Лекція 1

 

ПОНЯТТЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Презентація до лекції

План лекції:

1.Поняття інформаційної безпеки.

2.Основні складові інформаційної безпеки.

3.Визначення та загальні властивості інформації.

4.Цінність та класифікація інформації.

5.Інформація як об’єкт власності.

6.Інформація як комерційна таємниця.

 

1. Поняття інформаційної безпеки

Перш ніж говорити про інформаційну безпеку необхідно з’ясувати, що таке інформація.

Поняття «інформація» сьогодні застосовується дуже широко і різнобічно. Важко знайти таку область знань, де б воно не використовувалося. Величезні інформаційні потоки буквально захлинають. Обсяг наукових знань за оцінкою фахівців, подвоюється кожні п'ять років.

Інформація – дані про людей, предмети, факти, події, явища і процеси незалежно від форми їхнього представлення.

Відомо, що інформація може мати різну форму, зокрема, дані, закладені в комп'ютерах, листи, пам'ятні записи, досьє, формули, креслення, діаграми, моделі продукції і прототипи, дисертації, судові документи тощо.

Як і всякий продукт, інформація має споживачів, що потребують її, і тому має певні споживчі якості, а також має і своїх власників або виробників.

Відповідно до різноманітності інформації, словосполучення "інформаційна безпека" в різних контекстах може мати різний сенс.

Інформаційна безпека    стан  захищеності  життєво важливих інтересів людини,  суспільства і держави,  при якому запобігається нанесення шкоди через:  неповноту,  невчасність та невірогідність інформації,  що використовується;  негативний інформаційний вплив; негативні   наслідки   застосування   інформаційних технологій; несанкціоноване розповсюдження,    використання і порушення цілісності, конфіденційності та доступності інформації.

Спеціальне законодавство в області безпеки інформаційної діяльності представлено низкою законів. У їхньому складі особливе місце належить базовому Закону «Про інформацію, інформатизацію і захист інформації», що закладає основи правового означення всіх найважливіших компонентів інформаційної діяльності:

-   інформації й інформаційних систем;

-   суб'єктів - учасників інформаційних процесів;

-   правовідносин виробників - споживачів інформаційної продукції;

-   власників (власників, джерел) інформації - оброблювачів і споживачів на основі відносин власності при забезпеченні гарантій інтересів громадян і держави.

Під інформаційною безпекою (ІБ) ми розумітимемо захищеність інформації та інфраструктури, що її підтримує, від випадкових або навмисних дій природного або штучного характеру, які можуть завдати неприйнятного збитку суб'єктам інформаційних відносин, зокрема власникам і користувачам інформації та інфраструктури, що її підтримує.

 Захист інформації – це комплекс заходів, направлених на забезпечення інформаційної безпеки.

Таким чином, правильний з методологічної точки зору підхід до проблем інформаційної безпеки починається з виявлення суб'єктів інформаційних відносин та інтересів цих суб'єктів, пов'язаних з використанням інформаційних систем (ІС). Загрози інформаційній безпеці – це зворотна сторона використання інформаційних технологій.

Тут необхідно зауважити, що трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може істотно різнитися. Для ілюстрації досить зіставити режимні державні організації і навчальні інститути. У першому випадку "хай краще все зламається, ніж ворог дізнається хоч один секретний біт", у другому – "немає у нас жодних секретів, аби все працювало". Отже, інформаційна безпека не зводиться виключно до захисту від несанкціонованого доступу до інформації. Це принципово ширше поняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитки та/або одержати моральний збиток) не тільки від несанкціонованого доступу, але й від поломки системи, що викликала перерву в роботі. Більш того, для багатьох відкритих організацій (наприклад, навчальних)  захист від несанкціонованого доступу до інформації стоїть за важливістю не на першому місці.

