Основні властивості інформації як предмета захисту

Доступність інформації

Доступність інформації (даних) [availability of information] — це можливість використання інформації (даних), коли в цьому ви­никає необхідність (рис. 6.4). Доступність також; характеризує пра­цездатність інформаційної системи [77].

Інформація доступна, коли вона міститься на матеріальному но­сії. До носіїв інформації (даних) [data medium] відносяться матері­альні об'єкти, які забезпечують запис, зберігання і передавання ін­формації у просторі і часі. Носіями інформації можуть бути:

• люди;

• матеріальні тіла (макрочастки);

• поля (випромінювання);

• елементарні частки (мікрочастки).

Так як за допомогою матеріальних засобів можна захищати тіль­ки матеріальний об'єкт, то об'єктами захисту є матеріальні носії ін­формації. Розрізняють носії — джерела інформації, носії — перено­сники інформації та носії — одержувачі інформації.

Наприклад, креслення є джерелом інформації, а папір, на якому він намальований, — носій інформації. Фізична природа джерела та носія у цьому прикладі однакова — папір. Проте між; ними існує рі­зниця. Папір без нанесеного на ньому тексту або малюнка може біти джерелом інформації про його фізичні та хімічні характеристики. Коли папір містить семантичну інформацію, їй присвоюється інше ім'я: креслення, документ і т.ін. Креслення деталі або вузла входить до складу більш складного документа — креслення приладу, механі­зму або машини і т.ін. аж до конструкторської документації зразка

Розділ 6 Інформаційні системи та технології як об'єкти безпеки

Цінність, цілісність і конфіденційність інформації

Цінність інформації [information value] — це властивість інфор­мації, що визначається її придатністю до практичного використання в різних галузях цілеспрямованої діяльності людини.

Інформація може забезпечити її користувачеві певні переваги: приносити прибутки, зменшити ризик у його діяльності в результаті прийняття більш обґрунтованих рішень і т.ін.

Нейтральна інформація не впливає на стан справ її користувача, але носій з нейтральною для конкретного користувача інформацією може здійснювати вплив на інший носій з корисною інформацією, якщо є близькими за значеннями параметри носіїв, наприклад, ча­стоти коливань електромагнітних полів різних джерел. Носії інфор­мації, які здійснюють вплив на інший носій, представляють собою завади. Те, що для одного одержувача є інформацією, для іншого може бути завадою.

Шкідливою є інформація, в результаті використання якої її одер­жувачу наносяться моральні або матеріальні збитки. Коли така ін­формація створюється навмисно, то її називають дезінформацією. Часто шкідлива інформація створюється в результаті цілеспрямова­ної або випадкової модифікації її при перенесенні її з одного носія на інший. З точки зору захисту інформації у цьому випадку говорять про її цілісність.

Цілісність інформації [integrity of information] — це захище­ність інформації від несанкціонованої зміни, забезпечення її точності та повноти.

Корисність інформації завжди конкретна. Нема цінної інформа­ції взагалі. Інформація корисна або шкідлива для конкретного її ко­ристувача. Під користувачами звичайно розуміють як одну людину (процес), так і групу людей і навіть усе людство. Надзвичайно цінна для одних користувачів інформація може не представляти цінності для інших.

Тому при організації захисту інформації визначають, насамперед, коло осіб (фірм, держав), які зацікавлені в даній інформації, так як імовірно, що серед них можуть бути зловмисники.

В інтересах захисту цінної (корисної) інформації її власник (дер­жава, організація, фізична особа) наносить на носій умовний знак корисності інформації, яка міститься в ньому, — гриф секретності або конфіденційності. Гриф секретності інформації, власниками якої є держава (державні органи), встановлюється на основі зако-

Частина, II Основи безпеки інформаційних технологій

ну "Про державну таємницю" та відомчих переліків інформації, що складає державну таємницю.

Відповідно з цим до інформації таємної, цілком таємної та особли­вої важливості відноситься інформація, викрадення або несанкціо­новане розповсюдження якої може нанести шкоду відповідно дер­жавній організації (підприємству, закладу), галузі (відомству, міні­стерству), суб'єкту держави в цілому. Для нетаємної інформації, яка містить службову таємницю, вводять гриф "для службового кори­стування".

Для позначення ступеню конфіденційності комерційної інформа­ції застосовують різноманітні шкали ранжирування. Розповсюджена шкала: "комерційна таємниця — суворо конфіденційно", "комерційна таємниця — конфіденційно", "комерційна таємниця". Відома також; шкала "суворо конфіденційно — особливий контроль", "суворо конфі­денційно", "конфіденційно", застосовується також; шкала з двох рів­нів: "комерційна таємниця" та "для службового використання".

