Моделирование объекта защиты и угроз безопасности информации

Уфимский Государственный Авиационный  Технический Университет

 

 

 

 

 

 

 

 

 

Курсовой проект по ИТЗИ:

 

«Моделирование объекта защиты и 

угроз безопасности информации»

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Выполнил:

Черников А.И.

ЗИ-313

 

Проверила:

к.т.н., доцент

Машкина И.В.

 

 

 

 

 

- Уфа, 2003 г. -

Содержание  проекта:

 

1. Цель работы.……………………………………………………  3
2. Описание объекта защиты……………………………………  4
3. Моделирование объекта защиты…………………………….  5
1. Структурная модель.............................................................  6
2. Пространственная модель………………………………..  12
4. Моделирование угроз безопасности информации................ 15
1. Моделирование способов физического…………………. 16 
   проникновения
2. Моделирование технических каналов ………………….  21 
   утечки информации
5. Технические средства защиты от …………………………… 31 
   оптического канала утечки
6. Выводы о проделанной работе.................................................. 34
7. Список использованной литературы………………………... 35

 

Приложения:

Приложения 1: План здания (1 этаж)

Приложение 2: План здания (2 этаж)

Приложение 3: Условные обозначения

Приложение 4: Первый этаж  
            (путь проникновения)

Приложение 5: Второй этаж

                                            (путь проникновения)

Приложение 6: План территории

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1 Цель работы

 

Несомненно, общество за последний век претерпело значительные изменения. Металл, электричество, нефть, – наиболее важные ресурсы – постепенно вытесняются другим видом ресур-сов – информацией.

Развитие средств вычислительной техники и глобальных сетей дают человеку, владеющему информацией, огромную власть. Изречение У. Черчилля: «Тот, кто владеет информацией – владеет Миром» - обрели пугающий смысл лишь в наше время. Естественно, что доступ к информации должен быть ограничен.

Проблема защиты информации существовала всегда, но в настоящее время из-за огромного скачка научно-технического прогресса она прибрела особую актуальность. Наша цель, как специалистов, заключается в овладении всего спектра приемов и способов защиты информации, научится моделировать и проектировать системы защиты информации.

Целью данного курсового  проекта является построение как  можно более полной модели объекта  защиты с последующим моделированием угроз безопасности информации.

Это должно научить нас  всесторонне анализировать объект защиты с целью выявления наиболее опасных каналов утечки информации в настоящей работе.

 

 

2 Описание  объекта защиты

 

Для моделирования объекта  защиты было выбрано реально существующее предприятие ЗАО «ТД Корвет», занимающееся оптовой торговлей  продуктов питания. Фирма занимается коммерческой деятельностью.

Данное предприятие  является самым крупным поставщиком  чая и сладостей в республике Башкортостан с годовым оборотом более 50 млн. рублей. Учитывая этот факт, можно с уверенностью сказать, что  сведения, циркулирующие в фирме, представляют большую ценность для конкурентов.

Фирма расположена в  кирпичном двухэтажном здании, две  стороны которого выходят на дорогу. Две остальные стороны выходят  во внутренний двор банка «Социнвест».

На крышу здания можно  попасть только со 2 этажа здания (пожарные лестницы отсутствуют). Подвал здания не имеет выход на улицу, он полностью огражден от прохождения широких канализационных трактов и хорошо забетонирован (это здание было частью банка).

Расположение близлежащих  зданий указано в Приложении 6.

 

 

3 Моделирование  объекта защиты

С позиции системного подхода совокупность взаимосвязанных  элементов, функционирующих с целью  обеспечения безопасности информации, образуют систему защиты информации. Такими элементами являются люди, т.е. руководители сотрудники службы безопасности; объект защиты, представляющий собой здание, инженерные конструкции. средства вычислительной техники, технические средства защиты информации и контроля ее эффективности. Проектирование требуемой системы защиты информации начинается с системного анализа существующей системы защиты информации, который включает:

1. Моделирование объекта защиты
• Определение источников защищаемой информации (люди, документы, физические поля, материальные объекты)
• Описание пространственного расположения основных мест расположения источников защищаемой информации

     2. Моделирование  угроз безопасности информации

• Моделирование физического проникновения злоумышленника к источникам информации
• Моделирование технических каналов утечки

Для создания полной модели объекта защиты необходимо для начала определить ту информацию, которую необходимо защищать, поэтому необходимо провести её структурирование.

Структурирование информации производится путем классификации  информации в соответствии с функциями, задачами и структурой организации с привязкой элементов информации к её источникам. Детализацию информации целесообразно проводить до уровня, на котором элементу информации соответствует один источник.

Моделирование состоит  в анализе на основе пространственных моделей возможных путей распространения информации за пределы контролируемой зоны.

 

 

3.1 Структурная  модель

Моделирование объекта  защиты начинается с построения структурной  модели.

Для этого выделяется информация, подлежащая защите. Т.к. фирма  коммерческая, то для описания уровня секретности используется три грифа конфиденциальности: конфиденциально, строго конфиденциально и коммерческая тайна. Гриф конфиденциальности используется для расчета цены информации.

Я выбрал следующие цены единицы информации (Кб) в зависимости от грифа конфиденциальности:

Коммерческая  тайна – 1

Строго конфиденциально  – 0,6

Конфиденциально – 0,3

 

Существует несколько  способов вычисления цены информации.

Цена информации может  вычисляться в зависимости от того ущерба, который будет причинен фирме при её утечке. В этом случае цена информации устанавливается методом экспертных оценок.

