Полная версия

Главная arrow Информатика arrow Безопасность и управление доступом в информационных системах

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>

АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ ОБРАБОТКИ ИНФОРМАЦИИ И УПРАВЛЕНИЯ КАК ОБЪЕКТЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

ПРЕДМЕТ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

Свойства информации

Информация — это результат отражения и обработки в человеческом сознании многообразия окружающего мира, это сведения об окружающих человека предметах, явлениях природы, деятельности других людей и т. д. Сведения, которыми обменивается человек через машину с другим человеком или с машиной, и являются предметом защиты. Однако защите подлежит не всякая информация, а только та, которая имеет цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцу получить какой-либо выигрыш: моральный, материальный, политический и т. д. Поскольку в человеческом обществе всегда существуют люди, желающие незаконным путем получить ценную информацию, у ее владельца возникает необходимость в ее защите.

Ценность информации является критерием при принятии любого решения о ее защите. Хотя было предпринято много различных попыток формализовать этот процесс с использованием методов теории информации, анализа решений, экспертных систем, процесс оценки до сих пор остается весьма субъективным.

Для оценки требуется распределение информации на категории не только в соответствии с ее ценностью, но и важностью. Известно следующее разделение информации по уровню важности:

  • 1) жизненно важная незаменимая информация, наличие которой необходимо для функционирования организации;
  • 2) важная информация — информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;
  • 3) полезная информация — информация, которую трудно восстановить, однако организация может эффективно функционировать и без нее;
  • 4) несущественная информация — информация, которая больше не нужна организации, или организация может без нее обойтись.

На практике отнесение информации к одной из этих категорий может представлять собой очень трудную задачу, так как одна и та же информация может быть использована многими подразделениями организации, каждое из которых может отнести эту информацию к различным категориям важности. Категория важности, как и ценность информации, обычно изменяется со временем и зависит от степени отношения к ней различных групп потребителей и потенциальных нарушителей.

Существуют определения групп лиц, связанных с обработкой информации:

  • держатель — организация и/или лицо — обладатель информации;
  • источник — организация и/или лицо, поставляющее информацию;
  • нарушитель — отдельное лицо и/или организация, стремящееся получить информацию.

Отношение этих групп к значимости одной и той же информации может быть различно: для одной — важная, для другой — нет. Например:

важная оперативная информация, такая, например, как список заказов на данную неделю и график производства, может иметь высокую ценность для держателя, тогда как для источника (например, заказчика) или нарушителя низка;

персональная информация, например медицинская, имеет значительно большую ценность для источника (лица, к которому относится информация), чем для ее держателя или нарушителя;

информация, используемая руководством для выработки решений, например, о перспективах развития рынка, может быть значительно более ценной для нарушителя, чем для источника или ее держателя, который уже завершил анализ этой информации.

Приведенные категории важности заслуживают внимания и могут быть применены к любой информации. Это также согласуется с существующим принципом деления информации по уровням секретности.

Уровень секретности — это административная или законодательная мера, соответствующая мере ответственности лица за утечку или потерю конкретной секретной информации, регламентируемой специальным документом, с учетом государственных, военно-стратегических, коммерческих, служебных или частных интересов. Такой информацией может быть государственная, военная, коммерческая, служебная или личная тайна.

Конфиденциальность — следующий уровень сохранения тайны информации. Очевидно, что, где есть уровень секретности, там есть и уровень конфиденциальности, но не наоборот.

Практика показала, что защищать необходимо не только секретную или конфиденциальную информацию. Несекретная информация, подвергнутая несанкционированным изменениям (например, модификации команд управления), может привести к утечке или потере связанной с ней секретной информации, а также к невыполнению автоматизированной информационной системой функций по причине получения ложной информации, которые могут быть не обнаружены пользователем системы.

Суммарное количество, или статистика несекретной и конфиденциальной информации, в итоге может оказаться секретным, или конфиденциальным. Аналогично сводные данные одного уровня важности в целом могут являться информацией более высокого уровня секретности или конфиденциальности. Для защиты от подобных ситуаций широко применяется разграничение доступа к информации по функциональному признаку. При одинаковой степени важности информации, обрабатываемой в системе обработки, информация делится в соответствии с функциональными обязанностями и полномочиями пользователей, устанавливаемыми администрацией организации — владельца автоматизированной системы информации и управления.

В соответствии с описанными принципами деления информацию, обрабатываемую в автоматизированных системах обработки информации и управления (АСОИУ), для иллюстрации по категориям важности и секретности можно представить в виде пирамиды, состоящей из нескольких слоев по вертикали. Вершиной пирамиды является наиболее важная информация, а фундаментом — несекретная информация, связанная с обработкой более важной (секретной) информации. Каждый слой данной пирамиды, поделенной на части по горизонтали, отражает принцип деления информации по функциональному признаку и полномочиям ее пользователей (рис. 1).

Модель предмета защиты и безопасности информации

Рис. 1. Модель предмета защиты и безопасности информации

До последнего времени безопасность информации в АСОИУ понималась исключительно как опасность ее несанкционированного получения во все время нахождения в АСОИУ.

В настоящее время безопасность интерпретируется еще и как безопасность действий, для осуществления которых используется информация.

Принципиальные отличия расширенного толкования по сравнению с традиционным очень важны, так как компьютерная техника все больше используется для автоматизированного и автоматического управления высокоответственными информационными системами и процессами, в которых несанкционированные изменения запланированных алгоритмов и технологий могут иметь серьезные последствия.

У информации в информационных системах есть свой жизненный цикл, диаграмма которого представлена на рис. 2.

Полученная системой информация оценивается на достоверность и полезность. Часть информации уничтожается, а остальная подготавливается к хранению (систематизируется, преобразуется в удобную для хранения форму, сортируется по массивам

Жизненный цикл информации

Рис. 2. Жизненный цикл информации

хранения). Из хранилища выбирается нужная в данный момент времени информация, обрабатывается и используется в необходимых целях. Полученные отчетные данные проходят тот же цикл. При выборке могут уничтожаться сведения, потерявшие интерес из-за их старения. Время жизни информации определяется ее владельцем в процессе эксплуатации информационной системы в конкретных условиях.

 
<<   СОДЕРЖАНИЕ ПОСМОТРЕТЬ ОРИГИНАЛ   >>