Критерієм для визначення грифу конфіденційності інформа­ції можуть використовуватися результати прогнозу наслідків попа­дання інформації до конкурента або зловмисника, у тому числі:

• величина економічних та моральних збитків, що наносяться організації;

• реальність створення передумов для катастрофічних наслідків в діяльності організації, наприклад, банкрутства.

Цінність і ціна інформації

Враховуючи те, що інформація може бути для одержувача кори­сною або шкідливою, що вона купується та продається, то інформа­цію можна розглядати як товар. Ціна інформації зв'язана з її цінні­стю, проте це різні поняття. Наприклад, при проведенні досліджень можуть бути витрачені великі матеріальні та фінансові ресурси, які завершилися негативним результатом, тобто не одержана інформа­ція, на основі якої її власник може одержати прибуток. Проте не­гативні результати представляють цінність для спеціалістів, які за­ймаються даною проблемою, так як одержана інформація скорочує шлях до істини.

Корисна інформація може бути створеною її власником в резуль­таті науково-дослідної діяльності, запозичена з різноманітних від­критих джерел, може попасти до зловмисника випадково, напри­клад, в результаті ненавмисного підслухування і, нарешті, добута

Розділ 6 Інформаційні системи та технології як об'єкти безпеки

різноманітними нелегальними шляхами.

Ціна інформації [price of information] — це вартість інформації, виражена у грошах. Вона складається із собівартості інформації та прибутку від інформації.

Собівартість визначається витратами власника інформації на її одержання, наприклад:

• проведення досліджень в наукових лабораторіях, аналітичних центрах, групах і т.ін.;

• купівля інформації на ринку інформації;

• добування інформації за допомогою протиправних дій. Прибуток від інформації з огляду її особливостей може приймати різноманітні форми, причому вираз його у грошах не є найбільш розповсюдженою формою. У загальному випадку прибуток від інформації може бути одержаний в результаті наступних дій:

• продажу інформації на ринку;

• матеріалізації інформації в продукції з новими якостями або технології, що приносить прибуток;

• використання інформації для прийняття більш ефективних рішень.

Остання форма прибутку від інформації не стільки очевидна, проте вона найбільш розповсюджена, тому що будь-яка діяльність людини — це послідовність прийняття нею рішень.

Для прийняття будь-якого рішення потрібна інформація, причо­му, чим більший ризик та ціна рішення, тим більшого об'єму повинна бути інформація. Розмірковування перед прийняттям рішення є не що інше, як перероблення людиною наявної у неї інформації.

Залежність цінності інформації від часу

Розповсюдження інформації та її використання призводять до змінювання її цінності та ціни. Характер зміни цінності у часі зале­жить від виду інформації. Для наукової інформації ця залежність часто має хвилеподібний характер. Інформація про відкриття на­віть нових законів або явищ природи спочатку належним чином не оцінюється. Наприклад, на початку минулого сторіччя результати досліджень з ядерної фізики носили часто пізнавальний характер та цікавили лише вузьке коло вчених. Інформація в цій галузі набу­ла надзвичайно високої цінності, коли з'явилися реальні можливості практичного використання атомної енергії. По мірі того, як вичер­пуються на певному етапі науково-технічного прогресу можливості

Частина, II Основи безпеки інформаційних технологій

практичної реалізації теоретичних результатів, цінність інформації зменшується. Нові технології або досягнення у суміжних галузях мо­жуть збільшити цінність давно одержаних знань.

Цінність більшості видів інформації, яка циркулює у суспільстві, із часом зменшується — інформація старіє. Старіння інформації Сі у першому наближенні можна апроксимувати виразом виду:

Сі(т) = -С₀ехр(-2.3т/т_ІС),

де cq — цінність інформації в момент її виникнення (створення);

т — час від моменту виникнення інформації до моменту її вико­ристання;

^тіс — тривалість життєвого циклу [life cycle] інформації (від моменту виникнення до моменту застарівання).

Відповідно до цього виразу за час життєвого циклу цінність ін­формації зменшується до 0,1 первісної величини.

Залежно від тривалості життєвого циклу комерційна інформація звичайно класифікується наступним чином:

• оперативно-тактична, яка втрачає цінність приблизно по 10% за день (наприклад, інформація видавання короткотривалого кредиту, пропозиції на придбання товару та строк до одного місяця і т.ін.);

• стратегічна інформація, яка втрачає цінність приблизно по 10% за місяць (відомості про партнерів, про довготривалі кредити, розвиток підприємства і т.ін.

