Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3 Архитектура Биология География Другое Иностранные языки Информатика История Культура Литература Математика Медицина Механика Образование Охрана труда Педагогика Политика Право Программирование Психология Религия Социология Спорт Строительство Физика Философия Финансы Химия Экология Экономика Электроника

СОМОВ Юрий Иванович

ОПРЕДЕЛЕНИЕ ЦЕННОСТИ КОНФИДЕНЦИАЛЬНОСТИ ИНФОРМАЦИИ МЕТОДОМ РАСПРЕДЕЛЕНИЯ КОНКУРЕНТНОГО РЕСУРСА

СОМОВ Юрий Иванович

В статье приводится метод определения ценности конфиденциальности информации, который основывается на предположении возникновения конфиденциальности как следствия распределения конкурентного ресурса, использующегося для удовлетворения потребностей владельца информации. Метод представлена в виде алгоритма, проходя этапы которого владелец информации, определяет ценность конфиденциальности информации при свободном, договорном и силовом использовании ресурса.

В наше время работа с информационными технологиями охватывает практически любую трудовую сферу деятельности людей. Специалисты самых разных специальностей используют сегодня компьютеры, объединённые в локальные и глобальные сети. Такое развитие техники и технологий побуждает работников кроме изучения приёмов работы на компьютерах ещё и соблюдать меры по защите информации. А это целая отрасль специальных знаний.

Более того, в связи с тем, что информационная сфера очень бурными темпами развивается, законодательство, а подчас и соответствующая нормативная база, не всегда успевает отреагировать на то, чтобы установить здесь общие правила. Сказанное в большой мере относится, например, к одному из первых шагов на пути построения эффективной системы защиты информации, а именно определение степени конфиденциальности информации. Ведь от того, насколько высока эта степень во многом зависят и требования к создаваемой системе защиты информации.

Для того чтобы работник, не являющийся специалистом в области защиты информации, мог бы ориентироваться в том, какая информация является конфиденциальной и насколько высока степень её конфиденциальности, и предлагается данная статья.

В представленном методе за основу определения степени конфиденциальности информации берётся предположение, что свойство конфиденциальности у информации возникает только в условиях конкуренции при распределении ограниченного ресурса. Это означает, что свойство конфиденциальности информации имеет смысл тогда, когда у владельца информации имеется хотя бы один конкурент и они, используя эту информацию, потребляют для удовлетворения своих потребностей один и тот же ресурс, которого, как они полагают, не хватает для удовлетворения всех их потребностей.

Для того, чтобы убедиться, что вышеуказанное предположение будет верным, приведём следующие рассуждения. Действительно, если представить, что человек живёт один на необитаемом острове, то у него просто не от кого будет скрывать какую-либо информацию. Если теперь предположить, что человек живёт в населённом пункте и увлекается коллекционированием использованных стержней от шариковых авторучек, то очевидно, что в и в этом случае у него не будет конкурентов и информацию о том, где их можно раздобыть, тоже скрывать не нужно, потому что информация о наличии использованных стержней не представляет интереса ни для кого.

Совсем другая сложится ситуация, если владельцем информации будет, например, болельщиком футбольной команды, и у него будет информация, что в такое-то время в кассе можно будет купить дефицитные билеты на матч, которые остались от брони. Наверняка, он не поделится этой информацией со своими конкурентами на посещение стадиона, по крайней мере, до тех пор, пока сам не приобретёт билеты. Однако же, если билетов в кассе окажется много, то смысла скрывать информацию об их продаже нет, так как владелец информации и так может гарантированно приобрести желаемые билеты.

Таким образом, на приведённых примерах видно, что наше предположение о том, что конфиденциальность информации определяется наличием ситуации конкурентного распределения ресурса, верно. Автор полагает, что практически все значимые случаи объявления информации конфиденциальной, так или иначе связаны с конкурентным распределением ресурса за исключением, быть может, такими малозначащими ситуациями, когда люди скрывают информацию ради шутки, ради сюрприза, ради игры. Но даже и тогда можно определить условные конкурентные ресурсы. Например, если человек преподносит подарок своему другу в запечатанном виде, то условным конкурентным ресурсом является степень изумления подарком, которого бы не было, если бы информация о подарке другу была известна заранее.

