Информация является важнейшей ценностью в. II. Экономическая информация и ее особенности. Экономическая информация отражает социально-экономические процессы как в сфере производства, так и в непроизводственной сфере. Экономическая информация, как и любая

б) мерой ценности, предложенной В.И. Корогодиным , является величина

V = (P- p) / (1-p)

Она обладает теми же свойствами, что ценность (1,3), но изменяется от 0 до 1. Мы далее будем использовать ценность, определœенную в (1.4) поскольку оно удобнее и более популярно.

II. Согласно (1.3) ценность информации зависит от величины p - вероятности достижения цели до получения информации, то есть, от того, какой предварительной (априорной) информацией он уже располагает рецептор.
Размещено на реф.рф
Предварительная осведомленность принято называть тезаурусом. В случае если таковая отсутствует, то априорная вероятность во всœех вариантах одинакова и равна p=1/n (где n - число вариантов). В этом случае величина p играет роль нормировочного множителя. В случае если при этом, после получения информации цель достигается наверняка (P=1), то ценность этой информации максимальна и равна V= Vmax =log 2 n, ᴛ.ᴇ. совпадает с максимальным количеством информации в данном множестве (в данной таре). Это совпадение не случайно, именно для этого была выбрана форма (1.3), при этом ценность информации можно понимать как количество ценной информации.

III. Количество информации, имеющий нулевую ценность, как правило, не мало по сравнению с количеством информации, имеющих хоть какую-то ценность (положительную или отрицательную). К примеру: пусть цель - узнать прогноз погоды, а по радио (или телœевизору) передают: кто выиграл в футбол, кто в теннис, что случилось в Санта-Барбаре и т.д. Для Вас всœе это имеет нулевую ценность, хотя для другого, возможно, ценна наоборот именно эта информация. Отсюда следует, что ценность информации субъективна .

Существует информация, которая, на первый взгляд, ни для кого и никогда не может стать ценной. Пример: в тексте наборщик переставил буквы так, что текст потерял всякий смысл. Количество информации сохранилось, но ценность его, для кого бы то ни было, стала равна нулю. Так появляется понятие "осмысленность". В отличие от "ценности" это понятие претендует на объективность, что основано на следующем положении: в информационной таре, куда вмещена данная информация, можно выделить определœенное количество информации, которая никогда ни для кого ни для какой -либо цели не понужнобится. Тогда эту информацию называют лишенной смысла. Объективность критерия основана на утверждениях: "ни для кого, никогда, ни для какой цели". Утверждение сильное, абсолютное и, как таковое, конечно, не верное. Так, в приведенном примере можно сказать, что абракадабра, которую сотворил наборщик содержит ценную информацию для психиатра, цель которого - поставить наборщику диагноз. По этой причине утверждение "ни для кого" следует принимать: ни для кого среди людей, которых интересует смысл текста и ничего более. При этом, и в данном случае осмысленность текста зависит от тезауруса. Так, к примеру, наборщик набрал слова "трах-тибидох-тах-тах". На первый взгляд это бессмыслица, однако, люди сведущие знают, что смысл в этих словах есть, поскольку именно с их помощью старик Хаттабыч творил чудеса.

Мы остановились на этом вопросœе столь подробно по следующим причинам. Во-первых в традиционной информатике, основанной на математической теории связи, не существует и не обсуждаются вопросы о возникновении ценной информации и ее эволюции. Ценность информации обсуждается в предположении о том, что цель задана извне. Вопрос о спонтанном возникновении цели внутри самой системы там не ставится. Сейчас в связи с развитием науки о самоорганизации (синœергетики) именно эти вопросы стали актуальными, особенно в проблеме биологической эволюции. Именно они являются предметом динамической теории информации. При этом, как будет показано позже, ценность информации эволюционирует: не ценная информация становится ценной, бессмысленная - осмысленной и наоборот. Во-вторых, люди невольно отождествляют просто информацию с ценной и (или осмысленной), что приводит к недоразумениям. Эта тенденция проявляется в коллекции определœений информации. Действительно, в случае если отождествить понятия информация и ценная информация, то дать объективное и конструктивное определœение такому феномену, в принципе невозможно. Напротив, разделив эти понятия, можно дать конструктивное определœение каждому из них, оговорив меру условности и субъективности.

Ценность информации - понятие и виды. Классификация и особенности категории "Ценность информации" 2017, 2018.

Создатель классической теории информации К. Шеннон отметил, что смысл (т.е. семантика – “о чём”) сообщений не имеет никакого отношения к его теории информации и занимающегося текстовыми сообщениями. Но возможность точного измерения информации в сообщениях, созданная теорией информации Шеннона, наводила на мысль о возможности существования способов измерения информации более общего вида – макроинформации Кастлера-Чернавского и семантической информации, содержащейся в предложениях естественного или (хотя бы) формализованного языка.

Эта задача далека от своего решения, но имеет всё возрастающее теоретическое и практическое значение.

Понятия ценности, осмысленности информации – центральные в современной информатике, системном анализе. Ценностью информации, смыслом сообщений занимается семантическая теория информации.

Основные положения семантической теории информации.

1.Ценность информации зависит от цели.

Если цель достижима, то ценность информации может быть определена по уменьшению затрат на её достижение.

Если достижение цели – не обязательно то ценность информации V по Бонгарду и Харкевичу равна:

V = log 2 ; (5)

p- вероятность достижения цели до получения информации;

P- вероятность достижения после получения информации;

Априорная вероятность p зависит от информационной тары, от полного количества информации I, определяемого по формуле (2): p=2 - I .

Так если все варианты равновероятны то p=1/n; I=log 2 n ;

Апостериорную вероятность P может быть как больше, так и меньше p; тогда (P < p). Это – дезинформация. При изменении апостериорной вероятности P в пределах 0

Ценность информации по Корогодину даётся формулой:

Она изменяется в пределах V ≤ V≤ 1.

2.Ценность информации зависит от величины p , от так называемого тезауруса (предварительной информации).

Если предварительной информации нет, то p= ;

а если p=1 то ценность V=V max = log 2 n; т.е. совпадает с максимальным количеством информации в данном множестве символов (в данной информационной таре).

Это совпадение не случайно, именно для этого была выбрана формула (5) для определения ценности информации– при этом ценность информации можно понимать как количество ценной информации.

В формуле (6) при

P = 1 получаем:

Итак, по Бонгарду-Харкевичу:

-∞ < V ≤ log2n

По Корогодину (здесь нет понятия дезинформации)

0 ≤ V ≤ 1 0 соответственно P = 0, p = 0

При введении понятия дезинформации

Рmin = 0 Рmin =

Pmax = 1 Pmax = 1 P

3. Количество информации, имеющей нулевую ценность, как правило, не мало с количеством информации, имеющем хоть какую-то ценность для реципиента (получателя).

Понятно, что ценность информации субъективна – она зависит от целей и тезауруса реципиента.

Бессмысленная информация – это информация, не имеющая ценности ни для кого из тех, кого интересует смысл текста. Соответственно, как противоположность, возникает понятие осмысленной информации .

Объективность понятия «осмысленная информация» основана на следующем утверждении: в информационной таре, куда может быть помещена данная информация, можно выделить определенное количество информации, которая ни для кого, ни для каких дел не понадобится. Это – бессмысленная информация, все остальное – осмысленная. Но! Осмысленность текста зависит от тезауруса. Для человека, не знающего иероглифов, любой текст, составленный из них – текст бессмысленный.

Итак, различение понятий «количество информации», «ценность информации», «осмысленность информации» очень важно.

Во-первых, в традиционной информатике, основанной на классической теории информации (названной автором, Шенноном «математической теорией связи»), не существуют и не обсуждаются вопросы о ценной информации, её возникновении и эволюции. Ценность рассматривается в предположении, что цель задана извне. Вопрос о спонтанном возникновении цели внутри системы не рассматривается.

С точки зрения теории систем, здесь рассматриваются процессы в связях, а системному анализу нужны и связи, и элементы. И понятие цели играет в системном анализе основополагающую роль, поскольку он занимается целенаправленными системами.

В синергетике где также исследуются эти проблемы, показано [Чернавский], что ценность информации способна эволюционировать: неценная информация становится ценной, а бессмысленная – осмысленной, и наоборот. Цели системы могут возникать, меняться и исчезать в процессе развития.

Во-вторых, отождествление понятий просто информации, ценной информации, осмысленной информации приводит к недоразумениям. Для них невозможно дать единое объективное (воспринимаемое всеми) и конструктивное (полезное для развития науки и практики) определение. Напротив, разделив эти понятия можно дать конструктивное определение каждому из них, оговорить меру условности и субъективности.

Мы ранее рассмотрели меры ценности информации. Это мера Бонгарда-Харкевича, и мера Корогодина.

Вот еще две меры, связанные с истинностью информации [Лидовский].

inf(s) = -log2 p(s) = -1.44 ln p(s)

где s – предложение, смысл которого измеряется;

p(s) – вероятность того, что предложение S – истинно.

