43711

Розробка моделі цінності інформаційних ресурсів для оптимізації побудови системи захисту інформації

Дипломная

Информатика, кибернетика и программирование

Мета роботи – розробка моделі цінності інформаційних ресурсів для оптимізації побудови системи захисту інформації. Об’єкт дослідження – цінність інформації якою володіє організація що в даній роботі позиціонується як інформаційні ресурси та входить до складу активів організації. Результатом роботи є адитивна модель цінності інформації яка включає основні елементи цінності легка для сприйняття та передбачає можливість модернізації в залежності від специфіки області в якій застосовується. Продовжити вдосконалення даної моделі можна більш...

Украинкский

2013-11-06

302.91 KB

8 чел.

РЕФЕРАТ

Дипломна робота має обсяг 69 сторінок, містить 2 ілюстрації, 5 таблиць, 12 джерел за переліком посилань.

Мета роботи – розробка моделі цінності інформаційних ресурсів для оптимізації побудови системи захисту інформації.

Об’єкт дослідження – цінність інформації, якою володіє організація, що в даній роботі позиціонується як інформаційні ресурси та входить до складу активів організації.

Для досягнення мети в даній роботі були досліджені поняття інформація та інформаційний ресурс, а також їх цінність. Виявлено основні складові елементи цінності та розроблено методику їх оцінки.

Результатом роботи є адитивна модель цінності інформації, яка включає основні елементи цінності, легка для сприйняття та передбачає можливість модернізації в залежності від специфіки області, в якій застосовується.

Використання отриманої моделі дозволяє кількісно оцінити вартість інформаційних ресурсів та оптимізувати побудову системи захисту. Продовжити вдосконалення даної моделі можна більш глибоким дослідженням економічної складової цінності інформації.

ІНФОРМАЦІЯ, ІНФОРМАЦІЙНИЙ РЕСУРС, ЦІННІСТЬ, МОДЕЛЬ, ВТРАТИ.


РЕФЕРАТ

Дипломная работа имеет оббьем 69 страниц, содержит 2 иллюстрации, 5 таблиц, 12 источников по перечню ссылок.

Цель работы – разработка модели ценности информационных ресурсов для оптимизации построения системы защиты информации.

Объект исследования – ценность информации, которой владеет организация, которая в данной работе позиционируется как информационные ресурсы и входит в состав активов организации.

Для достижения цели в данной работе было исследованы понятия информация и информационный ресурс, а также их ценность. Выявлено основные составляющие элементы и разработана методика их оценивания.

Результатом работы является аддитивная модель ценности информации, которая включает основные элементы ценности, легка для восприятия и предполагает возможность модернизации в зависимости от специфики области, в которой применяется.

Использование полученной модели позволяет количественно оценить стоимость информационных ресурсов и оптимизировать построение системы защиты. Продолжить усовершенствование данной модели можно более глубоким исследованием экономической составляющей ценности информации.

ИНФОРМАЦИЯ, ИНФОРМАЦИОННЫЙ РЕСУРС, ЦЕННОСТЬ, МОДЕЛЬ, ПОТЕРИ.


REVIEW

The diploma has a volume of 69 pages, contains 2 illustrations, 5 tables, 12 sources of references.

The goal is to develop a model of value of information resources for the optimization of the system of protection.

The object of research is the value of information possessed by the organization that is positioned in this work as information resources and is part of the assets of the organization.

To achieve the goal in this work were analyzed the concepts of information, information resource and their value. Found main components of value and developed methodology of their evaluation.

The result is an additive model of value of information, which includes the main elements of value, easy to grasp and provides the possibility for modernization according to the specificity of area in which applied.

Use of the obtained model allows to quantify the value of information resources and to optimize the construction of protection. Continue to improve this model can be more profound study of the economic component of information value.

INFORMATION, INFORMATION RESOURCES, VALUE, MODEL, LOSSES.

ЗМІСТ

Перелік умовних позначень, символів, одиниць, скорочень і термінів 8

Вступ 9

1 Дослідження проблеми 11

1.1 Визначення поняття інформація 11

1.2 Внутрішня та зовнішня інформація 16

1.3 Визначення цінності інформаційного ресурсу 19

1.4 Середні втрати 29

1.5 Методи оцінювання 35

1.6 Висновки 42

2 Розробка моделі 44

2.1 Інвентаризація інформаційних активів 44

2.2 Модель інформаційного ресурсу 54

2.3 Конкретизація моделі 59

2.4 Висновки 72

Висновки 73

Перелік посилань 74


Перелік умовних позначень, символів, одиниць, скорочень і термінів

ІР

Інформаційний ресурс

СЗІ

Система захисту інформації

ІТТ

Інформаційно-телекомунікаційні технології


Вступ

Термін «цінність інформації» перш за все визначає саме поняття інформації, а вже потім її цінності. Єдиного визначення інформації на даний час немає. Існують різні підходи до цього визначення, пов’язані в основному з рішенням конкретних науково-практичних задач. Труднощі, що виникають при спробах знаходження єдиного та вичерпного визначення інформації цілком зрозумілі: поняття «інформація» являється одним з первісних філософських понять, таких як матерія, свідомість, час, простір та ін.. Приведемо кілька сучасних визначень поняття «інформація»: «Це повідомлення, відомості про стан справ, будь-які відомості, що передають люди.»; «Це зменшувана, знята невизначеність в результаті отримання повідомлення.»; «Це повідомлення, нерозривно пов’язане з управлінням, сигнали в єдності синтаксичних, семантичних та прагматичних характеристик.»; «Це передача, відображення різноманітності в будь-яких об’єктах та процесах.».

Ситуація ускладнюється тим, що на відміну від звичайних товарів, інформація, яку продаються не покидає власника. В багатьох випадках після кращі інформації вона все одно залишається у власника, що породжує ряд казусів у чинному законодавстві.

Поняття цінності («ціни інформації») досі знаходиться на стадії становлення. Даним питанням займались багато вчених, але спроб дати математично точне визначення цінності інформації порівняно небагато, що загалом зрозуміло. Фактично мова йде про кількісне представлення якісних характеристик інформації, таких як семантика та прагматика.

Актуальність роботи. Питання цінності інформації має дуже важливе значення в контексті захисту інформації. Визначення цінності – це фактично визначення об’єкту захисту, те, з чого потрібно починати побудову СЗІ, а в подальшому – інструмент оптимізації побудови та функціонування СЗІ. Універсальної моделі цінності не існує, вона була б надто абстрактною, щоб задовольняти всім можливим випадкам.

Мета і завдання дослідження. Враховуючи те, що побудова ідеальної моделі цінності інформації – це пошук золотої середини між універсальністю та конкретикою, то основним завданням буде побудова загальної схеми моделі та описання методології її конкретизації.

Методи дослідження. Для досягнення мети було проаналізовано роботи в яких досліджено поняття інформаційний ресурс, виділено характерні властивості. Використано ієрархічний спосіб інвентаризації активів та методи аналізу ієрархій.

Наукова новизна одержаних результатів. Результатом роботи є адитивна модель цінності інформаційних ресурсів. Отримана модель поєднує прозорість схеми обчислення цінності та динамічне оновлення цінності інформаційних ресурсів при зміні цінності решти активів та інших елементів системи.

Практичне значення одержаних результатів. При організації системи захисту інформації необхідним етапом є оцінка цінності інформації. Для  проведення цієї процедури існують відповідні законодавчі акти, але в них відсутній ряд важливих методичних вказівок. Використання даної роботи значно полегшить процес визначення цінності інформації, а впровадження запропонованої моделі є простим та інтуїтивно зрозумілим. На основі такої моделі можна також використовувати інші поширені методики, тим самим конкретизуючи модель для конкретної ситуації.


1 Дослідження проблеми

1.1 Визначення поняття інформація

Що ж таке інформація? Вивчення літератури з даного питання показує велику кількість різних підходів до цього, здавалося б, загальновідомого і усталеного поняття. Наскільки фахівці різних галузей далекі від остаточного розуміння сутності інформації, було показано Ю.М. Столяровим на основі аналізу широкого спектру поглядів [8]. Добре відомий знаменитий вислів «батька» кібернетики Н. Вінера: «Інформація є інформація, а не матерія і не енергія». Тим самим М. Вінер відмовився від формулювання поняття інформації, вважаючи, що це зроду таким категоріям, як рух, життя, свідомість. Академік М.М. Моісеєв також вважав, що універсального визначення інформації не тільки немає, але і бути не може через широти цього поняття. Разом з тим формулювання терміну «інформація», хоча б у загальному вигляді, необхідна для вирішення як теоретичних, так і практичних завдань сучасної науки і техніки.

Первісно поняття «інформація» функціонувало як елемент повсякденно-побутової комунікації. У ХIХ столітті у фізиці і в логіко-семіотичних побудовах інформація згадується як специфічний засіб пізнання. Це пов’язано з семантикою інформації, що досліджувалась і пізніше [12]. У літературі з філософських питань теорії інформації і кібернетики поняття «інформація» дуже часто пов'язується з роботами Р. Хартлі та К. Шеннона з проблем інженерної комунікації і зв'язку. Разом з тим, як стверджує низка авторів, освоєння наукою поняття «інформація» почалося значно раніше у сфері соціогуманітарного знання. Але якщо з цього питання немає єдиної точки зору, то ніхто не заперечує того, що поняття «інформація» спочатку функціонувало як елемент мови повсякденно-побутової комунікації.

У вітчизняній літературі перші спроби систематичного вивчення поняття інформації відносяться до 20-30 років XX століття і пов'язані з теорією журналістики. В ній найбільш поширеним було подання інформації як «опису фактів». Обговорювалася приналежність до інформації будь-яких фактів або тільки нових. Був виявлений зв'язок інформації та публіцистики як пояснення, коментування фактів. На прикладі преси досліджувалися джерела інформації та їх класифікація, взаємини споживача інформації і самої інформації, властивості інформації (новизна та оригінальність як ціннісні характеристики, партійність, достовірність, важливість, повнота, переконливість, агітаційна дієвість і т.д.).

Значний обсяг уявлень про зміст поняття «інформація» накопичений у філософії. У філософській науці існує два різні підходи, дві протиборчі одна одній концепції інформації - атрибутивна і функціональна.

«Атрибутивісти» визначають інформацію як властивість всіх без винятку матеріальних об'єктів - як живих, так і неживих, тобто як атрибут матерії. У цьому плані добре відомо визначення академіка В.М. Глушкова: «Інформація у самому загальному її розумінні являє собою міру неоднорідності розподілу матерії та енергії у просторі і в часі, міру змін, якими супроводжуються всі процеси, що відбуваються у світі. ... Інформацію несуть в собі не тільки поцятковані літерами аркуші книги або людська мова, але і сонячне світло, складки гірського хребта, шум водоспаду, шелест листя ». У літературі зазначається, що «категорія відображення виявилася тим ключем, який дозволив відкрити таємницю природи інформації; саме ця філософська категорія виявилася методологічно плідною для проникнення в її сутність ». Пізнавальний процес в цьому випадку представляє собою декодування інформації, яка міститься в предметах реального світу. Представляється, проте, що такий підхід необґрунтовано розширює зміст поняття «інформація». Не відповідаючи на багато питань, пов’язаних з появою інформації, він створює основу для виникнення нових питань, наприклад, про те, як виявляється даний атрибут матерії у відсутність об'єктів живої природи, про механізми обміну інформацією між об'єктами неживої природи, а також між об'єктами живої та неживої природи і т.д..

«Функціоналісти», навпаки, пов'язують інформацію лише з функціонуванням систем, що самоорганізуються, вважаючи, що інформація нерозривно пов'язана лише з вищими видами відображення, з високоактивними його формами, що характеризують процеси управління. Інформація розуміється при цьому як властивість не всієї, а лише високоорганізованої матерії. Обмежувальною ознакою для інформації (у порівнянні з відображенням як атрибутом всієї матерії) тут служить обов'язковість зв'язку з керуванням, тобто з високоактивним відображенням, необхідною передумовою якого є досить високий рівень організації матерії. При такому трактуванні інформація виникає разом з життям і характеризує органічну природу, людське суспільство і техніку, залучену людиною в процеси управління. Такої позиції дотримуються Г.Г. Вдовиченко, Д.І. Дубровського, Н.І. Жукова, Б.С. Українцева, М. Янкова та інших дослідників. Поділяючи цю концепцію, П.В. Копнін вказував: «Інформація не є атрибутом матерії, вона належить не всім її формам і видам. ... Інформація ... стосується окремих сторін, моментів, видів відображення. Якщо рефлекс пов'язаний з мозком, то інформація - зі складною динамічною системою управління, здатної пристосовуватися до зміни умов. ... Інформація на відміну від відображення взагалі виникає на певному рівні організації матерії ». Таким чином, функціональний підхід передбачає наявність у системі особливого роду відображення підсистеми - інформаційної системи. Найважливішою здатністю самостійної системи є можливість змінюватися під впливом деяких факторів зовнішнього світу, які значимі для даної системи. Саме в цьому суть виділення сигналів, само організованою системою. Особливим видом сигналів є знаки, які на відміну від сигналів природного походження створюються само організованими системами і призначаються для передачі та зберігання інформації.