Інформація про закони природи має дуже великий час життєвого циклу, її старіння проявляється в уточненні законів, наприклад, в обмеженні законів Ньютона для мікросвіту.

Вплив копіювання на ціну інформації

При копіюванні, яке не змінює інформаційні параметри носія, кількість інформації не змінюється, а ціна зменшується. Після зніма­ння копії з документа кількість інформації на ньому не змінюється. В результаті цього несанкціоноване копіювання (викрадення) інфор­мації може бути не заміченим для його власника, якщо відсутні інші ознаки проникнення зловмисника до її джерела та факту викраден­ня.

Але якщо при копіюванні здійснюється вплив на інформаційні параметри носія, який призводить до зміни їхніх значень, або незна­чні зміни нагромаджуються, то кількість інформації зменшується.

Частина, II Основи безпеки інформаційних технологій

сія. Зміст тексту, наприклад, не залежить від якості паперу, на якому він написаний, або фізичних параметрів іншого носія. Семантична інформація є продуктом абстрактного мислення людини і відобра­жає об'єкти, явища як матеріального світу, так створювані нею обра­зи і моделі за допомогою символів на мовах спілкування людей.

Мови спілкування включають як природні мови національного спілкування, так і штучні професійні мови. Мови національного спіл­кування формуються протягом тривалого часу розвитку нації. В природній мові застарілі слова поступово вимирають, але з'явля­ються нові, викликані розвитком людства, в тому числі технічним прогресом.

Семантична інформація на мові національного спілкування подається у вигляді впорядкованої послідовності знаків (букв, цифр, ієрогліфів) алфавіту цієї мови та записується на будь-якому матері­альному носієві. У галузі реєстрації та консервації семантичної ін­формації розробляються носії, які забезпечують все більш високу щільність запису та менше енергоспоживання.

Професійні мови створюються спеціалістами для економного та компактного відображення інформації. Існує велика кількість про­фесійних мов: математики, музики, радіоелектроніки, хімії і т.ін. Будь-яка предметна частина містить характерні для неї поняття та умовні позначення, часто незрозумілі ненавченій цій мові людині. Для однозначного розуміння цієї мови всіма спеціалістами галузей науки, техніки, мистецтва і т.ін., терміни та умовні позначення стан­дартизуються. У принципі все те, що описано на професійній мові, можна представити на природній мові, але така форма запису гро­міздка та незручна для сприйняття інформації людиною. Крім того, використання носіїв різноманітної фізичної природи дозволяє під­ключати для вводу інформації в мозок людини все різноманіття її рецепторів (датчиків): органи слуху, зору, нюху і т.ін.

Ознакова інформація описує конкретний матеріальний об'єкт на мові його ознак. Опис об'єкта містить ознаки його зовнішнього ви­гляду, випромінюваних ним полів та елементарних часток, складу та структури речовини, з якої складається об'єкт. Джерелами ознакової інформації є власне об'єкти. До них в першу чергу відносяться лю­ди, які цікавлять зарубіжну розвідку або вітчизняного конкурента, нова продукція та матеріали, приміщення і навіть будівлі, в яких мо­же знаходитися конфіденційна інформація. Залежно від виду опису об'єкта ознакова інформація поділяється на інформацію про зовні­шній вигляд (видові ознаки), про його поля (ознаки сигналів), про

Частина, II Основи безпеки інформаційних технологій

Наприклад, загальний перелік відомостей, що складає комерцій­ну таємницю (конфіденційна інформація), відноситься до нульового (вихідного) рівня ієрархії структури. На першому рівня ця інформа­ція розділяється на три групи, кожна з яких відповідає темам: "про організацію", "про внутрішню діяльність організації", "про зовнішню діяльність організації". На другому рівні ці теми конкретизуються тематичними питаннями:

• структура, методи управління, фінанси, плани та програми, проблеми та шляхи їх вирішення, безпека;

• якість продукції, собівартість продукції, характеристики продукції, можливості виробництва, технології, дослідні роботи;

• принципи, концепція і стратегія маркетингу, канали придбання та збуту, партнери, конкуренти, переговори та угоди.

Захист структурованої інформації принципово відрізняється від захисту інформації взагалі. Він є конкретним, так як ясно, що (який інформаційний елемент) необхідно захищати, насамперед, ви­ходячи з його цінності, хто або що є носіями цього елемента. Для елемента інформації можна виявити можливі загрози його безпеці та визначити які способи та засоби доцільно застосувати для забез­печення безпеки даного елемента інформації.