Понятно, что эта мера подходит только для простых предложений. Но тем не менее.

Некоторые свойства функции inf(s):

1) inf(s) ≥ 0 поскольку 0 ≤ p(s) ≤ 1;

2) при p(s) = 1, inf(s) = 0 (в тривиальном (истинном) предложении никакой информации не содержится);

3) при p(s) → 0, inf(s) → ∞ – чем неожиданнее сообщение, тем больше информации в нём содержится.

Из свойств (2) и (3) следует, что p(s) совпадает с априорной информацией р в формулах Бонгарда и Корогодина.

Но здесь это «внешняя» информация, находящаяся в сообщении, а там – «внутренняя», определяемая также и тезаурусом получателя.

4) если s1 → s2 (из s1 следует s2 ) истинна, то inf(s1) ≥ inf(s2);

5) условия независимости: inf(s1s2 ) = inf(s1) + inf(s2) ↔ p(s1) * p(s2) = p(s1*s2).

Значение функции-меры inf(s) больше для предложений, исключающих большое количество возможностей. Пример: из s1 : “a > 3” из s2 : “а = 7”, следует, что s1 → s2 и inf(s2) > inf(s1). Ясно, что s2 исключает больше возможностей, чем s1 .

cont(s) = 1 - p(s).

Связь между этими мерами даётся формулами:

cont(s) = 1 – 2-inf(s)= 1 – e-0.69 inf(s);

inf(s) = -log2(1 - cont(s)) = -0.69ln(1 – inf(s))

Задача. Вычислить меры истинности inf(s) и cont(s) для трёх предложений:

1) предложения s1 , про которое известно, что оно достоверно на 25%;

2) предложения s2 , достоверного на 50%;

3) предложения s3 , достоверного на 75%.

Предпринимательская деятельность всегда связана с созданием, использованием и хранени­ем значительных объемов информации и документов, которые представляют конкретную ценность для фирмы и подлежат защите от различных видов угроз.

Документированные информационные ресурсы, которые используются предпринимате­лем в бизнесе и управлении фирмой, являются его собственной или частной информацией, представляющей для него значительную ценность. Эта информация является интеллекту­альной собственностью предпринимателя и нуждается в охране.

Под интеллектуальным продуктом понимается результат творческого труда предпри­нимателя или коллектива сотрудников фирмы, имеющий конкретную ценность для собст­венника или владельца. Интеллектуальный продукт, как составной элемент интеллектуаль­ной собственности, - это коммерчески ценная идея, реализованная в информационном виде.

Ценность информации может быть стоимостной категорией и характеризовать кон­кретный размер прибыли при ее использовании или размер убытков при ее утрате. Инфор­мация становится часто ценной ввиду ее правового знания для фирмы или развития бизне­са, например: учредительные документы, программы и планы, договоры с партнерами и по­средниками и т.д. Ценность может проявляться в ее перспективном научном, техническом или технологическом значении.

Обычно выделяется два вида информации, интеллектуально ценной для предпринима­теля:

• техническая, технологическая: методы изготовления продукции, программное обеспе­чение, производственные показатели, химические формулы, рецептуры, результаты испытаний опытных образцов, данные контроля качества и т.п.;
• деловая: управленческие решения, методы реализации функций, стоимостные показа­тели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.

Ценная информация формируется в следующих направлениях деятельности фирмы:

• управление фирмой - применяемые нетрадиционные методы управления, порядок подготовки и принятия решений по направлениям деятельности фирмы и другим во­просам;
• прогнозирование и планирование деятельности фирмы - расширение или свертывание производства, предполагаемый объем исследований, программы развития, программы взаимодействия с другими фирмами, планы инвестиций, продажи, закупок и т.п.;
• финансовая деятельность фирмы - баланс, сведения о состоянии банковских счетов и уровне доходности продукции, информация о получении кредитов, кругообороте средств и производственных операциях, долговых обязательствах и т.д.;
• производственная деятельность фирмы - производственные мощности, тип используемого оборудования, запасы сырья, материалов и комплектующих изделий, готовой продукции и т.п.;
• торговая деятельность фирмы - информация о рыночной стратегии, методах осущест­вления продаж, результатах изучения рынка, эффективности коммерческой деятельно­сти и т.п.;
• переговоры и совещания по направлениям деятельности фирмы - информация о под­готовке, содержании и результатах проведения переговоров с посредниками и деловы­ми партнерами, о совещаниях с персоналом фирмы и т.п.;
• формирование ценовой политики на продукцию и услуги фирмы - информация о структуре цен, предполагаемых расчетных ценах в будущем, методы расчета, размеры скидок и т.п.;
• формирование состава клиентов, компаньонов, посредников и поставщиков фирмы, потребителей ее продукции - сведения о зарубежных и внутренних заказчиках, подрядчиках, поставщиках, потребителях и т.п.;
• изучение направленности интересов конкурентов фирмы - используемые методы ана­литической работы и способы борьбы за рынок, результаты маркетинговых исследова­ний и т.п.;
• участие в торгах и аукционах - стратегическая информация, информация о подготовке намечаемых ценах, результатах и т.п.;
• научная и исследовательская деятельность по созданию новой техники и технологий - сведения о программах перспективных исследований, результатах и т.п.;
• использование новых технологий - информация об их содержании, специфике приме­нения, получаемом эффекте и т.п.;
• управление персоналом фирмы - персональные сведения о сотрудниках, методики подбора, тестирования кандидатов на должности, результаты текущей работы с персо­налом и т.п.;
• организация безопасности фирмы - сведения о функционировании службы безопасно­сти, содержании системы защиты информации, системе охраны и т.п.

Наиболее ценными являются сведения о производстве и продукции, рынке, научных раз­работках, материально-техническом обеспечении фирмы, условиях контрактных перегово­ров, сведения о персонале, системе безопасности фирмы. Больше всего конкурентов интере­сует информация о динамике сбыта продукции и эффективности предоставляемых фирмой услуг. В России сфера интересов конкурента обычно включает, в первую очередь, финансо­вую деятельность фирмы и направления обеспечения безопасности работы фирмы.

К разряду ценных и всегда подлежащих защите относятся сведения, составляющие про­изводственную или коммерческую тайну сотрудничающих с фирмой партнеров, заказчиков и клиентов,

В соответствии с основополагающими принципами обеспечения безопасности информа­ционных ресурсов фирмы сведения могут быть: а) открытыми, т.е. общедоступными, ис­пользуемыми в работе без специального разрешения, публикуемыми в средствах массовой информации, оглашаемыми на конференциях, в выступлениях, интервью и т.п. и б) ограни­ченного доступа и использования, т.е. содержащими тот или иной вид тайны и подлежащи­ми защите, охране, наблюдению и контролю.

Под информационными ресурсами, отнесенными к категории ограниченного досту­па к ним персонала и иных лиц, подразумевается документированная на любом носителе (бумажном, магнитном, фотографическом и др.) ценная текстовая, изобразительная или электронная информация, отражающая приоритетные достижения в области государствен­ной, экономической, предпринимательской и другой деятельности, разглашение которой может нанести ущерб интересам государства или ее собственника.

Законодательство Российской Федерации запрещает относить к информации ограничен­ного доступа:

• законодательные и другие нормативные акты, устанавливающие правовой статус орга­нов государственной и исполнительной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граж­дан, порядок их реализации;
• документы, содержащие информацию о чрезвычайных ситуациях, экологическую, ме­теорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населен­ных пунктов, производственных объектов, безопасности граждан и населения в це­лом;
• документы, содержащие информацию о деятельности органов государственной и ис­полнительной власти и органов местного самоуправления об использовании бюджет­ных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, относящихся к государственной тайне;
• документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной и исполнительной власти, органов местного само­управления, организаций, общественных объединений, представляющие обществен­ный интерес или необходимые для реализации прав, свобод и обязанностей граждан.

Ценная общедоступная информация охраняется нормами информационного права (па­тентного, авторского, смежных прав и др.). Ценная информация ограниченного доступа до­полнительно защищается регламентацией сферы и специально установленного порядка ее распространения, использования и обработки. В соответствии с этим документированная информация (документы) ограниченного доступа делится на секретную и несекретную.

Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государствен­ную тайну. Несекретные документы, включающие сведения, относимые к негосударствен­ной тайне (служебной, коммерческой, банковской, производственной, тайне фирмы и др.) или содержащие персональные данные, именуются конфиденциальными.

Под конфиденциальным (закрытым, защищаемым) документом понимается необхо­димым образом оформленный носитель документированной информации, содержащей све­дения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического или физического лица.

Несмотря на то, что конфиденциальность является синонимом секретности, термин ши­роко используется исключительно для обозначения информационных ресурсов ограничен­ного доступа, не отнесенных к государственной тайне. Конфиденциальность отражает огра­ничение, которое накладывает собственник информации на доступ к ней других лиц, т.е. собственник устанавливает правовой режим этой информации в соответствии с законом.

