kursovik (Информация как предмет защиты), страница 3

целостность информации - свойство информации, заключающееся в ее существовании в неизменном виде по отношению к некоторому фиксированному состоянию и адекватности (полноты и точности) отображения объекта предметной области независимо от формы представления этой информации;

конфиденциальность информации - субъективно определяемое свойство информации, указывающее на необходимость ограничения круга доступа к данной информации, и обеспечиваемое способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней.

Чтобы определить наличие или отсутствие нарушений безопасности, предварительно выявляют типичные события, связанные с этими нарушениями.

Уязвимость системы означает нарушение хотя бы одного из свойств её информационного ресурса (доступности, целостности или конфиденциальности). В общем случае имеют место следующие вероятные угрозы в автоматизированных системах:

- разрушение файловой структуры из-за некорректной работы программ или аппаратных средств;

- разрушение информации, вызванное вирусными воздействиями;

- разрушение архивной информации, хранящейся на машинных носителях;

- ошибки в программном обеспечении;

- несанкционированный доступ посторонних лиц, не принадлежащих к числу служащих предприятия, и ознакомление с обрабатываемой конфиденциальной информацией;

- ознакомление служащих с информацией, к которой они не должны иметь доступа;

- несанкционированное копирование программ и данных;

- перехват и ознакомление с информацией, передаваемой по каналам связи;

- хищение машинных носителей, содержащих конфиденциальную информацию;

- несанкционированная распечатка и хищение документов на бумажных носителях;

- случайное или умышленное уничтожение информации;

- несанкционированная модификация информации;

- фальсификация сообщений, передаваемых по каналам связи;

- отказ от авторства сообщений, передаваемых по каналам связи;

- отказ от факта получения информации;

- ошибки в работе обслуживающего персонала;

- хищение и несанкционированная модификация оборудования;

- отключение электропитания;

- сбои оборудования.

В настоящее время не существует общепринятого определения термина «защи­щенность информации» в связи с различными аспектами его семантической интерпре­тации в прикладных исследованиях. В ряде случаев защищенность понимают как опре­деленное состояние исследуемой системы, в других - как одно из ее свойств. Кроме то­го, в некоторых исследованиях и руководящих документах данный термин употребля­ется в качестве синонима безопасности информации, что вносит еще большую тер­минологическую неопределенность. Поэтому представляется целесообразным дать оп­ределение защищенности информации с позиций системного подхода. Системный под­ход предполагает комплексное рассмотрение исследуемого объекта как системы с уче­том внутренних и внешних связей и основываясь на общих принципах сложности и цели.

Заметим прежде, что любой объект обладает определенными отличительными особенностями, характеризующими его отдельные стороны (аспекты). Особенности, выделяющие данный объект из совокупности других, являются свойствами этого объ­екта, которые могут меняться с течением времени, переводя объект из одного положе­ния в другое. Положения объекта в каждый момент времени соответствуют различным его состояниям.

Интуитивно ясно, что защищенность информации не является собственно свой­ством определенного количества информации в отличие от, например, ценности, а зависит как от характеристик функционирования системы защиты, так и от характери­стик функционирования системы нападения. Понятно также, что в различных случай­ных обстоятельствах действия каждой из противоборствующих сторон различны, раз­личны и достигаемые ими эффекты. Следовательно, защищенность информации так­же может изменяться с течением времени и является свойством системы защиты информации (СЗИ) достигать целевого эффекта при взаимодействии с системой информационного нападения (СИН). При этом целевым эффектом СЗИ является та или иная степень защищенности информации, измеряемая соответствующей математи­ческой мерой. Очевидно, что часто используемое определение защищенности инфор­мации как некоторого состояния информационной системы применимо лишь в про­стейших моделях, не учитывающих динамику ее функционирования. В динамических моделях состояние защищенности представляет собой временной срез свойства защищенность информации и описывается значением соответствующего показателя в фик­сированный момент времени.

Свойство защищенность входит составной частью в более сложное свойство ин­формационной системы - безопасность информации. Безопасность информации, при­менительно к техническим системам, кроме противоборства СЗИ и СИН в информаци­онном конфликте, отражает и другие аспекты качества обрабатываемой, передаваемой и хранимой информации.

В свою очередь, декомпозиция свойства безопасность в соответствии с целями СИН по отношению к объектам защиты позволяет выделить элементарные информационные свойства - конфиденциальность, сохранность, целостность. При этом данные свойства зависят как от защищенности, так и от программной и аппаратной надежности, а также от информационной устойчивости. Применительно к свойству защищенности инфор­мации простейшие свойства определяются способностью системы защиты достигать той или иной степени соответствующих элементарных целевых эффектов, заключаю­щихся в препятствии системе нападения получать, разрушать или искажать информа­цию.

Таким образом, иерархическую взаимосвязь основных свойств, субъектами проявления которых являются различные аспекты безопасности информации, представлена на рисунке.

Доступность входной информации нарушается при:

- неисправности технических средств (отсутствии систем резервирования аппаратуры, устройств бесперебойного питания);

- несвоевременном предоставлении документов при последовательной обработке одного и того же документа несколькими исполнителями;

- занятости программ обработки информации другим пользователем при отсутствии сетевой версии программы коллективного пользования.