Для оценки конфиденциальности информации необходимо выполнить следующие этапы (рис. 1):

1.Определение владельца информации.

2.Определение наличия у информации следующих свойств: смысла, новизны, возможности практического использования.

3.Определение потребности, которая удовлетворяется владельцем информации при её использовании.

4.Определение ресурса, который расходуется при удовлетворении такой потребности.

5.Определение ограниченности ресурса.

6.Определение наличия конкурентов на этот ресурс.

7.Определение способа распределения ресурса между конкурентами.

7.1.Свободный.

7.1.1.Оценка возможностей конкурентов по потреблению этого ресурса.

7.1.2.Определение того, сколько ресурса будет у владельца информации при наличии её конфиденциальности.

7.1.3.Определение того, сколько ресурса будет у владельца информации при отсутствии её конфиденциальности.

7.2.По договору.

Рис. 1 Последовательность определения ценности конфиденциальной информации

7.2.1.Определение негативного влияния исследуемой информации на репутацию её владельца.

7.2.2.Определение ценности ресурса, который может принести договор (информация конфиденциальна).

7.2.3.Определение ценности ресурса, который может принести договор (информация известна контрагенту).

7.3.Силовой (нападение и защита).

7.3.1.Определение ценности ресурса, который достанется победившей (проигравшей) в противоборстве сторонам, если информация будет неизвестна противоборствующей стороне.

7.3.2.Определение ценности ресурса, который достанется победившей (проигравшей) в противоборстве сторонам, если информация не будет неизвестна противоборствующей стороне.

8.Определение ценности конфиденциальности информации.

9.Определение цены конфиденциальности информации.

Рассмотрим подробнее каждый этап.

Задача в целом формулируется так, есть некоторая информация, для которой необходимо определить степень её конфиденциальности.

На начальном этапе необходимо определить, кто является владельцем информации. Отметим, что самым первым владельцем информации является её автор. Но реальное обладание информации по разным причинам и разными способами может перейти к другому лицу. Действительным владельцем информации можно считать того, кто удовлетворяет свои потребностей при применении этой информации и в состоянии защитить своё право на обладание ею. Именно владелец информации должен присваивать ей тот или иной статус конфиденциальности, то есть, принимать решение по её защите и нести соответствующие затраты, а значит, быть готовым к рискам и терпеть ущерб в случае реализации информационных угроз. Подразумевается, что дальнейшие этапы по оценке будет проводить именно владелец информации.

Далее необходимо определиться с тем, какая именно информация оценивается на предмет конфиденциальности. Информация может быть представлена в самом разном виде: текстом, звуком, изображением и т.п. Её важно определить и сформулировать в словесной форме. Объём такой информации может быть разным и определяется как предварительным объёмом знаний у владельца информации, так и возможностью его воспринять информацию, понять её и иметь возможность переработать.

Оцениваемая информация должна быть проанализирована на наличие в ней смысла, новизны, возможности практического использования, целостности.

Сформулированная информация должна иметь смысл как для владельца информации, так и для других лиц. Не имеющую для людей смысла информацию оценивать также не имеет смысла.

Информация должна нести в себе новые ещё никому не известные знания. Информация, которая известна всем по определению не может считаться конфиденциальной.

Следующим требованием к исследуемой на конфиденциальность информации является возможность её применения с пользой для владельца или других лиц. Таким образом, информация должна нести в себе знания, с помощью которых владелец информации мог бы удовлетворить ту или иную свою потребность.

Подразумевается, что информация должна сохраниться неискажённой после оценки на всём протяжении периода её дальнейшего использования. В противном случае окажется, что проводилась оценка совсем не той информации, которую следовало оценить.

