В широком смысле «методология» – это учение об организации деятельности по постановке цели, определению принципов, методов и способов её достижения. Другими словами, методология – это учение о целеполагании и целедостижении.
Методология должна дать нам ответ на два взаимосвязанных и взаимодополняющих друг друга вопроса:
1) какова цель деятельности;
2) каким образом эту цель можно достичь.
Если уж совсем просто, то: разработка методологии деятельности – это поиск ответов на вопросы «зачем?» и «как?».
Зачем защищать информацию?
Зачем защищают человека, предприятие, государство более-менее понятно: чтобы им не был причинён вред в виде деструкции, дисфункции, ухудшении условий жизнедеятельности [1]. Какой вред может быть причинён бездушной и бестелесной информации? Информация индифферентна по отношению к причинению ей вреда [подробнее в 2 ]. По-простому: информации глубоко безразлично, кто и что с ней делает. В отличие от человека. Вот человек переживает:
- когда у него пропадает важный документ;
- когда он не может оформить пенсию из-за того, что нерадивый кадровик не сделал в его трудовой книжке соответствующую запись или сделал её неправильно и пенсионный фонд отказывается признать её достоверность;
- когда он не может найти нужную информацию, необходимую ему для принятия жизненно важного решения;
- когда он не в состоянии приватизировать квартиру, потому что его фамилия Ерёменко, а в паспорте стоит Еременко;
- когда его приватная переписка стала достоянием общественности, в результате чего у общественности изменилось к нему отношение с положительного на крайне отрицательное и он потерял и уважение, и доходы и т.д. и т.п.
Получается, что информацию нужно защищать для того, чтобы избавить от неприятностей человека, которые могут случиться в результате какого-либо происшествия с нужной или важной для него информацией.
Защищать информацию ради информации просто глупо.
Поэтому, когда заходит речь о защите информации, всегда надо помнить, что главная цель этой деятельности – защита от возможных неприятностей человека!
Человек – объект безопасности, а информация – объект защиты.
Хотя и здесь не всё так просто. Что является объектом защиты, то есть предметом деятельности? Что подлежит защите?
Что защищать?
Как было написано в предыдущих статьях [см., например, 3], выбор объекта во многом определяет содержание деятельности по обеспечению его безопасности (защите). В нашем случае чаще всего в качестве такового называется «информация» и, естественно, при этом говорят о «защите информации». Но что такое информация? Философия постмодерна даже человека трактует как текст. А текст – это информация. Значит человек тоже информация. И уж точно – носитель информации, т.е. информационный объект. Отсюда должно следовать, что «защита информации» подразумевает и защиту человека? По логике должно. По факту это далеко не так. И вообще: там, где есть форма, там есть и информация. Тогда получается, что фраза «защита информации» означает защиту бесконечной сущности?! Понятно, что это несбыточная утопия. Мы даже о конечных сущностях, о которых имеем некоторое представление, так не говорим. Ведь никто не говорит о защите воздуха или воды. Не о конкретном их объёме, а о защите воздуха вообще или воды вообще: «система защиты воздуха» или «система защиты воды». Мы можем говорить о защите воздуха, которым дышим, от загрязнения отравляющими веществами; о защите воды, которую пьём, от попадания вредных примесей»; «о защите имущества, которым владеем, от пожара или кражи». Мы говорим о «защите информации», но никогда о «защите столбов» . Почему? Потому что все понимают, что термин «защита столбов» - глупость. Сразу возникает куча наводящих вопросов: каких столбов?, где?, когда?, от чего/кого? И т.д. и т.п. Т.е. говорить можно о защите какого-нибудь имеющего конечные размеры конкретного объекта от причинения определённого вида вреда. Но все говорят о «защите информации», не задумываясь о том, что это грубейшая методологическая ошибка – отождествление части и целого: речь ведут о защите информации, а подразумевают только ту её часть, которая отнесена в соответствии с законом к подлежащей защите. И при этом ещё не уточняют, от чего же следует её защищать. В итоге получается, что всей и от всего?!
Но даже если ограничить объект – информацию – только рамками, например, принадлежности субъекту, т.е. говорить о «защите информации ООО «Рога и копыта»», то принципиально ничего не изменится. Ведь «информация ООО «Рога и копыта»» - это не только то, что имеется в официальных документах этого предприятия. Это, в том числе, и знания сотрудников предприятия, их разговоры как в рабочее время (в том числе и не о работе), так и в нерабочее время о работе, это и внешний вид работников, и буклеты о предприятии и выпускаемых товарах. Надпись на заборе завода – тоже информация и тоже принадлежит заводу. Тогда её тоже нужно защищать!?
Поэтому фраза «защита информации ООО «Рога и копыта»», по сути, тоже есть бессмыслица. Чтобы эта фраза приобрела хоть какой-то смысл, нужно указать хотя бы категорию информации, которую нужно защищать, т.е. указать отличительные признаки информации, подлежащей защите.
Я считаю, что таким отличительным признаком, как минимум, может быть принадлежность к ресурсам предприятия.
Ресурс (от французского ressource — вспомогательное средство) – это или «запас, источник чего-либо, используемый при необходимости», или «средство, возможность для осуществления чего-либо» .
Информация – это и источник (например, нового знания), и средство, дающее возможность осуществления деятельности, и результат деятельности, который может составлять своеобразный запас (архив, библиотека, хранилище, база данных, банк данных).