Уявлення про інформацію, засновані на статистичній теорії передачі сигналів К. Шеннона, призвели до наступного визначення в Webster's New World Dictionary of Computer Terms: «Інформація - це дані, які обробляються комп'ютером і можуть бути виведені в формі, зручній для користувача». Іншими словами, між даними та інформацією поставлений знак тотожності. Державний стандарт визначає інформацію набагато обережніше: «Інформація (в процесах обробки даних і в офісних машинах) - це значення, яке людина привласнює даними на основі наявних угод. Дані - це подання даних та інструкцій у вигляді, зручному для передачі і обробки людиною або машиною».

У математиці та кібернетиці інформація є мірою усунення невизначеності (ентропії), мірою організації системи. Співвідношення між поняттями «ентропія» та «інформація» у відомому сенсі нагадує співвідношення між фізичними поняттями потенціалу і різниці потенціалів. Ентропія - це кількісна міра невизначеності. Усунена відомостями ентропія і є інформація. У цьому сенсі інформація виступає як міра відносини, взаємозв'язки між системами, явищами, процесами, а не як показник стану систем. Конструктивний потенціал інформації в теорії інформації знайшов вираження в понятті «негентропії», яка визначається як міра порядку, впорядкованості, внутрішньої структури, пов'язаної інформації.

Основоположниками такого підходу до поняття інформації були англійська нейрофізіолог У.Р. Ешбі та французький фізик Л. Брілюен. Вони досліджували питання спільності поняття ентропії у теорії інформації та термодинаміки, трактуючи інформацію саме як негативну ентропію (негентропії). Брілюен і його послідовники стали вивчати інформаційні процеси під кутом зору другого початку термодинаміки, розглядаючи передачу інформації деякій системі як удосконалення цієї системи, що веде до зменшення її ентропії.

У кількісної теорії, висунутої в 1960 році А.А. Харкевич [11], цінність інформації визначається як приріст ймовірності досягнення мети в результаті використання цієї інформації. Для виміру корисності інформації може бути застосована відома формула А.А. Харкевича:

     (1.1)

де  - вірогідність досягнення мети після отримання інформації I,

- ймовірність досягнення мети до одержання інформації I.

Ґрунтуючись на теоретичних концепціях А.А. Харкевича, Ф.Є. Темників, В.А. Афонін та В.І. Дмитрієв пов'язували якісний аналіз інформації з прагматичним дослідженням інформаційних явищ і процесів, розглядаючи, насамперед, проблему цінності інформації, яку вони визначали на основі імовірнісних уявлень про доцільність. Цінність відомостей представлялася як облікова різниця індивідуальних кількостей інформації. Аналіз показує, що і тут, незважаючи на явно математичний підхід до ціннісної стороні інформації, все-таки певною мірою можна виділити окремі якісні моменти в інформаційному забезпеченні правових системних утворень. Представляється реальним створення щодо змістовного комплексу відносин між інформацією, приймачем і метою, яку ставить приймач в процесі своєї діяльності.

1.2 Внутрішня та зовнішня інформація

Інформація, з якою має справа будь-яка організація принципово поділяється на внутрішню та зовнішню. Дійсно, інформація або знаходиться у власності організації, або є невідомою і можливо потенційно прибутковою, а отже бажаною.

Звісно інформаційні ресурси відрізняються від матеріальних рядом особливостей, одна з яких – інформація не зникає після її викрадення. Розглядаючи  ситуацію порушення властивості конфіденційності, можемо сказати, що інформація після інциденту все одно залишається в розпорядженні організації-власника, але вже не є конфіденційною. Це не вилучає її з розряду внутрішньої інформації, а лише змінює її властивості, та як наслідок – її цінність.

З порушенням цілісності виникає інша ситуація. Інформація може втратити властивість цілісності в наслідок злочинних дій зловмисника або (що трапляється на порядок частіше) в наслідок некомпетентних дій обслуговуючого персоналу. В такому випадку, якщо неможливо відновити первинний стан інформації (наприклад резервним копіюванням), то така інформація вважається втраченою та більше не належить до розряду внутрішньої. Важливо, що в такому випадку інформація хоч і вилучається з розряду внутрішньої, але не втрачає конфіденційності. Але можливий і варіант викрадення та знищення інформації, в такому разі відбувається розголошення та втрата ресурсу.

Оцінювання цих двох типів інформаційних ресурсів – принципово різні завдання. Оцінювання зовнішньої інформації – це аналіз ринку, конкурентів та пошук нових ресурсів. Ця робота у значній мірі є творчою та слабо піддається автоматизації чи формалізації. Вирішення питань такого роду скоріше завдання для експертів тих вузьких спеціалізацій, до яких належить ця інформація, ніж для експертів з цінності інформації.

Внутрішня інформація становить більший інтерес для експертів захисту інформації. По-перше, інформація такого роду підлягає формалізації та упорядкуванню. Це дуже важливо, оскільки часто необхідно провести інвентаризацію інформаційних ресурсів для подальших дій. Провести повну інвентаризацію зовнішньої інформації теоретично не можливо. По-друге, в даній роботі оцінювання інформації розглядається як рішення проблеми розстановки пріоритетів при організації захисту інформаційних ресурсів.

Вирішення проблеми розстановки пріоритетів при організації захисту системи – це завдання аналізу ризиків. Найоптимальніше рішення керівника організації в плані захисту інформаційних ресурсів – це прагнення до мінімізації втрат. Такий підхід називається «Стратегія мінімальних штрафів». Але навіть у найпростішій формі обчислення ризику необхідно знати, якого збитку можуть завдати атаки або реалізації загроз:

     (1.2)

де   – ймовірність виникнення загрози;

– ймовірність реалізації загрози;

збиток, якого завдасть реалізація загрози.

У даному контексті «завданий збиток» від загрози – це і є цінність інформаційного ресурсу. Найбільший збиток можна завдати, якщо атакувати найцінніші ресурси. Аналіз ризиків необхідно якось структурувати. Це можна зробити двома шляхами:

  1.  ідентифікація усіх можливих атак та розрахунок ризиків, опираючись на них;
  2.  ідентифікація усіх інформаційних ресурсів та розрахунок можливих збитків для кожного.

Безумовно другий варіант являється більш пріоритетним, оскільки виявити абсолютно всі потенційні атаки неможливо. Звичайно, можна ідентифікувати майже всі можливі атаки та припустити що аналіз даної множини достатній для адекватних оцінок. Однак у цьому випадку надзвичайно важко побудувати повну групу загроз, щоб наслідки кількох атак не перетиналися. Такий метод є тупиковим і вимагає значних статистичних даних для визначення ймовірностей спроби та реалізації атак. Аналітична складова можлива лише у питанні визначення успішності атаки при заданих захисних мірах.

Другий підхід гарантує, що всі ресурси будуть ідентифіковані, а отже, якщо забезпечити їх захист, то буде забезпечено захист всієї системи. Важливим моментом являється той факт, що множина загроз для кожного конкретного випадку може кардинально відрізнятися, але є сталою. В той час, як множина ресурсів постійно змінюється в будь-якому випадку. При появі нових ресурсів необхідно прослідкувати, щоб він був захищений, в разі необхідності – прийняти необхідні захисні міри. Якщо ж аналіз будувати на можливих атаках, то необхідно кожен раз перевіряти, чи може буде завдана шкода новому ресурсу існуючими загрозами та дослідити ситуацію на наявність нових загроз. При чому не можна просто переконатися у захищеності нового ресурсу, оскільки це буде порушенням цілісності концепції.

Враховуючи все вищеописане, можна прийти до висновку, що в даній роботі слід надавати перевага підходу, що базується на інформаційних ресурсах, а не на ідентифікації загроз.

1.3 Визначення цінності інформаційного ресурсу

Розглядаючи питання оцінки інформаційних ресурсів необхідно дати визначення цінності інформації. Ця проблема має давню історію. Дослідженню цієї проблеми присвячена величезна кількість публікацій, зокрема, ставші класичними для цієї галузі роботи К. Шеннона, О.О. Харкевича, Р.Л. Стратановича, М.М. Бонгарда та ін. [3, 9, 11]. Аналіз наведених в літературних джерелах результатів дозволяє стверджувати, що існуюче різноманіття підходів та методів визначення цінності інформації об’єктивно обумовлено існуванням різних видів інформаційних систем, де оброблюється чи циркулює оцінювана інформація, множиною не співпадаючих цілей, щодо реалізації яких використовується ця інформація, особливостями прикладних задач, до розв’язку яких вона застосовується.

Для повноти картини та розуміння ситуації, яка склалася на сьогоднішній день необхідно розглянути кілька фундаментальних моментів у становленні визначення цінності інформації. Першопрохідцем у сфері кількісного оцінювання інформації був А.А. Харкевич [11].

В концепції А. А. Харкевича цінність інформації визначається збільшенням імовірності досягнення мети внаслідок отримання тієї чи іншої інформації. Але практичне застосування його підходу ускладнено тим, що, як правило, неможливо визначити з достатньою точністю ймовірності досягнення конкретної мети до і після отримання інформації.

Спроби зв'язати поняття цінності інформації з поняттям мети видаються вельми плідними, однак наявні шляхи до кількісної оцінки цінності поки мало ефективні, бо вони засновані на використанні попередніх оцінок апріорних ймовірностей мети, знання і послідовних дій споживача. Це ускладнюється і тим, що дуже важко сформулювати в інформаційних поняттях мета, що стоїть перед споживачем інформації.

А.П. Веревченко провів дуже фундаментальні дослідження в сфері наукового визначення інформації [4]. В його роботах простежується прагнення до узагальнення та універсальності викладів. Для цього він взяв для розгляду найбільш масштабну на його думку організацію – країну. У зв’язку з цим все-одно з’явилася деяка конкретика, що може бути застосована лише до державних потреб. Але базові визначення можна використовувати і в менших організаціях, а головне – можна адаптувати решту на основі цих викладок.

Під цінністю інформації А.П. Веревченко розуміє її важливість, потрібність для прийняття інформаційних рішень. Таке визначення цінності інформації носить суб'єктивний характер і в більшості випадків немає об'єктивних критеріїв визначення цінності конкретних видів інформації при прийнятті інформаційних рішень.

Крім цього, цінність, в тому числі наукова, не є суто природним властивістю предмета (в нашому випадку інформації), а утворюється в результаті предметно-практичної взаємодії об'єкта і суб'єкта. Будь-яка цінність обумовлена ​​практикою у найширшому сенсі цього слова, і практика виступає як об'єктивний визначник цінності. Цінність є тим, що потрібно людині для її практично-пізнавальної діяльності, а практика сприяє оцінок об'єктивності.

Цінність об'єктивна як породження практичного відношення (взаємодії) об'єкта і суб'єкта, вона об'єктивна, так як утворюється в процесі суспільно-історичної практики. Хоча її об'єктивність може і не усвідомлювати суб'єктом.

Оцінка суб'єктивна. Оцінка як вираження суб'єктивного ставлення до цінності може бути істинною, якщо вона адекватна цінності, чи хибної, якщо вона цінності не відповідає. Говорячи про цінність інформації, необхідно мати на увазі її суспільну цінність, яка визначається з точки зору всієї системи наукових знань, що історично склалися напрямків наукових досліджень, методів і засобів пізнання, а також з урахуванням перспектив розвитку науки, техніки і виробництва.

Знецінення інформації пов'язано в основному з тим, що більша частина її перетворюється на елемент чистого різноманітності, а тому її цінність з часом втрачається зовсім (в силу суб'єктивної зумовленості її цінності) чи знижується в процесі формування більш фундаментальних знань (у випадку об'єктивної цінності). Доля інформації, таким чином, виявляється різною в залежності від того, чи буде цінність суб'єктивною або об'єктивною.

Суб'єктивна цінність - це така відносна цінність, яка пов'язана з поданням окремого дослідника або групи дослідників. Суб'єктивна цінність може бути відображенням об'єктивної цінності, але може і не бути такою. Використання інформації з суб'єктивної цінністю пов'язано найчастіше або зі здатністю дослідника унікально декодувати інформацію, яка у своєму звичайному розумінні втратила своє наукове значення (в цьому сенсі дослідник як би модернізує смисловий зміст наукової інформації), або з використанням ним інформації, об'єктивно такою, що втратила цінність (це відбувається через необізнаність дослідника про існування іншої, цінної щодо його проблеми інформації).

Інший різновид наукової інформації з суб'єктивної цінністю - авторитарний, тобто інформація, використання якої диктується не її об'єктивною цінністю, а прагненням дослідника віддати належне авторитету. Таке надумане використання наукової інформації може призвести до того, що об'єктивно цінна інформація, невдало застосована, дасть інформацію з негативною цінністю. Цінної інформації буде додана в певному відношенні суб'єктивно негативна цінність. Те ж може статися, якщо таке використання тієї чи іншої інформації нав'язується досліднику ззовні.

