Учебное пособие по ТЗИ. Учебное пособие для студентов специальностей Организация и технология защиты информации
Скачать 7.5 Mb.
|
1.2. Основные свойства информации как предмета защитыНосители и источники информации Информация доступна человеку, если она содержится на материальном носителе. Так как с помощью материальных средств можно защищать только материальный объект, то объектами защиты являются материальные носители информации. Различают носители – источники информации, носители – переносчики информации и носители – получатели информации. Например, чертеж является источником информации, а бумага, на которой он нарисован, – носитель информации. Физическая природа источника и носителя в этом примере одна и та же – бумага. Однако между ними существует разница. Бумага без нанесенного на ней текста или рисунка может быть источником информации о ее физических и химических характеристиках. Когда бумага содержит семантическую (символьную) информацию, ей присваивается другое имя: чертеж, документ и т. д. Чертеж детали или узла входит в состав более сложного документа – чертежа прибора, механизма или машины и т. д. вплоть до конструкторской документации образца продукции. Следовательно, в зависимости от назначения источнику могут присваиваться различные имена. Но независимо от наименования документа защищать от хищения, изменения и уничтожения информации надо листы бумаги, которые имеют определенные размеры, вес, механическую прочность, устойчивость краски или чернил к внешним воздействиям. Параметры носителя определяют условия и способы хранения информации. Другие носители, например, поля не имеют четких границ в пространстве, но в любом случае их характеристики измеряемы. Физическая природа носителя–источника информации, носителя–переносчика и носителя–получателя может быть как одинаковой, так и разной. Передача информации путем перемещения ее носителей в пространстве связана с затратами энергии, причем величина затрат зависит от длины пути, параметров среды и вида носителя. Ценность информации Это свойство оценивается степенью полезности ее для пользователя (собственника, владельца, получателя). Информация может обеспечивать ее пользователю определенные преимущества: приносить прибыль, уменьшить риск в его деятельности в результате принятия более обоснованных решений и др. Нейтральнаяинформация не влияет на состояние дел ее пользователя, но носитель с нейтральной для конкретного получателя информацией может оказывать вредное воздействие на другой носитель с полезной информацией, если близки по значениям параметры носителей, например, частоты колебаний электромагнитных полей разных источников. Носители информации, оказывающее воздействие на другой носитель, представляют собой помехи. То, что для одного получателя является информацией, для другого – помеха. Когда во время разговора по телефону из-за неисправности в цепях коммутации телефонной станции слышен разговор других людей, то каждая пара абонентов воспринимает разговор другой как помеху. Вреднойявляется информация, в результате использования которой ее получателю наносится моральный или материальный ущерб. Когда такая информация создается преднамеренно, то ее называют дезинформацией. Часто вредная информация создается в результате целенаправленной или случайной модификации ее при переносе с одного носителя на другой. Если в качестве таких носителей выступают люди, то вредная информация циркулирует в виде слухов. Широко практикуется способ дезинформирования людей путем использования механизма распространения слухов. Полезностьинформации всегда конкретна. Нет ценной информации вообще. Информация полезна или вредна для конкретного ее пользователя. Под пользователями подразумевается как один человек или автомат, так и группа людей и даже все человечество. Чрезвычайно ценная информация для одних пользователей может не представлять ценности для других. Даже информация, ценная для всего человечества, например, технология изготовления лекарств от опасных болезней, для конкретного здорового человека может не представлять интереса. Поэтому при защите информации определяют, прежде всего, круг лиц (фирм, государств), заинтересованных в защищаемой информации, так как вероятно, что среди них окажутся злоумышленники. В интересах защиты ценной (полезной) информации ее владелец (государство, организация, физическое лицо) наносит на носитель условный знак полезности содержащейся на нем информации, – гриф секретности или конфиденциальности. Гриф секретности информации, владельцами которой является государство (государственные органы), устанавливается на основании Федерального закона Российской Федерации от 06.10.97 № 131–ФЗ «О ГОСУДАРСТВЕННОЙ ТАЙНЕ», и ведомственных перечней сведений, составляющих государственную тайну. В соответствии с постановлением Правительства РФ № 870 от 4 сентября 1995 г. к информации секретной, совершенно секретной и особой важности относится информация, хищение или несанкционированное распространение которой может нанести ущерб соответственно государственной организации (предприятию, учреждению), отрасли (ведомству, министерству), субъекту Федерации и РФ в целом. Для несекретной информации, содержащей служебную тайну, вводят гриф «для служебного пользования». Для обозначения степени конфиденциальности коммерческой информации применяют различные шкалы ранжирования. Распространена шкала: «коммерческая тайна – строго конфиденциально» (КТ–СК), «коммерческая тайна – конфиденциально» (КТ–К), «коммерческая тайна» (КТ). Известна шкала: «строго конфиденциально – особый контроль», «строго конфиденциально», «конфиденциально». Применяется также двухуровневая шкала ранжирования коммерческой информации: «коммерческая тайна» и «для служебного пользования». В качестве критерия для определения грифа конфиденциальности информации могут служить результаты прогноза последствий попадания информации к конкуренту или злоумышленнику, в том числе:
