Для цитирования: Титов А.А. Инженерно-техническая защита информации: Учебное пособие для студентов специальностей «Организация и технология защиты информации», "Комплексная защита объектов информатизации» и «Информационная безопасность телекоммуникационных систем». – Томск: Томск. гос. ун-т систем управления и радиоэлектроники, 2010. – 197 с.
Для обеспечения эффективной защиты информации необходимо знать ее
свойства. Она как предмет защиты обладает рядом свойств, основные из ко-
торых следующие:
1. Нематериальная информация может храниться, передаваться, обраба-
тываться, если она содержится на материальном носителе. Так как с помо-
щью материальных средств можно защищать только материальный объект, то
объектами защиты являются материальные носители информации. Раз-
личают носители — источники информации, носители — переносчики ин-
формации и носители — получатели информации. Например, чертеж являет-
ся источником информации, а бумага, на которой он нарисован, — носитель
информации. Физическая природа источника и носителя в этом примере одна
и та же — бумага. Однако между ними существует разница. Бумага без нане-
сенного на ней текста или рисунка является источником информации о ее фи-
зических и химических свойствах. Когда бумага содержит семантическую ин-
формацию, то она становится документом — источником семантической ин-
формации.
Но независимо от вида информации, содержащейся на бумаге или ином
другом носителе, защищать от хищения, изменения и уничтожения информа-
ции можно материальный объект — листы бумаги, которые имеют опреде-
ленные размеры, вес, механическую прочность, устойчивость краски или
чернил к внешним воздействиям и т. д., или иные носители. Параметры носи-
теля определяют условия и способы хранения информации. Бумагу для обес-
печения безопасности содержащейся на ней информации хранят в сейфе.
Другие носители, например, поля, не имеют четких границ в пространстве и
11
их трудно запереть в шкаф. Но в любом случае характеристики материально-
го носителя контролируемы органами чувств человека или его технических
средств.
2. Информация может быть для ее для пользователя (собственника,
владельца, получателя) достоверной и ложной, полезной и вредной. Ин-
формация, отражающие объективные факты, события, явления и процессы,
является достоверной, а не соответствующая им — ложной. Границу между
достоверной и ложной информацией часто трудно провести. Достоверная ин-
формация в процессе передачи может трансформироваться в свою противо-
положность. Преднамеренно создаваемая и распространяемая ложная инфор-
мация называется дезинформацией.
В естественных областях науки достоверной информацией считается та,
которую может получить не только ее автор, но и другие ученые. Если ре-
зультаты научного исследования не удается повторить, то информация счита-
ется недостоверной. Например, сенсационное сообщение английских физи-
ков о получении ими «холодной» (при обычной температуре) термоядерной
реакции сначала вызвало большой интерес в мире, но после неудачных попы-
ток повторить эксперимент другими учеными, это сообщение было забыто.
Полезная информация приносит прибыль ее владельцу или пользовате-
лю, уменьшает риск в его деятельности в результате принятия более обосно-
ванных решений, улучшает его психическое состояние и т. д. Достоверная
информация, как правило, является полезной, так как обеспечивает принятие
более правильного решения. Но в отдельных случаях такая зависимость под-
вергается сомнению. Например, американские врачи сообщают больному о
его неизлечимой болезни, так как считают, что такая информация позволяет
больному принять более обоснованное решение о своих дальнейших дей-
ствиях. Наши врачи часто скрывают правду, полагая, что такая информация
может «добить» больного. Истина, как считают в таких случаях, посредине.
Сильному человеку горькая правда полезна, так как она мобилизует его силы
для борьбы с недугом, слабому более полезна «сладкая ложь», так как она
поддерживает его жизненный тонус.
Вредной является информация, в результате использования которой ее
получателю наносится моральный или материальный ущерб. Часто вредная
информация создается в результате целенаправленной или случайной моди-
фикации ее при переносе с одного носителя на другой. Такая информация
распространяется в виде слухов. Из этого не следует, что слухи содержат
только ложную и вредную информации. Иногда власти допускают утечку до-
стоверной информации с целью выявить реакцию общественности на готовя-
щиеся непопулярные меры, а «звезды», особенно шоу-бизнеса, распускают
слухи о себе для поддержания имиджа.
