію | |
| Планово- аналiтiчнi матерiали за поточний перiод | К | 15030 Кб | 20% | 50 стор | |
| Відомості про клієнтів і партнерів | КТ | 550 Кб | 20% | Дублює ел. інформацію | |
| Відомості про плани протидії конкурентам | КТ | 450 Кб | 40% | Дублює ел. інформацію | |
| Відомості про фінансові операції | СК | 400 Кб | 45% | Дублює ел. інформацію | |
| Відомості про наміри розширення підприємства | СК | 650 Кб | 40% | Дублює ел. інформацію | |
|
Таблиця 2.2 – Структурна модель підприємства
| ||||||||||||||||||||||||
| Вiдомостi про плани протидiї конкурентам | К | 16075 грн | Компютер та паперові документи в шкафу | В кабінеті бухгалтера | ||||||||||||||||||||
| Відомості про взаємовідносини з банком | КТ | 2000 грн | Компютер та паперові документи в шкафу | В кабінеті ген.директора | ||||||||||||||||||||
| Відомості про клієнтів і партнерів | КТ | 2500 грн | Компютер, папери в сейфі | Сейф і комп'ютер в кабінеті директора | ||||||||||||||||||||
| Відомості про фінансові операції | СК | 37400 грн | Компютер, папери в шафі | Шафа і комп'ютер в кабінеті бухгалтера | ||||||||||||||||||||
| Відомості про наміри розширення підприємства | СК | 29500 грн | Компютер, папери в шафі | Комп'ютери, шафи в кабінеті начальника тех.відділа | ||||||||||||||||||||
2.3 Просторова модель об’єкта захисту
Просторова модель об'єкта – це модель просторовихзон з вказаним місцем розташування джерел інформації, що захищається.
План приміщення представлений у розділі 1. На плані зазначені двері, вікна, розташування робочих місць, персональних комп'ютерів, телефонів, шаф і сейфів, кондиціонери, а також показана телефонна, мережева, силова проводки, водопровiд.
Інформація по опису об'єкта захисту структурована в таблицю.
Таблиця 2.3 – Опис об’єкта захисту
| № | Назва приміщення | ПП «СервісIнфо» | ||
| Поверх | Девятий поверх | |||
| Вікна | ||||
| Двері | Всього 21 дверей: 1 скляна – центральний вхід 4 залізних – кабінет директора, кабінет начальника по безпеці, начальник тех. відділу, гараж. 13 дерев'яних – міжкімнатні | |||
| Сусідні приміщення | присутні | |||
| Приміщення над стелею | відсутнє | |||
| Приміщення під підлогою | присутнє | |||
| Вентиляція | Вентиляційні отвори в туалетах та кімнаті для відпочинку | |||
| Батареї опалення | розміщені уздовж деяких вікон | |||
Закінчення таблиці 2.3 – Опис об’єкта захисту | ||||
| Ланцюги електроживлення | 24 електророзеток, підключення через внутрішній електрощит із захисними фільтрами в загальний силовий кабель Напруга – 220 В, | |||
| Телефон | 7 телефонів | |||
| Радіотрансляція | відсутня | |||
| Електронні годинники | відсутня | |||
| Побутові радіозасоби | відсутня | |||
| Побутові електроприлади | 1 кондиціонер в кабінеті директора 1 кавоварка у кімнаті відпочинку 1 телевізор у кімнаті відпочинку | |||
| ПК | 18 ПК на архітектрурі Intel x86: 1 в кабінеті директора, 1 в кабінеті юриста 1 в кабінеті начальника безпеки 1 у бухгалтера 5 у ІТ-відділі 2 у відділі допомоги 3 у відділі по реалізації товару 2 у відділі кадрів 1 у секретаря | |||
| Технічні засоби охорони | відсутня | |||
| Телевізійні засоби спостереження | відсутня | |||
| Пожежна сигналізація | відсутня | |||
| Інші засоби | відсутня |
2.4 Моделювання загроз безпецi інформації
Моделювання загроз безпеки інформації передбачає аналіз способів її розкладання, змін або знищення з метою оцінки збитку.
Моделювання загроз передбачає:
- моделювання способів фізичного проникнення зловмисника до джерел інформації;
- моделювання технічних каналів витоку інформації.
Дія зловмисника по добування інформації й матеріальних цінностей визначається поставленими цілями й завданнями, мотивацією, кваліфікацією й технічною оснащеністю. Прогноз способів фізичного проникнення варто почати із з’ясування, кому потрібно інформація, що захищається. Для створення моделі зловмисника необхідно подумки програти з позиції зловмисника варіанти проникнення до джерел інформації. Чим більше при цьому буде враховано факторів, що випливають на ефективність проникнення, тим вище буде ймовірність відповідності моделі реальній практиці. В умовах відсутності інформації про зловмисника краще переоцінити погрозу, хоча це може привести до збільшенню витрат.
