Ценность информации.

Следующей качественной характеристикой информации, имеющей принципиальное значение для включения ее в качестве объекта какие-либо правовые отношения, является ее субъективная ценность, т.е. значимость для конкретного субъекта.

Информационные системы (ИС) требуют защиты именно потому, что обрабатываемая информация бывает ценной не зависимо от происхождения. Реализация любой из угроз может привести к нарушению свойств конфиденциальности, целостности или доступности. При этом собственник информации несет определенные потери, связанные с нарушением этих свойств. Данные потери могут носить различный характер и могут быть выражены различным способом, и зачастую, в денежном эквиваленте. Для защиты информации затрачиваются определенные силы и средства, а для этого надо знать, какие потери мы понесем при реализации различных видов угроз (денежные, время на восстановление системы и т.п.). Ясно, что в денежном выражении затраты на защиту не должны превышать возможные потери.

Под ценностью информации понимается ее свойство, характеризующее потери собственника данной информации при реализации определенной угрозы, выраженные в стоимостном, временном либо ином эквиваленте.

Среди подходов к построению моделей защиты ИC , основанных на понятии ценности информации наиболее известными являются: оценка, анализ и управление рисками ИБ, порядковые шкалы ценностей, модели решетки ценностей.

Подход, основанный на оценке, анализе и управлении рисками ИБ часто используется, когда требуется независимое рассмотрение большого количества угроз и уязвимостей, и существует возможность прямыми либо косвенными методами определить (хотя бы приблизительно) вероятности реализации угроз и уязвимостей и стоимости возникающих при этом потерь.

Однако далеко не всегда возможно и нужно давать денежную оценку ценности информации. Например, оценка личной информации, политической информации или военной информации не всегда разумна в денежном исчислении. В этом случае предпочтительнее использовать подход, связанный со сравнением ценности отдельных информационных элементов между собой и введением порядковой шкалы ценностей.

При оценке ценности информации в государственных структурах используется линейная порядковая шкала ценностей. Всю информацию сравнивают экспертным путем и относят к различным уровням ценности. В этом случае документам отнесенным к уровню по шкале присваиваются соответствующие грифы секретности. Сами грифы секретности образуют порядковую шкалу, например (принятую почти всеми государствами): НЕСЕКРЕТНО <КОНФИДЕНЦИАЛЬНО(ДЛЯ СЛУЖЕБНОГО ПОЛЬЗОВАНИЯ) <СЕКРЕТНО <СОВЕРШЕННО СЕКРЕТНО. Более высокий класс имеет более высокую ценность и поэтому требования по его защите от несанкционированного доступа более высокие.

Рассматриваемая шкала хронологически была самой ранней и перестала удовлетворять требованиям информационных технологий, более детальной классификации. Разработка формализованных моделей информационных систем привело к разработке ценностной модели в виде решетки ценностей, которая является обобщением порядковой шкалы. Ее элементы представляют дискретную модель на базе введенной алгебры: требования рефлексивности, транзитивности, антисимметричности, а также верхней и нижней грани.

В основе государственных стандартов оценки ценности информации обычно используют MLS решетку (Multilevel Security). Свойства данной решетки используются при классификации новых объектов в ИС, полученных в результате вычислений.

Ценность информации порождает субъекты к негативным действиям с информацией, систему угроз по нанесению ущерба владельцам информации.

Ущерб может проявиться как категория при классификации угроз .

Проявления возможного ущерба могут быть различны:

· моральный и материальный ущерб деловой репутации организации;

· моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;

· материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;

· материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;

· материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;

· моральный и материальный ущерб от дезорганизации деятельности организации;

· материальный и моральный ущерб от нарушения международных отношений.

Ущерб может быть причинен каким-либо субъектом и в этом случае имеется на лицо правонарушение, а также явиться следствием независящим от субъекта проявлений (например, стихийных случаев или иных воздействий, таких как проявления техногенных свойств цивилизации). В первом случае налицо вина субъекта, которая определяет причиненный вред как состав преступления, совершенное по злому умыслу (умышленно, то есть деяние совершенное с прямым или косвенным умыслом) или по неосторожности (деяние, совершенное по легкомыслию, небрежности, в результате невиновного причинения вреда) и причиненный ущерб должен квалифицироваться как состав преступления, оговоренный уголовным правом.

Во втором случае ущерб носит вероятностный характер и должен быть сопоставлен, как минимум с тем риском, который оговаривается гражданским, административным или арбитражным правом, как предмет рассмотрения.

В теории права под ущербом понимается невыгодные для собственника имущественные последствия, возникшие в результате правонарушения. Ущерб выражается в уменьшении имущества, либо в недополучении дохода, который был бы получен при отсутствии правонарушения (упущенная выгода).

При рассмотрении в качестве субъекта, причинившего ущерб какую-либо личность, категория "ущерб" справедлива только в том случае, когда можно доказать, что он причинен, то есть деяния личности необходимо квалифицировать в терминах правовых актов, как состав преступления. Поэтому, при классификации угроз безопасности информации в этом случае целесообразно учитывать требования действующего уголовного права, определяющего состав преступления.

Вот некоторые примеры составов преступления, определяемых Уголовным Кодексом Российской Федерации .

Хищение - совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества.

Копирование компьютерной информации - повторение и устойчивое запечатление информации на машинном или ином носителе.

Уничтожение - внешнее воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводятся в полную непригодность для использования по целевому назначению. Уничтоженное имущество не может быть восстановлено путем ремонта или реставрации и полностью выводится из хозяйственного оборота.

Уничтожение компьютерной информации - стирание ее в памяти ЭВМ.

Повреждение - изменение свойств имущества при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становится полностью или частично непригодным для целевого использования.

Модификация компьютерной информации - внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных.

Блокирование компьютерной информации - искусственное затруднение доступа пользователей к информации, не связанное с ее уничтожением.

Несанкционированное уничтожение, блокирование модификация, копирование информации - любые не разрешенные законом, собственником или компетентным пользователем указанные действия с информацией.

Обман (отрицание подлинности, навязывание ложной информации) - умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество и таким образом добиться от него добровольной передачи имущества, а также сообщение с этой целью заведомо ложных сведений.

Обобщая изложенное, можно утверждать, что угрозами безопасности информации являются:

· хищение (копирование) информации;

· уничтожение информации;

· модификация (искажение) информации;

· нарушение доступности (блокирование) информации;

· отрицание подлинности информации;

· навязывание ложной информации.

Классификация угроз информации проведена рядом государств и органов, например, Интерполом.

Особенность атрибутивной концепции информации заключается в том ,что признаки объекта проявляются в признаках информации, особенно в технических подсистемах. Рассмотрим эти признаки более подробно.