Конфиденциальные документы включают в себя:

в государственных структурах - документы, проекты документов и сопутствующие
материалы, относимые к служебной информации ограниченного распространения (на­зываемые в чиновничьем обиходе документами для служебного пользования), содер­жащие сведения, отнесенные к служебной тайне, имеющие рабочий характер и не под­лежащие опубликованию в открытой печати;

в предпринимательских структурах и направлениях подобной деятельности - документы, содержащие сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой (предпринимательской) тай­не, тайне фирмы, тайне мастерства;

независимо от принадлежности - документы и базы данных, фиксирующие любые
персональные данные о гражданах, содержащие профессиональную тайну, обеспечи­вающую защиту личной или семейной тайны граждан, а также содержащие технические и технологические новшества (до их патентования), тайну предприятий связи, сферы обслуживания и других структур.

Под персональными данными понимаются сведения о фактах, событиях и обстоятельст­вах частной жизни гражданина, позволяющие идентифицировать его личность.

Называть конфиденциальные документы секретными или ставить на них гриф секретно­сти не допускается.

Особенностью конфиденциального документа является то, что он представляет собой одновременно:

· массовый носитель ценной, защищаемой информации;

· основной источник накопления и объективного распространения этой информации, а также ее неправомерного разглашения или утечки;

· обязательный объект защиты.

Важно, что собственная ценная информация предпринимателя, подлежащая защите, не обязательно является конфиденциальной. Обычный правовой документ важно сохранить в целостности и сохранности, обезопасив от похитителя или стихийного бедствия. Защите подлежит любая официальная документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.

Коммерческая ценность информации, как правило, недолговечна и определяется вре­менем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроиз­водства, опубликования и перехода в число общеизвестных. Степень ценности информации и необходимая надежность ее защиты находятся в прямой зависимости. При этом предпри­ниматель всегда решает один принципиальный вопрос: использовать ценную информацию для производства товаров, их продажи или, запатентовав новшество, иметь прибыль от про­дажи лицензий. При решении вопроса учитывается, что защита ценной информации стоит дорого и всегда есть опасность потерять ее в результате действий конкурента.

В соответствии с этим конфиденциальность документов всегда имеет значительный раз­брос по срокам ограничения свободного доступа к ним персонала фирмы (от нескольких часов до значительного числа лет). Следует учитывать, что основная масса конфиденциаль­ных документов после окончания их исполнения или работы с ними теряет свою ценность и конфиденциальность. Например, переписка до заключения контракта может иметь гриф конфиденциальности, но после его подписания этот гриф с письменного разрешения перво­го руководителя фирмы снимается.

Оставшиеся конфиденциальными исполненные документы, сохраняющие ценность для деятельности фирмы, формируются в дела в соответствии с номенклатурой дел. Период на­хождения конфиденциальных документов в делах может быть кратковременным или долго­временным в зависимости от ценности информации, содержащейся в документах дела. Пе­риод конфиденциальности документов зависит от специфики деятельности фирмы. Напри­мер, производственные, научно-исследовательские фирмы обладают значительно более ценными документами, чем торговые, посреднические и др.

Можно предположить, что в среднем кратковременный период конфиденциальности со­ставляет 1-3 года, долговременный - свыше этого срока. Документы, относимые к производ­ственной, профессиональной тайне, а также содержащие персональные сведения о гражданах, могут сохранять конфиденциальность в течение длительного времени. Однако при этом не сле­дует отождествлять два разных понятия - срок хранения документов и период их конфиден­циальности, хотя конфиденциальные документы характеризуются и тем и другим понятия­ми. Период конфиденциальности может быть длиннее, чем срок хранения документов и дел.

Документы долговременного периода конфиденциальности (программы и планы разви­тия бизнеса, технологическая документация ноу-хау, изобретения и др.) имеют усложненный вариант обработки и хранения, обеспечивающий безопасность информации и ее носи­теля. Документы кратковременного периода конфиденциальности, имеющие оперативное значение для деятельности фирмы, обрабатываются и хранятся по упрощенной схеме и мо­гут не выделяться из технологической системы обработки открытых документов при нали­чии в этой системе минимальных защитных, контрольных и аналитических элементов.

Следовательно, в основе безопасности информационных ресурсов ограниченного досту­па лежит выработка критериев ценности документированной информации (документов) для предпринимателя и отнесения их к категории конфиденциальных. Главными аспектами, ха­рактеризующими конфиденциальные документы, являются наличие их в различных по типу организационных структурах и объективная нестабильность продолжительности срока ог­раничения доступа к ним персонала.

12.3. Регламентация состава конфиденциальных

сведений и документов

Процесс выявления и регламентации реального состава информации, представляющей цен­ность для предпринимателя, в том числе составляющей тайну фирмы, является основопола­гающей частью системы защиты информации.

Принимая во внимание, что система защиты ценной и конфиденциальной информации является дорогостоящей технологией, определение состава сведений, подлежащих защите, должно базироваться на принципе экономической целесообразности их защиты. Поэтому анализ информационных ресурсов фирмы осуществляется с учетом двух основных крите­риев: степени заинтересованности конкурентов в информации и степени ценности инфор­мации (стоимостной, правовой, деловой).

Для анализа необходимо иметь не только полный перечень реальных и потенциальных конкурентов, но и знать слабые и сильные стороны их деятельности, обладать информацией о состоянии дел у каждого конкурента, разрабатываемых новшествах, сотрудничестве со структурами промышленного шпионажа или криминальными структурами. На этой основе можно с полной уверенностью определить, какую информацию фирма не хотела бы раскры­вать конкурентам. Необходимо также определить экономическую значимость новшества, рассчитать величину ущерба от его утраты и на этой основе сделать вывод о том, является ли оно предметом коммерческой тайны и объектом защиты.

Следует учитывать, что вопрос о конфиденциальности информации возникает в случаях: принятия фирмой новой стратегии развития, заключения выгодных контрактов, появления технического или технологического новшества, установления факта потенциальной или ре­альной угрозы этому новшеству со стороны конкурента. При определении размера ущерба от возможной утраты информации учитывается стоимость продукции, которая не будет про­изведена, потери от замораживания капитальных вложений, стоимость произведенных научно-исследовательских работ и другие убытки.

В процессе анализа выделяются главные элементы информации, отражающие фирмен­ный секрет. Это дает возможность удешевить систему защиты и сделать ее максимально це­ленаправленной, динамичной и эффективной. Защита новшества, включая общеизвестные его составляющие, как правило, желаемого результата не дает, за счет громоздкости системы защиты и трудности контроля больших объемов конфиденциальной информации. Массо­вость засекречивания ведет к росту штатной численности служб безопасности и, в конечном счете, к снижению эффективности защиты и утрате информации. Например, есть смысл за­щищать новую формулу в известном рецепте производимого продукта, новый алгоритм из­вестных действий, новый прибор в производимом оборудовании и т.п.

Информация может быть отнесена к коммерческой (предпринимательской) тайне и стать конфиденциальной при соблюдении следующих условий:

• информация не должна отражать негативные стороны деятельности фирмы, нарушения законодательства, фальсификацию финансовой деятельности с целью неуплаты налогов и другие подобные факты;
• информация не должна быть общедоступной или общеизвестной;
• возникновение или получение информации предпринимателем должно быть законным и связано с расходованием материального, финансового или интеллектуального потенциала фирмы;
• персонал фирмы должен знать о ценности такой информации и быть обучен правилам работы с ней;
• предприниматель должен быть в состоянии выполнить реальные действия по защите
  этой информации, т.е. иметь, например, средства для закупки или разработки системы защиты информации.

В соответствии с постановлением Правительства РСФСР «О перечне сведений, которые не могут составлять коммерческую тайну» от 5 декабря 1991 г. к конфиденциальным не мо­гут быть отнесены следующие сведения и документы:

• учредительные документы (решение о создании предприятия или договор учредителей) и устав;
• документы, дающие право заниматься предпринимательской деятельностью (регист­рационные удостоверения, лицензии, патенты);
• сведения по установленным формам отчетности о финансово-хозяйственной деятель­ности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей в государственную бюджетную систему РФ;
• документы о платежеспособности;
• сведения о численности, составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест;
• документы об уплате налогов и обязательных платежей;
• сведения о загрязнении окружающей среды, нарушении антимонопольного законода­тельства, несоблюдении безопасных условий труда, реализации продукции, причи­няющей вред здоровью населения, а также других нарушениях законодательства Рос­сийской Федерации и размерах причиненного при этом ущерба;
• сведения об участии должностных лиц предприятия в кооперативах, малых предпри­ятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью.

В отличие от государственной тайны состав сведений, составляющих коммерческую тай­ну, государством централизованно не регламентируется и определяется индивидуально каж­дой фирмой. Одновременно фирма устанавливает необходимый уровень конфиденциально­сти этих сведений, степень требуемой их защиты, длительность защиты, ее стоимость и тех­нологию. Состав ценной и конфиденциальной информации, подлежащей защите, определя­ется собственником или владельцем этих сведений и фиксируется в специальном перечне. В основе перечня лежит типовой состав защищаемых сведений фирм данного профиля.