Правда, здесь мы наталкиваемся на очередную проблему, связанную с толкованием терминов. Словари дают такое определение термину «информационный ресурс» – совокупность отдельных документов, массивов документов, обычно структурированных в базы данных и используемых определённой информационной системой [5].
Если исходить из приведенного выше определения, то сотни килограммов бумаг с текстами, цифрами, схемами в сейфах, в шкафах, в столах и на столах и подоконниках – это не информационный ресурс, поскольку:
1) это не документы, т.к. не имеют всех отличительных признаков, чтобы быть отнесенными к категории «документы»;
2) они не используются (непонятно кем и каким образом определённой) информационной системой.
Операционные системы средств вычислительной техники, прикладное программное обеспечение тоже не являются документами, но однозначно относятся к информационному ресурсу, представляют значительную ценность для их владельцев, иногда – значительную.
Закон РФ от 20.02.1995 № 24 «Об информации, информатизации и защите информации» давал такое определение понятию «информационный ресурс» - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). В этом определении – более широком, нежели предыдущее – опять, почему-то, речь ведётся только о документах и только в информационных системах. При таком подходе всё, что не является документом и не находится в информационной системе, к ресурсу не относится! Но магнитная лента с записью конфиденциального разговора или регистратор с записями с камер видеонаблюдения – не есть документы, но однозначно относятся к информационному ресурсу. А уж разговоры на служебном совещании, ни при каких обстоятельствах, не отнесёшь к документу (да ещё в библиотеке или банке данных), но они однозначно относятся к информационному ресурсу предприятия. А так называемый «лисий хвост» и прочие отходы производства – однозначно не документы и находятся ни в бумажных, ни в электронных информационных системах, но, несомненно, принадлежат к категории «информационный ресурс предприятия» и также могут подлежать защите. Ведь по ним можно получить не просто конфиденциальную, а даже секретную информацию. Так, по цвету «лисьего хвоста» из трубы металлургического завода реально вычислить марку стали, которую там варят, а по составу почвы, взятой с подошвы ботинок рабочего, установить, что на предприятии, где он работает, делают твёрдое ракетное топливо и узнать его состав. И таких примеров можно привести немало.
Я просмотрел большой объем информационных ресурсов в Интернете, несколько словарей и ГОСТов и не нашел ни одного более-менее логичного определения понятия «информационный ресурс». Сам я давно пользуюсь своим собственным глоссарием, в котором информационный ресурс – это совокупность информационных объектов, находящихся в распоряжении субъекта.
N
ИР = Σ ИОn (1), где
n=1
ИР – информационный ресурс;
ИО – информационный объект.
Информационный объект – это двуединство материального носителя информации (МНИ) и самой информации (И).
ИО = МНИ & И (2).
Информационный ресурс – это не только документы и массивы документов в информационных системах. Это и разговоры на производственную тему, и отходы производства, и карты, схемы, чертежи, служебные записки, «четрертушки» с резолюциями и т.д. и т.п. В то же время никому не придёт в голову подвести под определение «информационный ресурс предприятия» «трёп» сотрудников в курилке или частные разговоры по служебному телефону. Но разговор в кафе на производственную тему вполне под него подпадает. Таким образом, я считаю, что корректно говорить не о «защите информации», а о «защите информационного ресурса» того или иного субъекта.
Многообразие субъектов и создаваемых ими и/или находящихся в их распоряжении информационных ресурсов порождает необходимость создания и различных систем защиты, учитывающих особенности структуры самих субъектов, рода их деятельности, созданных ими информационных объектов и информационных потоков. Но методология защиты инвариантна к этим особенностям, она – универсальна, как и принципы, на которых она должна строиться.
Принципы защиты информации (информационного ресурса).
Сегодня в качестве принципов организации защиты информации государством установлены (конституированы):
- законность;
- баланс интересов личности, общества, государства;
- взаимная ответственность личности, общества, государства.
Возможно, всё это имеет право на то, чтобы называться принципами. С моей точки зрения, всё перечисленное – не больше, чем категорические императивы, т.е. психологические установки, благие пожелания, но никак не принципы. По моему мнению, принцип – это незыблемое правило, нарушение которого влечёт недостижение цели. Именно так: нарушил принцип – не достиг цели! Можно нечто подобное сказать об этих «принципах»? Ответ однозначный – НЕТ! И даже не потому, что ни один из перечисленных «принципов» в действительности не соблюдается, а потому, что он и не может быть соблюдён.
Так, ни один закон и ни одно законодательство, каким бы оно ни было обширным и совершенным, не может предусмотреть всего разнообразия возможных ситуаций.
Не зря же существуют «итальянские забастовки» : казалось бы, все начинают строго соблюдать установленные законом нормы и правила, т.е. строго следовать принципу законности, но (почему-то) вместо ожидаемого строгого порядка наступает спад производства, а то и полный коллапс. Особенно наглядно это проявляется на транспорте.
В деле защиты информации (информационных ресурсов) результаты соблюдения принципа законности не столь наглядны, но и нельзя не заметить: системы защиты, построенные по этому принципу, больше напоминают не щит, а либо решето, либо бункер.
Удивительно то, что возведение «законности» в ранг принципа используется в развитых странах для борьбы с законодателем, а у нас соблюдения этого принципа требует сам законодатель. От коллапса отрасль спасает только другой, неписаный, принцип: строгость российских законов компенсируется необязательностью их исполнения.