Повертаючись до питань термінології, відзначимо, що термін "комп'ютерна безпека" (як еквівалент або замінник ІБ) представляється нам дуже вузьким. Комп'ютери – тільки одна із складових інформаційних систем. Хоча наша увага буде зосереджена в першу чергу на інформації, яка зберігається, обробляється і передається за допомогою комп'ютерів, її безпека визначається всією сукупністю складових. Найслабкішою ланкою, в переважній більшості випадків, виявляється людина.

Згідно визначення інформаційної безпеки, вона залежить не тільки від комп'ютерів, але і від інфраструктури, що її підтримує. Це системи електро-, водо- і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавитиме лише те, як вона впливає на виконання інформаційною системою своїх функцій.

Звернемо увагу, що у визначенні ІБ перед іменником "втрати" стоїть прикметник "неприйнятний". Очевидно, застрахуватися від всіх видів втрат неможливо, тим більше неможливо зробити це економічно доцільним способом, коли вартість захисних засобів і заходів не перевищує розмір очікуваних втрат. Отже, з чимось доводиться миритися і захищатися слід тільки від того, з чим змиритися ніяк не можна. Іноді таким неприпустимими витратами є нанесення шкоди здоров'ю людей або стану навколишнього середовища. Частіше за все, поріг неприйнятності має матеріальний (грошовий) вираз, а метою захисту інформації стає зменшення розмірів втрат до допустимих значень.

2. Основні складові інформаційної безпеки

Інформаційна безпека – багатогранна, можна навіть сказати, багатовимірна область діяльності, в якій успіх може принести тільки систематичний, комплексний підхід.

Спектр інтересів суб'єктів, пов'язаних з використанням інформаційних систем, можна розділити на наступні категорії, що показані на рис.1: забезпечення доступності, цілісності і конфіденційності інформаційних ресурсів та інфраструктури, що її підтримує.

 

Рис.1. Основні складові інформаційної безпеки

 

Іноді в число основних складових ІБ включають захист від несанкціонованого копіювання інформації. На наш погляд, це дуже специфічний аспект з сумнівними шансами на успіх, тому ми не будемо його виділяти.

Пояснимо поняття доступності, цілісності і конфіденційності.

Доступність - це можливість за прийнятний час одержати необхідну інформаційну послугу. Інформаційні системи створюються для отримання певних інформаційних послуг. Якщо за тими або іншими причинам надати ці послуги користувачам стає неможливо, то це завдасть збитку всім суб'єктам інформаційних відносин. Тому, не протиставляючи доступність решті аспектів, ми виділяємо її як найважливіший елемент інформаційної безпеки.

Особливо яскраво основна роль доступності виявляється в різного роду системах управління виробництвом, транспортом тощо. Зовні менш драматичні, але також вельми неприємні наслідки  і матеріальні, і моральні - може мати тривала недоступність інформаційних послуг, якими користується велика кількість людей (продаж залізничних та авіаквитків, банківські послуги тощо).

 Під цілісністю мається на увазі актуальність і несуперечність інформації, її захищеність від руйнування і несанкціонованої зміни.

Цілісність можна поділити на статичну (тобто незмінність інформаційних об'єктів) і динамічну (що відноситься до коректного виконання складних дій (транзакцій)). Засоби контролю динамічної цілісності застосовуються, зокрема, при аналізі потоку фінансових повідомлень з метою виявлення крадіжки, переупорядковування або дублювання окремих повідомлень.

Цілісність виявляється найважливішим аспектом ІБ в тих випадках, коли інформація служить "керівництвом до дії". Рецептура ліків, назначені медичні процедури, набір і характеристики комплектуючих виробів, хід технологічного процесу - все це приклади інформації, порушення цілісності якої може опинитися в буквальному розумінні смертельною. Неприємно і спотворення офіційної інформації, будь то текст закону або сторінка Web-сервера якої-небудь урядової організації.

Конфіденційність – це захист від несанкціонованого доступу до інформації.

Конфіденційність – найбільш опрацьований у нас в країні аспект інформаційної безпеки. На жаль, практична реалізація заходів по забезпеченню конфіденційності сучасних інформаційних систем натрапляє на серйозні труднощі. По-перше, відомості про технічні канали просочування інформації є закритими, так що більшість користувачів позбавлене можливості скласти уявлення про потенційні ризики. По-друге, на шляху призначеної для користувача криптографії як основного засобу забезпечення конфіденційності стоять численні законодавчі перепони і технічні проблеми.

