АВТОМАТИЗИРОВАННЫЕ СИСТЕМЫ ОБРАБОТКИ ДАННЫХ КАК ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ

Тема 1. ПРЕДМЕТ ЗАЩИТЫ

1.1. СВОЙСТВА ИНФОРМАЦИИ

Информация — это результат отражения и обработки в человеческом соз­нании многообразия окружающего мира, это сведения об окружающих че­ловека предметах, явлениях природы, деятельности других людей и т. д. Све­дения, которыми обменивается человек через машину с другим человеком или с машиной, и являются предметом защиты. Однако защите подлежит не всякая информация, а только та, которая имеет цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциаль­ному владельцу получить какой-либо выигрыш: моральный, материальный, политический и т. д. Поскольку в человеческом обществе всегда существуют люди, желающие незаконным путем получить ценную информацию, у ее владельца возникает необходимость в ее защите.

Ценность информации является критерием при принятии любого ре­шения о ее защите. Хотя было предпринято много различных попыток формализовать этот процесс с использованием методов теории информа­ции и анализа решений, процесс оценки до сих пор остается весьма субъективным. Для оценки требуется распределение информации на ка­тегории не только в соответствии с ее ценностью, но и важностью. Из­вестно следующее разделение информации по уровню важности:

1)  жизненно важная незаменимая информация, наличие которой не­обходимо для функционирования организации;

2)  важная информация — информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;

3)  полезная информация — информация, которую трудно восстано­вить, однако организация может эффективно функционировать и без нее;

4)  несущественная информация — информация, которая больше не нужна организации.

На практике отнесение информации к одной из этих категорий может представлять собой очень трудную задачу, так как одна и та же инфор­мация может быть использована многими подразделениями организа­ции, каждое из которых может отнести эту информацию к различным ка­тегориям важности. Категория важности, как и ценность информации, обычно изменяется со временем и зависит от степени отношения к ней различных групп потребителей и потенциальных нарушителей.

Существуют определения групп лиц, связанных с обработкой инфор­мации: держатель — организация или лицо — обладатель информации; источник — организация или лицо, поставляющие информацию; нару­шитель — отдельное лицо или организация, стремящиеся получить ин­формацию. Отношение этих групп к значимости одной и той же инфор­мации может быть различно: для одной — важная, для другой — нет. На­пример:

□  важная оперативная информация, такая, например, как список зака­зов на данную неделю и график производства, может иметь высокую ценность для держателя, тогда как для источника (например, заказчика) или нарушителя низка;

□  персональная информация, например медицинская, имеет значитель­но большую ценность для источника (лица, к которомх относится ин­формация), чем для держателя ее или нарушителя;

□  информация, используемая руководством для выработки решений, например о перспективах развития рынка, может быть значительно бо­лее ценной для нарушителя, чем для источника или ее держателя, кото­рый уже завершил анализ этих данных.

Приведенные категории важности заслуживают внимания и могут быть применены к любой информации. Это также согласуется с сущест­вующим принципом деления информации по уровням секретности. Уро­вень секретности — это административная или законодательная мера, соответствующая мере ответственности лица за утечку или потерю кон­кретной секретной информации, регламентируемой специальным доку­ментом, с учетом государственных, военно-стратегических, коммерче­ских, служебных или частных интересов. Такой информацией может быть государственная, военная, коммерческая, служебная или личная тайна. Практика показала, что защищать необходимо не только секретную информацию. Несекретная информация, подвергнутая несанкциониро­ванным изменениям (например, модификации команд управления), мо­жет привести к утечке или потере связанной с ней секретной информа­ции, а также к невыполнению автоматизированной системой заданных функций по причине получения ложных данных, которые могут быть не обнаружены пользователем системы.

Суммарное количество, или статистика несекретных данных, в итоге может оказаться секретным. Аналогично сводные данные одного уровня секретности в целом могут являться информацией более высокого уров­ня секретности. Для защиты от подобных ситуаций широко применяется разграничение доступа к информации по функциональному признаку. При одинаковой степени важности информации, обрабатываемой в системе обработки данных, информация делится в соответствии с функ­циональными обязанностями и полномочиями пользователей, устанав­ливаемыми администрацией организации—владельца АСОД.