Баланс интересов невозможно соблюсти уже потому, что интересы «личности, общества, государства» невозможно даже выявить. Можно продекларировать, как это и сделал законодатель, но от науки и здравого смысла это очень далеко [1].
Взаимная ответственность «личности, общества, государства» невозможна потому, что непонятно кто, перед кем, чем и как должен отвечать: личность (?) перед обществом или государством, государство ли перед личностью и обществом, общество перед личностью и государством?!
Личность, она и есть личность, т.е. «личина», и ни перед кем она не отвечает. Вряд ли кто-то внятно скажет, что такое «общество» и как оно должно ответить перед личностью или государством. А как должно отвечать «государство» перед «личностью» и «обществом»? И перед какой «личностью», и каким «обществом»? Перед «обществом любителей кошек»? В нормальной же юридической практике принято, что все – а именно: юридические и физические лица – отвечают друг перед другом по закону. А обороты типа «ответственность перед обществом», «ответственность перед государством» - это не более чем «замполитовские» лозунги.
В научной и квазинаучной литературе можно найти десятки принципов, на которых должны строиться системы защиты информации. Подавляющее большинство из них имеют к принципам такое же отношение, как и три, перечисленные выше. Я считаю, что защита информационных ресурсов должна строиться на общих принципах обеспечения безопасности, к которым я отношу:
- своевременность;
- адекватность;
- комплексность.
Принцип своевременности очевиден и понятен: действия по обеспечению безопасности должны быть предприняты вовремя. Применительно к защите информационного ресурса в подавляющем большинстве случаев «вовремя» – значит заранее. Другими словами, действия по защите информационного ресурса должны носить преимущественно превентивный характер. «Слово не воробей, вылетит – не поймаешь», - гласит народная пословица. Но преимущественно не означает исключительно. То есть, если меры по защите не были приняты вовремя или вопреки принятым мерам информация была искажена или уничтожена, доступ к ней был заблокирован или, напротив, установленные ограничения были преодолены, то это не означает, что её теперь не нужно восстанавливать или защищать, в том числе, от кражи, уничтожения, утечки, искажения и т.д. Нужно! И немедленно. Реакция на инцидент должна быть мгновенной.
А вот с этим у нас существует серьёзная проблема. И у этой проблемы есть конкретное имя – 44-ФЗ (Федеральный закон от 05.04.2013 №44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»). Этот чудо-закон не позволяет бюджетным организациям реагировать на инциденты мгновенно. Срок реакции по нему – от десяти дней до года.
Адекватность предполагает принятие мер по защите, соответствующих ценности (и/или цене) информационного ресурса, силе и характеру возможного деструктивного воздействия, размеру возможного вреда в случае реализации той или иной угрозы. Основным критерием здесь должно стать соотношение «эффективность/стоимость», а основным методом – метод экспертных оценок. Часто применяемый в настоящее время в различных методиках статистический метод может быть применён исключительно в качестве вспомогательного.
Наиболее ярким примером несоблюдения этого принципа является 152-ФЗ «О персональных данных», который обязывает производить дорогостоящие процедуры по защите информации, от распространения которой не может быть никакого вреда. Более того, вред может быть причинён (и реально причиняется) и собственнику этой информации, и обществу, и государству вследствие реализации указанных в законе требований.
Комплексность говорит о том, что система защиты информационного ресурса будет эффективной, если она будет организована на всех направлениях и во всех элементах, которые могут быть подвергнуты деструктивному воздействию.
В связи с этим принципиальное значение имеет чёткое определение и формирование полных перечней объектов, которые могут быть подвергнуты воздействию с целью деструкции, дисфункции и/или ухудшения условий использования информационных ресурсов. Это необходимо сделать методологически и технологически верно. При этом необходимо иметь в виду, что защищать нужно не только объекты информационной инфраструктуры, в которых находится или может находиться подлежащая защите информация, как это обычно делается в таких случаях, а любой объект (группу объектов), воздействие на который может привести к деструктивным последствиям для информационной инфраструктуры предприятия. При таком подходе в сферу внимания попадут практически все её элементы. При этом каждый из них имеет свои, наиболее уязвимые с точки зрения возможности причинения вреда, звенья (уязвимости). Например, если рухнет здание управления предприятия из-за просадки фундамента, подмытого грунтовыми водами, будет причинён ущерб информационной инфраструктуре предприятия? Однозначно – да! Если в этом здании (а это имеет место в подавляющем большинстве случаев) расположена серверная – вред будет существенным.
11 сентября 2001 года были взорваны башни-близнецы в Нью-Йорке. Информационной инфраструктуре находящихся там фирм был причинён ущерб? Нужно включать подобные угрозы в модель угроз информационной инфраструктуре предприятия? А нужно учитывать возможность падения метеорита? Или этим только челябинцы должны озадачиваться? А возможность прорыва трубы горячего водоснабжения, проходящей в метре от рабочего места системного администратора (довольно часто, особенно в госучреждениях, он сидит в подвале или цокольном этаже, где проходит ещё и канализационная труба), нужно учитывать?
Подобных вопросов можно «накидать» массу. Конечно, чем больше при составлении модели угроз мы учтём источников, тем лучше [6].