Якщо повернутися до аналізу інтересів різних категорій суб'єктів інформаційних відносин, то майже для всіх, хто реально використовує ІС, на першому місці стоїть доступність. Практично не поступається їй за важливістю цілісність - який сенс в інформаційній послузі, якщо вона містить спотворені відомості?

Нарешті, конфіденційні моменти є також у багатьох організацій (навіть у згадуваних вище навчальних інститутах прагнуть не розголошувати дані про екзаменаційні білети до іспиту та паролі).

 

3. Визначення та загальні властивості інформації

   Інформація – це результат відображення та обробки в людській свідомості різноманіття навколишнього світу, відомостей про предмети, що оточують людину, явища природи, діяльність інших людей.

   З такого визначення випливає, що будь-яка інформація може бути важливою. Однак, якщо обмежитися поняттям комп’ютерної системи (КС), що зараз дуже актуально, то можна дати більш просте визначення інформації – це все, що може бути представлене в КС. Відразу ж виникає питання про форми та види представлення інформації в КС.

   Звичайно виділяють такі види представлення інформації, як букви, символи, цифри, слова, тексти, малюнки, схеми, формули, графіки, таблиці, плани, креслення, алгоритми і т. п. З цих видів можуть створюватися більш складні види та структури представлення інформації: команди, повідомлення, довідки, рішення, інструкції, масиви, файли, томи і т. п.

   Інформація, що втілена і зафіксована в певній матеріальній формі, називається повідомленням. Повідомлення можуть бути безперервними (аналоговими) і дискретними (цифровими).

   Безперервне повідомлення представляється деякою фізичною величиною (електричною напругою, струмом і т. д.), зміни якої відображають перебіг певного процесу. Фізична величина, що передає безперервне повідомлення, може набувати будь-яких значень і змінюватися в довільні моменти часу. Таким чином, у безперервному повідомленні скінченої довжини може міститися велика кількість інформації.

   Для дискретних повідомлень характерна наявність фіксованого набору окремих елементів, з яких у дискретні моменти часу формуються різні послідовності елементів. Важливою є не фізична природа елементів, а те, що набір елементів скінчений, і тому будь-яке дискретне повідомлення скінченої довжини передає скінчене число значень деякої величини, а отже, кількість інформації в такому повідомленні скінчена. При дискретній формі представлення інформації окремим елементам її можуть бути присвоєні числові (цифрові) значення. У таких випадках маємо цифрову інформацію.

   Елементи, з яких складається дискретне повідомлення, називають буквами чи символами. Набір цих букв (символів) утворює алфавіт. Число символів в алфавіті називається об’ємом алфавіту. Дискретне повідомлення можна розбити на групи символів, що називаються словами. Зі слів можуть формуватися більш складні структури (записи, файли, томи і т. п.), але ці поняття ми не розглядаємо, тому що не є істотними для подальшого розгляду. Зауважимо лише, що найбільш простим є двійковий алфавіт.

   Звичайно в КС інформація представляється двійковим алфавітом, що фізично реалізується сигналом, здатним приймати два добре помітних значення, наприклад електричну напругу високого і низького рівня, протилежні значення напруженості магнітного поля і т. п. Найважливішою вимогою до фізичних аналогів двійкового алфавіту є можливість надійного розпізнавання двох різних значень сигналу, що при описі функціонування схем позначають символами 0 (нуль) і 1 (одиниця).

   Інформація в КС піддається різним процесам: введення, збереження, обробка, виведення.

   Введення інформації у КС може здійснюватися з перфокарт, перфострічок, магнітних стрічок, барабанів, дисків, дискет, клавіатури, спеціальних пультів і т. п. Збереження інформації здійснюється на запам’ятовуючих пристроях – оперативних запам’ятовуючих пристроях, різних регістрах пам’яті, магнітних стрічках, барабанах, дисках, дискетах і т. п. Обробляється у КС інформація відповідно до прийнятого в даній системі порядку (ОС, ПЗ і т. п.). Для виведення інформації є багато каналів (візуальний, звуковий, друк та ін.).