Найважливішим моментом у подоланні інформаційного кризи повинні бути концентрація цінності наукової інформації на основі творчого її узагальнення, перетворення малоцінної наукової інформації. Ідеалізуючи, необхідно мати еталон, за яким можна було б стежити за новизною та цінністю наукової інформації. Але фактично це означає наявність досить стрункого в логічному плані склепіння знань, короткої і фундаментальної наукової енциклопедії, в якій були б сконцентровані в стрункій логічній послідовності всі найбільш суттєві знання у формі деякої "чистої" різноманітності.

Дослідження А.П. Веревченка в значній мірі відносяться до наукової цінності публікації та досліджень. На перший погляд, вони мають небагато спільного з оцінюванням інформаційних ресурсів організації. Однак якраз у цьому випадку ставиться важливий наголос на те, що інформація не цінна сама по собі, а приносить користь лише при її використанні.

Аналізуючи роботи попередників, автори виділяє дві основні думки, щодо можливості визначення цінності інформації:

1. Відповідно до першого, теоретичну цінність наукової інформації (якість наукового результату) до, в момент або відразу після його опублікування визначити в принципі неможливо. І цінність розглядається як властивість, інтенсивність прояву якого залежить від впливу наукового результату на систему знання дисциплінарного.

2. Інші стверджують, що проведення оцінки можливо. Але зважаючи на відсутність спеціального методичного апарату завжди можливі неадекватні оцінки і навіть помилки, тому що критерії розпливчасті і носять суб'єктивний характер.

Автор часто звертається до користі, що приносить інформація, визначаючи її цінність. Тому важливо визначити, що ж таке корисність в концепції, розробленій у його роботах.

Корисність - характеризує придатність для певної мети, здатність приносити користь в інтересах кого-небудь, у відповідності з чиїми-небудь вигодами.

Корисність - це суб'єктивна цінність, цінність в інтересах певної особи (групи осіб) і стосовно їхньої вигоди.

Отже, в ряді випадків, "корисною" з точки зору суб'єкта стає недостовірна, неправдива інформація, що приносить шкоду (звичайно не даному суб'єкту, а конкурентові, "противнику", іншій стороні).

Деякі дослідники стверджують, що наукова цінність і корисність викладаються в них фактів не залежить від дати публікації. Але подібні твердження суперечать результатам досліджень, що проводилися за визначенням старіння публікацій.

В інформаційних документах розвідки переважне значення мають фактори корисності та своєчасності інформації, що представляється (вона не має цінності, якщо "потяг вже пішов"), документ повинен бути корисний вже в даний момент. У цих умовах повнота і точність іноді можуть бути принесені в жертву її своєчасності. Дане положення теж вимагає уточнення, тому що "Запізніла інформація" може і повинна використовуватись при аналізі причин невдалих (помилкових) інформаційних рішень і коригування рішень у процес їх реалізації.

Отже, історично склалося, що у найзагальнішому випадку цінність інформації вимірюється рівнем максимальної корисності, отриманої від залучення оцінюваної інформації до оптимізації виконання певного завдання. Решта залежить від контексту, а саме, які властивості вважаються корисними, пряму чи непряму вигоду приносять та ін.. Завдання ускладнюється не лише різноманітністю можливих ситуацій, в яких оцінюється інформація, а ще й суб’єктивізмом даної оцінки. Одна й та ж сама інформація може бути по-різному оцінена різними суб’єктами, навіть якщо вони належать до одного типу.

Наприклад стратегічно важлива інформація може бути ефективно використана одним підприємством, але інше не зможе отримати вигоду через брак коштів, ресурсів чи експертів. Дилема заклечається в тому, що з точки зору другого підприємства ці інформація являється цінною сама по собі, але не несе ніякої вигоди саме йому.

Ще один приклад, коли потенційно корисні ресурси не використовуються у повній мірі. Надана їм оцінка може бути коректною, але за деяких умов, таких як: реалізація до певного моменту часу; реалізація лише у повній мірі; політична чи економічна ситуація не зміниться кардинальним чином та ін.. Цей аспект може мати дуже важливу роль, якщо оцінюється вартість інформаційних ресурсів організації з точки зору потенційних покупців. Якщо продавати ресурс, то ціну на нього потрібно встановити таку, щоб відповідала тій максимальній користі, яку може отримати з неї покупець.

Відповідно до нахилу в бік максимального значення користі, такий підхід носить назву принцип екстремальності. Дотримання цього принципу гарантує найвищу якість використання інформації, відповідно найвищу корисність її застосування. Кількісна оцінка цієї корисності визначає цінність інформації. Тобто саме наявність принципу екстремальності в наведеному тлумаченні цінності інформації є запорукою коректного кількісного визначення цінності.

Формально цінність інформації можна визначити наступним чином [2]:

      (1.3)

де  – витрати на одержання, обробку та використання інформації  у певному виді людської діяльності;

– покращення (зростання) показника  для зазначеного виду діяльності за рахунок отриманої інформації :

       (1.4)

де  – нормативне значення показника (за відсутністю інформації ).

Виконання умов екстремальності обумовлює зростання показника  до його максимального значення , то ж

      (1.5)

Очевидно, що найбільш прийнятна форма виміру значень , ,  – грошова, хоча на практиці використовуються умовні одиниці, бали та інше. Крім того у більшості випадків величини , ,  носять детермінований характер і їх значення можуть бути точно обчислені за існуючими нормативами та тарифами (виключення становить задача прийняття рішення на множині варіантів з відомою інформацією про розподіл ймовірностей їх реалізації). Зазначимо, що наведені вище традиційні методи та підходи до визначення цінності інформації базуються на парадигмі позитивності наслідків залучення інформації до оптимізації певних видів робіт (прийняття рішень, розв’язання задач, виконання завдань). Однак в задачах захисту інформації, коли мова іде про визначення цінності конфіденційної інформації, я парадигма не спрацьовує, бо, насамперед, виникла раніше відсутня потреба в чіткому визначенні того, суб’єкта інформаційних відносин (власника інформації чи  зловмисника), для якого в цій ситуації визначається цінність конфіденційної інформації [1]. Для зловмисника отримання конфіденційної інформації звичайно має позитивні наслідки, для власника – негативні. При чому позитивність для зловмисника може виражатися як у реалізації отриманої конфіденційної інформації, так і в самому факті нанесення власнику цієї інформації збитку чи іншої шкоди.

Загалом структура збитків, що їх несе власник конфіденційної інформації через її втрату має чотири складові:

       (1.6)

де   – витрати на створення та обробку конфіденційної інформації  (близькі або співпадають з );

– втрати можливого прибутку за рахунок використання конфіденційної інформації  (у ряді випадків співпадають з );

– витрати на створення та експлуатацію системи захисту інформації (СЗІ);

– інтегральна оцінка збитку, що є наслідком можливих результатів розвитку ряду негативних для власника сценаріїв подій, обумовлених втратою конфіденційної інформації.

За своїм характером   детерміновані величини, значення яких для діючої виробничої системи мають бути достеменно відомі. Складова  – імовірнісна величина, яка для свого обчислення вимагає знання пар  – ймовірностей розвитку кожного з можливих сценаріїв та результуючих збитків за кожним з них. Зважаючи на те, що в разі недосконалості СЗІ власник конфіденційної інформації  може понести максимальний збиток в розмірі , саме ця величина приймається у якості цінності  конфіденційної інформації.

Таким чином, якщо відомі значення можливих атак та загроз, то можемо наглядно переконатися у доцільності введення додаткових затрат на підвищення захищеності ресурсів. Для прикладу, розглянемо залежність захищеності та ризику для конкретного ресурсу. Нехай вартість  інформації, не враховуючи затрати на створення СЗІ складають 1, щоб графік був нормований. Залежність захищеності ресурсу від затрат на створення СЗІ  пропонується ввести у вигляді:

        (1.7)

Це відображає той факт, що при введенні мінімальних засобів захисту захищеність ресурсу значно зростає, в той час як для ресурсів з високим рівнем захисту необхідно затрачати значно більші кошти, щоб ще більше підняти рівень захищеності. Вважаючи ймовірність виникнення та реалізації атак відомими, ризик складає

 

       (1.8)

Якщо врахувати той факт, що затрати на організацію СЗІ являються прямим збитком, то повна формула матиме вигляд:

 

     (1.9)

Отриману величину можна назвати збитковістю ресурсу, в тому плані, що існує ризик збитку внаслідок реалізації атаки, плюс затрати на СЗІ. Повна вартість ресурсу прирівняна до одиниці, тому будуючи залежність  варто пам’ятати, що це залежність від того, яка відсоткова частка повної вартості ресурсу (не враховуючи затрати на створення СЗІ) відведена на захист даного ресурсу.

Рисунок 1.1 – Залежність збитковості ресурсу від вартості СЗІ.

Як бачимо з графіку, збитковість ресурсу мінімізується в області 35-40 відсотків від базової собівартості ресурсу, що цілком співпадає з принципом розумної доступності.

1.4 Середні втрати

Поняття цінності інформації пов'язує шеннонівську теорію інформації з теорією статистичних рішень. В останній теорії основним є поняття середніх втрат або ризику, що характеризує якість прийнятих рішень. Цінність інформації спеціалізується як та максимальна користь, яку ця кількість інформації здатне принести в справі зменшення середніх втрат [9]. Таке визначення цінності інформації виявляється пов'язаним з формулюванням і вирішенням певних умовних варіаційних завдань. Ввести поняття цінності інформації можна трьома спорідненими способами, вибираючи за основу хартлієву, больцманівську або шеннонівську кількість інформації. При виборі шеннонівської кількості інформації потрібно вирішувати третю варіаційну задачу. Між зазначеними визначеннями існує відомий зв'язок, і одне поняття може служити зручною заміною іншого. Всі ці поняття характеризують певний об'єкт - бейєсовську систему, що поряд з каналом є найважливішим об'єктом дослідження теорії інформації.

Перш ніж теорія цінності інформації перетворилася в самостійний розділ теорії інформації, існуючий і розвивається незалежно від теорії передачі повідомлень по каналах, деякі її елементи і результати визрівали в надрах традиційної теорії, що досліджує канали. К. Шенноном була розглянута третя варіаційна задача, взята у формі мінімізації ентропії при заданому рівні втрати або, в шеннонівській термінології, при заданій точності відтворення. Використовувана при цьому термінологія далека від термінології статистичних рішень, але це, зрозуміло, не змінює математичної сутності. Пізніше Колмогоровим було введено засноване на зазначеній варіаційній задачі поняття e - ентропії і отримано ряд пов’язаних з нею результатів. Замість терміну e-ентропія можна ввести термін a - інформація, оскільки розглядається все-таки не ентропія, а шеннонівська інформація. Свого часу в роботах американських авторів слідом за роботами Шеннона  дана теорія (в первісній шеннонівській інтерпретації) отримала значний розвиток. Однак будемо дотримуватися іншої інтерпретації та іншої термінології.

Зменшення середніх штрафів напряму залежить від зменшення невизначеності. Користь, принесена інформацією, полягає в тому, що вона дозволяє зменшити втрати, пов'язані з середніми штрафами. Передбачається, що в умові завдання вказана функція штрафів, яка по-різному штрафує різні дії і рішення, прийняті дійовою особою. За більш вдалі дії призначаються менші штрафи або більші нагороди, ніж за менш вдалі. Мета полягає в мінімізації середніх штрафів. Наявна в розпорядженні інформація дозволяє домогтися меншого рівня середніх втрат.

Перш ніж переходити до математичного формулюванні сказаного, розглянемо більш просту задачу, яка ілюструє той факт, що висока невизначеність у системі, дійсно, підвищує рівень втрат.

Нехай є система з дискретними можливими станами. У дійсності здійснюється одне з можливих станів і величина x, що описує стан, приймає одне певне значення. Нехай у відповідності з призначенням системи вказана функція штрафу  Якщо, наприклад, потрібно, щоб система дотримувалася поблизу нульового стану  (завдання стабілізації), то може бути взята, скажімо, функція штрафу . Із будь-яких причин нехай у даному завданні неможливо забезпечити ідеальну рівність . Наприклад, внаслідок неминучих флуктуацій в складових частинах системи, в ній присутній статистичний розкид, тобто має місце невизначеність - негінформація. При цьому величина x буде випадковою і буде описуватися деякими ймовірностями . Мірою невизначеності, як відомо, є ентропія

      (1.10)

Будемо припускати, що кількість невизначеності Hx зафіксовано і розглянемо, які при цьому можливі середні штрафи . Існує певний межа для цих штрафів, яка може бути знайдена. Справді, це задача на знаходження екстремуму середніх штрафів за умови фіксованої ентропії.

Втрати  при  зростають із зростанням ентропії . Нехай тепер є приплив інформації, що зменшує ентропію. Якщо спочатку в системі була негоінформація  і внаслідок припливу інформації I вона зменшилася до величини , то, очевидно, це призвело до зменшення втрат. Різниця говорить про ту користь, яку принесла інформація . Вона є кількісна міра цінності інформації.

