Ценность информации
Информационные системы требуют защиты именно потому, что обрабатываемая информация бывает ценной не зависимо от происхождения. Реализация любой из угроз может привести к нарушению свойств конфиденциальности, целостности или доступности. При этом собственник информации несет определенные потери, связанные с нарушением этих свойств. Данные потери могут носить различный характер и могут быть выражены различным способом, и зачастую, в денежном эквиваленте. Для защиты информации затрачиваются определенные силы и средства, а для этого надо знать, какие потери мы понесем при реализации различных видов угроз (денежные, время на восстановление системы и т.п.). Ясно, что в денежном выражении затраты на защиту не должны превышать возможные потери.
Определение 1.7.Под ценностью информации понимается ее свойство, характеризующее потери собственника данной информации при реализации определенной угрозы, выраженные в стоимостном, временном либо ином эквиваленте.
Среди подходов к построению моделей защиты ИC, основанных на понятии ценности информации наиболее известными являются [16]: оценка, анализ и управление рисками, порядковые шкалы ценностей, модели решетки ценностей.
Подход, основанный на оценке, анализе и управлении рисками ИБ часто используется, когда требуется независимое рассмотрение большого количества угроз и уязвимостей, и существует возможность прямыми либо косвенными методами определить (хотя бы приблизительно) возможности реализации угроз и уязвимостей и стоимости возникающих при этом потерь.
Однако далеко не всегда возможно и нужно давать денежную оценку ценности информации. Например, оценка личной информации, политической информации или военной информации не всегда разумна в денежном исчислении. В этом случае предпочтительнее использовать подход, связанный со сравнением ценности отдельных информационных элементов между собой и введением порядковой шкалы ценностей.
Пример 1.1.При оценке ценности информации в государственных структурах используется линейная порядковая шкала ценностей. Всю информацию сравнивают экспертным путем и относят к различным уровням ценности. В этом случае документам, отнесенным к некоторому уровню по шкале, присваиваются соответствующие грифы секретности. Сами грифы секретности образуют порядковую шкалу, например (принятую почти всеми государствами): НЕСЕКРЕТНО < КОНФИДЕНЦИАЛЬНО < СЕКРЕТНО < СОВЕРШЕННО СЕКРЕТНО. Более высокий класс имеет более высокую ценность и поэтому требования по его защите от несанкционированного доступа более высокие.
Рассматриваемая шкала хронологически была самой ранней и перестала удовлетворять требованиям информационных технологий, более детальной классификации. Разработка формализованных моделей информационных систем привело к разработке ценностной модели в виде решетки ценностей, которая является обобщением порядковой шкалы. Ее элементы представляют дискретную модель на базе введенной алгебры: с требованиями рефлексивности, транзитивности, антисимметричности, а также верхней и нижней грани.
Дата добавления: 2020-10-14; просмотров: 489;