Целостность выходной информации нарушается при:

- ручном вводе информации в ЭВМ при отсутствии внешнего независимого механизма контроля ввода информации;

- распечатке документов на принтерах общего пользования, когда распечатанный документ не сверяется с первоисточником;

- передаче информации по каналам связи без специальных средств поддержания целостности (ЭЦП, контрольных кодовых групп, других специальных идентификационных признаков);

- копировании документов без сверки полученных и исходных документов;

- регистрации документов в журналах (книгах, папках) учета без проверки соответствия учетных данных и исходных документов;

- хранении документов без специальных средств контроля целостности хранилищ документов (документы дня и другие папки документов);

- ручном раскассировании документов в раскладки клиентов;

- ручном пересчитывании купюр одним сотрудником без применения технических средств.

Конфиденциальность информации нарушается при:

- передаче и приеме информации по незащищенным системам телекоммуникаций и локальных сетей;

- ведении переговоров по телефонам МГТС;

- передаче и приеме факсов на аппаратах общего пользования по линиям МГТС;

- размножении документов без учета копий на технических средствах общего доступа;

- распечатке информации на принтерах на неучтенных носителях (бумаге);

- распечатке конфиденциальной или любой другой информации ограниченного доступа на принтерах общего пользования;

- неисправности механизмов управления доступом к информации или техническим средствам, позволяющим выполнять функции, доступ к которым должен быть ограничен, при сохранении работоспособности остальных механизмов системы.

Приведенный перечень событий носит примерный характер, и для каждой информационной системы он является уникальным.

2. 4. Роль информации в предпринимательской

деятельности.

2.4.1. Информация как товар.

Современное общество называется информационным. Широкое развитие средств вычислительной техники и связи позволило собирать, хранить, обрабатывать и передавать информацию в таких объемах и с такой оперативностью, которые были немыслимы раньше. Благодаря новым информационным технологиям производственная и не производственная деятельность человека, его повседневная сфера общения безгранично расширяются за счет вовлечения опыта, знаний и духовных ценностей, выработанных мировой цивилизацией, и сама экономика все в меньшей степени характеризуется как производство материальных благ и все большей - как распространение информационных продуктов и услуг. И уже вряд ли стоит возражать против сложившихся и укоренившихся в теории и практике употребления таких словосочетаний как "информация - это товар". Тем более, что отнесение информации к категории "товара" юридически закреплено законодательно: информационные ресурсы могут быть товаром, за исключением случаев предусмотренных законодательством РФ. Что же такое товар вообще и, конкретно, товар - информация?

Товар - сложное, многоаспектное понятие, включающее совокупность многих свойств, главным из которых являются потребительские свойства, т.е. способность товара удовлетворять потребности того, кто им владеет.

Потребительские свойства информации - это не просто набор ее источников (документов) в области решаемой проблемы. Это та сумма отобранных, переработанных и представленных в соответствующих видах и формах сведений, при использовании которых потребитель (предприниматель, инженер, менеджер, руководитель) с учетом его экономических, социальных, психических возможностей и особенностей может с максимальным успехом решать стоящую перед ним проблему.

Следующим важнейшим свойством информации, как товара, является ее цена. Главная черта рыночного ценообразования состоит в том, что реальный процесс формирования цен здесь происходит не в среде производства, а в среде реализации продукции, т.е. на рынке под воздействием спроса и предложения. Цена товара и его полезность проходят проверку рынком и окончательно формируются на рынке. Формирование цены на информационные продукты и услуги осуществляется на основе анализа рентабельности предлагаемой информации и конъюнктуры рынка. Например, создание автоматизированных баз данных. Факторами, влияющими на установление цен, являются затраты на разработку информационного продукта, качество представленной информации, а также ожидаемый спрос на тот или иной информационный продукт.

Цена информации в предпринимательской деятельности может также определяться, как величина ущерба, который может быть нанесен фирме в результате использования коммерческой информации конкурентами. Или наоборот прибыли (дохода), который может быть получен фирмой в результате получения коммерческой информации. Следующим свойством товара является его жизненный цикл. Жизненный цикл товара (ЖЦТ) - это время существования товара на рынке. Фазы ЖЦТ обычно делят на внедрение (введение), рост, зрелость, насыщение и спад.

Продолжительность жизненного цикла в целом и его отдельных фаз зависит как от самого товара, так и от конкретного рынка. По общему признаку сырьевые товары имеют более длительный жизненный цикл, готовые изделия имеют более короткий жизненный, а наиболее технически совершенные товары короткий (2-3 года). Жизненный цикл одного и того же товара, но на разных рынках неодинаков.

Указанные особенности относятся и к информации как товару, жизненный цикл которой может колебаться в широких пределах. Особенно, когда это относится к коммерческой информации, представляющей интерес для конкурирующей организации.

Наряду с указанными свойствами информация (информационные ресурсы) характеризуются следующими особенностями:

- неисчерпаемостью - по мере развития общества и роста потребления его запасы не убывают, а растут;

- сохраняемостью - при использовании не исчезает и даже может увеличиваться за счет трансформации полученных сообщений;

- несамостоятельностью - проявляет свою "движущую силу" только в соединении с другими ресурсами (труд, техника, сырье, энергия).

Таким образом, информация как особый вид ресурсов и фактор общественного развития становиться и особым видом продукта с присущими ему всеми свойствами товара. Наблюдается переход от индустриальной экономики к экономике, основанной на информации, на новой информационной технологии как совокупности информационно-технологических процессов.

На сегодня рынок информации в России многообразен и динамичен. Активно используя самые совершенные технологии, он расширяется за счет формирования новых общественных потребностей и начинает доминировать в российской экономике наряду с энергетическим рынком. Чтобы оценить масштабность рынка информации, достаточно посмотреть на его структуру.

В число основных секторов этого рынка входят:

- традиционные средства массовой информации (телевидение, радио, газеты);