   Найбільш загальними інформаційними процесами, що відбуваються в автоматизованих системах є такі:

-    інформаційно-довідкове забезпечення;

-    інформаційне забезпечення задач;

-    обслуговування інформаційних баз.

Усі вони реалізуються персоналом за допомогою апаратних засобів, ПЗ та інформаційних баз автоматизованих систем.

4. Цінність та класифікація інформації

Крім представлення в КС, цікаво і важливо подивитися на інформацію з інших точок зору. Зокрема, виявляється, що інформація – це товар і, отже, є об’єктом товарних відносин. В Україні інформаційні відносини регулюються кількома законами, у тому числі і Законом «Про інформацію». Зокрема, у цьому законі в статті 18 подано класифікацію видів інформації:

-   статистична інформація;

-   масова інформація;

-   інформація про діяльність державних органів влади й органів місцевого і регіонального самоврядування;

-   правова інформація;

-   інформація про особу;

-   інформація довідково-енциклопедичного характеру;

-   соціологічна інформація.

   Оскільки інформацію можна продати, купити, імпортувати, фальсифікувати, вкрасти і т. д., то з цього випливає, що вона повинна якимось чином оцінюватися. Далі, інформація, якою обмінюється людина через машину з іншою людиною чи машиною, може бути важливою і, отже, є предметом захисту. Однак захисту підлягає не будь-яка інформація, а тільки та, котра має ціну, тобто цінна інформація. Цінною ж стає та інформація, володіння якою дасть змогу її дійсному чи потенційному власнику одержати який-небудь виграш: моральний, матеріальний, політичний і т. д. Оскільки в суспільстві завжди існують люди, які бажають мати якісь переваги над іншими, то у них може виникнути бажання незаконним шляхом одержати цінну інформацію, а в її власника виникає необхідність її захищати. Цінність інформації є критерієм при прийнятті будь-якого рішення про її захист. Хоча було багато різних спроб формалізувати процес оцінки інформації з використанням методів теорії інформації та аналізу рішень, цей процес залишається дуже суб’єктивним.

   Для оцінки потрібен розподіл інформації на категорії не тільки відповідно до її цінності, а й за важливістю. За рівнем важливості можна розділити інформацію на категорії таким чином:

-    життєво важлива незамінна інформація, наявність якої необхідна для функціонування системи;

-    важлива інформація – інформація, що може бути замінена чи відновлена, але процес її відновлення важкий і пов’язаний з великими витратами;

-    корисна інформація – інформація, яку важко відновити, однак система може досить ефективно функціонувати і без неї;

-    несуттєва інформація – інформація, без якої система продовжує існувати.

   Хоча здається, що такий розподіл легко застосовувати, на практиці віднесення інформації до однієї з цих категорій може являти собою дуже важке завдання, тому що та сама інформація може бути використана багатьма підрозділами систем, кожний з яких може віднести цю інформацію до різних категорій важливості. Категорія важливості, як і цінність інформації, звичайно змінюється з часом і залежить від рівня її значущості для різних груп споживачів і потенційних порушників.

   Існують визначення груп осіб, пов’язаних з обробкою інформації: власник – організація чи особа, що володіє інформацією; джерело – організація чи особа, що постачає інформацію; зловмисник (ЗЛ) – організація чи особа, що прагне незаконно одержати інформацію. Для цих груп значущість однієї і тієї ж інформації може бути різною. Наприклад:

-   оперативна інформація деякого підприємства (список замовлень на даний тиждень і графік виробництва) важлива для власника, а для джерела (замовника) чи порушника не має цінності;

-   інформація про перспективи розвитку ринку може бути важливою для порушника, а для джерела чи власника, що завершили її аналіз, уже неважлива.

