6.1.5 Основні властивості інформації як предмета захисту

Доступність інформації

Доступність інформації (даних) [availability of information] — це можливість використання інформації (даних), коли в цьому виникає необхідність (рис. 6.4). Доступність також характеризує працездатність інформаційної системи [77].

Інформація доступна, коли вона міститься на матеріальному но­сії. До носіїв інформації (даних) [data medium] відносяться матері­альні об'єкти, які забезпечують запис, зберігання і передавання ін­формації у просторі і часі. Носіями інформації можуть бути:

• люди;

• матеріальні тіла (макрочастки);

• поля (випромінювання);

• елементарні частки (мікрочастки).

Так як за допомогою матеріальних засобів можна захищати тіль­ки матеріальний об'єкт, то об'єктами захисту є матеріальні носії ін­формації. Розрізняють носії — джерела інформації, носії — перено­сники інформації та носії — одержувачі інформації.

Наприклад, креслення є джерелом інформації, а папір, на якому він намальований, — носій інформації. Фізична природа джерела та носія у цьому прикладі однакова — папір. Проте між ними існує рі­зниця. Папір без нанесеного на ньому тексту або малюнка може біти джерелом інформації про його фізичні та хімічні характеристики. Коли папір містить семантичну інформацію, їй присвоюється інше ім'я: креслення, документ і т.ін. Креслення деталі або вузла входить до складу більш складного документа — креслення приладу, механі­зму або машини і т.ін. аж до конструкторської документації зразка

209

Частина II Основи безпеки інформаційних технологій

Рис. 6.4-Інформація як об'єкт інформаційної безпеки

продукції.

Таким чином, залежно від призначення джерелу можуть бути присвоєні різні імена. Але незалежно від найменування документа захищати від викрадення, змінювання та знищення інформації не­обхідно листки паперу, які мають певні розміри, вагу, механічну мі­цність, стійкість фарби або чорнил до зовнішніх впливів. Параметри носія визначають умови та способи зберігання інформації, інші носії, наприклад, фізичні поля не мають чітких кордонів у просторі, але у будь-якому випадку їхні параметри можна виміряти. Фізична приро­да носія-джерела інформації, носія-переносника та носія-одержувача може бути як однаковою, так і різною.

Передавання інформації шляхом переміщення її носіїв у просторі зв'язана із затратами енергії, причому величина затрат залежить від довжини, шляху, параметрів середовища та виду носія.

210

Розділ 6 Інформаційні системи та технології як об'єкти безпеки

Цінність, цілісність і конфіденційність інформації

Цінність інформації [information value] — це властивість інфор­мації, що визначається її придатністю до практичного використання в різних галузях цілеспрямованої діяльності людини.

Інформація може забезпечити її користувачеві певні переваги: приносити прибутки, зменшити ризик у його діяльності в результаті прийняття більш обґрунтованих рішень і т.ін.

Нейтральна інформація не впливає на стан справ її користувача, але носій з нейтральною для конкретного користувача інформацією може здійснювати вплив на інший носій з корисною інформацією, якщо є близькими за значеннями параметри носіїв, наприклад, ча­стоти коливань електромагнітних полів різних джерел. Носії інфор­мації, які здійснюють вплив на інший носій, представляють собою завади. Те, що для одного одержувача є інформацією, для іншого може бути завадою.

Шкідливою є інформація, в результаті використання якої її одер­жувачу наносяться моральні або матеріальні збитки. Коли така ін­формація створюється навмисно, то її називають дезінформацією. Часто шкідлива інформація створюється в результаті цілеспрямова­ної або випадкової модифікації її при перенесенні її з одного носія на інший. З точки зору захисту інформації у цьому випадку говорять про її цілісність.

Цілісність інформації [integrity of information] — це захище­ність інформації від несанкціонованої зміни, забезпечення її точності та повноти.

Корисність інформації завжди конкретна. Нема цінної інформа­ції взагалі. Інформація корисна або шкідлива для конкретного її ко­ристувача. Під користувачами звичайно розуміють як одну людину (процес), так і групу людей і навіть усе людство. Надзвичайно цінна для одних користувачів інформація може не представляти цінності для інших.