О какой эффективности защиты информационных ресурсов (ИР) можно вообще говорить, если НПА обязывают организовать защиту ИР не на всех этапах их существования, а только «при их обработке в информационных системах» и от НСД? Вследствие этого, построенные во исполнение требований регуляторов «системы защиты», выполняют не функцию «щита» , а функцию «фигового листа».
Чтобы система защиты защищала объект, а не прикрывала его отдельные места, необходимо выяснить, какой вред может быть ему причинён и, следовательно, от чего его нужно защищать.
От чего защищать информацию (информационный ресурс)?
Базовый закон в сфере информационных отношений – Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» – обязывает защищать информацию от «неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении этой информации». Если читать эту фразу так, как она написана, остаётся простор для её двоякого толкования: вполне резонно предположить, что к неправомерным действиям здесь относится только «неправомерный доступ» . Всё остальное – уничтожение, модифицирование, блокирование, копирование, предоставление, распространение – обязательные к исполнению действия тех, кто призван работать с информацией [2].
Удивляет не то, что законодатель такой формулировкой, практически, сделал преступниками всех, кто честно выполняет свой долг, а то, что на это даже никто не отреагировал.
Как, опять же, было написано в предыдущих статьях рубрики, информационному ресурсу (его части) может грозить:
1) некорректное уничтожение;
2) искажение (некорректная модификация);
3) установка некорректных условий доступа;
4) нарушение установленного порядка доступа;
5) некорректная статусофикация;
6) неправомерное изменение статуса.
Содержание этих угроз уже было подробно раскрыто в одной из предыдущих статей рубрики [2], поэтому здесь на них мы останавливаться не будем и перейдём плавно к методам.
Методы защиты информации (информационных ресурсов).
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» устанавливает, что защита информации представляет собой принятие правовых, организационных и технических мер. В последующих законах (например, 152-ФЗ) и нормативно-методических документах («Меры защиты информации в государственных информационных системах», утверждённые ФСТЭК России 11.02.2014 г. и др.) речь ведётся только об организационных и технических мерах защиты информации. В советские и ранние постсоветские времена методы защиты делили на организационные, технические и программные. Эта классификация работала, несмотря на то, что с точки зрения методологии была не совсем корректна: организационный компонент есть в любой деятельности: чтобы что-то сделать, нужно это сначала организовать. Техника не придёт сама и не станет никого защищать, пока её не купят, привезут, настроят, а потом ещё и будут обслуживать, или работать вместе с ней, как, например, с турникетом или металлоискателем.
Сейчас в качестве метода защиты очень часто называется «правовой», и это полный абсурд: право никогда, никого и нигде не защищало. Термины «правовая защита», «правовой метод защиты» - это идиоматические обороты. Право – это «совокупность установленных или санкционированных государством общеобязательных правил поведения (норм), соблюдение которых обеспечивается мерами государственного воздействия» [7].
Интересно было бы посмотреть как те, кто пишет про правовые методы защиты, будут защищаться правилами (не требованием их соблюдения – это будет по старой классификации «организационный метод», а их написанием) от, например, хакеров.
Ни одна из существующих на сегодня классификаций методов защиты не отвечает ни требованиям научности, ни здравому смыслу. Все они представляют собой перечисление пересекающихся разноуровневых разносущностных понятий.
Хорошо известно, что классификации (деление понятий) можно производить по разным основаниям. Главное, необходимо учитывать, что согласно закону логического деления понятий основание деления на каждом этапе деления должно быть одно. А здесь всё зависит от задачи, которая стоит перед исследователем (разработчиком), от наличия у него знаний и методологических предпочтений.
Если принять в качестве основания деления (классификации) понятия «методы защиты» средство, при помощи которого они реализуются, то методы защиты должны быть поделены на три вида:
1) организационно-антропный;
2) организационно-технический;
3) организационно-программный.
Если все три термина сократить на «общий множитель», то получим вполне логичную классификацию методов защиты:
1) антропный – метод, при реализации которого основным средством защиты являются люди (от греч. anthropos – человек);
2) технический – метод, основным средством при реализации которого являются технические устройства;
3) программный – метод, реализуемый в программной среде и, соответственно, с использованием программных средств.
Отдаю себе отчёт в том, что термин «антропный метод» режет и взгляд, и слух. Можно было бы, например, по аналогии с двумя другими (с учётом того, что основным средством при его реализации являются люди, т.е. человеки), назвать его «человеческий метод» или «людской метод», но это было бы ну уж совсем необычно и непривычно. Я бы оставил за этим методом старое название - «организационный». Это был бы компромиссный вариант: с точки зрения логики – не очень правильно, но зато более привычно и совершенно понятно, о чём идёт речь.
Если же принять в качестве методологического основания системный подход, то можно построить не просто логически верную, но ещё и красивую систему методов ЗИ.
Согласно системному подходу любой материальный объект и/или деятельность можно представить в качестве системы, которая состоит из: в классическом варианте:
1) элементов;
2) связей;
3) отношений,
в современной интерпретации:
1) структуры;
2) коммуникаций;
3) смыслов.
Исходя из этого, защиту можно обеспечивать, воздействуя на все три компонента системы обработки информации , которую образуют:
• элементы (структура) – люди, технические средства, программное обеспечение;
• связи (коммуникации) – физические (линии и каналы связи) и социальные;
• отношения (смыслы) – цели, задачи, технологии применения.