   Наведені категорії важливості цілком узгоджуються з існуючим принципом розподілу інформації за рівнями таємності (або секретності). Рівень таємності – це адміністративні чи законодавчі заходи, що відповідають мірі відповідальності особи за витік конкретної інформації, регламентованої спеціальними документами, з урахуванням державних, воєнно-стратегічних, комерційних, службових чи особистих інтересів. Такою інформацією може бути державна, військова, комерційна, службова чи особиста таємниця. Рівень таємності визначається грифом, що присвоюється тій чи іншій інформації. В Україні в державних структурах встановлено такі рівні (грифи) таємності: несекретно, для службового користування, таємно, цілком таємно (Н, ДСК, Т, ЦТ). Аналогічна термінологія існує в більшості країн світу: unclassified, confidential, secret, top secret (U, C, S, TS). Така класифікація дає можливість визначити просту лінійну порядкову шкалу цінності інформації: Н < ДСК <T<УТ(U<C<S< TS). За цією шкалою відразу видно, до якої категорії інформації необхідно висувати більш високі вимоги щодо її захисту.

Слід, однак, додати, що, у багатьох випадках захищати потрібно не тільки секретну інформацію. І несекретна інформація, що піддається несанкціонованим ознайомленням чи модифікації, може привести до витоку чи втрати пов’язаної з нею секретної інформації. Вона може привести також до невиконання автоматизованою системою функцій обробки секретної інформації. Існує також можливість витоку секретної інформації шляхом аналізу сукупності несекретних відомостей. Усе це лише підтверджує тезу про складність класифікації інформації, яку необхідно захищати.

Як було раніше зазначено, останнім часом інформація стала найважливішим ресурсом, випереджаючи за важливістю навіть сировинні та енергетичні ресурси. Але для ефективного її використання необхідно вміти оцінювати значимість її для виконання відповідної діяльності, тобто оцінювати інформацію як об’єкт праці. Для такої оцінки необхідні показники двох видів:

-    що характеризують інформацію як ресурс для забезпечення процесу отримання розв’язків різноманітних задач;

-    що характеризують інформацію як об’єкт звичайної праці.

   Зміст показників першого виду визначається важливістю інформації в процесі розв’язання задач, а також кількістю і складом інформації, яка використовується. Під кількістю інформації тут розуміється об’єм відомостей, які використовуються в процесі розв’язання задач, причому не абсолютний їх об’єм, а їх достатність для інформаційного забезпечення конкретних задач, їх адекватність задачам. Отже, показники першого виду можуть бути такими:

важливість – це узагальнений показник, який характеризує значимість інформації з точки зору задач, для яких вона використовується, а також із точки зору організації її обробки. Тут оцінка може здійснюватися за: важливістю самих задач для даної діяльності; ступенем важливості інформації для ефективного виконання відповідних завдань; рівнем витрат при небажаних змінах інформації; рівнем витрат на відновлення порушень інформації. Слід зазначити, що для деяких видів інформації важливість можна досить точно оцінювати за так званим коефіцієнтом важливості, обчислення якого здійснюється на основі математичних, лінгвістичних або неформально-евристичних моделей:

  повнота – це показник, що характеризує міру достатності інформації для розв’язання відповідної задачі. Для кількісного вираження цього показника також відомі формальні і неформальні моделі обчислення коефіцієнта повноти;

адекватність – це ступінь відповідності інформації дійсному стану тих об’єктів, які вона відображає. Адекватність залежить від об’єктивності генерування інформації про об’єкт, а також від тривалості часу між моментом генерування та моментом оцінки адекватності. Зазначимо, що для оцінки адекватності також відомі формальні і неформальні підходи, які дозволяють отримати її кількісні оцінки;

релевантність – це показник, що характеризує відповідність її потребам задачі, яка розв’язується. Відомий коефіцієнт релевантності – це відношення обсягу релевантної інформації до загального її обсягу. Існують моделі його обчислення;

толерантність – показник, що характеризує зручність сприйняття та використання інформації в процесі розв’язання відповідної задачі. Це поняття є дуже широким, невизначеним і суб’єктивним, а отже, формальних методів його оцінки поки що немає.