Як було відзначено, зменшення невизначеності в системі може бути досягнуто придбанням інформації. При цьому кількість інформації мислилося просто як різниця двох ентропій  однієї змінної . Між тим, кількість інформації  є більш складним поняттям, що передбачає існування двох випадкових величин  і  (а не однієї ). Повинна бути залучена величина , про яку передається інформація, і випадкова величина y, яка несе цю інформацію. Це змушує ускладнити наведені в цьому параграфі міркування, перейшовши від простої (першої) варіаційної задачі до ускладненої варіаційної задачі, яка називається третьою варіаційної завданням теорії інформації.

Будемо вважати, що задана випадкова величина x, що описується розподілом  і (вимірна) функція штрафів від  та оцінки  . Значення  і  є точками заданих вимірних просторів  і  відповідно. Тим самим задана система .

Для будь-якого умовного розподілу  можна обчислити середні штрафи або ризик:

     (1.11)

де Sum - знак інтеграла.

І шеннонівську кількість інформації:

(1.12)

Сформулюємо наступну задачу. Назвемо умовний розподіл  екстремальним, якщо він звертає в екстремум середні штрафи при фіксованому значенні кількості інформації:

        (1.13)

де  - незалежно задане число. Як показує аналіз, цей же розподіл звертає в екстремум, а саме в мінімум, інформацію  при фіксованих середніх штрафи:

        (1.14)

Якщо виконується рівність в даній формулі, то справедливою буде наступна:

   (1.15)

Середні штрафи (ризик) екстремального розподілу будемо позначати буквою . Внаслідок умови  вони є функцією від :

    (1.16)

Поряд з  можна розглядати і зворотну залежність  від . Значення  називаємо інформацією, яка відповідає рівню втрат  або, коротко а-інформацією. Як видно з наступного, функція  від  - є увігнутою. Тому  є, взагалі кажучи, двозначною. У загальному випадку функція  приймає мінімальне значення, рівне нулю, на деякому інтервалі:

       (1.17)

Функцію , зворотний функції , назвемо нормальної гілкою, а функцію , зворотний до , аномальної гілкою. Для нормальної гілки визначаємо цінність шеннонівскої інформації:

      (1.18)

Для аномальної гілки цінність інформації визначаємо формулою:

       (1.19)

Нехай задана система  і спостережувана функція , описувана умовним розподілом . Який би не був вирішальний алгоритм (рандомізований або нерандомізованй), рівень втрат задовольняє нерівності:

  (1.20)

Наведена теорема свідчить про плідність введення поняття цінності інформації. Питання про те, як фактично досягати гранично малих середніх штрафів, що вказуються теорією цінності інформації – завдання оптимізації і більше відноситься до аналізу ризиків.

1.5 Методи оцінювання

На сьогоднішній день існує лише один повністю ефективний та точний метод оцінювання інформації. Це метод експертних оцінок. Виникало багато спроб до автоматизації процесу оцінки інформації, але вони не досягли значних успіхів. Така картина виникла з кількох причин:

  1.  абстрактність об’єкту оцінювання;
  2.  суб’єктивізм оцінок, що надаються;
  3.  адаптація до середовища існування інформації;
  4.  неймовірно велика різноманітність видів інформації.

Відтак, оцінювання інформації у будь-яких її проявах (інформаційні ресурси) не обходиться без експертів. Але метод експертних оцінок не позбавлений недоліків. По-перше це дорога та громіздка процедура. Точність в дуже значній мірі залежить від думки експерта або від кількості експертів. Також існує багато складностей з проведенням самого процесу оцінювання. Часто експерти просто не можуть виразити в доступній форму (сформулювати) висновки, до яких дійшли.

Розглянемо у загальній формі, що собою представляє експертне оцінювання. Метод експертних оцінок — один з основних класів методів науково-технічного прогнозування, який ґрунтується на припущенні, що на основі думок експертів можна збудувати адекватну модель майбутнього розвитку об'єкта прогнозування. Відправною інформацією при цьому є думка спеціалістів, які займаються дослідженнями й розробками в прогнозованій галузі. Методи експертних оцінок поділяють на:

  1.  індивідуальні;
  2.  колективні.

Індивідуальні бувають двох типів: оцінка типу «інтерв'ю» та аналітичні (найпоширеніші з останніх — морфологічні — виявлення різних варіантів поведінки об'єкта прогнозування та метод складання аналітичних оглядів).

Серед колективних методів розрізняють:

  1.  метод комісії;
  2.  метод віднесеної оцінки;
  3.  дельфійський метод.

Метод комісії передбачає проведення групою експертів дискусії для вироблення загальної думки щодо майбутньої поведінки прогнозованих об'єктів. Недолік цього методу — інерційність (консервативність) поглядів експертів щодо прогнозованої поведінки об'єкта. Цих вад можна частково позбутися шляхом віднесеної оцінки, або методу «мозкового штурму».

Досконалішим методом колективної оцінки є дельфійський метод. Він передбачає відмову від прямих колективних обговорень. Дебати заміняють програмою індивідуальних опитувань, які здебільшого проводять у формі таблиць експертної оцінки. Відповіді експертів узагальнюють і передають їм назад (іноді разом з новою інформацією про об'єкт), після чого експерти уточнюють свої відповіді. Таку процедуру повторюють кілька разів, поки не досягають прийнятної збіжності всіх висловлених думок. Оцінки експерти, як правило, перетворюють на кількісну форму.

Наступним етапом розвитку методу експертних оцінок є метод «прогнозованого графа». Суть його полягає в побудові на основі експертних оцінок і наступного аналізу моделі складної мережі взаємозв'язків, які виникають під час розв'язування перспективних науково-технічних проблем. При цьому забезпечується можливість формування багатьох різних варіантів науково-технічного розвитку, кожний з яких у перспективі веде до досягнення мети розвитку прогнозованого об'єкта (галузі, сфери тощо). Наступний аналіз моделі дає змогу визначити оптимальні (за певними критеріями) шляхи досягнення мети.

У зв’язку з існуванням таких проблем, відповідно, виникло багато робіт щодо методології проведення експертного оцінювання. Це значно підвищило точність наданих оцінок та простоту проведення оцінювання. Вдосконалення даного методу можливе в декількох напрямках:

  1.  вдосконалення процесу проведення оцінювання;
  2.  аналіз наданих оцінок з метою виділення найкорисніших та точних;
  3.  аналіз результатів оцінювання з метою математичного обрахунку точних оцінок.

В контексті даної роботи аналіз деталей проведення засідань, складання анкетувань та інших методологічних моментів експертного оцінювання не є доцільним. Результати досліджень в даній сфері просто потрібно враховувати та використовувати при проведенні експертного оцінювання.

Аналіз ефективності, точності та об’єктивності наданих експертами оцінок, також становить проблему сфери аналітики. Звертаючись до оцінок експертів ми будемо вважати, що вони є точними та правдивими, не беручи до уваги, що оцінки могли бути дані під впливом авторитетності одного з експертів, чи з якихось інших міркувань, не пов’язаних з об’єктивністю надання оцінок.

Єдиний напрямок, в якому доцільно вести дослідження, враховуючи специфіку даної роботи – це обрахунок результатів експертного оцінювання. Адже не можна цілком покладатися на надані оцінки. З таким успіхом можна всю проблему оцінювання інформаційних ресурсів покласти на плечі експертів та керуватися наданими ними рекомендаціями.

При побудові моделі важливо мати на увазі, що цю модель будуть використовувати, як би очевидно це не звучало. Якщо оцінку деяких елементів покладено на плечі експертів, то необхідно зважати на зручність оцінювання цих елементів. Одним з найважливіших елементів, який підлягає експертному оцінюванні в моделі, що буде розроблено в подальшому являється коефіцієнт впливу інформаційного ресурсу на актив.

За своєю структурою, це множина відображень інформаційний ресурс – множина активів. І кожен зв’язок інформаційний ресурс – актив унікальний і вимагає окремої оцінки. Оцінювати їх всі одразу, за одною шкалою м’яко кажучи не зручно. До того ж, потрібно розглянути можливість появи нових інформаційних ресурсів, а отже необхідність незалежного оцінювання одного ресурсу при функціонуючій системі.

Отже оцінювання ведеться відносно кожного окремого елементу – тобто інформаційного ресурсу. Тоді значно зручніше буде оцінювати коефіцієнти впливу у відносних одиницях, так званих балах. Така зручність зазвичай не являється безкоштовною, за неї доводиться «платити» тим, що бальні оцінки потрібно якось узгоджувати між собою. Адже кінцевою метою всієї роботи – порівняння цінності інформаційних ресурсів та вираження її в прийнятному вигляді.

Уникнути бальних оцінок при такій ієрархічній системі елементів практично неможливо. Тож розглянемо можливі методи проведення оцінювання. Існують різні варіації, але всі вони мають спільну методологію і трохи різну теоретичну математичну базу. Зазвичай різниця заклечається у тому, якими формулами користуватися, враховуючи специфіку ситуації. Наприклад обраховувати середнє значення як середнє арифметичне, чи середнє геометричне. Насправді у більшості випадків розбіжність при використанні різних методів невелика, або застосування деяких просто неможливе чи недоцільне. Не будемо зациклюватися на визначенні математичного апарату просто тому, що ми не прив’язуємося до якогось конкретного випадку. Модель інформаційного ресурсу в принципі носить загальний характер через велику різноманітність форм існування інформаційних ресурсів.

Розглянемо загальний принцип бального оцінювання та візьмемо для прикладу один конкретний метод. Перш за все необхідно визначити шкалу балів, за якою даються оцінки. Візьмемо стандартну шкалу для побудови матриці суджень [7].

Таблиця 1.1 – Шкала для побудови матриці суджень.

Оцінка значущості

Якісна оцінка

Примітка

1

Однакова значущість.

Альтернативи мають однаковий ранг.

3

Слабка перевага.

Перевага однієї альтернативи перед іншою не переконлива.

5

Сильна (важлива) перевага.

Є надійні докази істотної переваги однієї альтернативи.

7

Явна перевага.

Існують переконливі свідоцтва щодо переваги однієї альтернативи.

9

Абсолютна перевага.

Свідоцтва на користь переваги однієї альтернативи над іншою з найбільшою мірою переконливості.

2, 4, 6, 8

Проміжні значення.

Використовуються, якщо необхідним є компроміс.

Дана шкала використовується для попарного порівняння різних активів на предмет «залежності» від даного інформаційного ресурсу. Чим більший вплив має інформаційний ресурс на актив, тим більшу «перевагу» він має перед іншими активами. Теоретично, порівнюючи кожен актив з іншими попарно, матимемо  порівнянь, враховуючи, що ми не порівнюємо актив сам з собою та порівняння першого з другим еквівалентно порівнянню другого з першим. Таким чином можна отримати матрицю  з одиницями по головній діагоналі та симетричну відносно головної діагоналі.

Якщо аналізувати, який з математичних методів підрахунку кінцевих оцінок, то вдаватися в особливості математичного аналізу немає сенсу, що зазначалося вище. Тому оберемо для наочності метод, який спрощує методологію, а саме – вимагає менше наданих оцінок.

Метод парного порівняння на основі рангових оцінок дозволяє провести всього n, або навіть n-1 оцінок. Решта обраховується за формулами. В результаті будемо мати матрицю наступного виду:

    (1.21)

де – ранг активу, який характеризує залежність цього елемента від інформаційного ресурсу, для якого будується дана матриця.

Далі обчислюється відносна значущість кожного елемента за наступними формулами:

    (1.22)

Далі за методом йде нормалізація отриманих результатів. У даному випадку в цьому немає необхідності, нас задовольнять і відносні оцінки в межах одного інформаційного ресурсу, оскільки вони будуть використовуватися для розрахунку цінності лише цього інформаційного ресурсу. Точніше, нормалізація буде відбуватися, але це скоріше буде метризація отриманої бальної шкали для переходу для грошового еквіваленту. Це питання буде розглянуто при побудові моделі.

Головне, що отримані формули дають можливість обчислювати коефіцієнти впливу двома незалежними способами:

- за абсолютними оцінками рівнів ri, (і=), які визначаються за дев’ятибальною шкалою ( 1 – найменший ранг, 9 – найбільший ранг);

- за відносними оцінками рангів aij= rj/ ri, де і, j = .

Головною перевагою цього методу є те, що, на відміну від аналогічних методів даного класу, він не потребує розв'язання характеристичного рівняння. Отримані співвідношення дають можливість обчислювати коефіцієнти впливу із використанням рангових оцінок, що нескладно отримати експертним опитуванням. Для експертних оцінок елементів цієї матриці можна використовувати дев'ятибальну шкалу Сааті. Відрізняється цей метод від аналогів ще й тим, що в результаті опитування формується тільки один k-й рядок матриці парних порівнянь, тобто елементи aij, k, j = , а інші (внаслідок властивості транзитивності цієї матриці) легко визначаються на підставі відомого рядка за формулою: aij = akj / aki, j = .