1-я категория

2-я категория,

3-я категория

4-я категория
 

Рис. 1.1. Модель предмета защиты

В соответствии с описанными принципами деления информацию, об­рабатываемую в АСОД, для иллюстрации можно по категориям важно­сти и секретности представить в виде пирамиды, состоящей из несколь­ких слоев по вертикали. Вершиной пирамиды является наиболее важная информация, а фундаментом — несекретная информация, связанная с обработкой более важной (секретной) информации. Каждый слой данной пирамиды, поделенной на части по горизонтали, отражает принцип деления информации по функциональному признаку и полномочиям ее пользователей (рис. 1.1).

До последнего времени безопасность информации в АСОД понима­лась исключительно как опасность ее несанкционированного получе­ния во все время нахождения в АСОД. В настоящее время безопас­ность интерпретируется еще и как безопасность действий, для осуще­ствления которых используется информация. Принципиальные отли­чия расширенного толкования по сравнению с традиционным очень важны, так как вычислительная техника все больше используется для автоматизированного и автоматического управления высокоответст­венными информационными системами и процессами, в которых не­санкционированные изменения запланированных алгоритмов и технологий могут иметь серьезные последствия.

У информации в АСОД есть свой жизненный цикл, описание которо­го приведено в работе 1 (рис. 1.2).

Полученная системой информация оценивается на достоверность и по­лезность. Часть информации уничтожается, а остальная подготавливается к хранению (систематизируется, преобразуется в удобную для хранения фор­му, сортируется по массивам хранения).

Из хранилища выбирается нужная в данный момент времени информация, обрабатывается и используется в не­обходимых целях. Полученные отчетные данные проходят тот же цикл. При выборке могут уничтожаться сведения, потерявшие интерес из-за их старе­ния. Численные оценки старения информации, приводимые в литературе, довольно противоречивы. Время жизни информации определяется ее вла­дельцем в процессе эксплуатации АСОД в конкретных условиях.

1.2. ВИДЫ И ФОРМЫ ПРЕДСТАВЛЕНИЯ ИНФОРМАЦИИ

Известно, что информация может быть представлена в следующем виде:

•  букв, символов, цифр;

•  слов;

•  текста;

•  рисунков;

•  схем;

•  формул;

•  графиков;

•  таблиц;

•  планов;

•  чертежей;

•  карт географических, топографических и т. д.;

•  технологических карт;

•  алгоритмов и т. д., которые, в свою очередь, могут быть представ­лены в виде:

•  постоянных или переменных данных;

•  команд;

•  сообщений;

•  справок;

•  решений;

•  приказов;

•  распоряжений;

•  заданий;

•  отчетов;

•  ведомостей;

•  инструкций;

•  комментариев;

•  писем и записок;

•  телеграмм;

•  чеков;

•  массивов;

•  файлов и т. д.

1.3. МАШИННОЕ ПРЕДСТАВЛЕНИЕ ИНФОРМАЦИИ

Информация, воплощенная и зафиксированная в некоторой матери­альной форме, называется сообщением. Сообщения могут быть непрерыв­ными и дискретными (цифровыми).

Непрерывное сообщение представляется некоторой физической вели­чиной (электрическим напряжением, током и т. д.), изменения ко­торой отображают протекание рассматриваемого процесса. Физическая величина, передающая непрерывное сообщение, может принимать лю­бые значения и изменяться в произвольные моменты времени. Таким образом, в непрерывном сообщении конечной длины может содер­жаться большое количество информации.

Для дискретных сообщений характерно наличие фиксированного на­бора отдельных элементов, из которых в дискретные моменты времени формируются различные последовательности элементов. Важным явля­ется не физическая природа элементов, а то обстоятельство, что набор элементов конечен и потому любое дискретное сообщение конечной длины передает конечное число значений некоторой величины, а следо­вательно, количество информации в таком сообщении конечно.

При дискретной форме представления информации отдельным эле­ментам ее могут быть присвоены числовые (цифровые) значения. В та­ких случаях говорят о цифровой информации, а вычислительные маши­ны и системы, использующие цифровую форму представления информа­ции, называются также цифровыми.

Элементы, из которых состоит дискретное сообщение, называют бук­вами или символами. Набор этих букв (символов) образует алфавит. Здесь под буквами в отличие от обычного представления понимаются любые знаки (обычные буквы, цифры, знаки препинания, математиче­ские и прочие знаки, цвета сигнальных ламп и др.). Число символов в алфавите называется объемом алфавита. Объем алфавита определяет количество информации, доставляемой одним символом сообщения. Если алфавит имеет объем А и в любом месте в сообщении равновероятно появление любого символа, то доставляемое символом количество ин­формации можно определить как [46]:

(1.1)

Дискретное сообщение можно разбить на группы символов и назвать эти группы словами. Длина слова определяется количеством содержа­щихся в нем символов.