Тому при організації захисту інформації визначають, насамперед, коло осіб (фірм, держав), які зацікавлені в даній інформації, так як імовірно, що серед них можуть бути зловмисники.

В інтересах захисту цінної (корисної) інформації її власник (дер­жава, організація, фізична особа) наносить на носій умовний знак корисності інформації, яка міститься в ньому, — гриф секретності або конфіденційності. Гриф секретності інформації, власниками якої є держава (державні органи), встановлюється на основі зако-

211

Частина II Основи безпеки інформаційних технологій

ну "Про державну таємницю" та відомчих переліків інформації, щоскладає державну таємницю.

Відповідно з цим до інформації таємної, цілком таємної та особли­вої важливості відноситься інформація, викрадення або несанкціо­новане розповсюдження якої може нанести шкоду відповідно дер­жавній організації (підприємству, закладу), галузі (відомству, міні­стерству) , суб'єкту держави в цілому. Для нетаємної інформації, яка містить службову таємницю, вводять гриф "для службового кори­стування".

Для позначення ступеню конфіденційності комерційної інформа­ції застосовують різноманітні шкали ранжирування. Розповсюджена шкала: "комерційна таємниця — суворо конфіденційно", "комерційна таємниця — конфіденційно", "комерційна таємниця". Відома також шкала "суворо конфіденційно — особливий контроль", "суворо конфі­денційно", "конфіденційно", застосовується також шкала з двох рів­нів: "комерційна таємниця" та "для службового використання".

Критерієм для визначення грифу конфіденційності інформа­ції можуть використовуватися результати прогнозу наслідків попа­дання інформації до конкурента або зловмисника, у тому числі:

• величина економічних та моральних збитків, що наносяться ор­ганізації;

• реальність створення передумов для катастрофічних наслідків в діяльності організації, наприклад, банкрутства.

Цінність і ціна інформації

Враховуючи те, що інформація може бути для одержувача кори­сною або шкідливою, що вона купується та продається, то інформа­цію можна розглядати як товар. Ціна інформації зв'язана з її цінні­стю, проте це різні поняття. Наприклад, при проведенні досліджень можуть бути витрачені великі матеріальні та фінансові ресурси, які завершилися негативним результатом, тобто не одержана інформа­ція, на основі якої її власник може одержати прибуток. Проте не­гативні результати представляють цінність для спеціалістів, які за­ймаються даною проблемою, так як одержана інформація скорочує шлях до істини.

Корисна інформація може бути створеною її власником в резуль­таті науково-дослідної діяльності, запозичена з різноманітних від­критих джерел, може попасти до зловмисника випадково, напри­клад, в результаті ненавмисного підслухування і, нарешті, добута

212

Розділ 6 Інформаційні системи та технології як об'єкти безпеки

різноманітними нелегальними шляхами.

Ціна інформації [price of information] — це вартість інформації, виражена у грошах. Вона складається із собівартості інформації та прибутку від інформації.

Собівартість визначається витратами власника інформації на її одержання, наприклад:

• проведення досліджень в наукових лабораторіях, аналітичних центрах, групах і т.ін.;

• купівля інформації на ринку інформації;

• добування інформації за допомогою протиправних дій.

Прибуток від інформації з огляду її особливостей може прийма­ти різноманітні форми, причому вираз його у грошах не є найбільш розповсюдженою формою. У загальному випадку прибуток від ін­формації може бути одержаний в результаті наступних дій:

• продажу інформації на ринку;

• матеріалізації інформації в продукції з новими якостями або те­хнології, що приносить прибуток;

• використання інформації для прийняття більш ефективних рі­шень.

Остання форма прибутку від інформації не стільки очевидна, проте вона найбільш розповсюджена, тому що будь-яка діяльність людини — це послідовність прийняття нею рішень.

Для прийняття будь-якого рішення потрібна інформація, причо­му, чим більший ризик та ціна рішення, тим більшого об'єму повинна бути інформація. Розмірковування перед прийняттям рішення є не що інше, як перероблення людиною наявної у неї інформації.