   Якщо повернутися до показників другого виду, то слід зазначити, що для них інформація виступає як:

-    сировина, яку добувають та обробляють;

-    напівфабрикат, що виникає в процесі обробки сировини;

-    продукт для використання.

   Тобто тут маємо звичайний виробничий ланцюжок: добування сировини – переробка для отримання напівфабрикатів – їх переробка для отримання кінцевого продукту. Нагадаємо, що при цьому всі стадії переробки інформації мають задовольняти показники першого виду. Зрозуміло, що тут найбільш важливими є форма або спосіб представлення інформації, а також її об’єм. Отже, як показники другого виду можуть виступати: 1) спосіб або система кодування інформації, тобто ефективність кодування; 2) об’єм кодів, що відображають дану інформацію. Відзначимо, що методи визначення цих показників досить повно розроблені в теорії інформації.

   Таким чином, необхідний рівень захисту інформації слід визначати з урахуванням значень усіх розглянутих вище показників, а також грифів таємності.

   Насамкінець звернемо увагу на розбіжність між визначеною вище таємністю і безпекою інформації. Безпека інформації – це захист інформації від негативних впливів на неї, і вона має відношення до технологічних процедур забезпечення захисту. Таємність інформації – це статус інформації, який фіксується залежно від її важливості і вимагає певного рівня її захищеності. Отже, це поняття має відношення до людей, окремих осіб, які відповідають за інформацію і вирішують, яку інформацію можна розкрити, а яку приховати від інших людей.

 

5. Інформація як об’єкт власності

   Фактично сфера безпеки інформації – не захист інформації, а захист прав власності на неї. Щоб переконатися в цьому, розглянемо особливості інформаційної власності.

   Історично традиційним об’єктом права власності є матеріальний об’єкт, а це означає, що фактично право власності було речовим правом.

   Інформація ж не є матеріальним об’єктом, інформація – це знання, тобто відображення дійсності у свідомості людини (причому правильне чи помилкове відображення – неістотно, важливо, що у свідомості). І тільки згодом інформація може втілюватися в матеріальні об’єкти навколишнього світу. Однак, не будучи матеріальним об’єктом, інформація нерозривно пов’язана з матеріальним носієм: це – мозок людини чи відчужені від людини матеріальні носії, такі як книга, дискета та інші види «пам’яті» (запам’ятовуючі пристрої).

   Можливо, з філософської точки зору можна говорити про інформацію як про деяку абстрактну субстанцію, що існує сама по собі. Але з конкретної, матеріальної точки зору ні збереження, ні передача інформації поки що без матеріального носія неможливі. Унаслідок цього можна сформулювати такі особливості інформації як об’єкта власності.

1. Інформація як об’єкт права власності може копіюватися (тиражуватися) за допомогою матеріального носія. Матеріальний об’єкт права власності, як відомо, копіювати неможливо (принаймні поки що). Справді, якщо розглянути дві однакові речі (одяг, автомобіль тощо), то вони складаються з однакових структур, але все-таки вони різні (чим детальніше їх розглядати, тим більше вони будуть розрізнятися). Тим часом інформація при копіюванні залишається тою ж, це те саме знання.

2. Інформація як об’єкт права власності легко переміщується до іншого суб’єкта права власності без очевидного (принаймні помітного) порушення права власності на інформацію. Переміщення ж матеріального об’єкта від одного суб’єкта (без його згоди) до іншого неминуче спричиняє втрату первісним суб’єктом права власності на цей об’єкт, тобто відбувається очевидне порушення його права власності.

3. Небезпека копіювання і переміщення інформації збільшується тим, що вона, як правило, відчужувана від власника, тобто зберігається та обробляється в сфері доступності великого числа суб’єктів, що не є суб’єктами права власності на цю інформацію (автоматизовані системи, мережі ЕОМ і т. п.). Крім відзначених особливостей інформації як об’єкта власності в іншому, мабуть, вона нічим не відрізняється від традиційних об’єктів права власності.