В вычислительной технике широко используется однородное пред­ставление информации, при котором в вычислительной системе или отдельных ее частях все слова имеют определенную длину. Однородное представление информации упрощает обмен ею и конструкцию устройств вычислительной системы.

В алфавите объемом А можно представить N различных слов длиной S, где по [46]:

(1.2) Тогда количество информации, содержащейся в слове, равно:

(1.3)

Выражение (1.3) справедливо, если вероятности появления в сообще­нии любого слова (и символа) равны и не зависят от предшествующих слов (и символов).

Неравномерность появления символов, наличие взаимной зависимо­сти символов в сообщении, как это имеет место, например, при передаче смысловых сообщений (текста), является причиной того, что количество информации в одном символе уменьшается.

Связь между символами сообщения создает избыточность информа­ции. В языке избыточность носит естественный характер. Однако в вы­числительных системах широко применяется искусственная избыточ­ность при кодировании сообщений, которая позволяет контролировать и устранять ошибки при передаче информации по линиям связи, а также между отдельными устройствами цифровой вычислительной системы.

В цифровых вычислительных машинах и системах широко употребля­ется двоичный алфавит, имеющий лишь два символа — 0 и 1. Его при­менение упрощает техническую реализацию устройств вычислительной техники. Любое дискретное сообщение, выраженное в некотором алфа­вите, переводимо в двоичный алфавит, если длина двоичного слова отве­чает формуле

(1.4)

Современные вычислительные системы обрабатывают не только число­вую, но и текстовую, иначе говоря, алфавитно-цифровую информацию, содержащую цифры, буквы, знаки препинания, математические и другие

символы. Именно такой характер имеет экономическая, планово-произ­водственная, учетная, бухгалтерская, статистическая и другая информа­ция, содержащая наименование предметов, фамилии людей, числа и т. д.

Характер этой информации таков, что для ее представления требу­ются слова переменной длины. Применение для записи алгоритмов и ав­томатизация программирования алгоритмических языков делают необхо­димым ввод в машину и вывод наряду с общеупотребительными еще и не­которых специальных символов.

Деловая информация в среднем содержит вдвое больше цифр, чем букв. Поэтому наряду с общей системой кодирования алфавитно-цифро­вых символов в ЭВМ сохраняют также отдельную систему кодирования для десятичных цифровых данных.

В последние годы наибольшее распространение получило представление информации посредством восьмиразрядного слога, называемого байтом.

При помощи восьмиразрядного слога можно кодировать 256 различ­ных символов. Несколько байтов образуют слова.

ЭВМ производит обработку информации, состоящую в ее запомина­нии, передаче из одних устройств в другие, выполнении над информа­цией арифметических и логических преобразований. Процесс обработки информации автоматизирован при помощи программного управления. Программа представляет собой алгоритм переработки информации, за­писанной в виде последовательности команд, которые должны быть вы­полнены машиной для получения искомого результата.

Используемые человеком при научно-технических расчетах, обра­ботке экономической, планово-производственной и другой информа­ции, при программировании задач натуральные формы представления и натуральные единицы информации существенно отличаются от форм представления и единиц информации в машине.

С целью ознакомления с систематизацией сведений по кодированию информации в ЭВМ рассмотрим иерархию натуральных и соответствую­щих машинных единиц информации (в порядке возрастания размеров единиц информации) [46]:

Натуральные единицы информации

Машинные единицы информации

Разряд

Разряд

Символ

Байт

Поле (число, реквизит)

Слово

Запись

Фраза (запись)

Блок

Массив

Файл

Том

Поле группа символов, имеющих определенное значение и подвер­гающихся обработке за одну и ту же арифметическую или логическую операцию.

Этому определению соответствуют: многоразрядное число, команда, группа символов, обозначающих определенный признак-реквизит какого-либо объекта (например, фамилия или год рождения некоторого ли­ца, наименование детали, вес ее и т. д.).

Запись представляет собой группу полей, описывающих признаки (свойства, характеристики, параметры) некоторого объекта. Например, строка экзаменационной ведомости, приведенная на рис. 1.3.