Далее выявляется, какая потребность владельца информации удовлетворяется. Потребность определяется таким образом, чтобы было ясно, какой ресурс при её удовлетворении расходуется. Под ресурсом будем понимать всё то, что расходуется в процессе удовлетворения потребности.

Таким образом, определяется связка «информация - удовлетворяемая потребность – потребляемый ресурс».

На следующем этапе выявляются конкуренты владельца информации на этот ресурс. Особенностью здесь является то, что конкуренты стремятся скрыть информацию о себе, которая влияет на исход конкурентной борьбы. Поэтому для владельца информации очень важно организовать получение достоверной, точной и достаточной информации о возможных конкурентах. Этого можно достичь самыми разными способами, например, от сбора информации о конкурентах из открытых источников до скрытого наблюдения и т.п.

Целью получения информации о конкурентах является определение той части ресурса, которую они могут забрать у владельца информации. Поэтому желательно как можно точнее определить количество конкурентов, их возможности по потреблению ресурса. Чем точнее будут определены конкуренты, тем точнее будут оценки конфиденциальности информации. Часто владелец информации в отсутствии сведений о конкурентах предполагает, что они обладают такими же возможностями по использованию ресурса, как и он сам.

Заметим, что для более точного анализа надо иметь ввиду, что конкуренты могут потреблять ресурс, удовлетворяя отличные потребности от той, что удовлетворяет владелец информации.

На следующем этапе определяется достаточность этого ресурса для удовлетворения потребностей владельца информации и конкурентов. С этой целью определяются такие характеристики ресурса, по которым можно определить достаточность его для удовлетворения потребностей: общий объём, способность к воспроизводству, скорость потребления, скорость восстановления и т.д. Выясняется, относится ли данный ресурс к категории ограниченного ресурса. Ресурс считается ограниченным, если его недостаточно для удовлетворения потребностей лиц, использующего его, за некоторый промежуток времени.

В предлагаемом методе предполагается, что ценность конфиденциальности информации определяется степенью удовлетворения потребности её владельца. А с учётом того, что в условиях конкурентного распределения ресурса степень удовлетворения потребности определяется той частью ресурса, который может использовать владелец информации, ценностью конфиденциальности информации можно считать разницу между частями ресурса, которые достанутся владельцу информации в условиях, когда информация, которой он владеет, будет конфиденциальной и когда к ней будет свободный доступ конкурентов.

Дальнейшие этапы определения ценности конфиденциальности информации имеют свои особенности, которые зависят от способа совместного использования конкурентами ограниченного ресурса. К таким способам относятся:

свободное использование ресурса (ресурс никому конкретно не принадлежит, и им может пользоваться любой желающий);

договор между конкурентами о доли используемого ресурса каждым из них (например, оговаривается закреплённые за конкретным лицом местоположение, объёмы и время использования и т.п.), здесь в интересах сторон обсуждается та часть ресурса, которая уже известна всем сторонам;

захват силой или защита от силового захвата доли ресурса, который рассчитывает потребить владелец информации.

Рассмотрим особенности определения ценности конфиденциальности информации каждого способа.

Если ресурс изначально никому не принадлежит, то владелец информации, первый узнавший о наличии такого ресурса, может рассчитывать, что в случае, если информация о ресурсе будет им сохранена в тайне, то он весь может быть им употреблён для удовлетворения его потребности. Как только у конкурентов на этот ресурс появится информация о его наличии, то они сами начнут использовать этот ресурс и доля владельца информации будет уменьшаться за счёт долей, используемых конкурентами. Поэтому для определения ценности информации о ресурсе необходимо оценить, сколько ресурса могут потребить конкуренты и вычесть эти доли из того объёма ресурса, который мог бы достаться владельцу информации, если бы информация была бы конфиденциальной. Заметим, что ценность конфиденциальности информации о ресурсе будет уменьшаться соответственно уменьшению доли владельца информации.

