Розділ 6. Інформаційні системи та технології' як об'єкти інформаційної безпеки

ня її характеристик і від інтервалу часу, що пройшов з моменту виникнення даної інформації.

Своєчасність інформації [timeliness of information] означає її надходження не пізніше заздалегідь призначеного моменту часу, узгодженого з часом вирішення поставленого завдання.

Точність інформації [adequacy of information] визначається ступенем близькості одержуваної інформації до реального стану об'єкта, процесу, явища і т.ін. Для інформації, що відображається цифровим кодом, відомі чотири класифікаційні поняття точності:

• формальна точність, що вимірюється значенням одиниці мо­
лодшого розряду числа;

• реальна точність, що визначається значенням одиниці остан­
нього розряду числа, вірність якого гарантується;

• максимальна точність, яку можна одержати в конкретних
умовах функціонування системи;

• необхідна точність, яка визначається функціональним при­
значенням показника.

Вірогідність інформації [probability of information] визна­чається її властивість відображати реально існуючі об'єкти з необ­хідною точністю. Вимірюється вірогідність інформації довірчою ймовірністю необхідної точності, тобто ймовірністю того, що ві­дображуване інформацією значення параметра відрізняється від істинного значення цього параметра в межах необхідної точності.

Стійкість інформації [capability of information] відображає її здатність реагувати на зміни вихідних даних без порушення не­обхідної точності. Стійкість інформації, як і репрезентативність, зумовлена вибраною методикою її відбору й формування.

Слід також відзначити, що такі параметри якості інформації, як репрезентативність, змістовність, достатність, доступність, стійкість, цілком визначаються на методичному рівні розробки інформаційних систем. Параметри актуальності, своєчасності, точності й вірогідності обумовлюються в більшій мірі також на методичному рівні, проте на їхню величину суттєво впливає і характер функціонування системи, у першу чергу її надійність. При цьому параметри актуальності і точності жорстко пов'язані відповідно з параметрами своєчасності та вірогідності.

6.1.5. Основні властивості інформації як предмета захисту

Доступність інформації

Доступність інформації (даних) [availabilityof information] — це можливість використання інформації (даних), коли в цьому виникає необхідність (рис. 6.4). Доступність також характеризує працездатність інформаційної системи [77].

Інформація доступна, коли вона міститься на матеріально­му носії. До носіїв інформації (даних) [data medium] відносять матеріальні об'єкти, які забезпечують запис, зберігання і переда-

Розділ 6. Інформаційні системи та технологи як об'єкти інформаційної безпеки

вання інформації у просторі і часі. Носіями інформації можуть бути:

• люди;

• матеріальні тіла (макрочастки);

• поля (випромінювання);

• елементарні частки (мікрочастки).

Оскільки за допомогою матеріальних засобів можна захища­ти тільки матеріальний об'єкт, то об'єктами захисту є матеріаль­ні носії інформації. Розрізняють носії — джерела інформації, носії — переносники інформації та носії — одержувачі інфор­мації.

Наприклад, креслення є джерелом інформації, а папір, на якому він намальований, — носій інформації. Фізична приро­да джерела та носія у цьому прикладі однакова — папір. Проте між ними існує різниця. Папір без нанесеного на ньому тексту або малюнка може біти джерелом інформації про його фізичні та хімічні характеристики. Коли папір містить семантичну ін­формацію, їй присвоюється інше ім'я: креслення, документ і т.ін. Креслення деталі або вузла входить до складу більш складного документа — креслення приладу, механізму або машини і т.ін. аж до конструкторської документації зразка продукції.

Таким чином, залежно від призначення джерелу можуть бути присвоєні різні імена. Але незалежно від найменування до­кумента захищати від викрадення, змінювання та знищення ін­формації необхідно листки паперу, які мають певні розміри, вагу, механічну міцність, стійкість фарби або чорнил до зовнішніх впливів. Параметри носія визначають умови та способи зберіган­ня інформації, інші носії, наприклад, фізичні поля не мають чіт­ких кордонів у просторі, але у будь-якому випадку їхні парамет­ри можна виміряти. Фізична природа носія-джерела інформації, носія-переносника та носія-одержувача може бути як однаковою, так і різною.

Передавання інформації шляхом переміщення її носіїв у про­сторі пов'язана із затратами енергії, причому величина затрат за­лежить від довжини, шляху, параметрів середовища та виду носія.