Каждый из реквизитов (признаков) — фамилия, номер зачетной книжки и т. д. — является полем. Поля объединены тем, что относятся к определенному студенту.

Фамилия

№ зачетной книжки

Дисциплина

Оценка

Степанов

27305

ЭВМ

5

Рис. 1.3. Экзаменационная ведомость

Массив объединение записей, описывающее некоторое множество объектов (например, экзаменационная ведомость или их совокупность).

Словом называют группу символов (разрядов) в памяти ЭВМ, соот­ветствующую некоторому полю. Обычно термин "машинное слово" от­носят к коду определенной длины, который считывается из ОЗУ или за­писывается в ОЗУ за одно обращение. Машинное слово может представ­лять собой двоичное число с плавающей или фиксированной запятой, команду, несколько слогов (байтов). Машинное слово может также со­держать дополнительные разряды (разряд контроля по четности, разряды защиты памяти и др.). Обычно машинное слово, в частности команда, содержит целое число байтов.

Машинная единица информации, соответствующая натуральной еди­нице — записи, называется фразой (или также записью). Она может за­нимать несколько машинных слов.

Блоком называют группу фраз (записей), расположенных компактно (без промежутков) на носителе внешнего ЗУ и записываемых на носи­тель из ОЗУ, а также считываемых с носителя в ЗУ одной командой. Среди натуральных единиц информации нет единицы, соответствующей блоку. Место в запоминающем устройстве на машинной ленте, в ко­тором хранится группа слов, составляющих блок, называется зоной.

Информационному массиву соответствует машинная единица инфор­мации — файл. Файл состоит в общем случае из нескольких блоков.

Томом называется машинная единица информации, соответствующая пакету дисков.

1.4. ФИЗИЧЕСКОЕ ПРЕДСТАВЛЕНИЕ ИНФОРМАЦИИ И ПРОЦЕССЫ ЕЕ ОБРАБОТКИ В АСОД

Как было показано выше, в вычислительных системах информация представляется в двоичном алфавите. Физическими аналогами знаков этого алфавита служат физические сигналы, способные принимать два

хорошо различимых значения, например электрическое напряжение (по­тенциал) высокого и низкого уровня, отсутствие и наличие импульса то-ка, противоположные по знаку значения напряженности магнитного поля и т. п.

Непременным требованием к физическим аналогам двоичного алфа­вита является возможность надежного распознавания двух различных значений сигнала, которые при описании законов функционирования схем обозначаются символами 0 (нуль) и 1 (единица).

В схемах цифровых устройств переменные и соответствующие им сиг­налы изменяются и воспринимаются не непрерывно, а лишь в дискрет­ные моменты времени — по тактовым импульсам.

В цифровых устройствах применяют три способа физического пред­ставления информации: потенциальный, импульсный и динамический. Слово может быть представлено последовательным или параллельным способом (кодом). Устройства последовательного действия работают медленнее, чем параллельного. Однако устройство параллельного дей­ствия требует большего объема аппаратуры. В вычислительной технике применяются оба способа в зависимости от требований, предъявляе­мых к конкретному изделию.

Информация в вычислительной системе подвергается различным процессам: вводу, хранению, обработке и выводу.

Ввод информации в вычислительную систему осуществляется с пер­фокарт, перфолент, магнитных лент, барабанов, дисков, с помощью универсальной и формализованной клавиатуры, специальных пультов, электрических пишущих машинок и т. д.

Хранение информации производится на запоминающих устройствах: кратковременное — в ОЗУ и в различных регистрах памяти, выполнен­ных на полупроводниковых приборах, магнитных элементах; долговре­менное — во внешних запоминающих устройствах, выполненных на магнитных лентах, барабанах, дисках (жестких типа "винчестер" и мяг­ких — ГМД), ЦМД и т. д.

Обработка информации в вычислительной системе производится в соответствии с принятой в данной системе системой команд, алгоритма­ми, определяемыми программным обеспечением и командами, посту­пающими с внешних устройств управления.

Вывод информации производится на внешние устройства связи и реги­страции информации без ее визуального отображения (на указанные выше запоминающие устройства) и устройства с отображением: печатающие устройства, индикаторы, табло и другие устройства индивидуального и коллективного отображения. Выбор метода обработки информации опре­деляется характером решаемых задач, особенностями используемой ин­формации, а также параметрами технических средств автоматизации и возможностями программного обеспечения вычислительных средств.