1.6 Висновки

Підсумовуючи все, що було розглянуто у першому розділі можна сказати, що поняття інформації та її цінності досліджується вже дуже довгий період часу. При чому їх визначення змінюється відповідно до епохи, в якій ведуться дослідження та відповідно до потреб, що складаються. Але не можна сказати, що давніші розробки не несуть ніякої користі, вони часто вважаються апріорним знанням при побудові системи захисту інформації.

Актуальність проблеми оцінки цінності інформації не викликає сумніву. Аналіз ризиків практично неможливий без знання можливих втрат та потенційних прибутків. У даному розділі практично відсутня інформація щодо прогнозування розвитку атак та наслідків реалізації загроз. Це досить важливий аспект аналізу захищеності системи та інформації, але в даній роботі акцент зроблено на статичну інформацію та позиціонування цінності інформації як величина можливих втрат, прямих та супутніх.

Таке визначення цінності інформації дещо обмежене, але побудова моделі для інформаційних ресурсів, це завжди пошук золотої середини між універсальністю та конкретикою. Зосередження на такому підході дозволяє більш детально розглянути саме  стаціонарну сторону цінності інформаційних ресурсів. Слід зауважити, що такий підхід не обмежує подальший розвиток інших аспектів та модернізацію до більш повного варіанту.


2 Розробка моделі

2.1 Інвентаризація інформаційних активів

Оцінювання активів практично завжди необхідно починати з їх інвентаризації. Існують методи, які не вимагають мати повний перелік існуючих активів, але навіть у таких випадках дослідження активів до початку оцінювання дає значні переваги.

Активи організації – це усе, що має цінність для організації, причому цінність кожного активу визначається його важливістю щодо ділової (функціонально) складової діяльності організації [6]. Зокрема, якщо мова йде про безпеку системи ІТ, що застосовуються в межах певної організації, оцінюванню підлягають насамперед активи цієї системи, причому при визначенні їх цінності має враховуватися те, наскільки може постраждати ця діяльність через виток, спотворення, недоступність та/або руйнування інформації, тобто внаслідок реалізації загроз по відношенню до ресурсів інформаційно-телекомунікаційної системи організації. Таким чином, ідентифікація та оцінювання активів, які були проведені на основі обліку ділових інтересів організації, є основним фактором у визначенні ризику.

Принципово активи можна поділити на дві категорії:

  1.  ресурси інформаційно-телекомунікаційної системи;
  2.  активи організації, цінність яких залежить від стану активів ІТС.

Існують стандартні методичні вказівки щодо ідентифікації інформаційних активів. Наприклад складаючи перелік активів системи неодмінно потрібно розглянути такі класи активів:

  1.  інформаційні активи: бази даних, файли даних, системна документація, настанови користувачеві, архівована інформація, тощо;
  2.  активи програмного забезпечення (ПЗ): системне ПЗ, прикладне ПЗ, інструментальні засоби, утиліти;
  3.  фізичні активи: комп’ютерне устаткування (процесори, монітори, модеми й т.п.), апаратура зв’язку (АТС, маршрутизатори, телефони, тощо), інше технічне обладнання, споруди та приміщення ІТС;
  4.  персонал та співробітники ІТС.

Склад активів другої групи, що не належать до активів ІТС, суттєво залежить від сфери, в якій функціонує організація, її фінансового становища, підпорядкованості, тощо. Зокрема це нематеріальні активи: репутація, імідж організації, рівень її ділової активності. Сюди ж слід віднести комунальні активи: освітлення, кондиціювання, обігрів, електроживлення. Нарешті, це можуть бути переліки робіт, заказів, організацій-суміжників, постачальників, списки продукції, що виробляється організацією, та інше. Загалом перелік активів другої групи може бути досить об’ємним. Щоб його раціонально звузити й одночасно не втратити чогось важливого, оцінюванню активів передує ще один додатковий етап – визначення меж огляду. Його задача – виділити ті аспекти ділової діяльності організації, які залежать від інформаційно-телекомунікаційних технологій (ІТТ), що використовуються організацією. З метою виявлення цих аспектів діяльність організації треба проаналізувати за двома групами критеріїв. Критерії першої групи дозволяють виявити межі залежності організації від ІТТ й спираються на наслідки аналізу наступних положень:

  1.  наскільки важлива частина бізнесової діяльності, яка вимагає обов’язкового залучення ІТТ;
  2.  які профільні (виробничі) задачі організації можуть бути реалізовані тільки за допомогою ІТТ.

Друга група критеріїв спрямована на виявлення інформації, що потребує захисту й на аналіз можливих наслідків реалізації загроз щодо цієї інформації:

  1.  які важливі рішення, що приймаються в організації, залежать від точності, цілісності, доступності та конфіденційності інформації, що обробляється в ІТТ;
  2.  яка оброблювана інформація потребує захисту;
  3.  які наслідки можуть виникнути після інциденту, пов’язаного з порушенням безпеки критичної інформації.

Закінчивши інвентаризацію активів, можна переходити безпосередньо до встановлення цінності активів. Основою для визначення цінності може бути:

  1.  вартість створення та обслуговування активу;
  2.  вартість модернізації та відновлення активу;
  3.  збиток, що наноситься організації у випадку порушення конфіденційності, цілісності або доступності інформаційних активів;
  4.  комбінація трьох попередніх варіантів, що дає змогу отримати певну інтегральну оцінку загальної цінності активу.

Найбільш поширеним в практичних застосуваннях є спосіб обчислення цілісності активів, в основі якого лежить третій з вищенаведених варіантів. Зокрема, рекомендації щодо його застосування приведені в обов’язкових додатках В, Е до стандарту ДСТУ ISO/IEC TR 13335 – 3. При аналізі цього способу обчислення цінності активів треба приймати до уваги два наступних моменти. По-перше, точкою введення загроз в ІТС є вразливість активів системи ІТ, тоді як наслідки реалізації цих загроз треба оцінювати в повній множині активів організації: активи системи ІТ + активи другої групи. По-друге, на певному кроці реалізації будь-якої загрози інформації цю загрозу можна звести до однієї із трьох: конфіденційності, доступності та цілісності, що дозволяє спростити і скоротити аналіз наслідків успішної реалізації загроз, зокрема обрахунок відповідних збитків. У стандарті ДСТУ ISO/IEC TR 13335 – 3 відмічається, що при розгляді інформаційних загроз слід аналізувати їх можливі наслідки, що призводять (серед іншого) до:

  1.  зниження рівня ділової активності організації;
  2.  втрати/погіршення репутації організації;
  3.  фінансових втрат;
  4.  перебоїв у виконанні ділових операцій;
  5.  погіршенню інвестиційного клімату;
  6.  виникненню загроз особистої безпеки і т.п.

Формально оцінювання збитку можна представити у вигляді три етапної процедури. При її формуванні будемо виходити з того факту, що в організації об’єктом прикладання загроз є інформаційні ресурси та елементи інформаційної інфраструктури (обладнання, програмне забезпечення, персонал), які разом складають деяку підмножину активів системи ІТ:

      (2.1)

Тоді як наслідки реалізації загроз (збитки організації) визначаються  на всій множині AS активів організації.

На першому етапі процедури оцінювання збитків виконується інвентаризації активів організації, результат якої – списки активів, що визначає повну множину активів організації: . Встановлюється перелік можливих загроз інформації . Формується підмножина , що включає лише ті активи системи ІТ організації, до яких в принципі можливе застосування будь-яких загроз зі складу множини .

В ході другого етапу виконується аналіз всіх можливих пар виду , за результатами якого визначаються групи активів, що асоціюються з кожним з інформаційних активів , відносно якого може бути реалізована загроза. На третьому етапі, в ході аналізу всіх можливих трійок , виявляються збитки , що завдаються активам  організації у випадку реалізації загрози  відносно інформаційного активу  , і за сукупним значенням всіх цих збитків, обрахованим за всією множиною активів , визначають часткову цінність відповідного інформаційного активу  (так звану «надану» цінність).

Наведена схема знаходження цінності активів являється ефективною, але лише для конкретних визначених випадків. Їй притаманний ряд недоліків.

По-перше, це множинність отримуваних по кожному активу оцінок , кількість яких визначається кількістю тих загроз, наслідки реалізації яких ведуть до потенційних збитків, що вимагають свого обліку. Фактично кожна окрема оцінка  відображає лише частковий збиток, що наноситься -му активу  реалізацією загрози . При реалізації різних загроз ураженими можуть опинитися як різні елементи, що входять до складу активу, так і частково або повністю співпадаючі. Очевидно, що формування підсумкової цінності активу в цих випадках буде відбуватися по-різному, виходячи з інформації про механізми утворення окремих збитків, яка носить частковий характер та може бути отримана лише під час обстеження конкретної організації. Тому в стандарті ДСТУ ISO/IEC TR 13335 – 3 відзначається наявність проблеми множинності оцінок активів, але відсутні будь-які загальні рекомендації щодо її вирішення.

По-друге, в цьому ж стандарті ДСТУ ISO/IEC TR 13335 – 3, п.9.3.3, підкреслюється необхідність обліку наявності взаємозв’язків між різними активами при визначенні рівня цінності кожного з них, що пояснюється існуванням взаємозв’язків певних вразливостей інформаційної системи організації та, відповідно, наявністю взаємозв’язків при реалізації окремих загроз інформації. Також як і у випадку множинності оцінок активів, облік взаємозв’язків активів можливий лише при наявності цілком конкретної інформації про часткові особливості та характеристики функціонування окремих підсистем організації.

По-третє, при великих значеннях  та  (порядку декількох десятків та більше) кількість аналізованих пар , стає достатньо великою, трійок  – ще більшою, а процедура оцінювання значень   – надмірно громіздкою та трудомісткою. Знаходження збитку   у цьому випадку можливе лише шляхом прямого експертного оцінювання, бо застосування процедур експертно-аналітичного характеру стає нереальним через множину альтернатив, що зіставляються , та перевищують рекомендований граничний об’єм  (число Ингве-Миллера). Безумовно, пряме експертне оцінювання значно спрощує та прискорює процедуру знаходження часткових збитків , проте при цьому експерт навряд чи в дійсності зможе свідомо виділити частковий збиток. В будь-якому випадку рівень суб’єктивних похибок експертизи істотно зростає.

Прикладом одного знай екстремальніших варіантів, що можуть виникати при оцінюванні активів, слід вважати ситуацію, в якій організацією, чиї активи оцінюються, є ціла країна [4]. В цьому випадку множина пар <актив-загроза>, які підлягають експортуванню, є фактично незліченною, а відтак застосування до неї наведеної вище процедури оцінювання активів – безглуздою втратою часу. Для отримання працездатної процедури оцінювання активів в цьому прикладі, а також у будь-якій масштабній організації, необхідно ввести механізми скорочення кількості пар <актив-загроза>, що зіставляються експертом до розумно прийнятної кількості.

Одним з таких механізмів є метод сценарного аналізу збитку, обумовленого реалізацією загроз щодо певного інформаційного ресурсу. За цим методом експерт до кожного ймовірного випадку реалізації загрози визначає скінченну множину можливих сценарії розвитку подій-наслідків (3-5 варіантів). Розгортання кожного з сценаріїв асоціюється з деякою конкретною множиною активів, яка за своїм обсягом незрівнянно вужче гіпотетичної повної групи активів. Тому експерт здатний достатньо об’єктивно оцінити наслідки розвитку кожного сценарію, які фактично становитимуть часткові інтегровані оцінки збитків (втрат), обумовлених реалізацією вихідної загрози. За остаточну оцінку збитків в разі реалізації відповідної загрози можна взяти найбільшу з часткових оцінок, отриманих за кожним з сценаріїв, або збитки за найбільш ймовірним сценарієм, або нарешті, середньозважений інтегрований збиток, де вагами являються ймовірності реалізації кожного з сценаріїв.

Іншу технологію зменшення кількості аналізованих експертом пар <актив-загроза> запропоновано в [5]. Однак наведена робота не містить детального опису механізмів реалізації самої технології. Тому нижче представлено приклад адаптації цієї технології до випадку аналізу рівня втрат, обумовлених реалізацією загрози витоку секретної інформації. Побудова цього прикладу певною мірою спирається на дані, наведені в [10], однак теоретико-методичною базою є сучасна теорія вимірювань, застосовування якої до задач класифікації інформації за рівнем її важливості розглянуто в [2].

Можливість застосування сучасної теорії вимірювань до задач оцінювання втрат, обумовлених витоком секретної інформації, спирається на застосування двох базових методів прикладного аналізу інформації: методу парних порівнянь та ноніусного підходу до визначення цінності інформації.