Перечень конфиденциальных сведений фирмы представляет собой классифицирован­ный список типовой и конкретной ценной информации о выполняемых работах, производи­мой продукции, научных и деловых идеях, технологических новшествах. В нем закрепляет­ся факт отнесения сведений к защищаемой информации и определяется период (срок) кон­фиденциальности (т.е. недоступности для всех) этих сведений, уровень (гриф) их конфиден­циальности, список должностей сотрудников фирмы, которым дано право использовать эти сведения в работе. В перечень включаются действительно ценные сведения («изюминки») о каждой работе фирмы.

Перечень является постоянным рабочим материалом руководства фирмы, служб безо­пасности и конфиденциальной документации. Поэтому он должен регулярно обновляться и корректироваться. Ограничение доступа к информации, относящейся к новой продукции, но не обладающей ценностью, применяться не должно.

Важной задачей перечня является дробление коммерческой тайны на отдельные инфор­мационные элементы, известные разным лицам. Закрепление части информации за конкрет­ными должностями позволяет снизить вероятность раскрытия секрета сотрудниками и пре­дотвратить возможность включения ими в документы конфиденциальной информации.

Перечень необходим также для выделения конфиденциальных документов из общего документопотока, соответствующего их маркирования (грифования) и автономной обработки, использования и хранения. При рассмотрении в судах дел о краже сотрудниками информа­ции и понесенных фирмой в связи с этим убытках перечень используется в качестве доказа­тельства отнесения этих сведений к разряду конфиденциальных.

Ведение перечня заключается в регулярной его корректировке и обновлении, отражаю­щих новые перспективные разработки фирмы, переход на выпуск нового вида продукции, изменение тематики работы, направлений деятельности, конъюнктуру рынка и т.п. В про­цессе ведения в перечень включается конфиденциальная информация, отражающая реаль­ные новшества, разработки и изобретения. С этой целью руководители структурных подраз­делений фирмы или направлений ее деятельности должны регулярно составлять реестры новой индивидуальной конфиденциальной информации и информации, потерявшей свою конфиденциальность. Реестры представляются в комиссию для внесения изменений в перечень.

Перевод сведений, включенных в перечень, из категории конфиденциальных в категорию открытых, т.е. исключение сведений из перечня, осуществляется комиссией по представлению руководства фирмы, структурных подразделений и службы безопасности.

На основании перечня конфиденциальных сведений служба безопасности или служба фирмы составляет и ведет классифицированный перечень ценных и конфиденциаль­ных документов фирмы, подлежащих защите, с указанием обозначаемого на них грифа ограничения доступа и состава сотрудников, допущенных к этим документам. Перечень со­ставляется в рамках структурных подразделений или направлений деятельности фирмы и регламентирует два аспекта работы сотрудников фирмы с конфиденциальными документа­ми; а) состав создаваемых подразделением документов и документов, направляемых в подразделение для работы, б) состав конфиденциальных сведений, которые могут быть вклю­чены в каждый указанный в перечне документ. Утверждается перечень первым руководите­лем фирмы.

В перечень включаются также документы, не содержащие защищаемую информацию, но представляющие ценность для фирмы и подлежащие охране. Часто обычный открытый правовой акт важно сохранить в целостности и безопасности от похитителя или стихийного бедствия. Перечни формируются индивидуально каждой фирмой в соответствии с рекомен­дациями специальной комиссии и утверждаются первым руководителем фирмы. Эта же ко­миссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выпол­нения фирмой конкретных работ.

В перечне должно быть положение о том, что сохранение коммерческой тайны партне­ров является неотъемлемой частью деятельности фирмы. Открытая публикация сведений, полученных на договорной или доверительной основе или являющихся результатом совме­стной производственной деятельности, допускается лишь с общего согласия партнеров.

При заключении любого договора (контракта) стороны должны брать на себя взаимные письменные обязательства по защите конфиденциальной информации другой стороны и до­кументов, полученных при переговорах, и исполнению условий договора.

Следовательно, в целях определения состава защищаемых сведений и документов каждая фирма должна составлять и регулярно обновлять соответствующие перечни, без которых система защиты информации фирмы не может функционировать. Важно, что эти перечни но­сят индивидуальный характер для каждой фирмы и отражают реальную информационную сферу направлений ее деятельности, требования собственника информации по ограничению доступа персонала к информации, составляющей интеллектуальную собственность фирмы.

Контрольные вопросы:

1. Что включает в себя понятие «конфиденциальные сведения»?

2. Каков порядок работы с конфиденциальной документацией?

3. Какие документы подходят под определение «коммерческая тайна»?

4. Каков порядок регламентации состава конфиденциальных сведений?

Тема: «ОСНОВНЫЕ ПОНЯТИЯ И ПОЛОЖЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ»

Основными задачами изучения дисциплины являются знакомство студентов с конкретными системами защиты информации и привитие некоторых практических навыков в области построения защищенных информационных систем, функционирующих в рамках одного предприятия (организации).

Являясь дисциплиной специализации, данный курс готовит студентов к конкретной профессиональной деятельности и должен служить основой для их дальнейшего роста на должностях специалистов по защите информации.

Вступление человечества в XXI век знаменуется бурным развитием информационных технологий во всех сферах общественной жизни. Информация все в большей мере становится стратегическим ресурсом государства, производительной силой и дорогим товаром. Это не может не вызывать стремления государств, организаций и отдельных граждан получить преимущества за счет овладения информацией, недоступной оппонентам, а также за счет нанесения ущерба информационным ресурсам противника (конкурента) и защиты своих информационных ресурсов.

Значимость обеспечения безопасности государства в информационной сфере подчеркнута в принятой в сентябре 2000 года «Доктрине информационной безопасности Российской Федерации»: "Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать ".

Остроту межгосударственного информационного противоборства можно наблюдать в оборонной сфере, высшей формой которой являются информационные войны. Элементы такой войны уже имели место в локальных военных конфликтах на Ближнем Востоке и на Балканах. Так, войскам НАТО удалось вывести из строя систему противовоздушной обороны Ирака с помощью информационного оружия. Эксперты предполагают, что войска альянса использовали программную закладку, внедренную заблаговременно в принтеры, которые были закуплены Ираком у французской фирмы и использовались в АСУ ПВО.

Не менее остро стоит вопрос информационного противоборства и на уровне организаций, отдельных граждан. Об этом свидетельствуют многочисленные попытки криминальных элементов получить контроль над компьютерными технологиями для извлечения материальной выгоды. По данным института компьютерной безопасности в Сан-Франциско из опрошенных специалистов в области информационной безопасности 64% сообщают о фактах нарушения безопасности, 44% - о НСД к файлам, 25% - об атаках, приводящих к нарушению функционирования системы, 24% - об атаках извне, 18% - о похищении важной информации, 15% - о финансовых злоупотреблениях, 14% - об умышленном повреждении данных. Все эти виды нарушений приводят к значительному материальному ущербу. В противовес этому необходимо создавать организационно-технические системы обеспечения безопасности в автоматизированных системах.

Важно также обеспечить конституционные права граждан на получение достоверной информации, на ее использование в интересах осуществления законной деятельности, а также на защиту информации, обеспечивающую личную безопасность.

Противоборство государств в области информационных технологий, стремление криминальных структур противоправно использовать информационные ресурсы, необходимость обеспечения прав граждан в информационной сфере, наличие множества случайных угроз вызывают острую необходимость обеспечения защиты информации в компьютерных системах (КС), являющихся материальной основой информатизации общества.

Проблема обеспечения информационной безопасности на всех уровнях может быть решена успешно только в том случае, если создана и функционирует комплексная система защиты информации, охватывающая весь жизненный цикл компьютерных систем от разработки до утилизации и всю технологическую цепочку сбора, хранения, обработки и выдачи информации.

Информация (от лат. informatio - осведомление, разъяснение, изложение, от лат. informare - придавать форму) - в широком смысле абстрактное понятие, имеющее множество значений, в зависимости от контекста. В узком смысле этого слова - сведения (сообщения, данные) независимо от формы их представления. В настоящее время не существует единого определения термина информация . С точки зрения различных областей знания, данное понятие описывается своим специфическим набором признаков. Например, «информация» может трактоваться, как совокупность данных, зафиксированных на материальном носителе, сохранённых и распространённых во времени и пространстве.

То есть Винер относил информацию (в теоретико-информационном понимании этого термина) к фундаментальным понятиям, не выводимым через более простые. Что, впрочем, не мешает нам пояснять смысл понятия информация на конкретных примерах и описывать её свойства. Например, если в ходе взаимодействия между объектами один объект передаёт другому некоторую субстанцию, но при этом сам её не теряет, то эта субстанция называется информацией, а взаимодействие - информационным.

Информация имеет ряд особенностей:

Она нематериальна;

Нематериальность информации понимается в том смысле, что нельзя измерить ее параметры известными физическими методами и приборами. Информация не имеет массы, энергии и т. п.