К вредной также относится информация, содержание которой является
нейтральной для ее пользователя, но засоряет так называемое информаци-
онное пространство. Засоренность каналов связи и документов нейтральной
информацией затрудняет и существенно увеличивает время добывания полез-
ной. Многие по собственному опыту знают, как иногда трудно найти нужный
12
документ в кипах других, от которых и пользы-то мало, но выбросить жалко.
Кроме того, носитель с нейтральной для конкретного получателя информаци-
ей может оказывать вредное воздействие на другой носитель с полезной ин-
формацией, если близки по значениям параметры носителей, например часто-
ты колебаний электромагнитных полей разных источников. Носители инфор-
мации, оказывающее воздействие на другой носитель, представляют собой
помехи. То, что для одного получателя является информацией, для другого –
помеха. Когда во время разговора по телефону из-за неисправности в цепях
коммутации телефонной станции слышен разговор других людей, то каждая
пара абонентов воспринимает разговор другой как помеху.
Полезность информации всегда конкретна. Нет полезной информации
вообще. Информация полезна или вредна для конкретного ее пользователя.
Под пользователями подразумевается как один человек или автомат, так и
группа людей и даже все человечество. Чрезвычайно полезная информация
для одних пользователей может не представлять ценности для других. Даже
информация, ценная для всего человечества, например технология изготовле-
ния лекарств от опасной болезни, для конкретного здорового человека может
не представлять интерес.
Поэтому при защите информации определяют, прежде всего, круг лиц
(фирм, государств), заинтересованных в защищаемой информации, так как
вероятно, что среди них окажутся злоумышленники.
В интересах защиты ценной (полезной) информации ее владелец (госу-
дарство, организация, физическое лицо) наносит на носитель условный знак
полезности содержащейся на нем информации, – гриф секретности или
конфиденциальности. Гриф секретности информации, владельцами которой
является государство (государственные органы), устанавливается на основа-
нии Закона «О государственной тайне» и ведомственных перечней сведений,
составляющих государственную тайну. В соответствии с постановлением
Правительства РФ № 870 от 4 сентября 1995 г. к информации секретной, со-
вершенно секретной и особой важности относится информация, хищение
или несанкционированное распространение которой может нанести ущерб
соответственно государственной организации (предприятию, учреждению),
отрасли (ведомству, министерству), субъекту Федерации и РФ в целом. Для
несекретной информации, содержащей служебную тайну, вводят гриф «для
служебного пользования».
Для обозначения степени конфиденциальности коммерческой информа-
ции применяют различные шкалы ранжирования. Наиболее распространена
шкала: «строго конфиденциально», конфиденциально» и «не подлежит
разглашению».
В качестве критерия для определения грифа конфиденциальности ин-
формации могут служить результаты прогноза последствий попадания ин-
формации к конкуренту или злоумышленнику.
Следствием разглашения или утери документа с грифом «строго конфи-
денциально» могут быть материальные и финансовые потери, которые могут
привести организацию к банкротству или поглощению ее более мощной, а
13
также к физическому и морально-психологическому воздействию на персо-
нал организации. При попадании к конкуренту информации документов с
грифом «конфиденциально» организации могут быть нанесены значительные
материальные и финансовые потери. «Разглашению не подлежит» информа-
ция, представляемая в органы контроля, переписка, договоры, сведения о со-
трудниках организации, воспользовавшись которыми злоумышленник может
нанести им или организации вред.
3. Хотя информация нематериальная, она покупается и продается. Поэто-
му информацию можно рассматривать как товар. Полезность информации
как товара характеризуется его ценой. Цена информации зависит от ее ценно-
сти, но это разные понятия. Например, при проведении исследований могут
быть затрачены большие материальные и финансовые ресурсы, которые за-
вершились отрицательным результатом, т. е. не получена информация, на
основе которой ее владелец может получить прибыль. Но отрицательные ре-
зультаты представляют ценность для специалистов, занимающихся рассмат-
риваемой проблемой, так как полученная информация укорачивает путь к ис-
тине. Детские фотографии имеют большую ценность для родителей изобра-
женных на них детей, но рыночная цена у них близка к нулю до тех пор, пока
изображенный на фотографии ребенок не становится знаменитым. Цена
фотографии знаменитого человека пропорциональна его рейтингу. Ценность
информации — полезность ее для собственника (владельца, пользовате-
ля), цена — полезность информации для участников рынка.