Класичний метод парних порівнянь дозволяє розташувати елементи. Що складають певну множину, у порядку збільшення або зменшення ознаки, спільної для всіх елементів даної множини. Відома також методика, коли подібна класифікація (ранжування) відбувається за кількома ознаками (комплексом або вектором ознак), метод – аналітичної ієрархії. На жаль, парні порівняння добре працюють за умов, коли кількість елементів множини, що аналізується, незначна. Із збільшенням обсягу цієї множини трудомісткість та складність застосування методу парних порівнянь різко зростає, що, як це вже зазначалося вище, робить його непридатним для практичного використання. Виходом в цьому випадку може бути своєрідний гіпертекстовий варіант порівняльного аналізу, в якому вихідна сукупність елементів поділяється на певні підмножини, що утворюють так звану ноніусну лінійку шкал. Кожна з цих шкал, починаючи з другої, є допоміжною для шкального фрагменту вищого рівня, яка деталізує, уточнює інформацію, щодо окремих елементів шкали вищого рівня.

Наприклад, груба шкала (найвищого – першого рівня) утворюється четвіркою інформаційних блоків, що містять інформацію в сферах:

  1.  оборони;
  2.  економіки, науки, техніки;
  3.  зовнішніх відносин;
  4.  державної безпеки та охорони правопорядку.

Кожен з перелічених блоків грубої домінантної шкали може бути представлений більш деталізовано підмножиною конкретизуючи його зміст допоміжних інформаційних елементів, наприклад:

3.1 загальні відомості про дипломатичні відносини з іншими державами;

3.2 інформація про міжнародні контракти в сфері постачання озброєнь та військової техніки;

3.3 … .

Ці інформаційні елементи припускають ранжування за рівнем втрат обумовлених витоком відповідної інформації, тобто утворюють ноніусну ранжовану шкалу другого рівня. При необхідності можлива конкретизація окремих (чи всіх) елементів цієї шкали введенням додаткових множин деталізуючи інформаційних елементів. Приміром, за п. 3.2 можемо отримати:

3.2.1 інформація про міжнародні угоди в галузі розробки озброєнь та військової техніки;

3.2.2 інформація про міжнародні контракти в сфері постачання озброєнь та військової техніки;

3.2.3 .. .

Додатково введені інформаційні елементи після їх ранжування за рівнем можливих втрат внаслідок витоку відповідної інформації, утворюють ноніусну ранжовану шкалу втрат внаслідок витоку відповідної інформації, утворюють ноніусну ранжовану шкалу третього рівня. Продовжуючи процедуру деталізації (якщо це є доцільним) інформаційних елементів шкали другого рівня, отримаємо ноніусні ранжовані шкали ще більш високих рівнів. В певній мірі прикладом подібного ноніусного підходу до класифікації інформації є структура представлення інформації в «Зводі відомостей, що становлять державну таємницю».

Впорядкована таким чином множина інформаційних елементів утворює систему рангових шкала, до якої експерт в змозі «вмонтувати» будь-який новий елемент, що підлягає оцінюванню на предмет визначення рівня можливих втрат через розголошення змісту даного елементу.

Для цього експерт визначає на ноніус ній лінійці шкалу, найближчу за змістом та рівнем деталізації до об’єкту оцінювання та виконує низку парних порівнянь об’єкту з вузлами (елементами) обраної шкали. Місце, яке зайняв об’єкт оцінювання в системі рангових шкал, можна надалі сприймати як новий вузол шкали, що в подальшому буде використаний у процедурі наступних парних порівнянь при оцінюванні нових інформаційних елементів.

Однак для визначення приналежності оцінюваної інформації до секретної необхідним є отримання кількісних оцінок можливих втрат, обумовлених розголошенням цієї інформації, які в порядковій (ранжованій) шкалі обрахувати немає змоги. Тому слід виконати метизацію ноніусної системи шкал, присвоївши її вузлам-елементам кількісні оцінки рівнів втрат.

Для цього розглядається все, що має певну цінність (іміджеві, економічну, політичну тощо) і у той чи інший спосіб може бути асоційоване з відповідним інформаційним елементом. В ДСТУ ISO/IEC 13335 це «все» визначається терміном «активи», пов’язані з інформаційним елементом, а збитки, обумовлені витоком інформації, виступають в якості кількісної оцінки рівня цінності цих активів. В [5] перелік деяких активів (у дуже скороченому обсязі) наведено у Додатку А, де їх цінність визначається терміном «питома вага» об’єкту тієї чи іншої сфери діяльності (оборони, економіки, державної безпеки тощо). Очевидно, що ефективне застосування подібної методики оцінювання втрат можливе лише за умов існування дуже докладних переліків активів у кожній сфері діяльності, пов’язаної з використанням секретної інформації, зокрема, при складанні таких переліків до кожної шкали ноніусної лінійки шкал.

Крім того, слід мати на увазі, що втрати інформації лише за змістом одного інформаційного елемента можуть обумовити збитки щодо різних актиів, тобто слід аналізувати та розглядати різні варіанти подій, поштовхом до яких стала втрата відповідної інформації.

2.2 Модель інформаційного ресурсу

Важливо розуміти, що в розпорядженні організації знаходиться безліч ресурсів. Серед них можна виділити окремі групи. Враховуючи специфіку даної роботи, логічно виділити окремим класом активи інформаційно-телекомунікаційної системи. Також, до складу активів організації входять інформаційні ресурси.

Питання оцінювання інформаційних ресурсів від самого початку піднімалось як проблема побудови захисту інформації. На основі матеріалів викладених в першій частині можна стверджувати, що цінність інформаційного ресурсу в даному випадку варто розглядати як сукупність збитків, що виникають в результаті реалізації загроз.

Важливо відмітити, що захисту підлягають лише інформаційні ресурси (з усієї сукупності активів організації). Виходячи з цього, до уваги беруться лише атаки, в результаті яких страждають інформаційні ресурси. Не можна сказати, що розглядатися мають лише атаки, які «направлені» на інформаційні ресурси, оскільки зловмисникам, як правило, не важливо, які саме активи організації постраждають, це лише інструмент для досягнення мети (виведення системи з ладу, шкода репутації та ін.).

Атаки зловмисників направлені на вразливості. Саме через них реалізуються загрози. Це може не обов’язково бути атака зловмисника, але якщо існує вразливість, то через неї можуть постраждати активи. Як приклад, вихід з ладу окремих елементів інформаційно-телекомунікаційної системи може відбутися не лише через навмисну атаку, а через випадковість чи старіння обладнання. Але результат буде такий же, як і при злочинних діях, направлених на виведення з ладу цього обладнання.

Існує популярна практика поділу усіх загроз на три категорії:

  1.  порушення цілісності;
  2.  порушення конфіденційності;
  3.  обмеження доступності.

Насправді не так важливо, як саме групуються загрози, дана концепція зручна для ілюстрації моделі оцінювання інформаційних ресурсів. Кожен клас загроз може бути спрямований на кілька вразливостей. Кожна вразливість може в результаті її реалізації вплинути на кілька інформаційних ресурсів. Обрахунку збитків, пов’язаних з втратою або пошкодженням конкретного інформаційного ресурсу не достатньо, оскільки кожен інформаційний ресурс може не становити цінності сам по собі, а бути необхідним для функціонування інших активів організації (не обов’язково інформаційних), а отже необхідно:

  1.  Визначити ряд активів, що залежать від кожного ІР.
  2.  Визначити, наскільки необхідним являється даний ІР для коректного функціонування залежних активів.
  3.  Визначити збитки, пов’язані з втратою чи виведенням з функціонування залежних активів.

Виконання другого пункту – це фактично надання «ваги» кожній залежності «ІР – актив». Звісно, можна б надавати оцінку втрат по кожному ІР окремо, але це по-перше: неефективно, оскільки безліч разів доведеться проводити дуже схожі оцінювання, а по-друге: така система негнучка. Цінність активів організації змінюється, а відтак змінюється й цінність ІР, оскільки вони напряму залежні. Навіть не враховуючи такі фактори як старіння та фрагментація, очевидно, що активи можуть змінювати свою вартість.

Наприклад репутація організації в різні моменти часу може мати різну значущість для різного роду операцій. Особливо, якщо репутації завдається певна шкода, то подальша втрата репутації може мати не такий значний ефект, як наприклад така ж шкода, але при бездоганній репутації.

Крім втрат, пов’язаних з ефектом на активи організації в результаті реалізації загроз, направлених на інформаційні ресурси, існують ще й статичні втрати, різні для кожного ІР. Як приклад, затрати на відновлення – не можна розглядати як окремий пункт зі списку об’єктів, на які впливають ІР та надавати цим залежностям ваги, як у випадку з іншими активами. Таку величину якраз значно зручніше оцінювати «в лоб», для кожного ІР.

Як зазначалося раніше, існує кілька процедур, що передують оцінюванню інформаційних ресурсів. Одна з них – це інвентаризація активів. Методика також була описана вище. В результаті ми маємо структурований набір активів, які поділені на підрозділи. Класифікація активів має деревовидну систему, що спрощує їх оцінку та виділення з них інформаційних ресурсів.

Для визначення вартості активів, що не становлять інформаційних ресурсів організації існує багато методик. Їх вибір зазвичай залежить від конкретики середовища, в якому функціонує система, але не практично не має впливу на побудову моделі інформаційних ресурсів. Зазвичай оцінювання так чи інакше проводиться з залученням експертів. Вони можуть давати конкретні оцінки в грошових одиницях або бальні оцінки, які згодом аналізуються та врешті-решт переводяться у все той же грошовий еквівалент.

В результаті, перед нами стоїть проблема оцінки інформаційних ресурсів при відомих вартостях решти активів організації. Важливо розуміти відмінність інформаційних ресурсів та решти активів. Оцінювання активів ведеться з метою визначення їх «корисності», чи «необхідності» для системи. Це виражається у грошовому еквіваленті втрат, що призводять пошкодження цих активів. Дослідження ж цінності інформаційних ресурсів ведеться з метою оптимізації їх захисту. Вони займають проміжне положення в схемі «загроза-актив».

Рисунок 2.1 – Схема реалізації загроз.

Як бачимо з рисунку, загрозі діють через вразливості. Фактично, кожна загроза реалізується лише через вразливості. Проблема захисту інформації – забезпечення безпеки інформаційних ресурсів. Цього можна досягнути і знищивши вразливості, і побудувавши захист для інформаційних ресурсів. В даній роботі розглядається проблема визначення цінності цих ресурсів для організації з метою оптимізації побудови захисту. Можлива ситуація, коли більшість загроз реалізуються через кілька вразливостей, але інформаційні ресурси, які в результаті атакуються являються менш цінними, ніж решта. Що захищати в першу черги і, головне, яку кількість ресурсів доцільно витратити на побудову системи захисту інформації – саме це питання вирішується завдяки адекватній оцінці цінності інформаційних ресурсів.

Побудована модель цінності інформаційних ресурсів носить досить загальний характер. Це можна розглядати і як недолік, і як перевагу, оскільки в питанні побудови моделі важливе місце займає універсальність. Відповідно, в жертву універсальності приноситься конкретика. Єдиний вихід – побудувати загальну універсальну модель та продемонструвати як її конкретизувати.

Загальна модель інформаційного ресурсу виглядає наступним чином:

    (2.2)

де  - вартість створення та обробки інформації;

- вартість побудови СЗІ для даного ресурсу з коефіцієнтом (оскільки СЗІ рідко будується для конкретних ІР, а скоріше для групи ресурсів);

- потенційна втрачена вартість, яку можливо було отримати за допомогою даного інформаційного ресурсу;

– сума вартостей активів з коефіцієнтом впливу по всім залежним від даного ресурсу активам.

2.3 Конкретизація моделі

Для демонстрації конкретизації розглянемо побудову даної моделі на прикладі. Візьмемо для прикладу звичайну організацію, яка займається продажем будматеріалів. Перш за все проводиться інвентаризація активів компанії. З поміж них виділяємо інформаційні ресурси, що підлягають захисту. В результаті першого підготовчого етапу маємо набір інформаційних ресурсів та решти активів компанії.

Що вважати активами організації було розглянуто в попередніх розділах. Далі проводиться оцінювання активів, що не становлять інформаційні ресурси. Нехай це оцінювання проводиться методом експертних оцінок. Це найефективніший спосіб, хоча інколи може бути дуже дорогим, але нас цікавить частина оцінювання інформаційних ресурсів, тому не будемо зупинятися на цьому питанні.

Отже маємо набір інформаційних ресурсів та набір активів з визначеними вартостями. Для наочності викладених введень доречно було б привести деякий приклад. Щоб зрозуміти суть не обов’язково моделювати цілу організацію, достатньо привести деякий набір інформаційних ресурсів та активів організації. Нехай це буде деяка торгова організація, яка містить стандартні для таких організації елементи.

Таблиця 2.1 – Приклад активів організації.

Інформаційні ресурси

Активи організації

Вартість активу (грн.)

Список клієнтів

База замовлень

База співробітників

Прогноз цін ринку

Репутація

Співробітники

Постійні клієнти

Потенційні клієнти

Постачальники

Рівень цін

50 000

20 000

100 000

40 000

50 000

45 000

Далі необхідно визначити які активи можуть постраждати в результаті реалізації загрози, направленої на кожен інформаційний ресурс, та наскільки серйозною буде завдана шкода.