Информация – товар Учитывая, что информация может быть для получателя полезной или вредной, что она покупается и продается, то информацию можно рассматривать как товар. Цена информации связана с ее ценностью, но это разные понятия. Например, при проведении исследований могут быть затрачены большие материальные и финансовые ресурсы, которые завершились отрицательным результатом, т. е. не получена информация, на основе которой ее владелец может получить прибыль. Но отрицательные результаты представляют ценность для специалистов, занимающихся рассматриваемой проблемой, так как полученная информация укорачивает путь к истине. Полезная информация может быть создана ее владельцем в результате научно-исследовательской деятельности, заимствована из различных открытых источников, может попасть к злоумышленнику случайно, например, в результате непреднамеренного подслушивания и, наконец, добыта различными нелегальными путями. Цена информации, как любого товара, складывается из себестоимости и прибыли. Себестоимость определяется расходами владельца информации на ее получение путем:
Прибыль от информации ввиду ее особенностей может принимать различные формы, причем денежное ее выражение не является самой распространенной формой. В общем случае прибыль от информации может быть получена в результате следующих действий:
Последняя форма прибыли от информации не столь очевидна, но она самая распространенная. Это обусловлено тем, что любая деятельность человека есть по своей сути последовательность принятия им решений. Большинство решений принимается человеком бессознательно, он осознано принимает в основном жизненно важные решения. Для принятия любого решения нужна информация, причем, чем выше риск и цена решения, тем большего объема должна быть информация. Размышления перед принятием решения есть не что иное, как переработка человеком имеющейся у него информации. По своему опыту каждый знает, как трудно принять ответственное решение в условиях дефицита информации или времени. Дефицит времени при принятии решений возникает, когда недостаточно времени для восприятия (чтения) и обработки информации, необходимой для принятия обоснованного решения. При недостатке времени часть информации не учитывается, что по последствиям аналогично дефициту информации. Поэтому руководитель требует от своих помощников представлять ему информацию в обобщенном виде и форме, позволяющих воспринять ее в сжатые сроки. Учитывая жизненную потребность в информации для любых живых организмов, природа создала механизм, заставляющий их искать информацию в случае ее дефицита. Таким общим механизмом для активизации деятельности живых существ по удовлетворению основных потребностей, в том числе информационной потребности, являются эмоции. Уровень отрицательных эмоций живого существа пропорционален дефициту информации, необходимой для принятия им решений. Алгоритм поведения живого человека формируется таким, чтобы устранить причины отрицательных эмоций, в том числе путем поиска информации. Изменение ценности информации во времени Ценность информации изменяется во времени. Распространение информации и ее использование приводят к изменению ее ценности и цены. Характер изменения ценности во времени зависит от вида информации. Для научной информации эта зависимость часто имеет волнообразный вид. Информация об открытии даже новых законов или явлений природы вначале должным образом не оценивается. Например, в начале века результаты исследований по атомной физике носили чисто познавательный характер и интересовали узкий круг ученых. Информация в этой области приобрела чрезвычайно высокую ценность, когда появились реальные возможности практического использования атомной энергии. По мере того, как исчерпываются на определенном этапе научно-технического прогресса возможности практической реализации теоретических результатов, ценность информации убывает. Новые технологии или достижения в смежных областях могут увеличить ценность давно полученных знаний. Недаром говорят, что новое – это хорошо забытое старое. Ценность большинства видов информации, циркулирующей в обществе, со временем уменьшается – информация стареет. Старение информациив первом приближении можно аппроксимировать выражением вида [4]: где С0 – ценность информации в момент ее возникновения (создания); τ – время от момента возникновения информации до момента ее использования; τжц – продолжительность жизненного цикла информации (от момента возникновения до момента устаревания). В соответствии с этим выражением за время жизненного цикла ценность информации уменьшается до 0.1 первоначальной величины. В зависимости от продолжительности жизненного цикла коммерческая информация классифицируется следующим образом:
