Захист інформації. Предмет захисту. Науково-популярний журнал для юнацтва «Країна знань» №1, 2023

Слова «захист інформації» у багатьох людей викликають цілу низку асоціацій та питань. Адже захист – це, наприклад, щит і меч, паркан з колючим дротом, стіни фортеці тощо. Інформація – цей термін також не завжди цілком зрозумілий, оскільки кожен має на увазі щось своє.

Що таке взагалі інформація? А навіщо її захищати? А що таке захист інформації? Яку саме інформацію слід захищати? Від кого та від чого її захищати? Як це робити? Це далеко не всі питання, які постають перед користувачами сучасних комп’ютерних систем при згадці про захист інформації.

Досить розповсюдженою думкою є те, що, мовляв, всі загрози пов’язані з хакерами, вони, бідні, не сплять ночами і тільки й думають про те, як зламати ваш захист.

 У дійсності ж, основна частина загроз інформації (і це цілком підтверджується статистикою – більш як 90%) реалізується в самій системі – йдеться про тривіальні некомпетентність, некваліфікованість, недбалість або байдужість персоналу системи. Тобто захист інформаціЇ – це не тільки технічні засоби та заходи, набагато важливішим є кадри, їхнє навчання та правильний підбір (нагадаємо відоме гасло: «Кадри вирішують усе!»).

Однак навіть поверхневий розгляд питань захисту інформації показує, що це надзвичайно важлива, широка і складна сфера людської діяльності, особливо зараз, коли розвиток інформаційних технологій досяг неймовірних успіхів. Тому для початкового розуміння суті та проблем захисту інформації (ЗІ) слід розглянути найбільш важливі, точніше сказати, ключові питання, що пов’язані із ЗІ. Як здається, серед таких питань слід виділити наступні:

1. Що таке інформація? Дійсно, насамперед слід розібратися з предметом захисту – інформацією. Причому мова повинна йти не взагалі про інформацію, а про ті її особливості та властивості, що найбільш важливі з точки зору її захисту.

2. Далі слід зрозуміти, що таке ЗІ в цілому, які напрямки вона має, які існують методи та способи її організації і т.д.

3. За логікою постає питання – від чого або кого необхідно захищати інформацію. Тобто слід розібратися з основним поняттям ЗІ – загрозами інформації.

4. Нарешті, слід розібратися, з яких частин або компонент будується сам захист. Тут підходимо до поняття механізмів ЗІ і розглянемо один з основних – механізм ідентифікації та автентифікації (ІА).

5. Наступний важливий механізм ЗІ – керування доступом одних об’єктів комп’ютерних систем (КС) до інших, адже врешті-решт кожен користувач працює з конкретними об’єктами (файлами, програмами, записами і т.д.). Отже, цікаво, як саме він отримує до них доступ.

6. Далі розглянемо особливо важливий механізм для сучасного розвитку КС – криптографію.

7. Тепер постає питання про ефективну організацію взаємодії всіх механізмів ЗІ, яка є змістом фундаментального поняття ЗІ – політики ЗІ для кожної КС.

8. Ще одне важливе питання: ЗІ – це суто практична сфера діяльності чи існує також її теорія. Точніше, питання: чи можна для ефективної організації ЗІ використовувати якісь теоретичні положення, можливо, теореми?

Зрозуміло, що це не всі аспекти ЗІ, але, як здається, їхній розгляд надасть звичайним користувачам КС певне уявлення про суть, важливість та складність проблем ЗІ.

Згідно із запропонованою програмою нижче розглядається перше питання – предмет захисту – інформація.

Предмет захисту

Захист інформації. Предмет захисту

Отже, спочатку спробуємо розібратися з основним поняттям: що ж таке інформація?

Загальноприйнятого визначення інформації не існує, і воно використовується головним чином на інтуїтивному рівні і в залежності від сфери використання. Якщо ж звернутися до Інтернету, то можна отримати біля двох десятків визначень інформації. Найбільш загальним визначенням можна вважати філософське – це нові відомості, які прийняті, зрозумілі і оцінені її користувачем як корисні.