Информация хранится и передается с помощью материальных носителей;

Информация хранится и передается на материальных носителях. Такими носителями являются мозг человека, звуковые и электромагнитные волны, бумага, машинные носители (магнитные и оптические диски, магнитные ленты и барабаны) и др.

Любой материальный объект содержит информацию о самом себе или о другом объекте.

Информации присущи следующие свойства

1. Информация доступна человеку, если она содержится на материальном носителе .

Поэтому необходимо защищать материальные носители информации, так как с помощью материальных средств можно защищать только материальные объекты.

2. Информация имеет ценность .

Ценность информации определяется степенью ее полезности для владельца. Обладание истинной (достоверной) информацией дает ее владельцу определенные преимущества. Истинной или достоверной информацией является информация, которая с достаточной для владельца (пользователя) точностью отражает объекты и процессы окружающего мира в определенных временных и пространственных рамках.

Информация, искаженно представляющая действительность (недостоверная информация), может нанести владельцу значительный материальный и моральный ущерб. Если информация искажена умышленно, то ее называют дезинформацией .

Законом «Об информации, информатизации и защите информации» гарантируется право собственника информации на е` использование и защиту от доступа к ней других лиц (организаций).

Если доступ к информации ограничивается, то такая информация является конфиденциальной . Конфиденциальная информация может содержать государственную или коммерческую тайну.

Коммерческую тайну могут содержать сведения, принадлежащие частному лицу, фирме, корпорации и т. п. Государственную тайну могут содержать сведения, принадлежащие государству (государственному учреждению). В соответствии с законом «О государственной тайне» сведениям, представляющим ценность для государства, может быть присвоена одна из трёх возможных степеней секретности. В порядке возрастания ценности (важности) информации ей может быть присвоена степень (гриф) «секретно», «совершенно секретно» или «особой важности». В государственных учреждениях менее важной информации может присваиваться гриф «для служебного пользования».

Для обозначения ценности конфиденциальной коммерческой информации используются три категории:

- «коммерческая тайна - строго конфиденциально»;

- «коммерческая тайна - конфиденциально»;

- «коммерческая тайна».

Используется и другой подход к градации ценности коммерческой информации:

- «строго конфиденциально - строгий учёт»;

- «строго конфиденциально»;

- «конфиденциально».

Основные понятия

Система (от греческого systema - целое, составленное из частей соединение) - это совокупность элементов, взаимодействующих друг с другом, образующих определенную целостность, единство. Приведем некоторые понятия, часто ис­пользующиеся для характеристики системы.

1. Элемент системы - часть системы, имеющая определенное функциональное назначение. Сложные элементы систем, в свою очередь состоящие из более простых взаимосвязанных элементов, часто называют подсистемами.

2. Организация системы - внутренняя упорядоченность, согласованность взаимодействия элементов системы, проявляющаяся, в частности, в ограничении разнообразия состояний элементов в рамках системы.

3. Структура системы - состав, порядок и принципы взаимодействия элементов системы, определяющие основные свойства системы. Если отдельные элементы системы разнесены по разным уровням и внутренние связи между элементами организованы только от вышестоящих к нижестоящим уровням и наоборот, то говорят об иерархической структуре системы. Чисто иерархические структуры встречаются практически редко, поэтому, несколько расширяя это понятие, под иерархической структурой обычно понимают и такие структуры, где среди прочих связей иерархические связи имеют главенствующее значение.

4. Архитектура системы - совокупность свойств системы, существенных для пользователя.

5. Целостность системы - принципиальная несводимость свойств системы к сумме свойств отдельных ее элементов (эмерджентность свойств) и, в то же время, зависимость свойств каждого элемента от его места и функции внутри системы.

Информационная система - взаимосвязанная совокуп­ность средств, методов и персонала, используемых для хра­нения, обработки и выдачи информации в интересах дости­жения поставленной цели.

В Федеральном законе «Об информации, информатизации и защите информации» дается следующее определение:

«Информационная система - организационно упорядочен­ная совокупность документов (массивов документов) и ин­формационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих ин­формационные процессы»

Классификация по масштабу

По масштабу информационные системы подразделяются на следующие группы:

· одиночные;

· групповые;

· корпоративные.

Одиночные информационные системы реализуются, как правило, на автономном персональном компьютере (сеть не используется). Такая система может содержать несколько простых приложений, связанных общим информационным фондом, и рассчитана на работу одного пользователя или группы пользователей, разделяющих по времени одно рабочее место. Подобные приложения создайся с помощью так называемых настольных или локальных систем управления базами данных (СУБД). Среди локальных СУБД наиболее известными являются Clarion, Clipper, FoxPro, Paradox, dBase и Microsoft Access.

Групповые информационные системы ориентированы на коллективное использова­ние информации членами рабочей группы и чаще всего строятся на базе локальной вычислительной сети. При разработке таких приложений используются серверы баз данных (Называемые также SQL-серверами) для рабочих групп. Существует довольно большое количество различных SQL-серверов, как коммерческих, так и свободно распространяемых. Среди них наиболее известны такие серверы баз данных, как Oracle, DB2, Microsoft SQL Server, InterBase, Sybase, Informix.

Корпоративные информационные системы являются развитием систем для рабочих групп, они ориентированы на крупные компании и могут поддерживать тер­риториально разнесенные узлы или сети. В основном они имеют иерархическую структуру из нескольких уровней. Для таких систем характерна архитектура клиент-сервер со специализацией серверов или же многоуровневая архитектура. При разработке таких систем могут использоваться те же серверы баз данных, что и при разработке групповых информационных систем. Однако в крупных информационных системах наибольшее распространение получили серверы Oracle, DB2 и Microsoft SQL Server.

Для групповых и корпоративных систем существенно повышаются требования к надежности функционирования и сохранности данных. Эти свойства обеспечиваются поддержкой целостности данных, ссылок и транзакций в серверах баз.

Классификация по сфере применения

По сфере применения информационные системы обычно подразделяются на четыре группы:

· системы обработки транзакций;

· системы принятия решений;

· информационно-справочные системы;

· офисные информационные системы.

Системы обработки транзакций , в свою очередь, по оперативности обработки данных, разделяются на пакетные информационные системы и оперативные инфор­мационные системы. В информационных системах организационного управлений преобладает режим оперативной обработки транзакций, для отражения актуального состояния предметной области в любой момент времени, а пакетная обработка занимает весьма ограниченную часть.

Системы поддержки принятия решений - DSS (Decision Support Systeq) - представляют собой другой тип информационных систем, в которых с помощью довольно сложных запросов производится отбор и анализ данных в различных разрезах: временных, географических и по другим показателям.

Обширный класс информационно-справочных систем основан на гипертекстовых документах и мультимедиа. Наибольшее развитие такие информационные систе­мы получили в сети Интернет.

Класс офисных информационных систем нацелен на перевод бумажных документов в электронный вид, автоматизацию делопроизводства и управление документооборотом.

Классификация по способу организации

По способу организации групповые и корпоративные информационные системы подразделяются на следующие классы:

· системы на основе архитектуры файл-сервер;

· системы на основе архитектуры клиент-сервер;

· системы на основе многоуровневой архитектуры;

· системы на основе Интернет/интранет - технологий.

В любой информационной системе можно выделить необходимые функциональные компоненты, которые помогают понять ограничения различных архитектур информационных систем.

Архитектура файл-сервер только извлекает данные из файлов так, что дополнительные пользователи и приложения добавляют лишь незначительную нагрузку на центральный процессор. Каждый новый клиент добавляет вычислительную мощность к сети.

Архитектура клиент-сервер предназначена для разрешения проблем файл-серверных приложений путем разделения компонентов приложения и размещения их там, где они будут функционировать наиболее эффективно. Особенностью архитектуры клиент-сервер является использование выделенных серверов баз данных, понимающих запросы на языке структурированных запросов SQL (Structured Query Language) и выполняющих поиск, сортировку и агрегирование информации.

В настоящее время архитектура клиент-сервер получила признание и широкое распространение как способ организации приложений для рабочих групп и информационных систем корпоративного уровня. Подобная организация работы повышает эффективность выполнения приложений за счет использования воз­можностей сервера БД, разгрузки сети и обеспечения контроля целостности дан­ных.

Многоуровневая архитектура стала развитием архитектуры клиент-сервер и в своей классической форме состоит из трех уровней:

Нижний уровень представляет собой приложения клиентов, имеющие программный интерфейс для вызова приложения на среднем уровне;

Средний уровень представляет собой сервер приложений;

Верхний уровень представляет собой удаленный специализированный сервер базы данных.

Трехуровневая архитектура позволяет еще больше сбалансировать нагрузку на разные узлы и сеть, а также способствует специализации инструментов для разработки приложений и устраняет недостатки двухуровневой модели клиент-сервер.

В развитии технологии Интернет/Интранет основной акцент пока что делается на разработке инструментальных программных средств. В то же время наблюдается отсутствие развитых средств разработки приложений, работающих с базами данных. Компромиссным решением для создания удобных и простых в использовании и сопровождении информационных систем, эффективно работающих с базами данных, стало объединение Интернет/Интранет-технологии с многоуровневой архитектурой. При этом структура информационного приложения приобретает следующий вид: браузер - сервер приложений - сервер баз данных - сервер динамических страниц - web-сервер.