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

Цінність, цілісність і конфіденційність інформації

Цінність інформації [information value] — це властивість ін­формації, що визначається її придатністю до практичного вико­ристання в різних галузях цілеспрямованої діяльності людини.

Інформація може забезпечити її користувачеві певні перева­ги: приносити прибутки, зменшити ризик у його діяльності в ре­зультаті прийняття більш обґрунтованих рішень і т.ін.

Нейтральна інформація не впливає на стан справ її користу­вача, але носій з нейтральною для конкретного користувача ін­формацією може справляти вплив на інший носій з корисною ін­формацією, якщо є близькими за значеннями параметри носіїв, наприклад, частоти коливань електромагнітних полів різних дже­рел. Носії інформації, які справляють вплив на інший носій, ста­новлять собою завади. Те, що для одного одержувача є інформа­цією, для іншого може бути завадою.

Шкідливою є інформація, в результаті використання якої її одержувачу завдаються моральні або матеріальні збитки. Коли така інформація створюється умисно, то її називають дезінфор­мацією. Часто шкідлива інформація створюється в результаті цілеспрямованої або випадкової модифікації її при перенесенні її з одного носія на інший. З точки зору захисту інформації у цьому випадку говорять про її цілісність.

Цілісність інформації [integrity of information] — це захи­щеність інформації від несанкціонованої зміни, забезпечення її точності та повноти.

Корисність інформації завжди конкретна. Немає цінної ін­формації взагалі. Інформація корисна або шкідлива для конк­ретного її користувача. Під користувачами звичайно розуміють як одну людину (процес), так і групу людей і навіть усе людство. Надзвичайно цінна для одних користувачів інформація може не представляти цінності для інших.

Тому при організації захисту інформації визначають насам­перед, коло осіб (фірм, держав), які зацікавлені в даній інформації, оскільки імовірно, що серед них можуть бути зловмисники.

\ Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

5інтересахзахистуцінної(корисної)інформацїшвласник(дер-жава» організація, фізична особа) наносить на носій умовний знак корисності інформації,яка міститься в ньому, — гриф секретності або конфіденційності. Гриф секретності інформації, власниками якої є держава (державні органи), встановлюється на основі зако­ну «Про державну таємницю» та відомчих переліків інформації, що складає державну таємницю.

Відповідно з цим до інформації таємної, цілком таємної та особливої важливості належить інформація, викрадення або не­санкціоноване поширення якої може завдати шкоди відповідно державній організації (підприємству, закладу), галузі (відомству, міністерству), суб'єкту держави в цілому. Для нетаємної інформа­ції, яка містить службову таємницю, вводять гриф «для службово­го користування».

Для позначення ступеня конфіденційності комерційної ін-формаціїзастосовуютьрізноманітнішкалиранжирування.Поши­реною є шкала: «комерційна таємниця — суворо конфіденційно», «комерційна таємниця — конфіденційно», «комерційна таємни­ця». Відома також шкала «суворо конфіденційно — особливий контроль», «суворо конфіденційно», «конфіденційно». Застосо­вується також шкала з двох рівнів: «комерційна таємниця» та «для службового користування».

Критерієм для визначення грифу конфіденційності інформа­ції можуть бути результати прогнозу наслідків попадання інфор­мації до конкурента або зловмисника, у тому числі:

• величина економічних та моральних збитків, що заподіюють­
ся організації;

• реальність створення передумов для катастрофічних наслід­
ків удіяльності організації, наприклад, банкрутства.

Цінність і ціна інформації

Враховуючи те, що інформація може бути для одержувача ко­рисною або шкідливою, що вона купується та продається, то ін-

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

формацію можна розглядати як товар. Ціна інформації пов'язана з її цінністю, проте це різні поняття. Наприклад, при проведенні досліджень можуть бути витрачені великі матеріальні та фінан­сові ресурси, які завершилися негативним результатом, тобто не одержана інформація, на основі якої її власник може одержати прибуток. Проте негативні результати представляють цінність для спеціалістів, які займаються даною проблемою, бо одержана інформація скорочує шлях до істини.

Корисна інформація може бути створена її власником в ре­зультаті науково-дослідної діяльності.запозичена з різноманітних відкритих джерел, може попасти до зловмисника випадково, нап­риклад, в результаті неумисного підслухування і, нарешті, добута різноманітними нелегальними шляхами.