В условиях совместного потребления ресурса особое значение приобретают знания о технологиях его использования, так называемые технологии know-how. Чем больший объём ресурса такие технологии позволят использовать, тем более ценной является конфиденциальность информации, содержащая знания об этих технологиях. К ценным конфиденциальным знаниям следует отнести и знания о технологиях присвоения ресурса с целью их применения в будущем. Таким образом, ценность конфиденциальности информации о технологиях know-how будет определяться разницей в долях конкурентного ресурса когда информация о технологиях конфиденциальна и когда доступна для конкурентов.

В случае, когда конкуренты договариваются о некоторых правилах совместного потребления ресурса, в том числе о размерах потребляемых ими долей ресурса, главным становится доверительные отношения сторон по соблюдению договора. При этом надо иметь в виду, что договоры тогда имеют смысл, когда за ними стоит возможность обеспечения их соблюдения и возможности соответствующего воздействия на тех, кто не соблюдает договор. Для того чтобы с владельцем информации был заключён договор, он должен иметь хорошую репутацию у своих контрагентов. Если исследуемая на конфиденциальность информация способна негативно повлиять на репутацию владельца информации, то она должна быть признана владельцем информации как конфиденциальная.

Ценность конфиденциальности такой информации будет определяться разницей в долях ресурса, который мог бы получить владелец информации в случае заключения с ним договора и в случае, когда с ним отказываются заключать договор, иначе говоря, когда информация, влияющая отрицательно на репутацию своего владельца, конфиденциальна и когда она общедоступна.

При силовом захвате ресурса конкуренты должны скрывать друг от друга всю информацию, которая будет обеспечивать им победу. Поэтому на следующем этапе необходимо проверить, не повлияет ли знание конкурентом-противником исследуемой информации на победу над владельцем информации в борьбе за конкурентный ресурс. Если будет установлена такая связь, то необходимо определить разницу между долями ресурса, который будет принадлежать владельцу информации, если подобная информация будет держаться в тайне от противника и в случае, если она станет ему известной.

После того, как мы определили ценность информации для всех вышеприведённых способах распределения ресурса необходимо определиться с тем, насколько готов владелец информации к затратам за владение ресурсом с точки зрения обеспечения защиты информации, насколько он готов это осуществить. Будем называть это ценой, которую должен заплатить владелец информации за её защиту, чтобы удовлетворить свои потребности.

Таким образом, поставленная изначально задача решена. Показано, что необходимо делать владельцу информации, чтобы обосновать путём определения ценности конфиденциальности информации свою готовность к затратам на её защиту.

Заметим, что готовность к затратам на защиту информации её владельцем так же как и определение ценности конфиденциальности информации является его субъективной оценкой. У разных владельцев схожей информации могут быть разные отношения к ценности конфиденциальности и цены информации. Даже если они будут оценивать информацию по выше предложенному методу.

Но в случае применения предложенной методики владелец информации будет иметь обоснование как по определению ценности конфиденциальности информации, так и затрат на защиту информации. При реализации конкурентами или противниками угроз владелец информации будет нести ущерб в виде недополученного им удовлетворения потребности вследствие того, что ему не достанется определённой доли конкурентного ресурса. Это будет его выбором.

А в чём же польза метода для случая оценки конфиденциальности информации несколькими лицами? А в том, что существует множество ситуаций, когда люди вступают между собой в отношения, связанные с совместным использованием конфиденциальной информации. И им приходится договариваться друг с другом о соблюдении ограничений, связанных с выполнением мер информационной защиты, о санкциях, которые могут последовать в результате их несоблюдения, о затратах на защиту информации и т.п. И здесь им нужно аргументировано отстаивать свои позиции, в том числе и по отношению к ценности конфиденциальности информации. Используя предложенный метод, они лучше смогут объяснить друг другу свои точки зрения.

В начале статьи было отмечено, что определение ценности защищаемой информации является лишь первым шагом при построении рациональной системы защиты информации, которая должна быть гибкой и уметь реагировать на складывающуюся обстановку. Но рассмотрение этого вопроса будет рассмотрено в следующий раз.

Дата добавления: 2015-11-14; просмотров: 45 | Нарушение авторских прав