По характеру хранимой информации БД делятся на фактографические и документальные . Если проводить аналогию с описанными выше примерами информационных хранилищ, то фактографические БД - это картотеки, а документальные - это архивы. В фактографических БД хранится краткая информация в строго определенном формате. В документальных БД - всевозможные документы. Причем это могут быть не только текстовые документы, но и графика, видео и звук (мультимедиа).

Автоматизированная система управления (АСУ) - это комплекс технических и программных средств, совместно с организационными структурами (отдельными людьми пли коллективом), обеспечивающий управление объектом (комплексом) в производственной, научной или общественной среде.

Выделяют информационные системы управления образования (Например, кадры, абитуриент, студент, библиотечные программы). Автоматизированные системы для научных исследований (АСНИ), представляющие собой программно-аппаратные комплексы, обрабатывающие данные, поступающие от различного рода экспериментальных установок и измерительных приборов, и на основе их анализа облегчающие обнаружение новых эффектов и закономерностей.Системы автоматизированного проектирования и геоинформационные системы.

Систему искусственного интеллекта, построенную на основе высококачественных специальных знании о некоторой предметной области (полученных от экспертов - специалистов этой области), называют экспертной системой. Экспертные системы - один из немногих видов систем искусственного интеллекта - получили широкое распространение, и нашли практическое применение. Существуют экспертные системы по военному делу, геологии, инженерному делу, информа­тике, космической технике, математике, медицине, метеорологии, промышленности, сельскому хозяйству, управлению, физике, химии, электронике, юриспруденции и т.д. И только то, что экспертные системы остаются весьма сложными, дорогими, а главное, узкоспециализированными программами, сдерживает их еще более широкое распространение.

Экспертные системы (ЭС) - это компьютерные программы, созданные для выполнения тех видов деятельности, которые под силу человеку-эксперту. Они работают таким образом, что имитируют образ действий человека-эксперта, и существенно отличаются от точных, хорошо аргументированных алгоритмов и не похожи на математические процедуры большинства традиционных разработок.

Предметом нашего изучения являются информационные технологии, которые реализуются на практике в автоматизированных информационных системах (АИС) различного назначения.

В качестве основных средств (инструмента) автоматизации профессиональной деятельности людей сегодня выступают средства ЭВТ и связи.

В качестве основного классификационного признака АИС целесообразно рассматривать особенности автоматизируемой профессиональной деятельности – процесса переработки входной информации для получения требуемой выходной информации, в котором АИС выступает в качестве инструмента должностного лица или группы должностных лиц, участвующих в управлении организационной системой.

В соответствии с предложенным классификационным при­знаком можно выделить следующие классы АИС:

· автоматизированные системы управления (АСУ);

· системы поддержки принятия решения (СППР);

· автоматизированные информационно-вычислительные сис­темы (АИВС);

· автоматизированные системы обучения (АСО);

· автоматизированные информационно-справочные системы (АИСС).

Рассмотрим особенности каждого класса АИС и характери­стики возможных видов АИС в составе каждого класса.

Моделирующее центры

МЦ - автоматизированная информационная система, представляющая собой комплекс готовых к использованию моделей, объединенных единой предметной областью, информационной базой и языком общения с пользователями.

МЦ, так же как и ПОИС, предназначены для обеспечения проведения исследований на различных моделях. Но в отличие от ПОИС, МЦ не обеспечивают автоматизацию создания имитационных моделей, а предоставляют пользователю возможность комфортной работы с готовыми моделями.

МЦ могут являться системами как коллективного, так и индивидуального использования и в принципе не требуют для своей реализации мощных ЭВМ.

Случайные угрозы

Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называют случайными или непреднамеренными .

Реализация угроз этого класса приводит к наибольшим потерям информации (по статистическим данным - до 80% от ущерба, наносимого информационным ресурсам КС любыми угрозами). При этом могут происходить уничтожение, нарушение целостности и доступности информации. Реже нарушается конфиденциальность информации, однако при этом создаются предпосылки для злоумышленного воздействия на информацию.

Стихийные бедствия и аварии чреваты наиболее разрушительными последствиями для КС, т.к. последние подвергаются физическому разрушению, информация утрачивается или доступ к ней становится невозможен.

Сбои и отказы сложных систем неизбежны. В результате сбоев и отказов нарушается работоспособность технических средств, уничтожаются и искажаются данные и программы, нарушается алгоритм работы устройств. Нарушения алгоритмов работы отдельных узлов и устройств могут также привести к нарушению конфиденциальности информации. Например, сбои и отказы средств выдачи информации могут привести к несанкционированному доступу к информации путем несанкционированной ее выдачи в канал связи, на печатающее устройство и т. п.

Ошибки при разработке КС, алгоритмические и программные ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для воздействия на ресурсы КС. Особую опасность представляют ошибки в операционных системах (ОС) и в программных средствах защиты информации.

Согласно данным Национального Института Стандартов и Технологий США (NIST) 65 % случаев нарушения безопасности информации происходит в результате ошибок пользователей и обслуживающего персонала . Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками приводят к уничтожению, нарушению целостности и конфиденциальности информации, а также компрометации механизмов защиты.

Характеризуя угрозы информации в КС, не связанные с преднамеренными действиями, в целом, следует отметить, что механизм их реализации изучен достаточно хорошо, накоплен значительный опыт противодействия этим угрозам. Современная технология разработки технических и программных средств, эффективная система эксплуатации КС, включающая обязательное резервирование информации, позволяют значительно снизить потери от реализации угроз этого класса.

Преднамеренные угрозы

Второй класс угроз безопасности информации в КС составляют преднамеренно создаваемые угрозы.

Данный класс угроз изучен недостаточно, очень динамичен и постоянно пополняется новыми угрозами. Угрозы этого класса в соответствии с их физической сущностью и механизмами реализации могут быть распределены по пяти группам:

1) традиционный или универсальный шпионаж и диверсии;

2) несанкционированный доступ к информации;

3) электромагнитные излучения и наводки;

4) модификация структур КС;

5) вредительские программы.

Вредительские программы

Одним из основных источников угроз безопасности информации в КС является использование специальных программ, получивших общее название «вредительские программы».

В зависимости от механизма действия вредительские программы делятся на четыре класса:

· «логические бомбы»;

· «черви»;

· «троянские кони»;

· «компьютерные вирусы».

«Логические бомбы» - это программы или их части, постоянно находящиеся в ЭВМ или вычислительных системах (ВС) и выполняемые только при соблюдении определенных условий. Примерами таких условий могут быть: наступление заданной даты, переход КС в определенный режим работы, наступление некоторых событий установленное число раз и т.п.

«Червями» называются программы, которые выполняются каждый раз при загрузке системы, обладают способностью перемещаться в ВС или сети и самовоспроизводить копии. Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти и, в конечном итоге, к блокировке системы.

«Троянские кони» - это программы, полученные путем явного изменения или добавления команд в пользовательские программы. При последующем выполнении пользовательских программ наряду с заданными функциями выполняются несанкционированные, измененные или какие-то новые функции.

«Компьютерные вирусы» - это небольшие программы, которые после внедрения в ЭВМ самостоятельно распространяются путем создания своих копий, а при выполнении определенных условий оказывают негативное воздействие на КС.

Поскольку вирусам присущи свойства всех классов вредительских программ, то в последнее время любые вредительские программы часто называют вирусами.

Система охраны объекта КС

При защите информации в КС от традиционного шпионажа и диверсий используются те же средства и методы защиты, что и для защиты других объектов, на которых не используются КС. Для защиты объектов КС от угроз данного класса должны быть решены следующие задачи:

· создание системы охраны объекта;

· организация работ с конфиденциальными информационными ресурсами на объекте КС;

· противодействие наблюдению;

· противодействие подслушиванию;

· защита от злоумышленных действий персонала.

Объект, на котором производятся работы с ценной конфиденциальной информацией, имеет, как правило, несколько рубежей защиты:

1. контролируемая территория;

2. здание;

3. помещение;

4. устройство, носитель информации;

5. программа;

6. информационные ресурсы.

От шпионажа и диверсий необходимо защищать первые четыре рубежа и обслуживающий персонал.

Система охраны объекта (СОО) КС создается с целью предотвращения несанкционированного проникновения на территорию и в помещения объекта посторонних лиц, обслуживающего персонала и пользователей.

Состав системы охраны зависит от охраняемого объекта. В общем случае СОО КС должна включать следующие компоненты:

· инженерные конструкции;

· охранная сигнализация;

· средства наблюдения;

· подсистема доступа на объект;

· дежурная смена охраны.

