6.1.5. Основні властивості інформації як предмета захисту
Доступність інформації
Доступність інформації (даних) [availability of information] — це можливість використання інформації (даних), коли в цьому виникає необхідність (рис. 6.4). Доступність також характеризує працездатність інформаційної системи [77].
Інформація доступна, коли вона міститься на матеріальному носії. До носіїв інформації (даних) [data medium] відносяться матеріальні об'єкти, які забезпечують запис, зберігання і передавання інформації у просторі і часі. Носіями інформації можуть бути:
люди;
матеріальні тіла (макрочастки);
поля (випромінювання);
елементарні частки (мікрочастки).
Оскільки за допомогою матеріальних засобів можна захищати тільки матеріальний об'єкт, то об'єктами захисту є матеріальні носії інформації. Розрізняють носії-джерела інформації, носії-переносники інформації та носії-одержувачі інформації.
Наприклад, креслення є джерелом інформації, а папір, на якому він намальований, — носієм інформації. Фізична природа джерела та носія у цьому прикладі однакова— папір, проте між ними існує різниця. Папір без нанесеного на ньому тексту або малюнка може біти джерелом інформації про його фізичні та хімічні характеристики. Коли папір містить семантичну інформацію, їй присвоюється інше ім'я: креслення, документ і т. ін. Креслення деталі або вузла входить до складу більш складного документа: креслення приладу, механізму або машини і т. ін. аж до конструкторської документації зразка продукції.
Таким чином, залежно від призначення джерелу можуть бути присвоєні різні імена, але, незалежно від найменування документа, захищати від викрадення, змінювання та знищення інформації необхідно листки паперу, які мають певні розміри, вагу, механічну міцність, стійкість фарби або чорнил до зовнішніх впливів. Параметри носія визначають умови та способи зберігання інформації. Інші носії, наприклад, фізичні поля, не мають чітких кордонів у просторі, але у будь-якому випадку їхні параметри можна виміряти. Фізична природа носія-джерела інформації, носія-переносника та носія-одержувача може бути як однаковою, так і різною.
Передавання інформації шляхом переміщення її носіїв у просторі пов'язана з витратами енергії, причому величина витрат залежить від довжини, шляху, параметрів середовища та виду носія.
Цінність, цілісність і конфіденційність інформації
Цінність інформації [information value] — це властивість інформації, що визначається її придатністю до практичного використання в різних галузях цілеспрямованої діяльності людини.
Інформація може забезпечити її користувачеві певні переваги: приносити прибутки, зменшити ризик у його діяльності в результаті прийняття більш обґрунтованих рішень і т. ін.
Нейтральна інформація не впливає на стан справ її користувача, але носій з нейтральною для конкретного користувача інформацією може здійснювати вплив на інший носій з корисною інформацією, якщо є близькими за значеннями параметри носіїв, наприклад, частоти коливань електромагнітних полів різних джерел. Носії інформації, які здійснюють вплив на інший носій, являють собою завади. Те, що для одного одержувача є інформацією, для іншого може бути завадою.
Шкідливою є інформація, в результаті використання якої її одержувачу наносяться моральні або матеріальні збитки. Коли така інформація створюється навмисно, то її називають дезінформацією. Часто шкідлива інформація створюється в результаті цілеспрямованої або випадкової її модифікації при перенесенні з одного носія на інший. З точки зору захисту інформації, у цьому випадку говорять про її цілісність.
Цілісність інформації [integrity of information] — це захищеність інформації від несанкціонованої зміни, забезпечення її точності та повноти.
Корисність інформації завжди конкретна. Нема цінної інформації взагалі. Інформація корисна або шкідлива для конкретного її користувача. Під користувачами звичайно розуміють як одну людину (процес), так і групу людей і навіть усе людство. Надзвичайно цінна для одних користувачів інформація може не представляти цінності для інших.