Информационные процессы в системах обработки данных типа АСУ можно условно разделить на три группы [14]:

•  информационно-справочное обеспечение должностных лиц орга­нов управления;

•  информационное обеспечение расчетных задач;

•  обслуживание информационной базы АСУ.

•  Эти процессы реализуют должностные лица органов управления и об­служивающий персонал АСУ с помощью аппаратных средств автоматиза­ции и связи, программного обеспечения и информационной базы АСУ.

По степени стабильности информацию делят на условно-постоянную и переменную. К условно-постоянной информации относятся данные, которые в течение длительного времени не меняются. По использова­нию в процессах управления вся информация делится на норматив­ную, справочную, плановую, оперативно-производственную, отчетную и аналитическую.

Обработанная информация выдается должностным лицам непосред­ственно на их автоматизированные средства управления и контроля (на устройства печати и отображения индивидуального пользования) либо на устройства выдачи коллективного пользования (АЦПУ, устройства регистрации графической информации, устройства наглядного отобра­жения коллективного пользования).

На объектах АСУ накапливаются и хранятся большие объемы инфор­мации, как документальной (в виде обычных документов), так и на ма­шинных носителях. Например, общий объем хранимой на машинных носителях информации в АСУ может достигать 300 млн знаков [14].

Документальная информация содержит:

•  ведомость учета хранимых документов;

•  табуляграммы учета информации, хранимой на машинных носите­лях;

•  документы, прошедшие обработку на объекте АСУ;

•  ведомость регистрации запросов должностных лиц и обслуживаю­щего персонала на получение справок из ЭВМ и решение задач;

•  ведомость регистрации выдаваемой информации и другие доку­менты.

На машинных носителях хранятся:

•  информационные массивы общего информационного поля;

•  архивные данные;

•  программные блоки, файлы, тома.

Информационные массивы общего информационного поля использу­ются для выдачи различных справок по запросам, а также для информа­ционного обеспечения расчетных задач.

В состав архивных данных входит информация, которая в данный момент в работе системы не участвует, но может понадобиться для вос­становления или замены массивов, документирования работы системы и т. д.

Информационное единство в АСУ обеспечивается следующим путем

•  создания системы классификации и кодирования информации;

•  разработки и внедрения унифицированных систем документации;

•  унификации принципов построения нормативов и их обновления;

•  унификации системы показателей для обеспечения сопоставимо­сти во времени и по различным качественным и количественным при­знакам;

•  регламентации потоков информации по направленности, объему, периодичности, достоверности и срочности;

•  унификации порядка формирования и обработки данных.

Примером классификации и унификации информации может слу­жить приведенный на рис. 1.4 состав информационной базы АСУ [14].

Физическое представление информации и процессы ее обработки го­ворят о том, что реализация системы защиты информации должна быть направлена также на защиту содержащих ее аппаратных и программных средств, составляющих автоматизированную систему обработки данных. Из этого не следует, что предметом защиты являются только ресурсы вычислительной системы, как иногда считают многие специалисты.

Понятие "ресурсы" в широком смысле этого слова подразумевает "за­пасы чего-либо, возможности и т. д.". В этом смысле в вычислительных системах под "ресурсами" понимают программные и аппаратные средст­ва обработки, хранения и передачи информации, которых может хватить или не хватить вообще или в данный момент времени. Поэтому понятие "ресурсы" не может иметь описанные выше свойства информации и не­которые свойства средств ее обработки. Как можно заметить, предмет защиты в этом случае выходит за рамки этого понятия. Некоторые спе­циалисты это сочувствовали и ввели понятие "информационные ре­сурсы", еще более усугубив положение.

В буквальном смысле это понятие с учетом сказанного выше приоб­ретает значение "информационных запасов". Информация не материаль­на и не может быть расходным материалом (исключение составляют "за­пасы знаний" — но это совсем другое понятие). Некорректность приме­нения такого понятия очевидна.

Кроме того, информация может быть защищена без аппаратных и программных средств защиты с помощью криптографического преобра­зования. При этом нарушитель имеет доступ к аппаратным и программ­ным средствам, а к информации доступа не имеет.