В результате мы получим вот такую – совершенно уникальную и совершенно замечательную – схему:
Понятно, что «чистых» методов защиты не бывает. Речь во всех случаях будет идти о сочетании методов и о преимущественном использовании того или иного метода. Выставляя на охрану склада человека (антропный метод), ему обычно выдают какое-либо техническое средство – ружьё, шокер, резиновую дубинку, металлоискатель – или ставят турникет или шлагбаум (технический метод). Программа (например, антивирус) сама не установится на компьютере и, тем более, не настроится самостоятельно (то есть не администрируется) нужным образом (программный метод). Это должен сделать человек (антропный метод) и процесс этот нужно организовать и правильно оформить, применив при этом либо запретительные, либо стимулирующие методы (то есть применить административно-правовые методы). Методы обучения и воспитания довольно сильно коррелированы между собой, очень хорошо сочетаются со всеми остальными, дают очень хорошие результаты и при этом, как правило, не требуют значительных финансовых и временных затрат. Их повсеместно и довольно активно применяют, но редко позиционируют как методы.
Знание методов защиты необходимо для того, чтобы на следующем этапе – этапе построения системы защиты информационных ресурсов – получить наилучшие результаты при наименьших затратах. Но об этом в следующей статье.
____________________________________________________________________________
[1]. Атаманов Г.А. Методология безопасности [Электронный ресурс] / Фонд содействия научным исследованиям проблем безопасности «Наука-XXI». – 2011. – Режим доступа: http//naukaxxi.ru/materials/302/.
[2]. Атаманов Г.А. Чему угрожают: информации или её безопасности? // Защита информации. Инсайд. 2010, № 6, с. 20-28.
[3]. Атаманов Г.А. Азбука безопасности. Исходные понятия теории безопасности и их определения // Защита информации. Инсайд. 2012, № 4, с. 16-21.
[4]. Викисловарь. – Режим доступа: http://ru.wiktionary.org/wiki/%F0%E5%F1%F3%F0%F1 (28.08.2014).
[5]. Словари на Академике. - Режим доступа: http://official.academic.ru/ (27.08.2014).
[6]. Атаманов Г.А. Азбука безопасности. Объекты и субъекты безопасности вообще и информационной в частности // Защита информации. Инсайд. 2013, № 6, с. 18-24.
[7]. БСЭ. – Режим доступа: http://slovari.yandex.ru (10.12.2014).
________________________________________________________________________________
Библиографическая ссылка: Атаманов Г.А. Методология защиты информационных ресурсов.- Режим доступа: http://gatamanov.blogspot.ru/2015/04/blog-post.html
Методология должна дать нам ответ на два взаимосвязанных и взаимодополняющих друг друга вопроса:
1) какова цель деятельности;
2) каким образом эту цель можно достичь.
Если уж совсем просто, то: разработка методологии деятельности – это поиск ответов на вопросы «зачем?» и «как?».
Зачем защищать информацию?
Зачем защищают человека, предприятие, государство более-менее понятно: чтобы им не был причинён вред в виде деструкции, дисфункции, ухудшении условий жизнедеятельности [1]. Какой вред может быть причинён бездушной и бестелесной информации? Информация индифферентна по отношению к причинению ей вреда [подробнее в 2 ]. По-простому: информации глубоко безразлично, кто и что с ней делает. В отличие от человека. Вот человек переживает:
- когда у него пропадает важный документ;
- когда он не может оформить пенсию из-за того, что нерадивый кадровик не сделал в его трудовой книжке соответствующую запись или сделал её неправильно и пенсионный фонд отказывается признать её достоверность;
- когда он не может найти нужную информацию, необходимую ему для принятия жизненно важного решения;
- когда он не в состоянии приватизировать квартиру, потому что его фамилия Ерёменко, а в паспорте стоит Еременко;
- когда его приватная переписка стала достоянием общественности, в результате чего у общественности изменилось к нему отношение с положительного на крайне отрицательное и он потерял и уважение, и доходы и т.д. и т.п.
Получается, что информацию нужно защищать для того, чтобы избавить от неприятностей человека, которые могут случиться в результате какого-либо происшествия с нужной или важной для него информацией.
Защищать информацию ради информации просто глупо.
Поэтому, когда заходит речь о защите информации, всегда надо помнить, что главная цель этой деятельности – защита от возможных неприятностей человека!
Человек – объект безопасности, а информация – объект защиты.
Хотя и здесь не всё так просто. Что является объектом защиты, то есть предметом деятельности? Что подлежит защите?
Что защищать?