Информация о законах природы имеет очень большое время жизненного цикла. Ее старение проявляется в уточнении законов, например, в ограничениях законов Ньютона для микромира. Виды защищаемой информации По содержанию любая информация может быть отнесена к семантической (символьной) или к информации о признаках материального объекта – признаковой. Сущность семантической информации не зависит от характеристик носителя. Содержание текста, например, не зависит от качества бумаги, на которой он написан, или физических параметров другого носителя. Семантическая информация – продукт абстрактного мышления человека и отображает объекты, явления, как материального мира, так и создаваемые им образы и модели с помощью символов на языках общения людей. Языки общения включают как естественные языки национального общения, так и искусственные профессиональные языки. Языки национального общения формируются в течение длительного времени развития нации. В нем устаревшие слова постепенно отмирают, но появляются новые, вызванные развитием человечества, в том числе техническим прогрессом. Семантическая информация на языке национального общения представляется в виде упорядоченной последовательности знаков (букв, цифр, иероглифов) алфавита этого языка и записывается на любом материальном носителе. В области средств регистрации и консервации семантической информации изыскиваются носители, обеспечивающие все более высокую плотность записи и меньшее энергопотребление. Профессиональные языки создаются специалистами для экономного и компактного отображения информации. Существует множество профессиональных языков: математики, музыки, радиоэлектроники, автодорожного движения, химии и т. д. Любая предметная область содержит характерные для нее понятия и условные обозначения, часто непонятные необученному этому языку человеку. Для однозначного понимания этого языка всеми специалистами областей науки, техники, искусства и др., термины и условные обозначения стандартизируются. В принципе все то, что описано на профессиональном языке, можно представить на языке общечеловеческого общения, но такая форма записи громоздка и неудобна для восприятия информации человеком. Кроме того, использование носителей различной физической природы позволяет подключать для ввода информации в мозг человека все многообразие его рецепторов (датчиков). При просмотре кинофильмов, например, основной объем информации зритель получает через органы зрения. Музыкальное сопровождение фильма через слуховой канал ввода информации оказывает дополнительное воздействие на эмоциональную сферу зрителя. Известны попытки дополнить эти каналы воздействием на органы обоняния человека путем создания в кинозале соответствующих запахов. В ситуациях, когда нельзя использовать для информирования человека зрительные или акустические сигналы или эти каналы перегружены, воздействуют на его тактильные рецепторы. Например, нательное средство для обнаружения записывающего устройства в кармане собеседника информирует о работе диктофона с помощью индикатора, создающего вибрацию. Информация признаковая описывает конкретный материальный объект на языке его признаков. Описание объекта содержит признаки его внешнего вида, излучаемых им полей и элементарных частиц, состава и структуры веществ, из которых состоит объект. Источниками признаковой информации являются сами объекты. К ним в первую очередь относятся интересующие зарубежную разведку или отечественного конкурента люди, новая продукция и материалы, помещения и даже здания, в которых может находиться конфиденциальная информация. В зависимости от вида описания объекта признаковая информация делится на информацию о внешнем виде (видовых признаках), о его полях (признаках сигналов), о структуре и составе его веществ (признаках веществ). Классификация информации по содержанию представлена на рис. 1.1. Рис. 1.1. Классификация информации, защищаемой техническими средствами Защищаемая информация неоднородна по содержанию, объему и ценности. Следовательно, защита будет рациональной в том случае, когда уровень защиты, а следовательно, затраты, соответствуют количеству и качеству ин формации. Если затраты на защиту информации выше ее цены, то уровень защиты неоправданно велик, если существенно меньше, то повышается вероятность уничтожения, хищения или изменения информации. Для обеспечения рациональной защиты возникает необходимость структурирования конфиденциальной информации, т. е. разделения ее на так называемые информационные элементы. Информационный элемент представляет собой информацию на носителе с достаточно четкими границами, и удовлетворяет следующим требованиям:
Структурирование информации проводится путем последовательной детализации защищаемой информации, начиная с перечней сведений, содержащих тайну. Детализация предусматривает иерархическое разбиение информации в соответствии со структурой тематических вопросов, охватывающих все аспекты организации и деятельности частной фирмы или государственной структуры. Вариант укрупненной типовой структуры конфиденциальной информации, составляющей коммерческую тайну, приведен на рис. 1.2. Рис. 1.2. Вариант структуры конфиденциальной информации Обобщенный перечень сведений, составляющих коммерческую тайну (на рис. 1.2. конфиденциальная информация), относится к нулевому (исходному) уровню иерархии структуры. На 1-м уровне эта информация разделяется на 3 группы, каждая из которых соответствует темам: «об организации», «о внутренней деятельности организации», «о внешней деятельности организации». На 2-м уровне эти темы конкретизируются тематическими вопросами: структура, методы управления, ..., качество продукции, себестоимость продукции, ..., принципы, концепция и стратегия маркетинга и т. д. На 3-м уровне детализируются тематические вопросы 2-го уровня и т. д. Такая информация является структурированной. Зашита структурированной информации принципиально отличается от защиты информации вообще. Она конкретна, так как ясно, что (какой информационный элемент) необходимо защищать, прежде всего, исходя из его ценности, кто или что являются источниками и носителями этого элемента. Для элемента информации можно выявить возможные угрозы его безопасности и определить, наконец, какие способы и средства целесообразно применять для обеспечения безопасности рассматриваемого элемента информации. |