Информация — это предмет собственности. Она может быть собст­венностью владельца АСОД; собственностью государства; той или иной организации, фирмы, частной или общественной; личной собственно­стью человека, доверившего ее владельцу АСОД. А там, где наступает и кончается право собственности, должны быть четкость, ясность и опре­деленность. Соблюдение гарантий этих прав и обеспечивает безопас­ность информации.

1.5. ИНФОРМАЦИЯ КАК ОБЪЕКТ ПРАВА СОБСТВЕННОСТИ

По существу сфера безопасности информации — не защита информа­ции, а защита прав собственности на нее. Попробуем это показать на материалах работы [76].

Рассмотрим особенности информационной собственности.

Исторически традиционным объектом права собственности является материальный объект. Фактически право собственности до настоящего времени являлось вещным правом.

Информация не является материальным объектом, информация — это знание, т. е. отражение действительности в сознании человека (при­чем истинное или ложное отражение — не существенно, важно, что в сознании). В дальнейшем информация может воплощаться в материаль­ные объекты окружающего нас мира.

Не являясь материальным объектом, информация неразрывно связана с материальным носителем;, это — мозг человека или отчужденные от че­ловека материальные носители, такие, как книга, дискета и другие виды "памяти" (запоминающие устройства).

С философской точки зрения, видимо, можно говорить об информации как об абстрактной субстанции, существующей сама по себе, но для нас ни хранение, ни передача информации без материального носителя невозможны.

БАЗА АСУ

ИНФОРМАЦИОННАЯ


Как следствие, информация как объект права собственности копируема (тиражируема) за счет материального носителя. Материальный объект пра­ва собственности некопируем. Действительно, если рассмотреть две оди­наковые вещи, то они состоят из одинаковых структур, но материально разных молекул. А информация при копировании остается той же, это — то же знание, та же семантика.

Как следствие, информация как объект права собственности легко перемещается к другому субъекту права собственности без очевидного (заметного) нарушения права собственности на информацию. Переме­щение материального объекта к другому субъекту права собственности неизбежно и, как правило, влечет за собой утрату этого объекта первона­чальным субъектом права собственности, т. е. происходит очевидное на­рушение его права собственности.

Опасность копирования и перемещения информации усугубляется тем, что она, как правило, отчуждаема от собственника, т. е. хранится и обрабатывается в сфере доступности большого числа субъектов, не яв­ляющихся субъектами права собственности на эту информацию. Это, на­пример, автоматизированные системы, в том числе и сети.

Рассмотрев особенности информации как объекта права собственно­сти, подчеркнем, что в остальном информация, очевидно, ничем не от­личается от традиционных объектов права собственности.

Право собственности включает три правомочия собственника, состав­ляющих содержание (элементы) права собственности: право распоряже­ния; право владения; право пользования.

Субъект права собственности на информацию может передать часть своих прав (распоряжение), не теряя их сам, другим субъектам, например "храните­лю", т. е. владельцу материального носителя информации (это — владение или пользование) или пользователю (это — пользование и, может быть, владение).

Для информации право распоряжения подразумевает исключительное право (т. е. никто другой, кроме собственника) определять, кому эта ин­формация может быть предоставлена (во владение и пользование).

Право владения подразумевает иметь эту информацию в неизменном виде. Право пользования подразумевает право использовать эту инфор­мацию в своих интересах.

Таким образом, к информации, кроме субъекта права собственности на эту информацию, могут иметь доступ другие субъекты права собственности как законно, санкционированно (это — субъекты права на элементы собст­венности), так и незаконно, несанкционированно. Возникает сложная сис­тема взаимоотношений между этими субъектами права собственности.

Эти взаимоотношения должны регулироваться и охраняться, так как отклонения от них могут привести к перемещению информации, что влечет за собой нарушение права собственности субъекта на эту инфор­мацию. Другими словами, речь идет о реализации права собственности на информацию. Под этим будем понимать государственную или част­ную (или государственно-частную) инфраструктуру, предотвращающую нарушение права собственности на информацию

В принципе, как и для любого объекта собственности, такая инфра­структура состоит из цепочки: законодательная властьсудебная власть — исполнительная власть (закон — суд — наказание).

Закон должен предусматривать ответственность и полномочия субъ­ектов права собственности (на элементы собственности). Каждый такой субъект в рамках предоставленных ему собственником полномочий несет перед ним ответственность за предусмотренное законом и подтвержден­ное судом превышение этих полномочий, которое привело или могло привести к нарушению права собственности собственника информации.