Как было написано в предыдущих статьях [см., например, 3], выбор объекта во многом определяет содержание деятельности по обеспечению его безопасности (защите). В нашем случае чаще всего в качестве такового называется «информация» и, естественно, при этом говорят о «защите информации». Но что такое информация? Философия постмодерна даже человека трактует как текст. А текст – это информация. Значит человек тоже информация. И уж точно – носитель информации, т.е. информационный объект. Отсюда должно следовать, что «защита информации» подразумевает и защиту человека? По логике должно. По факту это далеко не так. И вообще: там, где есть форма, там есть и информация. Тогда получается, что фраза «защита информации» означает защиту бесконечной сущности?! Понятно, что это несбыточная утопия. Мы даже о конечных сущностях, о которых имеем некоторое представление, так не говорим. Ведь никто не говорит о защите воздуха или воды. Не о конкретном их объёме, а о защите воздуха вообще или воды вообще: «система защиты воздуха» или «система защиты воды». Мы можем говорить о защите воздуха, которым дышим, от загрязнения отравляющими веществами; о защите воды, которую пьём, от попадания вредных примесей»; «о защите имущества, которым владеем, от пожара или кражи». Мы говорим о «защите информации», но никогда о «защите столбов» . Почему? Потому что все понимают, что термин «защита столбов» - глупость. Сразу возникает куча наводящих вопросов: каких столбов?, где?, когда?, от чего/кого? И т.д. и т.п. Т.е. говорить можно о защите какого-нибудь имеющего конечные размеры конкретного объекта от причинения определённого вида вреда. Но все говорят о «защите информации», не задумываясь о том, что это грубейшая методологическая ошибка – отождествление части и целого: речь ведут о защите информации, а подразумевают только ту её часть, которая отнесена в соответствии с законом к подлежащей защите. И при этом ещё не уточняют, от чего же следует её защищать. В итоге получается, что всей и от всего?!
Но даже если ограничить объект – информацию – только рамками, например, принадлежности субъекту, т.е. говорить о «защите информации ООО «Рога и копыта»», то принципиально ничего не изменится. Ведь «информация ООО «Рога и копыта»» - это не только то, что имеется в официальных документах этого предприятия. Это, в том числе, и знания сотрудников предприятия, их разговоры как в рабочее время (в том числе и не о работе), так и в нерабочее время о работе, это и внешний вид работников, и буклеты о предприятии и выпускаемых товарах. Надпись на заборе завода – тоже информация и тоже принадлежит заводу. Тогда её тоже нужно защищать!?
Поэтому фраза «защита информации ООО «Рога и копыта»», по сути, тоже есть бессмыслица. Чтобы эта фраза приобрела хоть какой-то смысл, нужно указать хотя бы категорию информации, которую нужно защищать, т.е. указать отличительные признаки информации, подлежащей защите.
Я считаю, что таким отличительным признаком, как минимум, может быть принадлежность к ресурсам предприятия.
Ресурс (от французского ressource — вспомогательное средство) – это или «запас, источник чего-либо, используемый при необходимости», или «средство, возможность для осуществления чего-либо» .
Информация – это и источник (например, нового знания), и средство, дающее возможность осуществления деятельности, и результат деятельности, который может составлять своеобразный запас (архив, библиотека, хранилище, база данных, банк данных).
Правда, здесь мы наталкиваемся на очередную проблему, связанную с толкованием терминов. Словари дают такое определение термину «информационный ресурс» – совокупность отдельных документов, массивов документов, обычно структурированных в базы данных и используемых определённой информационной системой [5].
Если исходить из приведенного выше определения, то сотни килограммов бумаг с текстами, цифрами, схемами в сейфах, в шкафах, в столах и на столах и подоконниках – это не информационный ресурс, поскольку:
1) это не документы, т.к. не имеют всех отличительных признаков, чтобы быть отнесенными к категории «документы»;
2) они не используются (непонятно кем и каким образом определённой) информационной системой.
Операционные системы средств вычислительной техники, прикладное программное обеспечение тоже не являются документами, но однозначно относятся к информационному ресурсу, представляют значительную ценность для их владельцев, иногда – значительную.
Закон РФ от 20.02.1995 № 24 «Об информации, информатизации и защите информации» давал такое определение понятию «информационный ресурс» - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). В этом определении – более широком, нежели предыдущее – опять, почему-то, речь ведётся только о документах и только в информационных системах. При таком подходе всё, что не является документом и не находится в информационной системе, к ресурсу не относится! Но магнитная лента с записью конфиденциального разговора или регистратор с записями с камер видеонаблюдения – не есть документы, но однозначно относятся к информационному ресурсу. А уж разговоры на служебном совещании, ни при каких обстоятельствах, не отнесёшь к документу (да ещё в библиотеке или банке данных), но они однозначно относятся к информационному ресурсу предприятия. А так называемый «лисий хвост» и прочие отходы производства – однозначно не документы и находятся ни в бумажных, ни в электронных информационных системах, но, несомненно, принадлежат к категории «информационный ресурс предприятия» и также могут подлежать защите. Ведь по ним можно получить не просто конфиденциальную, а даже секретную информацию. Так, по цвету «лисьего хвоста» из трубы металлургического завода реально вычислить марку стали, которую там варят, а по составу почвы, взятой с подошвы ботинок рабочего, установить, что на предприятии, где он работает, делают твёрдое ракетное топливо и узнать его состав. И таких примеров можно привести немало.
Я просмотрел большой объем информационных ресурсов в Интернете, несколько словарей и ГОСТов и не нашел ни одного более-менее логичного определения понятия «информационный ресурс». Сам я давно пользуюсь своим собственным глоссарием, в котором информационный ресурс – это совокупность информационных объектов, находящихся в распоряжении субъекта.
N
ИР = Σ ИОn (1), где
n=1
ИР – информационный ресурс;
ИО – информационный объект.
Информационный объект – это двуединство материального носителя информации (МНИ) и самой информации (И).
ИО = МНИ & И (2).