Тому при організації захисту інформації визначають, насамперед, коло осіб (фірм, держав), які зацікавлені в даній інформації, оскільки ймовірно, що серед них можуть бути зловмисники.
В інтересах захисту цінної (корисної) інформації її власник (держава, організація, фізична особа) наносить на носій умовний знак корисності інформації, яка міститься в ньому, — гриф секретності або конфіденційності. Гриф секретності інформації, власниками якої є держава (державні органи), встановлюється на основі закону "Про державну таємницю" та відомчих переліків інформації, що складає державну таємницю.
Відповідно з цим, до інформації таємної, цілком таємної та особливої важливості відноситься інформація, викрадення або несанкціоноване розповсюдження якої може нанести шкоду відповідно державній організації (підприємству, закладу), галузі (відомству, міністерству), суб'єкту держави в цілому. Для нетаємної інформації, яка містить службову таємницю, вводять гриф "для службового користування".
Для позначення ступеню конфіденційності комерційної інформації застосовують різноманітні шкали ранжирування. Розповсюджена шкала: "комерційна таємниця— суворо конфіденційно", "комерційна таємниця — конфіденційно", "комерційна таємниця". Відома також шкала "суворо конфіденційно — особливий контроль", "суворо конфіденційно", "конфіденційно", застосовується також шкала з двох рівнів: "комерційна таємниця" та "для службового використання".
Критерієм для визначення грифу конфіденційності інформації можуть використовуватися результати прогнозу наслідків попадання інформації до конкурента або зловмисника, у тому числі:
величина економічних та моральних збитків, що наносяться організації;
реальність створення передумов для катастрофічних наслідків в діяльності організації, наприклад, банкрутства.
Цінність і ціна інформації
Враховуючи те, що інформація може бути для одержувача корисною або шкідливою, що вона купується та продається, інформацію можна розглядати як товар. Ціна інформації пов'язана з її цінністю, проте це різні поняття. Наприклад, при проведенні досліджень можуть бути витрачені великі матеріальні та фінансові ресурси, які завершилися негативним результатом, тобто не одержана інформація, на основі якої її власник може одержати прибуток. Проте негативні результати представляють цінність для спеціалістів, які займаються даною проблемою, оскільки одержана інформація скорочує шлях до істини.
Корисна інформація може бути створена її власником в результаті науково-дослідної діяльності, запозичена з різноманітних відкритих джерел, може попасти до зловмисника випадково, наприклад, в результаті ненавмисного підслухування і, нарешті, добута різноманітними нелегальними шляхами.
Ціна інформації [price of information] — це вартість інформації, виражена у грошах. Вона складається із собівартості інформації та прибутку від інформації.
Собівартість визначається витратами власника інформації на її одержання, наприклад:
проведення досліджень в наукових лабораторіях, аналітичних центрах, групах і т. ін.;
купівля інформації на ринку інформації;
добування інформації за допомогою протиправних дій.
Прибуток від інформації з огляду на її особливості може приймати різноманітні форми, причому вираз його у грошах не є найбільш розповсюдженою формою. У загальному випадку прибуток від інформації може бути одержаний в результаті наступних дій:
продажу інформації на ринку;
матеріалізації інформації в продукції з новими якостями або технології, що приносить прибуток;
використання інформації для прийняття більш ефективних рішень.
Остання форма прибутку від інформації не стільки очевидна, проте вона найбільш розповсюджена, тому що будь-яка діяльність людини — це послідовність прийняття нею рішень.
Для прийняття будь-якого рішення потрібна інформація, причому, чим більший ризик та ціна рішення, тим більшого об'єму повинна бути інформація. Розмірковування перед прийняттям рішення є не що інше, як перероблення людиною наявної у неї інформації.