Цена информации, как любого товара, складывается из себестоимости и
прибыли. Себестоимость определяется расходами владельца информации на
ее получение путем:
• проведения исследований в научных лабораториях, аналитических цен-
трах, группах, отдельными учеными и т. д.;
• покупки информации на рынке информации;
• добывания информации противоправными действиями.
Прибыль от информации ввиду ее особенностей может принимать раз-
личные формы, причем денежное ее выражение не является самой распро-
страненной формой. В общем случае прибыль от информации может быть
получена в результате следующих действий:
• продажи информации на рынке;
• материализации информации в продукции с новыми свойствами или
технологией, приносящими дополнительную прибыль;
• использования информации для принятия более эффективных решений.
Последняя форма прибыли от информации не столь очевидна, но она са-
мая распространенная. Это обусловлено тем, что любая деятельность челове-
ка есть по своей сути последовательность принятия им решений.
Большинство решений принимается человеком бессознательно, он осознанно
принимает в основном жизненно важные решения.
4. Полезность (цена) информации изменяется во времени. Распро-
странение информации и ее использование приводят к изменению ее ценно-
сти и цены. Характер изменения ценности во времени зависит от вида инфор-
14
мации. Для научной информации эта зависимость часто имеет волнооб-
разный вид. Информация об открытии даже новых законов или явлений при-
роды вначале должным образом не оценивается. Например, в начале века ре-
зультаты исследований по атомной физике носили чисто познавательный ха-
рактер и интересовали узкий круг ученых. Информация в этой области при-
обрела чрезвычайно высокую цену, когда появились реальные возможности
практического использования атомной энергии. По мере того как исчерпыва-
ются на определенном этапе научно-технического прогресса возможности
практической реализации теоретических результатов, ценность информации
убывает. Новые технологии или достижения в смежных областях могут уве-
личить ценность давно полученных знаний. Недаром говорят, что новое —
это хорошо забытое старое.
Ценность (цена) большинства видов информации, циркулирующей в об-
ществе, со временем уменьшается — информация стареет. Характер старения
разведывательной информации приведен на рис.
Ценность информация о законах природы убывает очень медленно. Ее
старение проявляется в уточнении законов, например, в ограничениях зако-
нов Ньютона для микромира.
15
Характер старения информации можно аппроксимировать зависимо-
стью, аналогичной правилу получения «сложного» процента. В соответствии
с ней ценность информации через m интервалов времени, убывающая на к
процентов за один интервал, оценивается по выражению:
где Сио — ценность информации в момент ее получения. Например, если
ценность информации уменьшается в месяц на 10%, то через 6 месяцев она
составит около 50% первоначальной ценности. Время, в течение которого
ценность информации уменьшается до 10% первоначальной величины, мож-
но назвать временем жизни информации τжи . Время жизни рассматривае-
мой в примере информации составляет около 21 месяца.
5. Невозможно объективно (без учета полезности ее для потребителя,
владельца, собственника) оценить количество информации. Для обеспе-
чения эффективной защиты информации важно знать количество защищае-
мой информации. Однако объективно определить ее невозможно. Например,
количество информации, содержащейся в книге, для разных читателей — раз-
ное. Даже один и тот же человек в разные периоды своей жизни находит в
книге каждый раз что-то новое для себя. Количество информации в голове че-
ловека можно косвенно оценить по его действиям, так как для принятия обос-
нованного решения необходимо больше информации.
Иногда полезность информации связывают с ее качеством. Но понятие
«качество» применительно к информации не имеет самостоятельного значе-
ния, так как оно поглощается понятием «количество». Действительно, коли-
чество информации, например, в фотографии зависит от ее качества. Чем бо-
лее резкое изображение на фотографии, чем больше в нем полутонов и оттен-
ков цвета, тем больше информации она содержит. Ухудшение качества изоб-
ражения при копировании, например, видеокассет приводит к снижению ко-
личества информации и, как следствие, к уменьшению психологического воз-
действия фильма на зрителя. Под качеством информации обычно подразуме-
вают качество отображения ее на носителе или ее достоверность (соответ-
ствие оригиналу). Качество информации в этом смысле можно достаточно
объективно измерить.