   Справді, право власності, як відомо, включає три повноваження власника, що становлять у цілому зміст права власності: право розпоряджання, право володіння, право користування. Стосовно інформації можна сказати, що суб’єкт права власності на інформацію може передати частину своїх прав (право розпоряджання), не втрачаючи їх сам, іншим суб’єктам, наприклад власнику матеріального носія інформації (це – володіння чи користування) чи користувачу (це – користування і, можливо, володіння).

   Для інформації право розпоряджання передбачає виключне право (ніхто інший, крім власника) визначати, кому ця інформація може бути надана (у володіння чи користування). Право володіння передбачає володіння цією інформацією в незмінному вигляді. Право користування передбачає право використовувати цю інформацію у своїх інтересах. Таким чином, до інформації, крім суб’єкта права власності на неї, можуть мати доступ і інші суб’єкти права власності як законно, санкціоновано, так і (внаслідок відзначених вище особливостей) незаконно, не санкціоновано. Тому виникає дуже складна система взаємин між різними суб’єктами права власності. Ці взаємини повинні регулюватися та охоронятися, тому що відхилення від них тягнуть порушення прав власності на цю інформацію. Реалізацією права власності на інформацію звичайно займається певна інфраструктура (державна чи приватна).

   Як і для будь-якого іншого об’єкта власності, для інформації така інфраструктура складається з ланцюжка: законодавча влада – судова влада – виконавча влада (закон – суд – покарання). Тому, незважаючи на ряд особливостей, інформація поряд з матеріальними об’єктами може і повинна розглядатися законом як об’єкт права власності.

   Будь-який закон про власність з метою захисту прав власника, зафіксувавши суб’єкти та об’єкти права власності, повинен регулювати відносини між ними. Особливості регулювання цих відносин залежать від специфіки об’єктів права власності. У випадку інформаційної власності закон повинен регулювати відносини суб’єктів, а також суб’єктів і об’єктів права власності на інформацію з метою захисту прав як власника, так і законних власників і користувачів інформації для захисту інформаційної власності від розголошення, витоку, обробки (копіювання, модифікації чи знищення) інформації.

   В Україні прийнято закони «Про інформацію» і «Про захист інформації в автоматизованих системах». У першому законі в статті 39 установлено, що інформаційна продукція та інформаційні послуги громадян і юридичних осіб, що займаються інформаційною діяльністю, можуть бути об’єктами товарних відносин, регульованих цивільним і іншим законодавством. Інакше кажучи, інформація – це товар. Інформаційна продукція (стаття 40) – це матеріалізований результат інформаційної діяльності, призначений для задоволення інформаційних потреб громадян, державних органів, підприємств, закладів і організацій. Інформаційна послуга (стаття 41) – це здійснення у визначеній законом формі інформаційної діяльності з доставки інформаційної продукції до споживачів з метою задоволення їхніх інформаційних потреб.

 

6. Інформація як комерційна таємниця

   Поняття «комерційної таємниці» у нашій країні поки що в законодавчих актах не визначено. Для розуміння цього поняття подамо його визначення, що використовується в нормативних актах інших країн. Зокрема, у статті 33 закону «Про підприємства в СРСР» від 1 січня 1991 року дається таке визначення: «Під комерційною таємницею підприємства розуміються відомості, що не є державними секретами і пов’язані з виробництвом, технологією, керуванням, фінансами та іншою діяльністю підприємства, розголошення (передача, витік) яких може завдати шкоди його інтересам».

Склад і обсяг відомостей, що становлять комерційну таємницю, визначаються керівником підприємства.

Які саме відомості можуть вважатися комерційною таємницею? Наприклад, 5 грудня 1991 року уряд Росії прийняв постанову №35 «Про перелік відомостей, що можуть становити комерційну таємницю». В основному перелік подібних відомостей відомий із законів про банківську діяльність в інших країнах. Проте, для прикладу, наведемо перелік відомостей із згаданої постанови. У цій постанові вони групуються за тематичним принципом. Звичайно, відомості, що включені в даний перелік, можуть бути комерційною таємницею тільки з урахуванням особливостей конкретного підприємства (організації).