Залежність цінності інформації від часу
Розповсюдження інформації та її використання призводять до зміни її цінності та ціни. Характер зміни цінності у часі залежить від виду інформації. Для наукової інформації ця залежність часто має хвилеподібний характер. Інформація про відкриття навіть нових законів або явищ природи спочатку належним чином не оцінюється. Наприклад, на початку минулого сторіччя результати досліджень з ядерної фізики мали часто пізнавальний характер та цікавили лише вузьке коло вчених. Інформація в цій галузі набула надзвичайно високої цінності, коли з'явилися реальні можливості практичного використання атомної енергії. По мірі того як вичерпуються на певному етапі науково-технічного прогресу можливості практичної реалізації теоретичних результатів, цінність інформації зменшується. Нові технології або досягнення у суміжних галузях можуть збільшити цінність давно одержаних знань.
Цінність більшості видів інформації, яка циркулює у суспільстві, із часом зменшується — інформація старіє. Старіння інформації С, у першому наближенні можна апроксимувати виразом виду:
де
Со
— цінність інформації в момент її
виникнення (створення);
— час від
моменту виникнення інформації до моменту
її використання;
— тривалість
життєвого
циклу [life
cycle]
інформації (від моменту виникнення до
моменту застарівання).
Відповідно до цього виразу, за час життєвого циклу цінність інформації зменшується до 0,1 первісної величини. Залежно від тривалості життєвого циклу, комерційна інформація звичайно класифікується наступним чином:
оперативно-тактична, яка втрачає цінність приблизно по 10% за день (наприклад, інформація видачі короткотривалого кредиту, пропозиції на придбання товару на строк до одного місяця і т. ін.);
стратегічна інформація, яка втрачає цінність приблизно по 10% за місяць (відомості про партнерів, про довготривалі кредити, розвиток підприємства і т. ін.
Інформація про закони природи має дуже великий час життєвого циклу, її старіння проявляється в уточненні законів, наприклад, в обмеженні законів Ньютона для мікросвіту.
Вплив копіювання на ціну інформації
При копіюванні, яке не змінює інформаційні параметри носія, кількість інформації не змінюється, а ціна зменшується. Після знімання копії з документа кількість інформації на ньому не змінюється. В результаті цього несанкціоноване копіювання (викрадення) інформації може бути непомітним для його власника, якщо відсутні інші ознаки проникнення зловмисника до її джерела та факту викрадення. Але якщо при копіюванні здійснюється вплив на інформаційні параметри носія, який призводить до зміни їхніх значень, або незначні зміни нагромаджуються, то кількість інформації зменшується.
Погіршується якість звуку та зображення відповідно на аудіо- і відеоплівках із-за механічного руйнування магнітного шару, книга зачитується до дір, знебарвлюється із-за впливу яскравого ультрафіолетового світла колір зображення оригіналу при ксерокопіюванні і т. ін.
Оскільки при кожному копіюванні збільшується число законних та незаконних користувачів інформації, до, відповідно до законів ринку, ціна знижується. Наприклад, відеопіратство викликає занепокоєння у власників відеопродукції, оскільки широке розповсюдження піратських копій значно збиває ціни на ринку.
Види інформації, що підлягають захисту
За змістом будь-яка інформація може бути віднесеною до семантичної або до інформації про ознаки матеріального об'єкта — ознакової (рис. 6.5).
Суть семантичної інформації не залежить від характеристик носія. Зміст тексту, наприклад, не залежить від якості паперу, на якому він написаний, або фізичних параметрів іншого носія. Семантична інформація є продуктом абстрактного мислення людини і відображає об'єкти, явища як матеріального світу, так створювані нею образи і моделі за допомогою символів на мовах спілкування людей.
Мови спілкування включають як природні мови національного спілкування, так і штучні професійні мови. Мови національного спілкування формуються протягом тривалого часу розвитку нації. В природній мові застарілі слова поступово вимирають, але з'являються нові, викликані розвитком людства, в тому числі технічним прогресом.
Семантична інформація на мові національного спілкування подається у вигляді впорядкованої послідовності знаків (букв, цифр, ієрогліфів) алфавіту цієї мови та записується на будь-якому матеріальному носієві. У галузі реєстрації та консервації семантичної інформації розробляються носії, які забезпечують все більш високу щільність запису та менше енергоспоживання.