Итак, несмотря на ряд особенностей, информация наряду с традици­онными материальными объектами может и должна рассматриваться за­коном как объект права собственности.

Любой закон о собственности в целях защиты права собственника, зафиксировав субъекты и объекты права собственности, должен регули­ровать отношения между ними. Особенности регулирования этих отно­шений зависят от специфики объектов права собственности.

В рассматриваемом случае информационной собственности ввиду пере­численных выше особенностей информации как объекта права собствен­ности (копируемость, перемещаемость, отчуждаемость) закон должен ре­гулировать отношения субъектов, а также субъектов и объектов права соб­ственности на информацию в целях защиты прав как собственника, так и законных владельцев и пользователей информации для защиты информа­ционной собственности от разглашения, утечки — несанкционированного ознакомления с ней, ее обработки, в частности копирования, модифика­ции или уничтожения [76]. Учитывая возможность хищения информации вместе с ее носителем, необходимо указать и на эту угрозу, в результате осуществления которой могут также произойти утечка и утрата информа­ции. Под модификацией информации понимается несанкционированное ее изменение, корректное по форме и содержанию, но другое по смыслу.

Впервые в правовой практике России информация определяется в ка­честве объекта права в первой части Гражданского кодекса РФ (ст. 128), принятой Государственной Думой 21.10.94 г. Федеральным законом "Об информации, информатизации и защите информации" от 20.02.95 г. определено, что информационные ресурсы, т. е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектами отношений физических, юридических лиц и госу­дарства, подлежат обязательному учету и защите как материальное иму­щество собственника (ст. 4.1, ст. 6.1). Этим же законом впервые вводит­ся понятие документированной информации с ограниченным доступом (ст. 10.2), которая подразделяется на информацию, отнесенную к госу­дарственной тайне, и конфиденциальную информацию (т. е. представ­ляющую коммерческую, личную, служебную и другие тайны).

Таким образом можно определить цель обеспечения безопасности ин­формации, которая заключается в защите прав собственности на нее, и задачи безопасности информации, которые заключаются в защите ее от утечки, модификации и утраты.

1.6. ИНФОРМАЦИЯ КАК КОММЕРЧЕСКАЯ ТАЙНА

Понятие "коммерческой тайны" введено в нашу практику с 1 января 1991 г. статьей 33 закона "О предприятиях в СССР", которая гласит:

"1. Под коммерческой тайной предприятия понимаются не являю­щиеся государственными секретами сведения, связанные с производст­вом, технологией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых могут нанести ущерб его интересам.

2. Состав и объем сведений, составляющих коммерческую тайну, оп­ределяются руководителем предприятия".

Для того чтобы иметь возможность контролировать деятельность предприятий, Правительство России выпустило 5 декабря 1991 г. поста­новление № 35 "О перечне сведений, которые не могут составлять ком­мерческую тайну". В настоящее время готовится к выходу закон "О ком­мерческой тайне".

Порядок защиты государственной тайны регулируется Законом РФ "О государственной тайне" и постановлением Правительства РФ "Об утвер­ждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности" от 4.09.95 г. № 000. Защита информации и прав субъектов в области информационных процессов и информатизации регулируется главой 5 Федерального закона РФ "Об информации, информатизации и защите информации", принятого Госу­дарственной Думой 25 января 1995 г.

Поскольку вопрос защиты государственной тайны хорошо рассмотрен и на этот счет имеется достаточно много материала (например, в журна­ле "Вопросы защиты информации" ВИМИ за 1995 г.), целесообразно в данной книге уделить некоторое внимание вопросу коммерческой тай­ны. Ниже приводятся предложения по ее содержанию для тех, кто впер­вые сталкивается с этой проблемой.

В приведенном ниже перечне сведения сгруппированы по тематическо­му принципу. Предлагаемое разделение на группы носит рекомендатель­ный характер и может быть изменено в зависимости от специфики сведе­ний, составляющих коммерческую тайну конкретного предприятия (орга­низации). Сведения, включенные в данный перечень, могут быть коммер­ческой тайной только с учетом особенностей конкретного предприятия (организации).

1. Сведения о финансовой деятельности:
прибыль, кредиты, товарооборот;
финансовые отчеты и прогнозы;
коммерческие замыслы;

фонд заработной платы;

стоимость основных и оборотных средств;

кредитные условия платежа;

банковские счета;

плановые и отчетные калькуляции.