Ціна інформації [price of information] — це вартість інформа­ції, виражена у грошах. Вона складається із собівартості інформа­ції та прибутку від інформації.

Собівартість визначається витратами власника інформації на її одержання, наприклад:

• проведення досліджень в наукових лабораторіях, аналітичних
центрах, групах і т.ін.;

• купівля інформації на ринку інформації;

• добування інформації за допомогою протиправних дій.
Прибуток від інформації з огляду на її особливості може при­
ймати різноманітні форми, причому вираз його у грошах не є най­
більш поширеною формою. У загальному випадку прибуток від
інформації може бути одержаний в результаті таких дій:

• продажу інформації на ринку;

• матеріалізації інформації в продукції з новими якостями або
технології, що приносить прибуток;

• використання інформації для прийняття більш ефективних рі­
шень.

Остання форма прибутку від інформації не стільки очевидна, проте вона найбільш поширена, тому що будь-яка діяльність лю­дини — це послідовність прийняття нею рішень.

Розділ 6. Інформаційні системи та технології як об'єкти інформаційної безпеки

],ля прийняття будь-якого рішення потрібна інформація, при­чому* чим більший ризик та ціна рішення, тим більшого об'єму по­винна бути інформація. Розмірковування перед прийняттям рішен­ня є не що інше, як перероблення людиною наявної у неї інформації.

Залежність цінності інформації від часу

Поширення інформаціїтаїївикористання призводять до зміню­вання її цінності та ціни. Характер зміни цінності у часі залежить від виду інформації. Для наукової інформації ця залежність часто має хвилеподібний характер. Інформація про відкриття навіть нових за­конів або явищ природи спочатку належним чином не оцінюється. Наприклад, на початку минулого сторіччя результати досліджень з ядерної фізики мали часто пізнавальний характер та цікавили лише вузьке коло вчених. Інформація в цій галузі набула надзвичайно високої цінності, коли з'явилися реальні можливості практичного використання атомної енергії. У міру того, як вичерпуються на пев­ному етапі науково-технічного прогресу можливості практичної ре­алізації теоретичних результатів, цінність інформації зменшується. Нові технології або досягнення у суміжних галузях можуть збільши­ти цінність давно одержаних знань.

Цінність більшості видів інформації, яка циркулює у суспіль­стві, із часом зменшується — інформація старіє. Старіння інформа­ції С, у першому наближенні можна апроксимувати виразом виду

С,(т) = -С₀ехр(-2.3т/т,_с),

Де С_о — цінність інформації в момент її виникнення (ство­рення); т — час від моменту виникнення інформації до моменту її

використання; ^хк — тривалість життєвого циклу [life cycle] інформації (від

моменту виникнення до моменту застарівання). Відповідно до цього виразу за час життєвого циклу цінність інформації зменшується до 0,1 первісної величини.

Частина II. ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ

Залежно від тривалості життєвого циклу комерційна інформа­ція звичайно класифікується таким чином:

• оперативно-тактична, яка втрачає цінність приблизно по 10%
за день (наприклад, інформація видавання короткотривалого
кредиту, пропозиції на придбання товару та строк до одного
місяця і т.ін.);

• стратегічна інформація, яка втрачає цінність приблизно по
10% за місяць (відомості про партнерів, про довготривалі кре­
дити, розвиток підприємства і т.ін.

Інформація про закони природи має дуже великий час життє­вого циклу. її старіння проявляється в уточненні законів, напри­клад, в обмеженні законів Ньютона для мікросвіту.

Вплив копіювання на ціну інформації

При копіюванні, яке не змінює інформаційні параметри носія, кількість інформації не змінюється, а ціна зменшується. Після знімання копії з документа кількість інформації на ньому не змі­нюється. В результаті цього несанкціоноване копіювання (викра­дення) інформації може бути не заміченим для його власника, якщо відсутні інші ознаки проникнення зловмисника до її джере­ла та факту викрадення.

Але якщо при копіюванні справляється вплив на інформацій­ні параметри носія, який призводить до зміни їхніх значень, або незначні зміни нагромаджуються, то кількість інформації змен­шується.

Погіршується якість звуку та зображення відповідно на аудіо-і відеоплівках із-за механічного руйнування магнітного шару, книга зачитується до дір, знебарвлюється із-за впливу яскравого ультрафіолетового світла колір зображення оригіналу при ксеро­копіюванні і т.ін.