Нам необхiдно змоделювати рiзнi способи фiзичного проникнення зловмисника та доступу його до захищається iнформацiї. Найменування елементiв iнформацiї та їх цiна береться з таблицi 2.2. Кiмната призначеннязалежить вiд мiсцерозташування елемента iнформацiї.
дверима. Вiн складається з послiдовностi вiкон (w) i дверей (d), якi потрiбно подолати зловмиснику для досягнення мети.
Реальність шляху є ймовірність вибору зловмисником цього шляху. Вона визначається методом експертних оцінок. Імовірність залежить від простоти реалізації безпосередньо цього шляху проникнення. Очевидно, що через деякі вікна й двері легше проникнути, тому враховувалося кілька міркувань:
1 проникнути легше через вікно, що виходить на вулицю, ніж через вікно, що виходить у внутрішній двір будівлі;
2 проникнутилегше через двері, ніж через вікно;
3 легше проникнути у вікно, що не містить додаткових засобів захист, ніж у вікно із гратами;
4 проникнути легше через звичайні двері, ніж через залізну;
5 к вікно першого поверху легше забратися, ніж у вікно другого (тому що впритул до будинку не прилягають будь-які будинки й немає пожежних сходів, дах перебуває під контролером; також грати на вікнах першого поверху вертикалі, тобто забратися по них на другий поверх неможливо);
6 чим більше потрібно минути перешкод, тим шлях менш імовірний.
Залежно від цих міркувань вибирається оцінка реальності шляху: для малоймовірних шляхів вона дорівнює 0, 1, для ймовірних – 0, 5, для найбільш імовірних – 0, 9.
Величину загрози знаходимо за формулою:
(2.3)
де, 
– величина загрози, – оцiнка реальностi, – цiна iнформацiї.[2] Пiслязнаходження величини загрози необхiдно провести ранжування. Вибираєморiзнi ранги для бiльш точного визначення важливостi захисту даного елемента iнформацiї. Значення величини загрози для кожного рангу наведенi втаблицi 2.4. Пiсля отримання всiх значень заповнюється таблиця 2.5.
Таблиця 2.4 – Значення величини загроз для кожного рангу
| Интервал величины угрозы | |||
30 000 – 
| |||
| 10 000 – 29 999 | |||
| 1 000 – 9 999 | |||
| 100 – 999 | |||
| 50 – 99 | |||
| 1 – 49 |
Таблиця 2.5 – Структура й приклад моделі способів фізичного проникнення порушника.
| № | Найменування елемента інформації | Ціна інформації | Ціль (кімната) | Шлях проникнення зловмисника | Оцінка реальності шляху | Величина загрози в умовних одиницях | Ранг загрози |
| Відомості про клієнтів і партнерів | R1 | 1.w1 2.d20– d1 | 0.9 0.5 | ||||
| Відомості про плани протидії конкурентам | R8 | 1.w1-d8 2. d20– d8 3.d13– d12-d8 | 0.5 0.3 0.1 | ||||
| Відомості пор фінансові операції | R8 | 1.w1-d8 2. d20– d8 3.d13– d12-d8 | 0.5 0.3 0.1 | ||||
| Вiдомостi про систему безпеки | R11 | 1.d20-d11 2.w5– d5– d11 3.w4– d4– d11 | 0.5 0.2 0.2 | ||||
| Відомості про наміри розширення підприємства | R2 | 1.w2 2. d20– d2 3.w1– d2 | 0.9 0.5 0.1 | ||||
| Відомості про заробітну плату працівників | R5 | 1.w5 2.d20– d5 3.w4-d4-d5 | 0.9 0.5 0.1 | ||||
| Відомості про взаємовідносини з банком | R1 | 1.w1 2.d20– d1 | 0.9 0.5 |
Таблиця 2.6 – Формування пропозицій поліпшення захищеності приміщення
| № | Найменування елемента інформації | Ранг загрози | Пропозиції щодо покращення захисту | |
| Відомості про клієнтів і партнерів | 1.Встановлення високоякісних броньованих дверей у кабінет директора.відділ кадрів та бухгалтера. 2. Встановлення грат на вікно у кабінеті директора, кабінеті начальника тех.відділа, та відділа кадрів. | 1.Встановлення датчиків руху у приміщеннях підприємства 2.Встановленя датчиків пожежного сповіщення у приміщеннях підприємства 3.Встановлення камер спостереження у приміщеннях підприємства | ||
| Відомості про плани протидії конкурентам | ||||
| Вiдомостi про систему безпеки | ||||
| Відомості пор фінансові операції | ||||
| Відомості про наміри розширення підприємства | ||||
| Відомості про заробітну плату працівників | ||||
| Відомості про взаємовідносини з банком |