Професійні мови створюються спеціалістами для економного та компактного відображення інформації. Існує велика кількість професійних мов: математики, музики, радіоелектроніки, хімії і т. ін. Будь-яка предметна частина містить характерні для неї поняття та умовні позначення, часто незрозумілі ненавченій цій мові людині. Для однозначного розуміння цієї мови всіма спеціалістами галузей науки, техніки, мистецтва і т. ін., терміни та умовні позначення стандартизуються. У принципі, все те, що описано на професійній мові, можна представити на природній мові, але така форма запису громіздка та незручна для сприйняття інформації людиною. Крім того, використання носіїв різноманітної фізичної природи дозволяє підключати для вводу інформації в мозок людини все різноманіття її рецепторів (датчиків): органи слуху, зору, нюху і т. ін.
Ознакова інформація описує конкретний матеріальний об'єкт на мові його ознак. Опис об'єкта містить ознаки його зовнішнього вигляду, випромінюваних ним полів та елементарних часток, складу та структури речовини, з якої складається об'єкт. Джерелами ознакової інформації є власне об'єкти. До них в першу чергу відносяться люди, які цікавлять зарубіжну розвідку або вітчизняного конкурента, нова продукція та матеріали, приміщення і навіть будівлі, в яких може знаходитися конфіденційна інформація. Залежно від виду опису об'єкта, ознакова інформація поділяється на інформацію про зовнішній вигляд (видові ознаки), про його поля (ознаки сигналів), про структуру та склад його речовин (ознаки речовин).
Інформація, що підлягає захисту неоднорідна за змістом, об'ємом та цінністю. Отже, захист буде раціональним у тому випадку, коли рівень захисту, а отже, витрати, відповідають кількості і якості інформації. Якщо витрати на захист інформації вищі за її ціну, то рівень захисту невиправдано великий, якщо суттєво менший, то підвищується ймовірність знищення, викрадення або модифікації інформації. Для забезпечення раціонального захисту виникає необхідність структурування конфіденційної інформації, тобто розділення її на так звані інформаційні елементи.
Інформаційний елемент являє собою інформацію на носієві з достатньо чіткими межами, і задовольняє наступним вимогам:
належить конкретному джерелу (документу, людині, зразку, продукції і т. ін.);
міститься на окремому носієві;
має конкретну ціну.
Структурування інформації здійснюється шляхом послідовної деталізації інформації, що підлягає захисту, починаючи з переліку відомостей, що містять таємницю. Деталізація передбачає ієрархічну розбивку інформації відповідно до структури тематичних питань, які охоплюють усі аспекти організації і діяльності приватної фірми або державної структури (рис. 6.6).
Наприклад, загальний перелік відомостей, що складає комерційну таємницю (конфіденційна інформація), відноситься до нульового (вихідного) рівня ієрархії структури. На першому рівні ця інформація розділяється на три групи, кожна з яких відповідає темам: "про організацію", "про внутрішню діяльність організації"", "про зовнішню діяльність організації"". На другому рівні ці теми конкретизуються тематичними питаннями:
структура, методи управління, фінанси, плани та програми, проблеми та шляхи їх вирішення, безпека;
якість продукції, собівартість продукції, характеристики продукції, можливості виробництва, технології, дослідні роботи;
принципи, концепція і стратегія маркетингу, канали придбання та збуту, партнери, конкуренти, переговори та угоди.
Захист структурованої інформації принципово відрізняється від захисту інформації взагалі. Він є конкретним, оскільки ясно, що (який інформаційний елемент) необхідно захищати, насамперед, виходячи з його цінності, хто або що є носіями цього елемента. Для елемента інформації можна виявити можливі загрози його безпеці та визначити які способи та засоби доцільно застосувати для забезпечення безпеки даного елементу інформації.