Таблиця 2.2 – Приклад активів організації з наданими вагами цінності.

Інформаційні ресурси

Залежні активи

Вага

Список клієнтів

Репутація

Постійні клієнти

Постачальники

0,1

0,05

0,3

База замовлень

Постійні клієнти

Потенційні клієнти

Постачальники

0,2

0,01

0,4

База співробітників

Співробітники

0,5

Прогноз цін ринку

Постійні клієнти

Рівень цін

0,05

0,6

Таким чином, маючи набір залежних активів з коефіцієнтами залежностей та набір вартостей кожного активу, можемо елементарно підрахувати втрати пов’язані з реалізацією загроз відносно даних інформаційних ресурсів.

Таблиця 2.3 – Таблиця з розрахунками цінності в грошових одиницях.

Інформаційні ресурси

Підрахунок

Втрати (грн.)

Список клієнтів

База замовлень

База співробітників

Прогноз цін ринку

0,1*50000+0,05*100000+0,3*50000

0,2*100000+0,01*40000+0,4*50000

0,5*20000

0,05*100000+0,6*45000

25 000

40 400

10 000

32 000

Даний підхід застосовано для більшої наочності процесу. Звісно для при даній схемі експертам доводиться визначати коефіцієнти впливу на кожен актив саме даним інформаційним ресурсом, при тому, що вартість активів уже відома. Така задача абсолютно тотожна прямому визначенню втрат, пов’язаних з втратою даного інформаційного ресурсу.

Введення аналітичної складової до даного процесу значно підвищить простоту оцінювання та точність наданих оцінок. Як було зазначено при розробці методики ідентифікації активів, значно простіше давати оцінки, якщо існує ієрархічна система. При ієрархічній структурі елементів можна давати оцінки в межах одного блоку, не прив’язуючись до загальної шкали.

Також розглядались пов’язані з такою методикою незручності, щодо метизації кожного підпункту ієрархії. Дійсно, маючи бальні оцінки відносно елементів одного підрозділу потрібно вирішити, як спів ставляти отримані оцінки між собою.

В даному випадку, кожна ніша ієрархії – це набір активів, що залежать від конкретного інформаційного ресурсу. Дана ситуація має кілька ключових відмінностей від стандартної ієрархічної системи організації елементів. Саме їх можна використати, щоб подолати проблеми, що виникли в попередньому розділі.

Наприклад, елементи різних ієрархічних ніш можуть повторюватися. Один цей факт вводить своєрідну специфіку в дану проблему. Це можна використати, щоб подолати бар’єр між різними групами, в межах яких відбувається відносне оцінювання. Але важливо пам’ятати, що оцінки абсолютно відносні. Наприклад якщо якомусь конкретному активу в кількох нішах надано однакову кількість балів, це не означає, що він однаково залежить від цих інформаційних ресурсів.

Ще однин специфічний момент заклечається у тому, що нам вже відомі абсолютні (не відносні) оцінки елементів даної ієрархії. Задача заклечається у визначенні комплексної оцінки самої ніші, тобто елементів, що стоять на один порядок вище за активи.

Існує багато методів аналізу ієрархій. Не вдаючись в їх деталі, можна сказати, що в результаті ми будемо мати відносні оцінки важливості кожній ніші ієрархії. Наприклад, якщо від одного інформаційного ресурсу залежать чотири активи, при чому залежать у рівній мірі, то кожному буде надано коефіцієнт 0,25 або 25%. Якщо степінь впливу на різні активи різна – буде надано різні коефіцієнти. Але в сумі вони дадуть 100%. Очевидно, що не можна використовувати ці коефіцієнти для підстановки в наведену вище формулу. Необхідно провести метизацію даної ніші. Задача спрощується тим, що не потрібно давати конкретну грошову оцінку всім елементам даної групи, достатньо прив’язати до грошової шкали хоча б один елемент, решту можна обчислити саме за цими коефіцієнтами.

Нехай, в результаті проведення аналізу ієрархії активам залежним від даного інформаційного ресурсу надано такі коефіцієнти: . Виконуємо прив’язку до грошової шкали. Для цього обираємо елемент, який найпростіше оцінити в грошовому еквіваленті (ще один момент спрощення, не обов’язково оцінювати перший же елемент в групі). Але все ж рекомендується обирати елемент, з високим значенням коефіцієнту для уникнення парадоксів. Так, якщо якийсь актив було включено в групу залежних від даного інформаційного ресурсу «з натяжкою», тобто його залежність або непряма, або малоймовірна, або взагалі під питанням, то йому відповідно буде надана дуже низька оцінка і як наслідок – низький коефіцієнт . Прив’язавши такий елемент до грошової шкали, можемо отримати некоректні оцінки для решти елементів.

Отже, як було сказано вище, рекомендується обирати для прив’язки елемент з порівняно високим коефіцієнтом, але при цьому зручним для оцінювання в грошовому еквіваленті (цей критерій залишається пріоритетним). Нехай таким елементом обрано k-ий елемент групи. Тоді йому надається грошовий еквівалент залежності  (тобто якщо актив має собівартість в 1000 грн., а вплив інформаційного ресурсу складає 50% на думку експертів, то грошовим еквівалентом буде 500 грн.). Тоді решту еквівалентів можемо розрахувати за формулою:

        (2.2)

Відповідно, вже відпадає необхідність в абсолютних коефіцієнтах . Останній елемент вищенаведеної формули для обчислення загальної цінності інформаційного ресурсу  заміняється на нову: .

Використаємо для визначення даних еквівалентних вартостей метод, розглянутий у першому розділі даної роботи. За ним необхідно надати рангові оцінки активам, що залежать від даного інформаційного ресурсу. Вважається, що можна порівняти степінь залежності двох активів від одного інформаційного ресурсу, при чому рангова оцінка не буде становити нуль, оскільки таку оцінку може отримати лише той актив, що абсолютно не залежний від даного інформаційного ресурсу, а такі активи не входять до групи «залежні активи».

Повертаючись до попереднього прикладу, надамо рангові оцінки користуючись шаблоном Сааті для одного з інформаційних ресурсів. Нехай це буде «список клієнтів». Побудуємо матрицю попарних порівнянь. Нагадаємо, що порівнюються такі три активи: репутація, постійні клієнти, постачальники.

Таблиця 2.4 – Матриця порівнянь важливості активів.

Активи

Репутація

Постійні клієнти

Постачальники

Репутація

1

1/3

5

Постійні клієнти

3

1

9

Постачальники

1/5

1/9

1

Обрахуємо коефіцієнти впливу:

      (2.3)

Аналогічно обраховуємо другий елемент:

      (2.4)

Значення для першого вдвічі більше за значення важливості другого елементу, але все одно становить лише 15% всієї відносної важливості серед цих трьох елементів. Найважливішим буде третій елемент:

      (2.5)

Далі необхідно провести нормалізацію отриманих даних, що в нашому випадку означає надання грошового еквіваленту одному з активів. В попередньому прикладі втрати пов’язані з втратою репутацію було оцінено в 5000 грн. Для однозначності надамо такого ж значення і даному прикладі.

        (2.6)

Маючи дане значення можемо обрахувати другий елемент:

    (2.7)

Аналогічним чином можна використати  для обрахунку , але для визначеності та динаміки краще користуватися елементом :

   (2.8)

Загальну вартість даного ресурсу, пов’язану з втратами серед активів отримаємо просумувавши часткові вартості по всім залежним ресурсам:

  (2.9)

Неточності пов’язані з тим, що оцінки надані не експертом, а лише для прикладу. Але все одно помітно, що результат певним чином усереднюється, в той час як у попередньому прикладі більшість оцінок має вигляд «прикинутих на око». Даний метод являється більш точним та гнучким (згладжує крайності) і рекомендується для застосування.

Таким чином визначено лише частину загальної цінності інформаційного ресурсу. Розглянемо решту складових. Затрати на створення та обробку інформації в даному випадку розглядаються як робота співробітників, які збирають та формують інформацію, яку містить даний ресурс. Придбання персонального комп’ютера для обробки списку клієнтів організації не розглядається з очевидних причин. Купівля комп’ютера можливо навіть не пов’язувалась з ціллю даної експлуатації, тому такі затрати важко розглядати навіть у контексті витрат на систему захисту інформації. Дані поняття навіть важко спів ставити.

Отже створення та обробка – це робота співробітника, нехай це буде оцінено як відсоток від зарплати, як відсоток роботи секретаря. Оцінювання знову ж покладається на експертів, особливих вдосконалень в даному процесі ввести не уявляється можливим. Нехай втрати на створення та обробку списку клієнтів було оцінено у

Затрати на відновлення входять в дану складову, але мають свою специфіку. Перше, що може спасти на думку при моделюванні втрати такого інформаційного ресурсу, як список клієнтів – це втрата обладнання, на якому міститься даний список. В такому разі, відновлення даного ресурсу розглядалося б як відновлення інформації з пошкодженого носія. Але важливо пам’ятати, що по-перше відновлення можливе й без «реанімації» обладнання, а може розглядатися як додаткова робота співробітника, а по-друге реалізація загроз, пов’язаних з даним ресурсом не завжди призводить до втрати та необхідності відновлення.

Щоб врахувати даний момент існує два варіанти: ввести коефіцієнт аналогічний іншим складовим цінностей, який би базувався на ймовірності втрати та необхідності відновлення даного ресурсу при реалізації загроз; або виділення даної складової цінності окремо від загальної цінності та враховувати його лише при аналізі атак, які призводять до втрати ресурсу. Використання останнього методу не завжди доцільне, оскільки навіть розглядаючи конкретні загрози не завжди є можливим визначити, чи постраждає цілісність ресурсу в результаті реалізації загрози. До того ж при такому підході страждає атомарність моделі цінності інформаційного ресурсу.

Розглядаючи затрати на відновлення як додаткову роботу секретаря, визначимо вартість роботи по відновленню списку клієнтів як подвійну зарплату, вважаючи, що підтримувати список значно легше, ніж відновити його повністю. Врахуємо, що атаки, спрямовані на даний ресурс рідко мають за мету знищення даного ресурсу, а частіше за все – порушення конфіденційності. Тому надамо оцінку втрат, пов’язаних з відновленням даного ресурсу як   Отже результуюча величина даної складової

Наступна складова цінності інформаційного ресурсу – це затрати на створення системи захисту інформації (СЗІ). Це водночас найпростіша та найскладніша для обрахунку складова. Простота полягає в тому, що завжди можна точно сказати, скільки коштів було витрачено (чи планується витратити) на створення СЗІ, при чому одразу у грошовому еквіваленті. Проблема полягає у тому, що СЗІ як правило будується комплексно, для групи ресурсів, а не для кожного окремо. Необхідно визначити, наскільки побудована СЗІ відноситься до кожного ресурсу. Задача дуже подібна до визначення коефіцієнтів впливу інформаційних ресурсів на активи. Різниця полягає в тому, що при розгляді даного інформаційного ресурсу нас цікавлять одразу усі елементи, які забезпечують захист даного ресурсу та одночасно усі інформаційні ресурси, що захищаються кожним з цих елементів СЗІ.

Схема вирішення даної проблеми аналогічна до визначення коефіцієнтів впливу інформаційних ресурсів на активи з точністю до навпаки. Власне, коефіцієнти обраховуються таким же методом рангових оцінок та побудовою матриці попарних порівнянь. Різниця полягає у тому, що відома вартість елементу СЗІ «ділиться» на решту ресурсів пропорційно до знайдених коефіцієнтів. В даному випадку не потрібно проводити нормалізацію коефіцієнтів, це на одну оцінку від експертів менше ніж в попередньому випадку.

Негативна відмінність полягає в необхідності динамічності обчислення даних коефіцієнтів. Якщо в попередньому випадку при появі нового інформаційного ресурсу просто виникала потреба в проведенні оцінки даного ресурсу, то в даному випадку необхідно провести переоцінку цінності усіх ресурсів, що знаходяться під впливом тих же елементів СЗІ, що і новий ресурс. До того ж при введенні нових елементів СЗІ необхідно проводити переоцінку цінностей всіх ресурсів, для яких вводиться даний елемент.

При введенні нового елементу захисту визначаються інформаційні ресурси, для яких він вводиться (зазвичай це не становиться складності) та проводиться оцінка важливості даного елемента для кожного з визначених інформаційних ресурсів методом рангових оцінок, що був описаний вище. За даними коефіцієнтами та відомою вартістю нового елементу СЗІ до цінності залежних інформаційних ресурсів просто додається величина, що становить добуток відповідного коефіцієнту на вартість елементу СЗІ.