Если информацию трактовать как знания, то количество информации,
извлекаемой человеком из сообщения, можно оценить степенью изменения
его знаний. Структурированные знания, представленные в виде понятий
и отношений между ними, называются тезаурусом. Тезаурус имеет иерар-
хическую структуру. Понятия и отношения, группируясь, образуют другие,
более сложные понятия и отношения.
Знания отдельного человека, организации, государства образуют соот-
ветствующие тезаурусы. Тезаурусы различных организационных структур
включают части тезаурусов входящих в их состав элементов, прежде всего
людей. Например, тезаурус организации образуется из тезаурусов сотрудни-
ков по тематике их работы и других носителей информации (документов,
продукции, материалов и т. д.).
16
Для передачи знаний тезаурусы должны пересекаться, т. е. они должны
содержать общие элементы (понятия и отношения между ними). Если та-
ковых нет, то владельцы разных тезаурусов просто не поймут друг друга. О
таких людях говорят, что они разговаривают на «разных языках». Даже люди
одной национальности часто говорят на «разных языках», вкладывая в одина-
ковые по форме понятия разное содержание. Подход к оценке количества ин-
формации по степени изменения тезауруса после ее получения, предложен-
ный Ю. А. Шрейдером, можно назвать тезаурусным.
В общем случае количество информации, получаемое из сообщения ее
получателем, зависит от соотношения тезауруса сообщения и получателя.
Если тезаурус сообщения составляет часть тезауруса получателя или их теза-
урусы настолько отличаются по составу, что не пересекаются, то количество
получаемой информации минимальное. В первом варианте получатель не
приобретает новые знания, и тезаурус получателя не пополняется, во втором
— получатель не понимает смысл сообщения и не может установить отноше-
ния с другими элементами тезауруса.
Обобщая сказанное, циркуляцию информации в человеческом обществе
можно представить исходя из следующей модели.
Тезаурусы человека и любой организационной структуры представляют
их капитал. Поэтому они стремятся, во-первых, к сохранению (безопасности)
своего тезауруса, а во-вторых, к его увеличению. Тезаурус владельца инфор-
мации может быть увеличен как за счет синтеза знаний владельцем путем
проведения собственных исследований или разработок, так и за счет их за-
конного и незаконного приобретения.
Законное приобретение знаний возможно путем организованного обуче-
ния в учебных заведениях, самостоятельного изучения литературы (самообу-
чения), приглашения на работу более знающего специалиста, покупки патен-
та или лицензии. Приобретение знаний путем хищения информации является
незаконным способом увеличения тезауруса.
Приближенно относительное количество информации можно оценить
путем определения доли тематических вопросов, на которые получены отве-
ты, удовлетворяющие потребителя или получателя информации. С этой це-
лью вся предметная область, которая интересует получателя информации,
разделяется на п тематических вопросов, из которых на m получены ответы с
достаточной полнотой и достоверностью, а отношение n/m характеризует в
долях или процентах количество информации. Чем большее количество тема-
тических вопросов, тем точнее оценки.
Применительно к видам информации количества информации прибли-
женно можно оценить на основе следующих соображений.
В качестве единицы семантической информации по аналогии с призна-
ковой информацией целесообразно выбрать то, что пытаются выделить в лю-
бом документе, — мысль. Она может быть выражена одним словом или
большим количеством предложений. Но семантическая информация нужна
человеку для передачи прежде всего мыслей. Цена информации также зави-
сит от полезности и количества содержащихся в них мыслей. Формальным
17
путем выявить мысль пока нельзя. Однако человек может в любом сообще-
нии определить, по крайней мере, основные из содержащихся в нем мыслей.
Мысли реферата, доклада, курсовой работы, дипломного проекта и других
документов концентрируют в заключении. Конечно, сами мысли могут суще-
ственно отличаться по ценности или полезности. За одни мысли ее автор по-
лучает Нобелевскую премию, другие мысли не интересны даже близкому че-
ловеку. Если ценность мысли оценить коэффициентом в интервале 0-1, то ко-
личество семантической информации в сообщении определяется как взве-
шенная (по ценности) сумма содержащихся в нем мыслей.