Инженерные конструкции

Инженерные конструкции служат для создания механических препятствий на пути злоумышленников. Они создаются по периметру контролируемой зоны. Инженерными конструкциями оборудуются также здания и помещения объектов. По периметру контролируемой территории используются бетонные или кирпичные заборы, решетки или сеточные конструкции. Бетонные и кирпичные заборы имеют обычно высоту в пределах 1,8-2,5 м, сеточные - до 2,2 м. Для повышения защитных свойств заграждений поверх заборов укрепляется колючая проволока, острые стержни, армированная колючая лента. Последняя изготавливается путем армирования колючей ленты стальной оцинкованной проволокой диаметром 2,5 мм. Армированная колючая лента часто используется в виде спирали диаметром 500-955 мм.

Для затруднения проникновения злоумышленника на контролируемую территорию могут использоваться малозаметные препятствия. Примером малозаметных препятствий может служить металлическая сеть из тонкой проволоки. Такая сеть располагается вдоль забора на ширину до 10 метров. Она исключает быстрое перемещение злоумышленника.

В здания и помещения злоумышленники пытаются проникнуть, как правило, через двери или окна. Поэтому с помощью инженерных конструкций укрепляют, прежде всего, это слабое звено в защите объектов, Надежность двери зависит от механической прочности самой двери и от надежности замков. Чем выше требования к надежности двери, тем более прочной она выполняется, тем выше требования к механической прочности и способности противостоять несанкционированному открыванию предъявляются к замку.

Вместо механических замков все чаще используются кодовые замки. Самыми распространенными среди них (называемых обычно сейфовыми замками) являются дисковые кодовые замки с числом комбинаций кода ключа в пределах 10 6 -10 7 .

Наивысшую стойкость имеют электронные замки, построенные с применением микросхем.

Например, при построении электронных замков широко используются микросхемы Тоuch Меmorу. Микросхема помещена в стальной корпус, который по внешнему виду напоминает элемент питания наручных часов, калькуляторов и т. п. Диаметр цилиндрической части равен 16 мм, а высота - 3-5 мм. Электропитание микросхемы обеспечивается находящимся внутри корпуса элементом питания, ресурс которого рассчитан на 10 лет эксплуатации. Корпус может размещаться на пластиковой карте или в пластмассовой оправе в виде брелка. В микросхеме хранится ее индивидуальный 64-битовый номер. Такая разрядность обеспечивает около 10 20 комбинаций ключа, практически исключающая его подбор. Микросхема имеет также перезаписываемую память, что позволяет использовать ее для записи и считывания дополнительной информации. Обмен информацией между микросхемой и замком осуществляется при прикосновении контакта замка и определенной части корпуса микросхемы.

На базе электронных замков строятся автоматизированные системы контроля доступа в помещения. В каждый замок вводятся номера микросхем, владельцы которых допущены в соответствующее помещение. Может также задаваться индивидуальный временной интервал, в течение которого возможен доступ в помещение. Все замки могут объединяться в единую автоматизированную систему, центральной частью которой является ПЭВМ. Вся управляющая информация в замки передается из ПЭВМ администратором. Если замок открывается изнутри также при помощи электронного ключа, то система позволяет фиксировать время входа и выхода, а также время пребывания владельцев ключей в помещениях. Эта система позволяет в любой момент установить местонахождение сотрудника. Система следит за тем, чтобы дверь всегда была закрыта. При попытках открывания двери в обход электронного замка включается сигнал тревоги с оповещением на центральный пункт управления. К таким автоматизированным системам относится отечественная система «Барс».

По статистике 85 % случаев проникновения на объекты происходит через оконные проемы. Эти данные говорят о необходимости инженерного укрепления окон, которое осуществляется двумя путями:

· установка оконных решеток;

· применение стекол, устойчивых к механическому воздействию.

Традиционной защитой окон от проникновения злоумышленников является установка решеток. Решетки должны иметь диаметр прутьев не менее 10 мм, расстояние между ними должно быть не более 120 мм, а глубина заделки прутьев в стену - не менее 200 мм.

Не менее серьезным препятствием на пути злоумышленника могут быть и специальные стекла. Повышение механической прочности идет по трем направлениям:

· закаливание стекол;

· изготовление многослойных стекол;

· применение защитных пленок.

Механическая прочность полузакаленного стекла в 2 раза, а закаленного в 4 раза выше обычного строительного стекла.

В многослойных стеклах используются специальные пленки с высоким сопротивлением на разрыв. С помощью этих «ламинированных» пленок и синтетического клея обеспечивается склеивание на молекулярном уровне пленки и стекол. Такие многослойные стекла толщиной 48-83 мм обеспечивают защиту от стальной 7,62 мм пули, выпущенной из автомата Калашникова.

Все большее распространение получают многофункциональные защитные полиэфирные пленки. Наклеенные на обычное оконное стекло, они повышают его прочность в 20 раз. Пленка состоит из шести очень тонких (единицы микрон) слоев: лавсана (3 слоя), металлизированного и невысыхающего клея адгезива и лакового покрытия. Кроме механической прочности они придают окнам целый ряд защитных свойств и улучшают эксплуатационные характеристики. Пленки ослабляют электромагнитные излучения в 50 раз, существенно затрудняют ведение разведки визуально-оптическими методами и перехват речевой информации лазерными средствами. Кроме того, пленки улучшают внешний вид стекол, отражают до 99 % ультрафиолетовых лучей и 76 % тепловой энергии солнца, сдерживают распространение огня при пожарах в течение 40 минут.

Охранная сигнализация

Охранная сигнализация служит для обнаружения попыток несанкционированного проникновения на охраняемый объект. Системы охранной сигнализации должны отвечать следующим требованием:

· охват контролируемой зоны по всему периметру;

· высокая чувствительность к действиям злоумышленника;

· надежная работа в любых погодных и временных условиях;

· устойчивость к естественным помехам;

· быстрота и точность определения места нарушения;

· возможность централизованного контроля событий.

Структура типовой системы охранной сигнализации представлена на рис. 1.

Рис. 1. Структура типовой системы охранной сигнализации

Датчик (извещатель) представляет собой устройство, формирующее электрический сигнал тревоги при воздействии на датчик или на создаваемое им поле внешних сил или объектов.

Шлейф сигнализации образует электрическую цепь для передачи сигнала тревоги от датчика к приемно-контрольному устройству.

Приемно-контрольное устройство служит для приема сигналов от датчиков, их обработки и регистрации, а также для выдачи сигналов в оповещатель.

Оповещатель выдает световые и звуковые сигналы дежурному охраннику.

По принципу обнаружения злоумышленников датчики делятся на:

· контактные;

· акустические;

· оптикоэлектронные;

· микроволновые;

· вибрационные;

· емкостные;

· телевизионные.

Контактные датчики реагируют на замыкание или размыкание контактов, на обрыв тонкой проволоки или полоски фольги. Они бывают электроконтактными, магнитоконтактными, ударноконтактными и обрывными.

Электроконтактные датчики представляют собой кнопочные выключатели, которые размыкают (замыкают) электрические цепи, по которым сигнал тревоги поступает на приемно-контрольное устройство при несанкционированном открывании дверей, окон, люков, шкафов и т.д. К электроконтактным относятся датчики ДЭК-3, ВК-1М, СК-1М и другие.

Ценность информации зависит, главным образом, от цели принятия оптимального управленческого решения. Кроме того, в разные эпохи в разных обществах в рамках господствующей парадигмы может быть по-разному интерпретировано само понятие рациональности и оптимальности решений. Как правило, критерии оптимальности управленческих решений могут исходить из логических, интуитивных, этических и психологических установок.

Известны несколько способов количественного определения ценности. Все они основаны на представлении о цели, достижению которой способствует полученная информация. Чем в большей мере информация помогает достижению цели, тем более ценной она считается.

1. Если цель наверняка достижима и притом несколькими путями, то возможно определение ценности (V) по уменьшению материальных или временных затрат, благодаря использованию информации. Так, например, сочетание хороших предметного и алфавитного каталогов библиотеки, наличие библиографических справочников сокращают время па составление списка литературы по конкретному интересующему нас вопросу.

Этот метод определения ценности предложен Стратононичем.

• 2. Если достижение цели не обязательно, но вероятно, то используется один из следующих критериев:
  • а) мерой ценности, предложенной М. М. Бонгардом и А. А. Хар- кевичем, является:

где р - вероятность достижения цели до получения информации, а Р - после.

Априорная вероятность р зависит от информационной тары или, что то же, полного количества информации вр = 2-"

Так, если до получения информации все варианты равновероятны, тор = 1/п(где п - число вариантов, а I = login).

Апостериорная вероятность Р может быть как больше, так и меньше р. В последнем случае ценность отрицательна и такая информация называется дезинформацией. Примером последней может служить указатель на разветвлении дорог, который по каким то причинам повернут в другую сторону. Таким образом, вероятность Р находится в пределах О 1,

б) мерой ценности, предложенной В. И. Корогодиным, яаляется величина

Она обладает теми же свойствами, что ценность в формуле М. М. Бонгарда и А. А. Харкевича, но изменяется от 0 до 1.

