Для того, чтобы начать моделировать объекты защиты, необходимо получить исходные данные, содержащие семантическую и признаковую информацию и составляющие либо коммерческую тайну, либо просто не предназначенную для распространения. Источники защищаемой информации как правило определяют путём её структурирования. Существуют и другие пути, например составление списков допущенных к закрытой информации должностных лиц, документов, продукции и других источников закрытой информации. Но вполне очевидно, что такой подход к определению источников закрытой информации не даёт гарантии , что будут учтены все источники информации.

Структурирование информации — это многоуровневый процесс детализации и конкретизации тематических вопросов перечней сведений. Например — в перечне сведений «перспективные разработки» имеет какой-либо крупный тематический вопрос, который на более нижнем уровне иерархии делится на «направления разработок», ниже — тематика направлений, потом разработчики, задействованные документы. Процесс структурирования продолжается до того уровня иерархии, на котором информация о конкретном вопросе будет содержаться в одном источнике (должностном лице, документе, продукции). Одни и те же источники могут содержать информацию разных тематических вопросов, а информация по некоторым тематическим вопросам может пересекаться. Структурированная информация представляется в виде графа и таблицы. Верхний (нулевой) уровень графа соответствует понятию «защищаемая информация», а нижний (n-ный) — информация одного источника из всего перечня защищаемой информации. На основе графа составляется таблица, пример которой представлен ниже:

  № источника информации не подразумевает просто порядковый номер документа. Он отображает номер тематического вопроса в структуре информации. Количество знаков номера — это количество уровней в структуре, а каждая цифра — порядковый номер тематического вопроса на рассматриваемом уровне среди вопросов, относящихся к одному тематическому вопросу на предыдущем уровне. Для примера рассмотрим номер источника информации — 1423. Это говорит о том, что источник содержит данные о 3-ем тематическом вопросе (цифра 3) на 4-ом уровне (позиция тройки в числе, если считать слева), входящем во 2-ой обобщённый вопрос (цифра 2) 3-его уровня (двойка стоит 3-я слева), который, в свою очередь, является частью 4-ого тематического вопроса (цифра 4) на 2-ом уровне (позиция четвёрки в числе), представляющего собой вопрос 1-ой темы 1-ого уровня. Несколько запутано, но общую схему можно представить для себя в виде древовидной структуры: Далее по таблице — во втором столбце указывается наименование источника информации,в графах 3-5 — характеристики: вид, гриф, стоимостная оценка. В столбец 6 заносится контролируемая зона, где может находится (храниться или обрабатываться) защищаемая информация.

Задача моделирования источников информации заключается в объективном описании источников конфиденциальной информации в рамках реально существующей и действующей системы защиты. Знание места расположения источника позволит точнее описать/смоделировать условия обеспечения защиты информации. Описание источников информации подразумевает указание пространственного расположения источников и факторов (условий), влияющих на защищённость содержащейся в источниках информации. Моделирование объектов защиты выполняется на основе моделей защищаемых зон с указанием мест нахождения источников информации: общей территории, этажей зданий, планов отдельных помещений. На планах помещений необходимо указать места расположения заграждений, экранов, труб отопления и водопровода, вентиляции, элементов интерьера, а так же других конструктивных элементов, затрудняющих, или наоборот — способствующих, передаче информации. Так же важно указать места размещения и зоны действия технических средств охраны и охранного видеонаблюдения. Как правило, основной объём источников информации находится в служебных помещениях, поэтому целесообразно результаты их обследования объединить в таблице, пример которой указан ниже.

На планах этажей указываются схемы трубопроводов, вентиляции, кабелей телефонной и локальной сетей, места размещения технических средств охраны, «области зрения» камер охранного видеонаблюдения.

На плане территории организации необходимо отметить места нахождения зданий, КПП, забора, граничащие с территорией здания и улицы, расположения и зоны действия технических средств охраны, системы видеонаблюдения и наружного освещения. Модель объектов защиты — это набор чертежей, таблиц и комментарии к ним, содержащие следующие данные:

• полный перечень источников информации и стоимость этой информации
• описание характеристик, способных оказать влияние на защищённость информации
• описание потенциальных источников угроз информации

На первом этапе проводится оценка уровня защищённости источников информации. Данные моделирования объектов защиты — это необходимые данные для следующего этапа — моделирования угроз.