Информационный ресурс – это не только документы и массивы документов в информационных системах. Это и разговоры на производственную тему, и отходы производства, и карты, схемы, чертежи, служебные записки, «четрертушки» с резолюциями и т.д. и т.п. В то же время никому не придёт в голову подвести под определение «информационный ресурс предприятия» «трёп» сотрудников в курилке или частные разговоры по служебному телефону. Но разговор в кафе на производственную тему вполне под него подпадает. Таким образом, я считаю, что корректно говорить не о «защите информации», а о «защите информационного ресурса» того или иного субъекта.
Многообразие субъектов и создаваемых ими и/или находящихся в их распоряжении информационных ресурсов порождает необходимость создания и различных систем защиты, учитывающих особенности структуры самих субъектов, рода их деятельности, созданных ими информационных объектов и информационных потоков. Но методология защиты инвариантна к этим особенностям, она – универсальна, как и принципы, на которых она должна строиться.
Принципы защиты информации (информационного ресурса).
Сегодня в качестве принципов организации защиты информации государством установлены (конституированы):
- законность;
- баланс интересов личности, общества, государства;
- взаимная ответственность личности, общества, государства.
Возможно, всё это имеет право на то, чтобы называться принципами. С моей точки зрения, всё перечисленное – не больше, чем категорические императивы, т.е. психологические установки, благие пожелания, но никак не принципы. По моему мнению, принцип – это незыблемое правило, нарушение которого влечёт недостижение цели. Именно так: нарушил принцип – не достиг цели! Можно нечто подобное сказать об этих «принципах»? Ответ однозначный – НЕТ! И даже не потому, что ни один из перечисленных «принципов» в действительности не соблюдается, а потому, что он и не может быть соблюдён.
Так, ни один закон и ни одно законодательство, каким бы оно ни было обширным и совершенным, не может предусмотреть всего разнообразия возможных ситуаций.
Не зря же существуют «итальянские забастовки» : казалось бы, все начинают строго соблюдать установленные законом нормы и правила, т.е. строго следовать принципу законности, но (почему-то) вместо ожидаемого строгого порядка наступает спад производства, а то и полный коллапс. Особенно наглядно это проявляется на транспорте.
В деле защиты информации (информационных ресурсов) результаты соблюдения принципа законности не столь наглядны, но и нельзя не заметить: системы защиты, построенные по этому принципу, больше напоминают не щит, а либо решето, либо бункер.
Удивительно то, что возведение «законности» в ранг принципа используется в развитых странах для борьбы с законодателем, а у нас соблюдения этого принципа требует сам законодатель. От коллапса отрасль спасает только другой, неписаный, принцип: строгость российских законов компенсируется необязательностью их исполнения.
Баланс интересов невозможно соблюсти уже потому, что интересы «личности, общества, государства» невозможно даже выявить. Можно продекларировать, как это и сделал законодатель, но от науки и здравого смысла это очень далеко [1].
Взаимная ответственность «личности, общества, государства» невозможна потому, что непонятно кто, перед кем, чем и как должен отвечать: личность (?) перед обществом или государством, государство ли перед личностью и обществом, общество перед личностью и государством?!
Личность, она и есть личность, т.е. «личина», и ни перед кем она не отвечает. Вряд ли кто-то внятно скажет, что такое «общество» и как оно должно ответить перед личностью или государством. А как должно отвечать «государство» перед «личностью» и «обществом»? И перед какой «личностью», и каким «обществом»? Перед «обществом любителей кошек»? В нормальной же юридической практике принято, что все – а именно: юридические и физические лица – отвечают друг перед другом по закону. А обороты типа «ответственность перед обществом», «ответственность перед государством» - это не более чем «замполитовские» лозунги.
В научной и квазинаучной литературе можно найти десятки принципов, на которых должны строиться системы защиты информации. Подавляющее большинство из них имеют к принципам такое же отношение, как и три, перечисленные выше. Я считаю, что защита информационных ресурсов должна строиться на общих принципах обеспечения безопасности, к которым я отношу:
- своевременность;
- адекватность;
- комплексность.
Принцип своевременности очевиден и понятен: действия по обеспечению безопасности должны быть предприняты вовремя. Применительно к защите информационного ресурса в подавляющем большинстве случаев «вовремя» – значит заранее. Другими словами, действия по защите информационного ресурса должны носить преимущественно превентивный характер. «Слово не воробей, вылетит – не поймаешь», - гласит народная пословица. Но преимущественно не означает исключительно. То есть, если меры по защите не были приняты вовремя или вопреки принятым мерам информация была искажена или уничтожена, доступ к ней был заблокирован или, напротив, установленные ограничения были преодолены, то это не означает, что её теперь не нужно восстанавливать или защищать, в том числе, от кражи, уничтожения, утечки, искажения и т.д. Нужно! И немедленно. Реакция на инцидент должна быть мгновенной.
А вот с этим у нас существует серьёзная проблема. И у этой проблемы есть конкретное имя – 44-ФЗ (Федеральный закон от 05.04.2013 №44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»). Этот чудо-закон не позволяет бюджетным организациям реагировать на инциденты мгновенно. Срок реакции по нему – от десяти дней до года.
Адекватность предполагает принятие мер по защите, соответствующих ценности (и/или цене) информационного ресурса, силе и характеру возможного деструктивного воздействия, размеру возможного вреда в случае реализации той или иной угрозы. Основным критерием здесь должно стать соотношение «эффективность/стоимость», а основным методом – метод экспертных оценок. Часто применяемый в настоящее время в различных методиках статистический метод может быть применён исключительно в качестве вспомогательного.