У Законі України «Про інформацію» подається таке визначення інформації: документовані або публічно оголошені відомості про події та явища, що відбуваються в суспільстві, державі та навколишньому природному середовищі.

Якщо ж мати на увазі використання інформації в КС, то інформація – це результат інтелектуальної (аналітико-синтетичної чи евристичної) діяльності певної людини щодо подання відомостей, повідомлень, сигналів, кодів, образів тощо. Якщо ж ще простіше, то: інформація – це усе те, що може оброблятися за допомогою КС.

Очевидно, що ще залишається ціла низка питань, пов’язаних з формою представлення інформації, структурою інформації, виміром інформації і т.д.. Тут цих питань не торкаємось, оскільки про це є величезна кількість різного роду джерел (книги, посібники, журнали, Інтернет і т.д.).

У даному розгляді більш важливими вважаємо ті властивості інформації, які стосуються її захисту.

Зараз прийнято, що інформація – це також товар, і, отже, є об'єктом товарних відносин. В Україні інформаційні відносини регулюються декількома законами, у тому числі і законом України «Про інформацію». Зокрема, у цьому законі в статті 18 встановлена класифікація інформації за видами:

  • статистична інформація;
  • масова інформація;
  • інформація про діяльність державних органів влади й органів місцевого і регіонального самоврядування;
  • правова інформація;
  • інформація про особистість;
  • інформація довідково-енциклопедичного характеру;
  • соціологічна інформація.

Оскільки інформацію можна продати, купити, імпортувати, фальсифікувати, украсти і т.д., то з цього виникає, що вона повинна якимось чином оцінюватися (товар повинен мати ціну). Далі, інформація, якою обмінюється людина через КС з іншою людиною чи КС, може бути важливою і, отже, також є предметом захисту. Однак захисту підлягає не будь-яка інформація, а тільки та, що має ціну, тобто цінна інформація.

Цінною ж стає та інформація, володіння якою дозволить її існуючому чи потенційному власнику одержати будь-який виграш: моральний, матеріальний, політичний і т.д. Оскільки в людському суспільстві завжди існують люди, які бажають мати якусь перевагу над іншими, то вони бажають незаконним шляхом одержати цінну інформацію, і тоді у її власника виникає необхідність її захищати.

Цінність інформації є критерієм при прийнятті будь-якого рішення про її захист. Хоча було багато різних спроб формалізувати цей процес з використанням методів теорії інформації, процес оцінки інформації залишається складним, дуже суб'єктивним і остаточно не вирішеним.

Для оцінки потрібен розподіл інформації на категорії, причому іноді не тільки згідно з її цінністю, але за важливістю. Наприклад, за рівнем важливості можна розділити інформацію на категорії таким чином:

  • життєво важлива незамінна інформація, наявність якої необхідна для функціонування організації;
  • важлива інформація – інформація, що може бути замінена чи відновлена, але процес її відновлення важкий і зв'язаний з великими витратами;
  • корисна інформація – інформація, яку важко відновити, однак організація може досить ефективно функціонувати і без неї;
  • несуттєва інформація – інформація, без якої організація продовжує існувати.

Хоча здається, що такий розподіл легко застосовувати, в дійсності на практиці віднесення інформації до однієї з цих категорій може являти собою дуже важку задачу, тому що та сама інформація може бути використана багатьма підрозділами організації, кожний з яких може віднести цю інформацію до різних категорій важливості. Категорія важливості, як і цінність інформації, звичайно змінюється згодом і залежить від ступеня ставлення до неї різних груп споживачів і потенційних порушників.

Приведені категорії важливості цілком погоджуються з існуючим принципом розподілу інформації за рівнями таємності (або секретності). Рівень таємності – це адміністративні чи законодавчі заходи, що відповідають мірі відповідальності особи за витік конкретної інформації, регламентованої спеціальними документами, з урахуванням державних, воєнно-стратегічних, комерційних, службових чи особистих інтересів. Такою інформацією може бути державна, військова, комерційна, службова чи особиста таємниця. Рівень таємності визначається грифом, що привласнюється тій чи іншій інформації.