Ценность информации зависит от величины р - вероятности достижения цели до получения информации, т. е. от того, какой предварительной (априорной) информацией уже располагает рецептор. Предварительная осведомленность, называется тезаурусом. Если таковая отсутствует, то априорная вероятность во всех вариантах одинакова и равна р - 1/п (где п - число вариантов). В этом случае величина р играет роль нормировочного множителя. Если при этом после получения информации цель достигается наверняка (Р = 1), то ценность этой информации максимальна и равна Fs= V niax = logi/7., т.е. совпадает с максимальным количеством информации в данном множестве. Это совпадение не случайно, именно для этого была выбрана форма, при этом ценность информации можно понимать как количество ценной информации.

Количество информации, имеющей нулевую ценность, как правило, не мало по сравнению с количеством информации, имеющей хоть какую-то ценность (положительную или отрицательную). Отсюда следует, что ценность информации субъективна.

Ценность данных может быть проранжировапа в соответствии с определенным заданным критерием. Как правило, им является уровень потенциальных полезных и негативных эффектов для организации. Рейтинг может присваиваться как самой информации, так и её источникам.

Под ценностью информации подразумевается широкий круг свойств информации, которые определяют степень влияния и воздействия па деятельность организации. Если информация касается незначительных вопросов и ошибки в анализе такой информации не ведут к значительному ущербу, то такой информацией, можно, в определенной мере, пренебречь. В то же время данные о ситуации, которая чревата банкротством организации, требуют повышенного внимания и привлечения значительных ресурсов даже в том случае, если риск маловероятен.

Хотя ценность информации включает в себя комплекс показателей, главным критерием значимости является потенциальный ущерб или, наоборот, вознаграждение для организации, измеряемое в натуральных или денежных показателях.

Репрезентативность - правильность, качественная адекватность отражения заданных свойств объекта. Репрезентативность информации зависит от правильности ее отбора и формирования. Важнейшее значение при этом приобретают: верность концепции, на базе которой сформулировано исходное понятие, отображаемое показателем; обоснованность отбора существенных признаков и связей отображаемого явления; правильность методики измерения и алгоритма формирования экономического показателя. Нарушение репрезентативности информации приводит нередко к существенным ее погрешностям, называемым чаще всего алгоритмическими.

С увеличением содержательности информации растет семантическая пропускная способность информационной системы, так как для передачи одних и тех же сведений требуется преобразовывать меньший объем данных.

Достаточность (полнота) экономической информации означает, что она содержит минимальный, но достаточный для принятия правильного управленческого решения набор экономических показателей. Понятие достаточности информации связано с ее смысловым содержанием (семантикой) и прагматикой. Как неполная, то есть недостаточная для принятия правильного решения, так и избыточная информация снижают эффективность управления; наивысшим качеством обладает именно полная информация.

Доступность информации для восприятия при принятии управленческого решения обеспечивается выполнением соответствующих процедур ее получения и преобразования. Так, назначением вычислительной системы и является увеличение доступности информации путем согласования ее с тезаурусом пользователя, то есть преобразование ее к доступной и удобной для восприятия пользователем форме.

Актуальность информации - это свойство информации сохранять свою полезность (ценность) для управления во времени. Актуальность зависит от статистических характеристик отображаемого объекта (от динамики изменения этих характеристик) и от интервала времени, прошедшего с момента возникновения данной информации.

Своевременность - это свойство информации, обеспечивающее возможность ее использования в заданный момент времени. Несвоевременная информация приводит к экономическим потерям и в сфере управления, и в сфере производства. Причиной, обусловливающей экономические потери от несвоевременности в сфере управления, является нарушение установленного режима решения функциональных задач, а иногда и их алгоритмов. Это приводит к увеличению стоимости решения задач вследствие снижения ритмичности, увеличения простоев и сверхурочных работ и т.п. в сфере материального производства. Потери от несвоевременности информации связаны со снижением качества управленческих решений, принятием решения на базе неполной информации или информации некачественной. Своевременной является такая информация, которая может быть учтена при выработке управленческого решения без нарушения регламента, поступающая в систему управления не позже назначенного момента времени.

Устойчивость информации - свойство результатной информации реагировать на изменения исходных данных, сохраняя необходимую точность. Устойчивость информации, как и ее репрезентативность, обусловлена в первую очередь методической правильностью ее отбора и формирования.

Защищенность информации - свойство информации противостоять несанкционированному доступу и ее преднамеренному искажению. Защищенность информации обеспечивается ее криптографическим закрытием и, в частности, цифровой подписью.

Полезность информации - комплексный показатель ее качества, ее мера на прагматическом уровне. Полезность информации определяется эффективностью осуществляемого на ее основе управления.

Одним из примеров современного метода оценки ценности информации является применяемый компанией Ооо§1еметод PageRank.

PageRank (гпйдж-ранк) - один из алгоритмов ссылочного ранжирования. Алгоритм применяется к коллекции документов, связанных гиперссылками (таких, как веб-страницы из всемирной паутины), и назначает каждому из них некоторое численное значение, измеряющее его «важность» или «авторитетность» среди остальных документов. Вообще говоря, алгоритм может применяться не только к вебстраницам, но и к любому набору объектов, связанных между собой взаимными ссылками, то есть к любому графу. PageRank - это числовая величина, характеризующая «важность» веб-страницы. Чем больше ссылок на страницу, тем она «важнее». Кроме того, «вес» страницы А определяется весом ссылки, передаваемой страницей В. Таким образом, PageRank - это метод вычисления веса страницы путём подсчёта важности ссылок на неё.

Надстройка для браузера Google Toolbar показывает для каждой веб-страницы целое число от 0 до 10, которое она называет PageRank, или важностью этой страницы с точки зрения Google. По некоторым данным, эти значения обновляются лишь несколько раз в год (в то время, как внутренние значения PageRank пересчитываются непрерывно) и показывают значения PageRank страниц на логарифмической шкале.

В то время как информация о событиях, произошедших в прошлом может оцениваться только с точки зрении ее достоверности, о события, которые произойдут в будущем нельзя говорить в терминах достоверности. Для их оценки необходимо учитывать фактор вероятности.

Степень (относительная мера, количественная оценка) возможности наступления некоторого события. Когда основания для того, чтобы какое-нибудь возможное событие произошло в действительности, перевешивают противоположные основания, то это событие называют вероятным, в противном случае - маловероятным или невероятным. Перевес положительных оснований над отрицательными, и наоборот, может быть в различной степени, вследствие чего вероятность (и невероятность) бывает большей или меньшей. Поэтому часто вероятность оценивается на качественном уровне, особенно в тех случаях, когда более или менее точная количественная оценка невозможна или крайне затруднительна. Возможны различные градации «уровней» вероятности.

Эмпирическое «определение» вероятности связано с частотой наступления события исходя из того, что при достаточно большом числе испытаний частота должна стремиться к объективной степени возможности этого события. В современном изложении теории вероятностей вероятность определяется аксиоматически, как частный случай абстрактной теории меры множества. Тем не менее, связующим звеном между абстрактной мерой и вероятностью, выражающей степень возможности наступления события, является именно частота его наблюдения.

С помощью нейросетевого моделирования на практике решают задачи определения вероятности банкротства или неплатежеспособности.

В случае если информация определяется как недостаточно достоверная, возможно провести анализ того, какие действия по её перепроверке возможно предпринять.

Первым этапом в процессе внутреннего контроля является процесс восприятия информации, т. е. информационная фиксация, и отражение отдельных свойств и состояний внешней среды, возникающее при непосредственном воздействии, в соответствующих системах организации.

Экстероцептивное восприятие включает поиск и получение информации из внешней среды.

Интероцептивное восприятие включает поиск и получение информации, поступающей из внутренней среды.

После того как информация фиксируется, в первую очередь оцениваются такие ее качества, как значимость, существенность, воздействие, релевантность, модальность, интенсивность, локализация и длительность.

Ценность может быть определена методом простой ранжировки. Для оценки значимости может быть применена следующая шкала.

Таблица 2.3. Шкала оценки ценности

тинг	Оценка	Описание
		Вероятность	Последствия
	Имеет решающее значение для деятельности организации	Очень высокая	Катастрофические
	Высокая значимость		Значительные
	Средняя значимость		Умеренные Несущественные
	Низкая значимость		Малозначительные Несущественные
	Незначительный	Незначительная	Статьи по теме 0 поддерживаемые устройства Что такое версия ядра 3.10 65. Перепрошивка ядра андроид-устройства. Что представляет собой ядро мобильного устройства Обсуждаем плюсы и минусы новшества Колонтитулы в Excel Как удалить верхний колонтитул в экселе Где найти и как установить драйвера на ноутубк, компьютер Еще статьи из этой рубрики Характеристики Galaxy S8 и Galaxy S8 Plus Как обрезать SIM-карту под Micro SIM? Тариф «Киевстар Разговоры» с региональными предложениями для звонков внутри сети Киевстар онлайн регион 2 Samsung galaxy core 2 год выпуска Условия участия в бонусной программе AdBlock для всех Браузеров © 2024 beasthackerz.ru - Браузеры. Аудио. Жесткий диск. Программы. Локальная сеть. Windows