Оскільки при кожному копіюванні збільшується кількість її законних та незаконних користувачів інформацією, до відповід­но до законів ринку ціна знижується. Наприклад, відеопіратство викликає занепокоєння у власників відеопродукції, бо широке поширення піратських копій значно збиває ціни на ринку.

\ Види інформації, що підлягають захисту

За змістом будь-яка інформація може бути віднесена до се­
мантичної або до інформації про ознаки матеріального об'єкта —
ознакової (рис. 6.5). Суть семантичної інформації не залежить від
характеристик носія. Зміст тексту, наприклад, не залежить від
якості паперу, на якому він написаний, або фізичних параметрів
іншого носія. Семантична інформація є продуктом абстрактного
мислення людини і відображає об'єкти, явища як матеріального
світу, так створювані нею образи і моделі за допомогою символів
на мовах спілкування людей. -

Мови спілкування включають як природні мови національно­го спілкування, так і штучні професійні мови. Мови національ­ного спілкування формуються протягом тривалого часу розвит­ку нації. В природній мові застарілі слова поступово вимирають,

Частина ІІ.ОСНОВИ БЕЗПЕКИ ІНФОРМАЦІЙНИХТЕХНОЛОГІЙ

але з являються нові, викликані розвитком людства, в тому числі технічним прогресом.

Семантична інформація на мові національного спілкування подається у вигляді впорядкованої послідовності знаків (букв, цифр, ієрогліфів) алфавіту цієї мови та записується на будь-яко­му матеріальному носієві. У галузі реєстрації та консервації се­мантичної інформації розробляються носії, які забезпечують все більш високу щільність запису та менше енергоспоживання.

Професійні мови створюються спеціалістами для економного та компактного відображення інформації. Існує велика кількість професійних мов: математики, музики, радіоелектроніки, хімії і т.ін. Будь-яка предметна частина містить характерні для неї по­няття та умовні позначення, часто незрозумілі ненавченій цій мові людині. Для однозначного розуміння цієї мови всіма спе­ціалістами галузей науки, техніки, мистецтва і т.ін., терміни та умовні позначення стандартизуються. У принципі все те, що опи­сано на професійній мові, можна представити на природній мові, але така форма запису громіздка та незручна для сприйняття ін­формації людиною. Крім того, використання носіїв різноманітної фізичної природи дозволяє підключати для вводу інформації в мозок людини все різноманіття її рецепторів (датчиків): органи слуху, зору, нюху і т.ін.

Ознакова інформація описує конкретний матеріальний об'єкт на мові його ознак. Опис об'єкта містить ознаки його зов­нішнього вигляду, випромінюваних ним полів та елементарних часток, складу та структури речовини, з якої складається об'єкт. Джерелами ознакової інформації є власне об'єкти. До них в пер­шу чергу відносяться люди, які цікавлять зарубіжну розвідку або вітчизняного конкурента, нова продукція та матеріали, при­міщення і навіть будівлі, в яких може знаходитися конфіденційна інформація. Залежно від виду опису об'єкта ознакова інформа­ція поділяється на інформацію про зовнішній вигляд (видові оз­наки), про його поля (ознаки сигналів), про структуру та склад його речовин (ознаки речовин).

Інформація, що підлягає захисту, неоднорідна за змістом, об­сягом та цінністю. Отже, захист буде раціональним у тому випад-

ку, коли рівень захисту, а отже, витрати, відповідають кількості і якості інформації. Якщо витрати на захист інформації вищий за її ціну, то рівень захисту не виправдано великий, якщо суттєво менший, то підвищується ймовірність знищення, викрадення або модифікації інформації. Для забезпечення раціонального захис­ту виникає необхідність структурування конфіденційної інфор­мації, тобто розділення її на так звані інформаційні елементи.

Інформаційний елемент являє собою інформацію на носієві з достатньо чіткими межами і задовольняє наступним вимогам:

• належить конкретному джерелу (документу, людині, зразку,
продукції і т.ін.);

• міститься на окремому носієві;

• має конкретну ціну.

Структурування інформації здійснюється шляхом послідов­ної деталізації інформації, що підлягає захисту, починаючи з пе­реліку відомостей, що містить таємницю. Деталізація передбачає ієрархічну розбивку інформації відповідно до структури тема­тичних питань, які охоплюють усі аспекти організації і діяльності приватної фірми або державної структури (рис. 6.6).

Поиск по сайту: