ГЛАВА I

ОСНОВЫ ИНЖЕНЕРНО-ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

1.1. Общие сведения о защите информации

Современный этап развития мирового сообщества ха­ рактеризуется возрастающей ролью информационной сферы, представляющей собой совокупность информации, информа­ ционной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информа­ ции, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборон­ ной и других сегментов безопасности любого государства. Это значит, что информационная безопасность не только один из видов безопасности, это срез экономических, соци­ альных, политических, военных, духовно-культурных и дру­ гих видов безопасности, в которых информационные процес­ сы занимают существенное место.

Защита информации представляет собой целенаправ­ ленную деятельность собственников информации (государст­ ва, государственных и федеральных органов, предприятий, учреждений и организаций, коммерческих фирм, отдельных граждан и т.д.), направленную на исключение или сущест­ венное ограничение неконтролируемого и несанкциониро­ ванного распространения (утечки) защищаемых сведений, а также различных видов воздействий на функциональные информационные процессы, реализуемые собственниками.

В основе защиты информации лежит совокупность пра­ вовых форм деятельности ее собственников, организационно­ технических и инженерно-технических мероприятий, реали­ зуемых с целью выполнения требований по сохранению за­ щищаемых сведений и информационных процессов, а также мероприятий по контролю эффективности принятых мер за­ щиты информации.

Учитывая, что в новых экономических условиях собст­ венником информации в нашей стране может быть государст­ во, юридическое лицо, группа физических лиц или отдельное физическое лицо, характер проведения защиты информации может быть определен в соответствии с требованиями право­ вых документов или требованиями, устанавливаемыми соб­ ственниками информации.

В соответствии с терминологией закона «Об информа­ ции, информатизации и защите информации» информация - это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Следо­ вательно, в общем случае информация - это знания в самом широком значении этого слова. Так как информация отража­ ет свойства материальных объектов и отношения между ни­ ми, то в соответствии с основными понятиями философии ее можно отнести к объектам познания, а защищаемую инфор­ мацию - к предмету защиты.

Информация как объект познания имеет ряд особенностей:

-она нематериальна в том смысле, что нельзя измерить

еепараметры, например, массу, размеры, энергию, известны­ ми физическими методами и приборами;

-информация, записанная на материальный носитель, может храниться, обрабатываться, передаваться по различ­ ным каналам связи;

-любой материальный объект содержит информацию

осамом себе или другом объекте.

Сточки зрения защиты информация обладает рядом свойств. Назовем основные:

1.Информация доступна человеку, если она содержит на материальном носителе. Так как с помощью материальных средств можно защищать только материальный объект, то объектами защиты являются только материальные носители информации. Различают носители - источники информации, носители - переносчики информации и носители - получате­ ли информации. Например, чертеж является источником ин­ формации, а бумага, на которой он нарисован, - носитель

информации. Физическая природа источника и носителя в этом примере одно и та же - бумага. Однако между ними существует разница. Бумага без нанесенного на ней текста или рисунка может быть источником информации о ее физи­ ческих и химических характеристиках. Когда бумага содер­ жит семантическую информацию, ей присваивается другое имя: чертеж, документ и т.д. Чертеж детали или узла входит в состав более сложного документа - чертежа прибора, меха­ низма или машины и т.д. вплоть до конструкторской доку­ ментации образца продукции.

Следовательно, в зависимости от назначения источнику могут присваиваться различные имена. Но независимо от на­

имеют определенные размеры, вес, механическую прочность, устойчивость краски или чернил к внешним воздействиям. Параметры носителя определяют условия и способы хране­ ния информации. Другие носители, например, поля не имеют четких границ в пространстве, но в любом случае их характе­ ристики измеряемы. Физическая природа носителя-источника

информации, носителя-переносчика и носителя-получателя может быть как одинаковой, так и разной.

Передача информации путем перемещения ее носите­ лей в пространстве связана с затратами энергии, причем ве­ личина затрат зависит от длины пути, параметров среды

ивида носителя.

2.Ценность информации определяется степенью пол ности ее для пользователя (собственника, владельца, получа­ теля). Информация может обеспечивать ее пользователю оп­ ределенные преимущества: приносить прибыль, уменьшить риск в его деятельности в результате принятия более обосно­ ванных решений и т.д.

Нейтральная информация не влияет на состояние дел ее пользователя, но носитель с нейтральной для конкретного получателя информацией может оказывать вредное воздейст­ вие на другой носитель с полезной информацией, если близки по значениям параметры носителей, например, частоты коле­ баний электромагнитных полей разных источников. Носите­ ли информации, оказывающие воздействие на другой носи­ тель, представляют собой помехи. То, что для одного получа­ теля является информацией, для другого является помехой.

Вкачестве примера можно привести возникновение помех

в телефонных линиях связи, когда мы слышим не только або­ нента, с которым обмениваемся информацией, но и других совершенно посторонних абонентов, вследствие чего каждая пара абонентов воспринимает разговор другой как помеху.

Вредной является информация, в результате использо­ вания которой ее получателю наносится моральный или ма­ териальный ущерб. Когда такая информация создается пред­ намеренно, то ее называют дезинформацией. Часто вредная информация создается в результате целенаправленной или случайной модификации ее при переносе с одного носителя на другой. Если в качестве таких носителей выступают люди,

то вредная информация циркулирует в виде слухов. Широко практикуется способ дезинформирования людей путем ис­ пользования механизма распространения слухов.

Полезность информации всегда конкретна. Нет ценной информации вообще. Информация полезна или вредна для конкретного пользователя. Под пользователями подразуме­ ваются как один человек или автомат, так и группа людей и даже все человечество. Чрезвычайно ценная информация для одних пользователей может не представлять ценности для других.

Поэтому при защите информации определяют прежде всего круг лиц (фирм, государств), заинтересованных в за­ щищаемой информации, так как вероятно, что среди них окажутся злоумышленники.

В интересах защиты ценной (полезной) информации ее владелец (государство, организация, физическое лицо) наносит на носитель условный знак полезности содержащейся на носи­ теле информации, обычно это гриф секретности или конфи­ денциальности. Гриф секретности информации, владельцем которой является государство (государственные органы), устанавливается на основании закона «О государственной тай­ не» и ведомственных перечней сведений, составляющих госу­ дарственную тайну. В соответствии с постановлением Прави­ тельства РФ № 870 от 4.09.95 г. к информации секретной, совершенно секретной и особой важности относится инфор­ мация, хищение или несанкционированное распространение которой может нанести ущерб государственной организации (предприятию, учреждению), отрасли (ведомству, министерст­ ву), субъекту Федерации и РФ в целом.

Правовой базой для определения конфиденциальности сведений служит документ «Специальные требования и ре­ комендации по технической защите конфиденциальной ин­ формации», принятый решением Коллегии Гостехкомиссии 14

России № 7.2 от 2.03.2001 г. На основе этого документа были сформулированы положения о защите сведений конфиденци­ ального характера. Следует отметить, что конфиденциальная информация - это информация с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащимся в государственных (муниципальных) информационных ресурсах, накопленных за счет государственного (муниципального) бюджета и яв­ ляющихся собственностью государства (к ним может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Рос­ сийской Федерации, а также сведения конфиденциального характера в соответствии с «Перечнем сведений конфиденци­ ального характера», утвержденным указом Президента Рос­ сийской Федерации от 6.03.97 г. № 188, защита которых осу­ ществляется в интересах государства).

Разновидностью конфиденциальной информации явля­ ется информация, отнесенная к коммерческой тайне. Под коммерческой тайной (конфиденциальными сведениями) по­ нимаются не являющиеся государственными секретами све­ дения, связанные с производственно-технической и другой деятельностью фирмы, а также с технологической информа­ цией, управлением, финансами и т.д., разглашение (передача, утечка) которых может нанести ущерб их интересам.

К сведениям, составляющим коммерческую тайну, отно­ сятся несекретные сведения, предусмотренные в перечне кон­ кретных сведений, содержащих коммерческую тайну, который утвержден и введен в действие приказом директора фирмы.

Конфиденциальные сведения - это информация, кото­ рую можно разделить на две группы: деловую и технологи­ ческую.

Деловая информация фирмы обычно включает в себя финансовые отчеты и прогнозы, банковские счета, кредиты, условия контрактов и договоров, ближайшие и перспектив­ ные планы фирмы, условия продаж, коды и процедуры дос­ тупа к информационным сетям и т.д.

К технологическим секретам могут быть причислены данные о научно-техническом потенциале предприятия, уро­ вне методов организации производства, объеме производст­ венных мощностей и уровне технологии, конкретных ноухау, нормах расхода сырья, информация о незащищенных патентами изобретениях, используемых в производстве и т.д.

В законодательстве Российской Федерации нет специ­ ального закона, связанного с защитой коммерческой тайны негосударственных предпринимательских структур.

Критериями коммерческой тайны являются:

-степень важности информации для достижения при­ были в конкурентной борьбе;

-величина выигрыша во времени по сравнению с кон­ курентами;

-время возможного освоения технологии, украденной конкурентами.

Всвоей совокупности источники конфиденциальной информации содержат полные сведения об организации фирмы, ее внутренней деятельности, а также о внешней дея­ тельности, что весьма интересует конкурентов. Естественно, что они приложат все силы, найдут необходимые способы несанкционированного доступа, чтобы получить интере­ сующие сведения.

Для обозначения степени конфиденциальности ком­ мерческой информации применяют различные шкалы ранжи­ рования. Распространена шкала: «коммерческая тайна - строго конфиденциально» (КТ-СК), «коммерческая тайна - конфи­

денциально» (КТ—К), «коммерческая тайна» (КТ). Применя­ ется также двухуровневая шкала ранжирования коммерче­ ской информации: «коммерческая тайна» и «для служебного пользования».

В качестве критерия для определения грифа конфиден­ циальности информации могут служить результаты прогноза последствий попадания информации к конкуренту или зло­ умышленнику, в том числе:

-величина экономического и морального ущерба, на­ носимого организации;

-реальность создания предпосылок для катастрофиче­ ских последствий в деятельности организации, например, банкротства.

Для несекретной информации, содержащей служебную тайну, вводят гриф «для служебного пользования».

3. Учитывая, что информация может быть для полу теля полезной или вредной, что она покупается и продается, информацию можно рассматривать как товар. Цена инфор­ мации связана с ее ценностью, но это разные понятия. На­ пример, при проведении исследований могут быть затрачены большие материальные и финансовые ресурсы, которые за­ вершились отрицательным результатом, то есть не получена информация, на основе которой ее владелец может получить прибыль. Но отрицательные результаты представляют цен­ ность для специалистов, занимающихся рассматриваемой проблемой, так как полученная информация укорачивает путь к истине.

Полезная информация может быть создана ее владель­ цем в результате научно-исследовательской деятельности, заимствована из различных открытых источников, может по­ пасть к злоумышленнику случайно, например, в результате непреднамеренного подслушивания и, наконец, добыта раз­

личными нелегальными путями. Цена информации, как лю­ бого товара, складывается из ее себестоимости и прибыли.

Себестоимость определяется расходами владельца ин­ формации на ее получение':

-путем проведения исследований в научных лаборато­ риях, аналитических центрах, группах и т.д.;

-покупки информации на рынке информации;

-добывания информации противоправными действиями. Прибыль от информации ввиду ее особенностей может

принимать различные формы, причем денежное ее выраже­ ние не является самой распространенной формой. В общем случае прибыль от информации может быть получена в ре­ зультате следующих действий:

-продажа информации на рынке;

-материализация информации в продукции с новыми свойствами или технологии, приносящими прибыль;

-использование информации для принятия эффектив­ ных решений.

Для принятия любого решения нужна информация, причем чем выше риск и цена решения, тем большего объема должна быть информация. Размышления перед принятием решения есть не что иное, как переработка человеком имею­ щейся у него информации. По своему опыту каждый знает, как трудно принять ответственное решение в условиях дефи­ цита информации или времени.

Дефицит времени при принятии решения возникает, ко­ гда недостаточно времени для восприятия (чтения) и обра­ ботки информации, необходимой для принятия обоснованно­ го решения. При недостатке времени часть информации не учитывается, что по последствиям аналогично дефициту ин­ формации. Поэтому руководитель требует от своих помощ­

ников представлять ему информацию в обобщенном виде и форме, позволяющей воспринимать ее в сжатые сроки.

4.Ценность информации измеряется во времени. Р

пространение информации и ее использование приводят к изменению ее ценности и цены. Характер изменения цен­ ности во времени зависит от вида информации. Для научной информации эта зависимость часто имеет волнообразный вид. Информация об открытии даже новых законов или яв­ лений природы вначале должным образом не оценивается. Например, в начале века результаты исследований по атом­ ной физике носили чисто познавательный характер и инте­ ресовали узкий круг ученых. Информация в этой области приобрела чрезвычайно высокую ценность, когда появились реальные возможности практического использования атом­ ной энергии. По мере того, как исчерпываются на опреде­ ленном этапе научно-технического прогресса возможности практической реализации теоретических результатов, цен­ ность информации убывает. Новые технологии или дости­ жения в смежных областях могут увеличить ценность давно полученных знаний.

Ценность большинства видов информации, циркули­ рующих в обществе, со временем уменьшается - информация стареет. Старение информации Си в первом приближении

где С0 - ценность информации в момент ее возникновения (создания); т - время от момента возникновения информа­ ции до момента ее использования; тжц - продолжительность жизненного цикла информации (от момента возникновения до момента устаревания).

Всоответствии с этим выражением за время жизненно­ го цикла ценность информации уменьшается до 0,1 первона­ чальной величины.

Взависимости от продолжительности жизненного цик­ ла коммерческую информацию можно классифицировать следующим образом:

-оперативно-тактическая, теряющая ценность при­ мерно на 10 % в день (например, информация выдачи кратко­ срочного кредита, предложения по приобретению товара в срок до одного месяца и др.);

-стратегическая информация, ценность которой убы­ вает примерно на 10 % в месяц (сведения о партнерах, о дол­ госрочном кредите, развитии и т.д.).

5.Невозможно объективно (без учета полезности ее д потребителя, владельца, собственника) оценить количество информации. Количество информации, содержащейся, на­

пример, в книге, для различных читателей - разное. Даже один и тот же человек в разные периоды своей жизни нахо­ дит в книге каждый раз что-то новое для себя. Количество информации в голове человека может косвенно оНенить по его действиям, так как для принятия обоснованного решения необходимо больше информации.

Для определения количества информации в теории информации предложен энтропийный подход. В соответст­ вии с ним количество информации оцениваете» мерой уменьшения у получателя неопределенности (энтропии) вы­ бора или ожидания события после получения информации. Количество получаемой информации тем больше, чем ниже вероятность события. Такой подход хорошо разработан для определения количества информации в сообщений» переда­ ваемом по каналам связи. Выбор при приеме осуществляет­ ся между символами алфавита сообщения. Количество ин­

формации по каналам связи сообщений из N символов (без учета связи между символами в сообщении) рассчитывается по формуле Шеннона

где Pt - вероятность появления в сообщении символа г; п -

количество символов в алфавите языка.

Как следует из формулы, количество информации, из­ меряемое в двоичных элементах (в битах, байтах), зависит только от количества и статистики символов, но не зависит от содержания сообщения. Количество информации, опреде­ ляемое по этой формуле, одинаковое при передаче бессмыс­ ленного текста или сообщения о жизненно важных для полу­ чателя сведениях. С точки зрения передачи таких сообщений по каналам связи такой подход обоснован, так как затраты на передачу этих сообщений одинаковы. А на что потрачены деньги и насколько сообщение информативно для получате­ ля - эти вопросы к связи отношения не имеют.

Это аналогично тому, когда при телефонном разговоре ваш собеседник сообщает известные сведения, а количество полученной вами информации мало, хотя разговор может длиться достаточно долго. Возникает вопрос, что же переда­ валось в этом случае? Очевидно, что осуществлялась переда­ ча лишь акустических и электрических сигналов.

Если информацию трактовать как знания, то количество информации, извлекаемое человеком из общения, можно оце­ нить степенью изменения его знаний. Структурированные знания, представленные в виде понятий и отношений между ними, называют тезаурусом. Тезаурус имеет иерархическую структуру. Понятия и отношения, группируясь, образуют другие, более сложные понятия и отношения.

лицензии. Приобретение знаний путем хищения информации является незаконным способом увеличения тезауруса.

В обществе происходят процессы как увеличения тезау­ руса владельца в результате синтеза информации, так и выравнивание тезаурусов разных владельцев. Выравнивание тезаурусов происходит путем передачи информации от тезау­ руса большего объема к тезаурусу меньшего объема. Кроме целенаправленной (законной или незаконной) деятельности по передаче информации имеют место случайные процессы вы­ равнивания тезаурусов владельцев, аналогичные выравнива­ нию температуры в замкнутом пространстве. Этот процесс объективно проявляется в любой организации и государстве путем случайных, трудно контролируемых процессов распро­ странения информации от источника с большим объемом те­ зауруса к получателю, в том числе несанкционированному, с меньшим объемом тезауруса. Необходимы большие затраты и условия для замедления процессов выравнивания тезауру­ сов. Это так же трудно, как, например, удержать сгусток энер­ гии от растекания.

При выравнивании тезаурусов коммерческая цена ин­ формации убывает, а ценность информации может как воз­ растать, так и снижаться. Действительно, закон Ома знают многие, но от этого полезность его для практики не уменьша­ ется. Однако покупателя на эту информацию не найдешь, так как изучение закона Ома входит в программу школьного об­ разования.

На практике используют более грубый и простой, так называемый объемный способ измерения информации путем подсчета количества (в битах или байтах) символов сообще­ ния или измерения характеристик носителя (количество лис­ тов, времени передачи сообщения и др.). Но семантика ин­ формации и ее ценность при этом не учитываются.