Такой подход хорошо согласуется с широко применяемой оценкой ин-
формации в выступлениях, статьях, отчетах и других информационных мате-
риалах. Например, в выступлении такого-то докладчика много полезных мыс-
лей, в статье такого-то автора не содержится ни одной стоящей мысли. Полез-
ность публикации соответственно содержащихся в ней мыслей определяется
по количеству ссылок на нее в работах других авторов. Чем более кратко и
четко излагает человек свои мысли, тем больше он ценится как специалист.
На практике используют более грубый и простой, так называемый
объемный способ измерения информации путем подсчета количества (в би-
тах или байтах) символов сообщения или измерения характеристик носителя
(количества листов, времени передачи сообщения и др.). Часто покупатели
книг оценивают их полезность по количеству листов. Интуитивно кажется,
что большее число листов содержит большее количество информации. Но та-
кая зависимость верна далеко не всегда. Сравнительно небольшой по объему
рассказ Э. Хемингуэя «Старик и море» превосходит по эмоциональному воз-
действию многие толстые романы.
6. Информация способна случайным образом «растекаться» в про-
странстве. Так как человеку присуща любознательность, переходящая у мно-
гих в любопытство, а также иногда даже трудно сдерживаемое желание поде-
литься с другими новостями, то при общении (взаимодействии) людей проис-
ходит выравнивание их тезаурусов. Следовательно, в организации и обще-
стве, если не предпринимаются дополнительные усилия по поддержанию не-
равномерности информационной энтропии, происходит ее выравнивание, т. е. выравнивание тезаурусов разных сотрудников или членов общества. Выравнивание тезаурусов происходит путем передачи информации от тезауруса большего объема тезаурусу меньшего объема. Кроме целенаправленной (законной или незаконной) деятельности по передаче информации имеют место случайные процессы выравнивания тезаурусов владельцев, аналогично выравниванию температуры в замкнутом пространстве. Этот процесс объективно проявляется в любой организации, государстве и человеческом обществе в целом путем случайных, трудно контролируемых процессов распространения информации от источника с большим объемом тезауруса к получателю, в том числе несанкционированному, с меньшим объемом тезауруса. Как показывает опыт, со временем круг лиц, которым становится известна секретная (конфиденциальная) информация, расширяется случайным образом. Кто-то под большим секретом рассказал новости приятелю или жене, те приоткрыли тайну другим людям и т. д. Это процесс объективный в том смысле, что только за счет дополнительных усилий и часто больших затрат удается приостановить или замедлить процесс «растекания» информации. По своей сути он аналогичен, только в информационной сфере, процессу выравнивания энтропии в природе. Например, при уменьшении энтропии в какой-либо точке пространства, вызванном нагреванием или даже рождением человека, со временем температура выравнивается, а человек умирает и превращается в прах, энтропия которого неизмеримо выше, чем у живого человека.
При выравнивании тезаурусов коммерческая цена информации убывает, а ценность информации может как возрастать, так и снижаться. Действительно, закон Ома знают очень много людей, но от этого полезность его для практики не уменьшается. Но покупателя на эту информацию вряд ли удастся найти, так как изучение закона Ома входит в программу школьного образования.
7. При копировании, не изменяющем информационные параметры носителя, количество информации не меняется, а ее цена снижается. После снятия копии с документа на ксероксе или другим способом количество информации в нем не меняется. В результате этого несанкционированное копирование (хищение) информации может остаться незамеченным для ее владельца, если отсутствуют иные признаки проникновения злоумышленника к ее источнику и факта хищения. Но если при копировании происходят воздействия на информационные параметры носителя, приводящие к изменению их значений, или незначительные изменения накапливаются, то количество информации уменьшается. Ухудшается качество звука и изображения соответственно на аудио- и видеопленке из-за механического разрушения магнитного слоя, книжка зачитывается до дыр, блекнут яркие цвета на картинках-репродукциях на стенах светлой комнаты.
Так как при каждом копировании увеличивается число ее законных и незаконных пользователей, то в соответствии с законами рынка цена снижается.
Например, видеопиратство вызывает большое беспокойство у владельцев видеопродукции, так как широкое распространение пиратских копий значительно сбивает цены на рынке.