В Україні в державних структурах установлені такі рівні (грифи) таємності: несекретно, для службового користування, таємно, цілком таємно (Н, ДСК, Т, ЦТ). Аналогічна термінологія існує в більшості країн світу і є такою: unclassified, confidential, secret, top secret (U, C, S, TS). Така класифікація дозволяє визначити просту лінійну порядкову шкалу цінності інформації: Н < ДСК < Т < ЦТ (U < C < S < TS). За цією шкалою відразу видно, до якої категорії інформації необхідно пред'являти більш високі вимоги щодо її обробки та захисту.

Слід додати, що, як показала практика, у багатьох випадках захищати потрібно не тільки таємну інформацію. І нетаємна інформація, що піддана несанкціонованим ознайомленням чи модифікації, може привести до витоку чи втраті пов'язаної з нею таємної інформації, а також до невиконання організацією функцій по обробці таємної інформації. Існує також можливість витоку таємної інформації шляхом аналізу сукупності нетаємних відомостей.

Інформація – як ресурс

В останні часи інформація стала найважливішім ресурсом, випереджаючи за важливістю навіть сировинні та енергетичні ресурси. Але для ефективного її використання необхідно вміння оцінювати значимість її для виконання відповідної діяльності, тобто оцінювати інформацію як об’єкт праці. Для такої оцінки необхідні показники двох видів:

1) що характеризують інформацію як ресурс для забезпечення процесу отримання розв’язків різноманітних задач;

2) що характеризують інформацію як об’єкт звичайної праці.

Зміст показників першого виду визначається важливістю інформації в процесі розв’язання задач, а також кількістю і складом інформації, яка використовується. Під кількістю інформації тут розуміється об’єм відомостей, які використовуються в процесі розв’язання задач, причому не абсолютний їхній об’єм, а їхня достатність для інформаційного забезпечення конкретних задач, їхня адекватність задачам. Отже, показники першого виду можуть бути такими:

  • важливість – це узагальнений показник, який характеризує значимість інформації з точки зору задач, для яких вона використовується, а також з точки зору організації її обробки. Тут оцінка може здійснюватися за: важливістю самих задач для даної діяльності; ступенем важливості інформації для ефективного виконання відповідних задач; рівнем витрат при небажаних змінах інформації; рівнем витрат на відновлення порушень інформації. Слід зазначити, що для деяких видів інформації важливість можна досить точно оцінювати за так званим коефіцієнтом важливості, обчислення якого здійснюється на основі математичних, лінгвістичних або неформально-евристичних моделей;
  • повнота – це показник, що характеризує міру достатності інформації для розв’язання відповідної задачі. Для кількісного вираження цього показника також відомі формальні і неформальні моделі обчислення коефіцієнта повноти;
  • адекватність – це ступінь відповідності інформації дійсному стану тих об’єктів, які вона відображає. Адекватність залежить від об’єктивності генерування інформації про об’єкт, а також від довжини проміжку часу між моментом генерування та моментом оцінки адекватності. Зазначимо, що для оцінки адекватності також відомі формальні та неформальні підходи, які дозволяють отримати її кількісні оцінки;
  • релевантність – це показник, що характеризує відповідність інформації потребам задачі, яка вирішується. Відомий коефіцієнт релевантності – це відношення об’єму релевантної інформації до загального її об’єму;
  • толерантність – показник, що характеризує зручність сприйняття та використання інформації в процесі вирішення відповідної задачі. Це поняття є дуже широким, невизначеним і суб’єктивним, а отже, формальних методів його оцінки поки немає.

Якщо ж повернутися до показників другого виду, то слід зазначити, що для них інформація виступає як:

  • сировина, яку добувають та оброблюють;
  • напівфабрикат, що виникає в процесі обробки сировини;
  • продукт для використання.

Тобто тут маємо звичайний виробничий ланцюжок: добуток сировини – переробка для отримання напівфабрикатів – їхня переробка для отримання кінцевого продукту. Нагадаємо, що при цьому всі стадії переробки інформації мають задовольняти показникам першого виду. Зрозуміло, що тут найбільш важливими є форма або спосіб представлення інформації, а також її об’єми.