2. Информация о рынке:

цены, скидки, условия договоров, спецификация продукции;

объем, история, тенденции производства и прогноз для конкретного продукта;

рыночная политика и планы;

маркетинг и стратегия цен;

отношения с потребителями и репутация;

численность и размещение торговых агентов;

каналы и методы сбыта;

политика сбыта;

программа рекламы.

3. Сведения о производстве и продукции:

сведения о техническом уровне, технико-экономических характери­стиках разрабатываемых изделий;

сведения о планируемых сроках создания разрабатываемых изделий;

сведения о применяемых и перспективных технологиях, технологиче­ских процессах, приемах и оборудовании;

сведения о модификации и модернизации ранее известных техноло­гий, процессов, оборудования;

производственные мощности;

состояние основных и оборотных фондов;

организация производства;

размещение и размер производственных помещений и складов;

перспективные планы развития производства;

технические спецификации существующей и перспективной продук­ции;

схемы и чертежи отдельных узлов, готовых изделий, новых разработок;

сведения о состоянии программного и компьютерного обеспечения;

оценка качества и эффективности;

номенклатура изделий;

способ упаковки;

доставка.

4. Сведения о научных разработках:

новые технологические методы, новые технические, технологические и физические принципы, планируемые к использованию в продукции предприятия;

программы НИР;

новые алгоритмы;

оригинальные программы.

5. Сведения о системе материально-технического обеспечения:
сведения о составе торговых клиентов, представителей и посредни­
ков;

потребности в сырье, материалах, комплектующих узлах и деталях, источники удовлетворения этих потребностей; транспортные и энергетические потребности.

6.  Сведения о персонале предприятия: численность персонала предприятия; определение лиц, принимающих решение.

7.  Сведения о принципах управления предприятием:

сведения о применяемых и перспективных методах управления про­изводством;

сведения о фактах ведения переговоров, предметах и целях совеща­ний и заседаний органов управления;

сведения о планах предприятия по расширению производства;

условия продажи и слияния фирм.

8. Прочие сведения:

важные элементы систем безопасности, кодов и процедур дбступа к информационным сетям и центрам;

принципы организации защиты коммерческой тайны.

Законом Российской Федерации от 2 декабря 1990 г. "О банках и бан­ковской деятельности" введено понятие "банковской тайны".

Под банковской тайной (БТ) подразумевается обязанность кредитно­го учреждения сохранять тайну по операциям клиентов, ограждение бан­ковских операций от ознакомления с ними посторонних лиц, прежде всего конкурентов того или иного клиента, тайну по операциям, счетам и вкладам своих клиентов и корреспондентов [83]. Иначе банковскую тайну можно определить как личную тайну вкладчика банка. В итоге коммерческая тайна банка включает коммерческую тайну самого банка и личную тайну вкладчика.

1.7. КЛАССИФИКАЦИЯ ОБЪЕКТОВ ЗАЩИТЫ ИНФОРМАЦИИ

Автоматизированные системы обработки информации (АСОИ) или ав­томатизированные системы обработки данных (АСОД) в настоящее время получили различное воплощение. Деление и классификацию указанных средств и систем по видам до настоящего времени нельзя считать до кон­ца определенными. Как наиболее подходящую для выполнения постав­ленной задачи принимаем за основу классификацию, предложенную в ра­боте [7]. Однако в указанной классификации отсутствуют понятия автома­тизированной системы управления и ее составной части — комплекса средств автоматизации, которые должны быть приняты во внимание, по­скольку они также получили широкое распространение, и проблема защи­ты информации в них также актуальна. Учитывая принципиальное сходст­во по номенклатуре технических средств, полагаем, что к комплексам средств автоматизации можно отнести все указанные в классификации со­средоточенные системы, а также некоторые локальные вычислительные сети как системы обработки данных с ограниченным по территории рас­пределением входящих технических средств. А вычислительную сеть, або­нентами которой являются комплексы средств автоматизации системы те­леобработки с иерархической организацией отношений между собой, можно назвать автоматизированной системой управления.

Столь широкий диапазон рассматриваемых систем выбран не только по причине общей проблемы защиты информации, но и потому, что все способы обработки ее собственной информации, которая может быть закрыта для посторонних лиц. Банки и подобные им финансовые структуры несут также юридическую ответственность за информацию, доверяемую им их клиентами.