Залежність цінності інформації від часу

Розповсюдження інформації та її використання призводять до змінювання її цінності та ціни. Характер зміни цінності у часі зале­жить від виду інформації. Для наукової інформації ця залежність часто має хвилеподібний характер. Інформація про відкриття на­віть нових законів або явищ природи спочатку належним чином не оцінюється. Наприклад, на початку минулого сторіччя результати досліджень з ядерної фізики носили часто пізнавальний характер та цікавили лише вузьке коло вчених. Інформація в цій галузі набу­ла надзвичайно високої цінності, коли з'явилися реальні можливості практичного використання атомної енергії. По мірі того, як вичер­пуються на певному етапі науково-технічного прогресу можливості

213

Частина II Основи безпеки інформаційних технологій

практичної реалізації теоретичних результатів, цінність інформаціїзменшується. Нові технології або досягнення у суміжних галузях мо­жуть збільшити цінність давно одержаних знань.

Цінність більшості видів інформації, яка циркулює у суспільстві, із часом зменшується — інформація старіє. Старіння інформації С, у першому наближенні можна апроксимувати виразом виду:

,

де C₀ — цінність інформації в момент її виникнення (створення);

τ — час від моменту виникнення інформації до моменту її вико­ристання;

τ_lс — тривалість життєвого циклу [life cycle] інформації (від моменту виникнення до моменту застарівання).

Відповідно до цього виразу за час життєвого циклу цінність ін­формації зменшується до 0,1 первісної величини.

Залежно від тривалості життєвого циклу комерційна інформація звичайно класифікується наступним чином:

• оперативно-тактична, яка втрачає цінність приблизно по 10% за день (наприклад, інформація видавання короткотривалого кре­диту, пропозиції на придбання товару та строк до одного місяця і т.ін.);

• стратегічна інформація, яка втрачає цінність приблизно по 10% за місяць (відомості про партнерів, про довготривалі кредити, розвиток підприємства і т.ін.

Інформація про закони природи має дуже великий час життєвого циклу. її старіння проявляється в уточненні законів, наприклад, в обмеженні законів Ньютона для мікросвіту.

Вплив копіювання на піну інформації

При копіюванні, яке не змінює інформаційні параметри носія, кількість інформації не змінюється, а ціна зменшується. Після зніма­ння копії з документа кількість інформації на ньому не змінюється. В результаті цього несанкціоноване копіювання (викрадення) інфор­мації може бути не заміченим для його власника, якщо відсутні інші ознаки проникнення зловмисника до її джерела та факту викраден­ня.

Але якщо при копіюванні здійснюється вплив на інформаційні параметри носія, який призводить до зміни їхніх значень, або незна­чні зміни нагромаджуються, то кількість інформації зменшується.

214

Розділ 6 Інформаційні системи та технології як об'єкти безпеки

Погіршується якість звуку та зображення відповідно на аудіо- і ві-деоплівках із-за механічного руйнування магнітного шару, книга за­читується до дір, знебарвлюються із-за впливу яскравого ультрафі­олетового світла колір зображення оригіналу при ксерокопіюванні і т.ін.

Так як при кожному копіюванні збільшується число її законних та незаконних користувачів, до відповідно до законів ринку ціна зни­жується. Наприклад, відеопаратство викликає занепокоєння у вла­сників відеопродукції, так як широке розповсюдження піратських копій значно збиває ціни на ринку.

Види інформації, що підлягають захисту

За змістом будь-яка інформація може бути віднесеною до семан­тичної або до інформації про ознаки матеріального об'єкта — ознакової (рис. 6.5). Суть семантичної інформації н залежить від хара-

Рис. 6.5. Класифікація інформації, що потребує захисту

ктеристик носія. Зміст тексту, наприклад, не залежить від якості па-

215

Частина II Основи безпеки інформаційних технологій

перу, на якому він написаний, або фізичних параметрів іншого носія.Семантична інформація є продуктом абстрактного мислення людини і відображає об'єкти, явища як матеріального світу, так створювані нею образи і моделі за допомогою символів на мовах спілкування людей.

Мови спілкування включають як природні мови національного спілкування, так і штучні професійні мови. Мови національного спіл­кування формуються протягом тривалого часу розвитку нації. В природній мові застарілі слова поступово вимирають, але з'явля­ються нові, викликані розвитком людства, в тому числі технічним прогресом.

Семантична інформація на мові національного спілкування подається у вигляді впорядкованої послідовності знаків (букв, цифр, ієрогліфів) алфавіту цієї мови та записується на будь-якому матері­альному носієві. У галузі реєстрації та консервації семантичної ін­формації розробляються носії, які забезпечують все більш високу щільність запису та менше енергоспоживання.