 1. Відомості про фінансову діяльність:

-    прибуток, кредити, товарообіг;

-    фінансові звіти і прогнози;

-    комерційні задуми;

-    фонд заробітної плати;

-    вартість основних і оборотних коштів;

-    кредитні умови платежу;

-    банківські рахунки;

-    планові і звітні калькуляції.

2. Інформація про ринок:

-    ціни, знижки, умови договорів, специфікації продуктів;

-    обсяг, історія, тенденції виробництва і прогноз для конкретного продукту;

-    ринкова політика і плани;

-    маркетинг і стратегія цін;

-    відносини зі споживачами і репутація;

-    чисельність і розміщення торгових агентів;

-    канали і методи збуту;

-    політика збуту;

-    програма реклами.

3. Відомості про виробництво і продукцію:

-    відомості про технічний рівень, техніко-економічні характеристики виробів, що розробляються;

-    відомості про плановані терміни створення розроблюваних виробів;

-    відомості про модифікацію і модернізацію раніше відомих технологій, процесів, устаткування;

-    виробничі потужності;

-    стан основних і оборотних фондів;

-    організація виробництва;

-    розміщення і розмір виробничих приміщень і складів;

-    перспективні плани розвитку виробництва;

-    технічні специфікації існуючої і перспективної продукції;

-    схеми і креслення окремих вузлів, готових виробів, нових розробок;

-    відомості про стан програмного і комп’ютерного забезпечення;

-    оцінка якості й ефективності;

-    номенклатура виробів;

-    спосіб упакування;

-    доставка.

4. Відомості про наукові розробки:

-    нові технологічні методи, нові технічні, технологічні і фізичні принципи, заплановані до використання в продукції підприємства;

-    програми НДР;

-    нові алгоритми;

-    оригінальні програми.

5. Відомості про матеріально-технічне забезпечення:

-   відомості про склад торгових клієнтів, представників і посередників;

-   потреби в сировині, матеріалах, комплектуючих вузлах і деталях, джерела задоволення цих потреб;

-   транспортні й енергетичні потреби.

6. Відомості про персонал підприємства:

-    чисельність персоналу;

-    визначення осіб, що приймають рішення.

7. Відомості про принципи керування підприємством:

-   відомості про застосовувані і перспективні методи керування виробництвом;

-   відомості про факти ведення переговорів, предмети і цілі нарад і засідань органів керування;

-   відомості    про   плани    підприємства    щодо   розширення виробництва;

-   умови продажу і злиття фірм.

8. Інші відомості:

-    важливі елементи систем безпеки, кодів і процедур доступу до інформаційних мереж і центрів;

-    принципи організації захисту комерційної таємниці.

У багатьox країнах існують закони, що регламентують банківську діяльність. У них визначене поняття «банківської таємниці». Під банківською таємницею (БТ) мається на увазі обов’язок кредитної установи зберігати таємницю про операції клієнтів, убезпечення банківських операцій від ознайомлення з ними сторонніх осіб, насамперед конкурентів того чи іншого клієнта, таємницю щодо операцій, рахунків і внесків своїх клієнтів і кореспондентів. Інакше БТ можна визначити як особисту таємницю вкладника. У підсумку комерційна таємниця банку включає комерційну таємницю самого банку та особисту таємницю вкладника. В Україні подібного закону поки що немає.

Отже, під інформаційною безпекою слід розуміти захист інтересів суб'єктів інформаційних відносин.

 

Контрольні питання до Лекції 1

1.Інформаційна безпека (поняття і визначення).

2.Які ви знаєте об’єкти захисту?

3.Що включає поняття «безпечна діяльність»?

4.Що таке інформація?

5.Класифікація інформації.

6.Категорії інформації.

7.Інформація як об’єкт власності.

8.Інформація як комерційна таємниця.