При введенні нового інформаційного ресурсу в таблиці попарних порівнянь кожного залежного елемента СЗІ з’являється додатковий стовбець та рядок. На перший погляд виникає необхідність зберігання таблиць попарних порівнянь для кожного елемента СЗІ та проведення додаткових  оцінок для кожного з них, де  – кількість інформаційних ресурсів, що захищаються і-им елементом СЗІ. Насправді в цьому немає потреби. Враховуючи специфіку обраного нами методу для визначення коефіцієнтів достатньо зберігати один рядок матриці попарних порівнянь (це можуть бути саме ці коефіцієнти важливості). Відповідно достатньо провести лише одне порівняння важливості нового інформаційного ресурсу порівняно з будь-яким іншим. Решта матриці перераховується за відомими формулами.

Для наочності прикладу введемо кілька елементів СЗІ. Нехай це буде антивірус/анти шпигун та сигналізація в офісі. Перший елемент захищає такі інформаційні ресурси: список клієнтів, база замовлень, база співробітників. При чому на бази – у більшій мірі, одразу визначимо коефіцієнти важливості (для прикладу, не вдаючись у деталі методу рангових оцінок), нехай це будуть коефіцієнти 0.2, 0.4 та 0.4 відповідно. Другий елемент захищає всі чотири приведені в прикладі інформаційні елементи, при чому у найбільшій мірі «прогноз цін ринку», оскільки він знаходиться в паперовому вигляді у сейфі. Решту ресурсів він захищає у однаковій мірі, оскільки всі знаходяться на офісному комп’ютері. Надамо наступні коефіцієнти: 0.1, 0.1, 0.1 та 0.7 відповідно. Вартість антивірусу складає 2000 грн., а сигналізації – 4000 грн.

Шляхом нескладних математичних перетворювань обчислюємо вартість інформаційного ресурсу пов’язану з витратами на створення СЗІ:

   (2.10)

Ще одна складова, яка лишилась не розглянутою – це втрата можливого прибутку. Це одна з найбільш суб’єктивних складових, оскільки її неможливо виміряти на практиці. Така величина піддається лише прогнозуванню та експертному оцінюванню. Вирішенню даної проблеми присвячено цілі розділи відповідної літератури. Можемо лише відзначити, що потрібно розрізняти поняття втраченого «можливого» прибутку та втрати пов’язані з негативними наслідками реалізації загроз, що спрямовані на даний ресурс, оскільки деякі втрати можуть бути враховані кілька разів, що призведе до переоцінювання ресурсу.

Найбільш ефективним методом для оцінювання такого роду втрат являється сценарний метод. Він часто використовується для розрахунку втрат, пов’язаних з негативними ефектами, визначаючи можливі варіанти розвитку наслідків атак. Але в даному випадку мають розглядатися «хороші» сценарії, які враховують відмінність розвитку подій, у тому випадку якби даний ресурс був у розпорядженні організації.

Повертаючись до прикладу та обраного інформаційного ресурсу, можемо сказати, що організація значно ефективніше працює, якщо в неї є у наявності список клієнтів. Наслідки розголошення даного списку були враховані у розрахунку впливу інформаційного ресурсу на активи. Тож цінністю у даному випадку будуть втрати, які понесе організація через відсутність списку клієнтів у проміжок часу між реалізацію атаки та повним відновленням списку. Припустимо, що без даного списку продажі падають на 10% від загального розміру. Об’єм продажем відомий, достатньо покопатися в бухгалтерії, нехай це буде прибуток компанії у розмірі 20 000 на місяць. Припустимо, що список клієнтів повністю відновлюється за тиждень, врахуємо те, що атаки на даний ресурс рідко супроводжуються втратою самого ресурсу. Разом маємо потенційно втрачену цінність:

    (2.11)

Таким чином, обрахувавши всі складові моделі цінності інформаційного ресурсу, нарешті можемо визначити повну вартість конкретного інформаційного ресурсу.

    (2.12)

Підставляючи отримані вище результати можемо обрахувати кінцеву вартість в грошових одиницях:

   (2.13)

Наведеним чином, враховуючи специфіку організації, для якої проводиться оцінювання, визначається цінність усіх інформаційних ресурсів, які були ідентифіковані. Нові елементи легко вмонтовуються в систему завдяки наведеній моделі цінності. Завдяки багатьом зв’язкам з системою СЗІ та активами компанії цінність ресурсів змінюється динамічно, відповідно до зміни елементів, від яких залежить цінність інформаційних ресурсів у реальному середовищі.

2.4 Висновки

В даному розділі розглянуто процес інвентаризації активів організації та приведено методичні вказівки щодо оптимізації. Дане питання грає дуже важливу роль, оскільки ієрархічна структура інвентаризованих активів та інформаційних ресурсів значно спрощує процес оцінювання. Один з етапів оцінки цінності інформаційних ресурсів – це визначення множини активів, що залежать від конкретного інформаційного ресурсу. Аналогічно необхідно виділяти множину інформаційних ресурсів, що залежать від конкретного елементу СЗІ. Обидві задачі спрощуються при ієрархічній структурі інвентаризованих активів.

Залежності можуть будуватися не лише у вигляді «ІР-актив», а й «ІР-група активів» або «ІР-клас активів», що значно зменшує кількість експертних оцінок, які необхідно надати.

Також запропоновано модель цінності інформаційних ресурсів, що становить собою суму часткових цінностей, що мають принципово різні способи оцінки. Кожна складова оцінюється окремо, але всі нормуються та їх цінність переводиться в грошовий еквівалент. Це дозволяє порівняти різні складові одного й того ж активу, а також проводити більш гнучкий аналіз цінності інформаційних ресурсів.


Висновки

У даній роботі розглянуто питання визначення цінності інформації в принципі та інформаційних ресурсів зокрема. Розглянуто проблему оцінювання інформаційних ресурсів організації як проблема захисту інформації. Проаналізовано різноманітні підходи до вирішення даної проблеми. Розглянуто основні методи оцінювання цінності інформації, виділено найбільш ефективні та підходящі для застосування в даній роботі.

В результаті аналізу існуючої літератури зроблено висновок про доцільність концентрації уваги на інформаційних ресурсах організації, як частини усіх активів організації. Саме вони підлягають захисту, а оскільки проблематика оцінювання цінності інформації розглядається лише в контексті оптимізації побудови захисту інформаційної системи, то й основний акцент зроблено на оцінку інформаційних ресурсів.

Досліджено процес ідентифікації активів та інформаційних ресурсів компанії зокрема, розроблено методичні вказівки з метою підвищення ефективності проведення даної процедури, оскільки результат даної процедури напряму визначає ефективність подальших розробок в області роботи з інформаційними ресурсами.

Розроблено узагальнену модель цінності інформаційних ресурсів. Розроблено ряд динамічних взаємозв’язків між різними елементами та факторами, що визначають цінність інформаційних ресурсів. В результаті модель цінності набула динамічності та чутлива до внутрішніх змін в організації. Відбувається автоматична переоцінка цінності при зміні в залежних елементах. Наочно проведено приклад адаптації для конкретної системи на прикладі.

Перелік посилань

  1.  Архипов О.Є., Ворожко В.П. Системні аспекти оцінювання рівня важливості секретної інформації / правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні. К., - 2007. – Вип.2 (15). – с.10-12.
  2. Архипов А.Е. Технология построения комбинированніх измерительніх шкал для оценивания значимости информации / Архипов А.Е. // Адаптивные системы автоматического управления. – 2008. – №13(33). – с.153-158.
  3. Бонгард  М.М. О понятии «полезная информация» // Проблемы кибернетики. Вып. 9. М.: Физматгиз, 1963.-с.71-102.
  4.  Веревченко А.П. Информационные ресурсы: определение и краткая характеристика. // Прикладная информатика/ Под ред. М.В. Савинкова.- 1991.-n17.-с. 5-32.
  5. ДСТУ ISO/IEC TR 13335 – 3.  Інформаційні технології. Настанови з керування безпекою інформаційних технологій (ІТ). Частина 3. Методи керування захистом ІТ.
  6.  Миняйло А.М., Каныгин Ю.М., Рузакова О.В. Экономика и организация информационных ресурсов. Екатеринбург. СИНХ. 1988 с. 8-13.
  7. Саати Т.Л. Принятие решений. Метод анализа иерархий: Пер. с англ.- М.: Радио и связь, 1993. – с. 320.
  8. Столяров Ю.Н. Сущность информации. - М.: ГПНТБ, 2000. – 120 с.
  9. Стратанович Р. Л. О ценности информации. - Изв. АН СССР. Техническая кибернетика, 1965, №5.- с.5-12.
  10. Суппес П. Основі теории измерений / Суппенс П., Зиннес Дж. // Психологическое измерение. – М.: Мир,  1976. – 220 с.
  11. Харкевич А. О ценности информации // Проблемы кибернетики. – М.: Физматгиз, 1960. - c.15-18.
  12. Шрейдер Ю. А Об одной модели семантической теории информации. - В кн.: Проблемы кибернетики. - М.: Физматгиз, 1965, вып. 13.- c.233-240.


 

А также другие работы, которые могут Вас заинтересовать

20575. Україна в роки Першої світової війни 40.5 KB
  українців було в російській армії та 250 тис. До них слід долучити 25 тис. На її заклик відгукнулося майже ЗО тис. Головна Українська Рада вирішила спиратись на ці сили.
20576. Первісний лад на території України 61 KB
  Основними заняттями людини були збиральництво і полювання. Соціальною формою існування за раннього палеоліту виступало людське стадо, оскільки лише колективне буття давало можливість вижити у складних кліматичних і природних умовах. Жили люди того часу в печерах або хижах із дерева та кісток мамонта.
20577. Зовнішня політика УНР. Берестейській договір та його наслідки. У зовнішній політиці 26.5 KB
  Зовнішня політика УНР. У зовнішній політиці Директорії вдалося розширити міжнародні зв'язки УНР її визнали Угорщина Чехословаччина Голландія Італія. Не визнали УНР країни Антанти й відроджена Польща яка претендувала на Правобережну Україну. Не визнавши гетьманської адміністрації дипломати країн Антанти не збиралися визнавати й поновлену УНР.
20578. Гетьманський переворот. Павло Скоропадський. Гетьманський уряд та його політика 39 KB
  після того як держави Антанти навіть не відповіли на пропозицію про мирні переговори Раднарком Росії розпочав їх з Німеччиною та її союзниками. був прийнятий закон Про посольства 1 місії Української Держави. Основний акцент робився на професійній підготовці фаховому рівні принциповості та патріотизмі працівників зовнішньополітичного відомства Української Держави. Міністрами закордонних справ Української Держави гетьмана П.
20579. Доба Директорії УНР: її внутрішня і зовнішня політика 39 KB
  Доба Директорії УНР: її внутрішня і зовнішня політика Політичні помилки тяжке становище трудящих залежність від окупаційної влади поразка Німеччини та її союзників у війні стали причинами падіння гетьманської влади в листопаді 1918 року. Коновальця Директорія повела наступ на Київ і захопила його 14 грудня 1918 року Прийшовши до влади вона обіцяла знищити поміщицьке землеволодіння встановити трудову владу провести вибори до Конгресу трудового народу якому й належатиме влада. Винниченко на черговому з'їзді Української...
20580. Зх. Укр. землі в 1918 р. Утворення ЗУНР. Петрушевич 32 KB
  Утворення ЗУНР. Левицьким і виданий тимчасовий закон про державну самостійність українських земель колишньої АвстроУгорської імперії за яким усі вони входили до складу Західноукраїнської Народної Республіки ЗУНР. Уряд ЗУНР переїхав до Тернополя а пізніше до Станіславова. перша сесія Української Національної Ради у Станіславові проголосила об'єднання ЗУНР з УНР в єдину державу.
20581. Відновлення радянської влади в Україні в 1919р. Селянсько-повстанський рух. 1919 р 27.5 KB
  Згідно з декретом Тимчасового робітничоселянського уряду вона дістала назву Українська Соціалістична Радянська Республіка УСРР а сам уряд з переїздом до Харкова зазнав значних змін на чолі уряду за рекомендацією В. Юридичне оформлення радянської державності на теренах України відбулося 10 березня 1919 р коли III Всеукраїнський з'їзд рад Харків прийняв першу Конституцію УСРР. Центральним завданням цієї диктатури Основний Закон УСРР визначив здійснення переходу від буржуазного ладу до соціалізму після чого диктатура а слідом за...
20582. Утворення СРСР. Статус України в складі Радянського союзу 29.5 KB
  Утворення СРСР. Повернімося однак до періоду що передував створенню СРСР. 10 грудня на VII Всеукраїнському з'їзді Рад було схвалено Декларацію про утворення СРСР і проект основ Конституції СРСР. З'їзд звернувся до з'їздів Рад інших радянських республік з пропозицією невідкладно оформити створення СРСР.
20583. Перехід до нової економічної політики та її здійснення в Україні 38 KB
  Сюди на цей раз надовго повернулася радянськобільшовицька влада. Радянська влада жорстоко розправлялася з незадоволеними більшовицькою політикою. Але більшовицька влада не була б такою коли б вона дала змогу реалізувати цю політику в усіх її вимірах. Радянськобільшовицька влада поверталася до традиційно тоталітарних методів керівництва й управління.