Цена информации также  может вычисляться по общему объему информации по формуле:

 

Объем информации в Кб может быть вычислен как:

 

Средний объем информации в странице размером А4 для шрифта кеглем 14 составляет примерно 4 тысячи знаков, что составляет 4 Кб. Учитывая, что листы практически не бывают заполненными полностью, можно принять  средний объем информации в 2,5 Кб на страницу. Необходимо учитывать, что информация в бумажном и цифровом виде не должна дублировать друг друга, т.е. в этой формуле учитывается только объем уникальной информации. Также необходимо применять для вычисления объем полезной информации, т.е. информации в чистом виде, т.к. иногда небольшое количество информации может занимать значительный объем. Особенно это характерно для электронной информации.

Для учета полезной информации я ввел «Коэффициент полезности цифровой информации». В базе данных объемом 2 Мб может содержаться всего 100 Кб полезной информации – весь остальной объем занимают служебные данные, не имеющие практической ценности. В этом случае «КП цифровой информации» будет составлять . Например, в MS Word при создании документа без графических картинок «КП цифровой информации» будет не более 15%.

Очевидно, что не все  элементы информации имеют одинаковую стоимость, поэтому вычислять цену информации можно только для информации, имеющую гриф конфиденциально. Для такой информации вычисление методом экспертных оценок будет неэффективным, и вычисление с помощью применения объема информации будет иметь незначительную погрешность. Во всех остальных случаях цена информации определяется методом экспертных оценок.

 

Таблица 1.

Расчет  стоимости конфиденциальной информации
Наименование  элемента информации	Гриф конфиденциальности	Объем информации в электронном виде	КП циф. инф.	Объем информации в бумажном виде	Цена
Личные сведения о сотрудниках фирмы	К	500 Кб	20%	25 стр	48,75
Сведения о  заработной плате работников	К	200 Кб	35%	Дублирует эл. информацию	21
Сведения о  результатах продаж	К	1 Мб	25%	Дублирует эл. информацию	75
Статистика  продаж по продуктам	К	1,4 Мб	20 %	Дублирует эл. инф.	84
Экономические прогнозы	К	500 Кб	50 %	100 стр	150
Сведения о  кредитной политики компании	К	400 Кб	40%	40 стр	78
Сведения о  рекламе предприятия	К	-	-	30 стр	21

 

Для строго конфиденциальной информации и информации, составляющей коммерческую тайну, цена информации заполняется методом экспертных оценок.

По полученным сведениям  можно заполнить таблицу.

Таблица 2

Структурная модель
№	Наименование  элемента информации	Гриф конфиденциальности	Цена информации	Наименование  источника информации	Место нахождения источника информации
1	2	3	4	5	6
1	Сведения о  клиентах и партнерах	КТ	50 000	Документы на бумажных носителях, БД в компьютере	Сейф и компьютер  в кабинете генерального директора
2	Сведения о  планах противодействия конкурентам	КТ	45 000	Ген. директор, электронные и бумаженные документы	Компьютер и  сейф в кабинете генерального директора
3	Статистические  данные	КТ	45 000	Работники отдела статистики, документы на бумажных носителях, электронные документы	Компьютеры  и документы в отделе статистики
4	Сведения о  поставках	КТ	35 000	Комм. директор, гл. бухгалтер, работники отдела поставок, бум. комп. документы	Компьютеры, сейфы  коммерческого директора, гл. бухгалтера и отдела поставок
5	Сведения о  закупках	СК	20 000	Бухгалтеры, электронные  и бумажные документы	Компьютеры и сейф в бухгалтерии
6	Сведения о  финансовых операциях	СК	20 000	Бухгалтеры, электронные  и бумажные документы, ценные бумаги	Компьютеры  и сейф в бухгалтерии
7	Сведения о  контактах с иностранными фирмами	СК	15 000	Генер. директор, документы на бумажных носителях	Документы в  кабинет ген. директора
8	Сведения о  политике развития новых направлений  деятельности	СК	10 000	Комм. директор, электронные и бумажные документы	Документы в  кабинет ком. директора
9	Договоры стратегического  сотрудничества	СК	7  000	Генер. директор, документы на бумажных носителях	Документы в  кабинет ген. директора
10	Контракты на поставку товаров	СК	3 000	Ген. директор, гл. бухгалтер, электронные и бумажные документы	Компьютер директора, сейф, компьютер бухгалтера
11	Маркетинговые исследования	СК	1 000	Электронные и  бумажные документы	Отдел маркетинга
12	Стратегия действий на рынке	СК	500	Генер. директор, комм. директор, бум. и комп. документы	Компьютеры, шкафы  в кабинете директоров
13	Сведения о  намерениях расширения предприятия	СК	100	Генеральный директор, бумажные документы	Сейф в кабинете генерального директора
14	Личные сведения о сотрудниках фирмы	К	48,75	Контракты и  электронные документы	Компьютер и  шкаф в приемной
15	Сведения о  заработной плате работников	К	21	Электронные и  бумажные документы	Компьютеры  и сейф в бухгалтерии
16	Сведения о  результатах продаж	К	75	Работники отдела статистики, документы на бумажных носителях, электронные документы	Компьютеры  и документы в отделе статистики
17	Статистика  продаж по продуктам	К	84	Работники отдела статистики, документы на бумажных носителях, электронные документы	Компьютеры  и документы в отделе статистики
18	Экономические прогнозы	К	150	Работники отдела логистики, бум. и ком. документы	Компьютеры, документы в отделе логистики
19	Сведения о  кредитной политики компании	К	78	Комм. директор, бухгалтера, элект. и бум. документы	Сейф в бухгалтерии
20	Сведения о  рекламе предприятия	К	21	Бумажные документы	Документы в  отделе рекламы