Отже, як показники другого виду можуть виступати наступні:

1) спосіб або система кодування інформації, тобто ефективність кодування;
2) об’єм кодів, що відображають дану інформацію. Відзначимо, що методи визначення цих показників досить повно розроблені в теорії інформації.

Таким чином, необхідний рівень ЗІ слід визначати з урахуванням значень усіх розглянутих вище показників, а також грифів таємності.

Додамо дещо про загальні процеси, яким піддається інформація в КС – це процеси введення, збереження, обробки, виводу.

Введення інформації у КС може здійснюватися з флешок, дисків, клавіатури, спеціальних пультів і т.д.

Збереження інформації здійснюється на запам'ятовуючих пристроях. Обробляється у КС інформація згідно з прийнятим в даній системі порядком обчислення, редагування, знищення і т.д.

Для виводу інформації є багато каналів (візуальний, звуковий, друк та ін.).

Як неважко зрозуміти, при здійсненні кожного з цих процесів виникає багато можливостей щодо маніпулювання інформацією та самою КС.

Але залишається важливе питання: якими властивостями відрізняється звичайна інформація від інформації, яку необхідно захищати?

Властивості інформації, яку необхідно захищати

Захист інформації. Предмет захисту

Як відомо, в 60-ті роки минулого сторіччя питання ЗІ тільки-но почали виникати, оскільки саме тоді почали інтенсивно розвиватися засоби комп’ютерної техніки. Варто помітити, що в той час КС були слабо розподіленими, технології глобальних і локальних обчислювальних мереж знаходилися на початковій стадії свого розвитку. Тоді й виробилася «інтуїтивно» зрозуміла термінологія ЗІ (супротивник, загроза, ресурс, дані і т.д.). Але саме внаслідок тодішніх особливостей КС під ЗІ, в основному, розумівся захист не самої інформації, а лише засобів її обробки.

Лише на початку 90-их років стало зрозуміло, що захист засобів обробки інформації – це важливо і необхідно, але ще більш необхідним виявився захист самої інформації. І тут якраз і виникає питання: якими властивостями повинна володіти сама інформація, щоб її необхідно було захищати?

Такими властивостями інформації, що безпосередньо визначають її цінність і вимагають її захисту, виявилися: конфіденційність, цілісність, доступність та спостереженість.

Конфіденційність (confidentiality) – це властивість інформації, яка полягає в тому, що вона не може бути доступною для ознайомлення користувачам і/або процесам, що не мають на це відповідних повноважень.

Цілісність (integrity) інформації – це властивість, яка полягає в тому, що вона не може бути доступною для модифікації користувачам і/або процесам, які не мають на це відповідних повноважень. Цілісність інформації може бути фізичною і/або логічною.

По-перше, звернемо увагу на те, що два наданих означення відрізняються лише одним терміном – «ознайомлення» і «модифікація». Це означає, що кожне з означень «відповідає» за свій аспект поводження з інформацією – одне за можливості якимось чином ознайомитися з інформацією, а друге – за модифікацію або будь-які інші зміни інформації. Є багато прикладів, коли з інформацією лише знайомляться без її зміни (модифікації), і, навпаки, коли інформацію модифікують, не цікавлячись її змістом (без ознайомлення).

По-друге, в даних означеннях констатується, що інформація може бути доступною для ознайомлення та модифікації як користувачам, так і процесам. Дійсно, у сучасних інформаційних засобах є можливості поводження з інформацією за допомогою лише процесів навіть без попередньої участі людини-користувача.

Поняття цілісності застосовується не тільки для інформації, а й для характеристики інших об’єктів, наприклад, може бути цілісність засобів ЗІ.

Доступність (availability) – це властивість інформації, яка полягає в можливості її використання за вимогами користувача і/або процесу, що мають відповідні повноваження.