Професійні мови створюються спеціалістами для економного та компактного відображення інформації. Існує велика кількість про­фесійних мов: математики, музики, радіоелектроніки, хімії і т.ін. Будь-яка предметна частина містить характерні для неї поняття та умовні позначення, часто незрозумілі ненавченій цій мові людині. Для однозначного розуміння цієї мови всіма спеціалістами галузей науки, техніки, мистецтва і т.ін., терміни та умовні позначення стан­дартизуються. У принципі все те, що описано на професійній мові, можна представити на природній мові, але така форма запису гро­міздка та незручна для сприйняття інформації людиною. Крім того, використання носіїв різноманітної фізичної природи дозволяє під­ключати для вводу інформації в мозок людини все різноманіття її рецепторів (датчиків): органи слуху, зору, нюху і т.ін.

Ознакова інформація описує конкретний матеріальний об'єкт на мові його ознак. Опис об'єкта містить ознаки його зовнішнього ви­гляду, випромінюваних ним полів та елементарних часток, складу та структури речовини, з якої складається об'єкт. Джерелами ознакової інформації є власне об'єкти. До них в першу чергу відносяться лю­ди, які цікавлять зарубіжну розвідку або вітчизняного конкурента, нова продукція та матеріали, приміщення і навіть будівлі, в яких мо­же знаходитися конфіденційна інформація. Залежно від виду опису об'єкта ознакова інформація поділяється на інформацію про зовні­шній вигляд (видові ознаки), про його поля (ознаки сигналів), про

216

Розділ 6 Інформаційні системи та технології як об'єкти безпеки

структуру та склад його речовин (ознаки речовин).

Інформація, що підлягає захисту неоднорідна за змістом, об'є­мом та цінності. Отже, захист буде раціональним у тому випадку, коли рівень захисту, а отже, витрати, відповідають кількості і яко­сті інформації. Якщо витрати на захист інформації вищий за її ціну, то рівень захисту не оправдано великий, якщо суттєво менший, то підвищується ймовірність знищення, викрадення або модифікації ін­формації. Для забезпечення раціонального захисту виникає необхі­дність структурування конфіденційної інформації, тобто розділення її на так звані інформаційні елементи.

Інформаційний елемент представляє собою інформацію на но­сієві з достатньо чіткими межами, і задовольняє наступним вимогам:

• належить конкретному джерелу (документу, людині, зразку, про­дукції і т.ін.);

• міститься на окремому носієві;

• має конкретну ціну.

Структурування інформації здійснюється шляхом послідов­ної деталізації інформації, що підлягає захисту, починаючи з пере­ліку відомостей, що містить таємницю. Деталізація передбачає іє­рархічну розбивку інформації відповідно до структури тематичних питань, які охоплюють усі аспекти організації і діяльності приватної фірми або державної структури (рис. 6.6).

Рис. 6.6. Варіант структури конфіденційної інформації

217

Частина II Основи безпеки інформаційних технологій

Наприклад, загальний перелік відомостей, що складає комерцій­ну таємницю (конфіденційна інформація), відноситься до нульового (вихідного) рівня ієрархії структури. На першому рівня ця інформа­ція розділяється на три групи, кожна з яких відповідає темам: "про організацію", "про внутрішню діяльність організації", "про зовнішню діяльність організації". На другому рівні ці теми конкретизуються тематичними питаннями:

• структура, методи управління, фінанси, плани та програми, про­блеми та шляхи їх вирішення, безпека;

• якість продукції, собівартість продукції, характеристики проду­кції, можливості виробництва, технології, дослідні роботи;

• принципи, концепція і стратегія маркетингу, канали придбання та збуту, партнери, конкуренти, переговори та угоди.

Захист структурованої інформації принципово відрізняється від захисту інформації взагалі. Він є конкретним, так як ясно, що (який інформаційний елемент) необхідно захищати, насамперед, ви­ходячи з його цінності, хто або що є носіями цього елемента. Для елемента інформації можна виявити можливі загрози його безпеці та визначити які способи та засоби доцільно застосувати для забез­печення безпеки даного елемента інформації.