Знову звертаємо увагу на незалежність даної властивості від попередніх – є багато прикладів, коли можливість отримати інформацію є винятково важливою, іноді навіть більш важливою, ніж забезпечення її конфіденційності і/або цілісності (наприклад, передача наказу в бойових умовах – швидко і за будь-яких умов). З даного означення також виникає, що використання інформації за вимогами користувача може реалізуватися, коли доступ до неї здійснюється в потрібний час, в потрібному місці і в потрібній формі.

Поняття доступності може використовуватися у більш широкому сенсі, а саме, доступність – це властивість ресурсів системи (КС, послуги, об’єкта КС), яка полягає в тому, що користувач і/або процес, який володіє відповідними повноваженнями, може використовувати ресурси відповідно до встановлених правил, не очікуючи довше заданого (зазвичай, малого) проміжку часу, причому вони повинні знаходитися у необхідній формі, місці і в той час, коли вони необхідні.

Виявилося також, що і самі процеси обробки інформації в захищених КС повинні здійснюватися не випадково і хаотично, а під певним наглядом. Отже, отримуємо ще одну властивість інформації – спостереженість.

Спостереженість (accountability) – це властивість КС, що дозволяє фіксувати діяльність користувачів і процесів, використання об’єктів, а також однозначно установлювати ідентифікатори причетних до певних подій користувачів і/або процесів.

Простіше кажучи, це властивість, яка полягає в тому, що процес обробки інформації має безперервно знаходитися під контролем органу, що керує захистом.

Як бачимо, всі надані властивості є цілком незалежними, тобто жодну з них не можна замінити якоюсь іншою або комбінацією інших. Саме за цими вимогами класифікують захищені КС, тобто можна виділити КС, в яких необхідно підтримувати лише конфіденційність (наприклад, служба безпеки), в інших (наприклад, банки) необхідно підтримувати і конфіденційність, і цілісність, і доступність. Крім того, стає зрозумілим сенс ЗІ – просто підтримувати ті чи інші властивості інформації, яку необхідно захищати. Але як і яким чином – це вже інша задача, задача, розв'язок якої залежить від рішення користувача, його мети та можливостей.

Слід відзначити, що в багатьох випадках ЗІ розуміється по-різному. Зокрема, наприклад, багато хто, навіть з кваліфікованих користувачів ЕОМ, просто ототожнює ЗІ із криптографією. Така точка зору має певні історичні причини, але зараз одна криптографія може забезпечити тільки певний рівень конфіденційності та цілісності інформації і аж ніяк не забезпечить інформаційну безпеку в цілому. Адже в сучасних інформаційних системах інформаційна безпека має забезпечувати не тільки (і не стільки) конфіденційність інформації, а також її цілісність та доступність. Причому іноді останні властивості інформації є головними.

Ще одна думка стосується статичного ставлення до засобів ЗІ, яке полягає в наступному: ось захист організовано, і всі можуть спати спокійно. Але ж життя не стоїть на місці, і все рухається і розвивається – це особливо стосується сучасних інформаційних технологій. Те, що сьогодні забезпечувало надійний захист, завтра його уже не забезпечує, а отже, слід постійно мати на увазі один із найважливіших принципів організації ЗІ – безперервний захист у часі й у просторі.

Багато хто також вважає, що його інформація не дуже цінна, отже, не треба витрачати великі зусилля на її захист. Така точка зору може бути дуже небезпечною, оскільки оцінка важливості чи цінності інформації, а особливо своєї, може виявитися просто помилковою – пізніше можна пожалкувати.

Література

  1. Антонюк А.О. Основи захисту інформації в автоматизованих системах: Навч. посібн. – К.: Видавн. дім «КМ Академія», 2003.
  2. Домарев В.В. Защита информации и безопасность компьютерных систем. – К.: Изд. «ДиаСофт», 1999.
  3. Баричев С. Криптография без секретов. – М.: 1998.
  4. Соколов А.В., Шаньгин В.Ф. Защита информации в распределённых корпоративных сетях и системах».-М.: ДМК Пресс, 2002.

А.О. Антонюк, кандидат фізико-математичних наук, кафедра інформаційної безпеки Фізико-технічного інституту НТУУ «КПІ»