Наиболее ярким примером несоблюдения этого принципа является 152-ФЗ «О персональных данных», который обязывает производить дорогостоящие процедуры по защите информации, от распространения которой не может быть никакого вреда. Более того, вред может быть причинён (и реально причиняется) и собственнику этой информации, и обществу, и государству вследствие реализации указанных в законе требований.
Комплексность говорит о том, что система защиты информационного ресурса будет эффективной, если она будет организована на всех направлениях и во всех элементах, которые могут быть подвергнуты деструктивному воздействию.
В связи с этим принципиальное значение имеет чёткое определение и формирование полных перечней объектов, которые могут быть подвергнуты воздействию с целью деструкции, дисфункции и/или ухудшения условий использования информационных ресурсов. Это необходимо сделать методологически и технологически верно. При этом необходимо иметь в виду, что защищать нужно не только объекты информационной инфраструктуры, в которых находится или может находиться подлежащая защите информация, как это обычно делается в таких случаях, а любой объект (группу объектов), воздействие на который может привести к деструктивным последствиям для информационной инфраструктуры предприятия. При таком подходе в сферу внимания попадут практически все её элементы. При этом каждый из них имеет свои, наиболее уязвимые с точки зрения возможности причинения вреда, звенья (уязвимости). Например, если рухнет здание управления предприятия из-за просадки фундамента, подмытого грунтовыми водами, будет причинён ущерб информационной инфраструктуре предприятия? Однозначно – да! Если в этом здании (а это имеет место в подавляющем большинстве случаев) расположена серверная – вред будет существенным.
11 сентября 2001 года были взорваны башни-близнецы в Нью-Йорке. Информационной инфраструктуре находящихся там фирм был причинён ущерб? Нужно включать подобные угрозы в модель угроз информационной инфраструктуре предприятия? А нужно учитывать возможность падения метеорита? Или этим только челябинцы должны озадачиваться? А возможность прорыва трубы горячего водоснабжения, проходящей в метре от рабочего места системного администратора (довольно часто, особенно в госучреждениях, он сидит в подвале или цокольном этаже, где проходит ещё и канализационная труба), нужно учитывать?
Подобных вопросов можно «накидать» массу. Конечно, чем больше при составлении модели угроз мы учтём источников, тем лучше [6].
О какой эффективности защиты информационных ресурсов (ИР) можно вообще говорить, если НПА обязывают организовать защиту ИР не на всех этапах их существования, а только «при их обработке в информационных системах» и от НСД? Вследствие этого, построенные во исполнение требований регуляторов «системы защиты», выполняют не функцию «щита» , а функцию «фигового листа».
Чтобы система защиты защищала объект, а не прикрывала его отдельные места, необходимо выяснить, какой вред может быть ему причинён и, следовательно, от чего его нужно защищать.
От чего защищать информацию (информационный ресурс)?
Базовый закон в сфере информационных отношений – Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» – обязывает защищать информацию от «неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении этой информации». Если читать эту фразу так, как она написана, остаётся простор для её двоякого толкования: вполне резонно предположить, что к неправомерным действиям здесь относится только «неправомерный доступ» . Всё остальное – уничтожение, модифицирование, блокирование, копирование, предоставление, распространение – обязательные к исполнению действия тех, кто призван работать с информацией [2].
Удивляет не то, что законодатель такой формулировкой, практически, сделал преступниками всех, кто честно выполняет свой долг, а то, что на это даже никто не отреагировал.
Как, опять же, было написано в предыдущих статьях рубрики, информационному ресурсу (его части) может грозить:
1) некорректное уничтожение;
2) искажение (некорректная модификация);
3) установка некорректных условий доступа;
4) нарушение установленного порядка доступа;
5) некорректная статусофикация;
6) неправомерное изменение статуса.
Содержание этих угроз уже было подробно раскрыто в одной из предыдущих статей рубрики [2], поэтому здесь на них мы останавливаться не будем и перейдём плавно к методам.
Методы защиты информации (информационных ресурсов).
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» устанавливает, что защита информации представляет собой принятие правовых, организационных и технических мер. В последующих законах (например, 152-ФЗ) и нормативно-методических документах («Меры защиты информации в государственных информационных системах», утверждённые ФСТЭК России 11.02.2014 г. и др.) речь ведётся только об организационных и технических мерах защиты информации. В советские и ранние постсоветские времена методы защиты делили на организационные, технические и программные. Эта классификация работала, несмотря на то, что с точки зрения методологии была не совсем корректна: организационный компонент есть в любой деятельности: чтобы что-то сделать, нужно это сначала организовать. Техника не придёт сама и не станет никого защищать, пока её не купят, привезут, настроят, а потом ещё и будут обслуживать, или работать вместе с ней, как, например, с турникетом или металлоискателем.
Сейчас в качестве метода защиты очень часто называется «правовой», и это полный абсурд: право никогда, никого и нигде не защищало. Термины «правовая защита», «правовой метод защиты» - это идиоматические обороты. Право – это «совокупность установленных или санкционированных государством общеобязательных правил поведения (норм), соблюдение которых обеспечивается мерами государственного воздействия» [7].
Интересно было бы посмотреть как те, кто пишет про правовые методы защиты, будут защищаться правилами (не требованием их соблюдения – это будет по старой классификации «организационный метод», а их написанием) от, например, хакеров.
Ни одна из существующих на сегодня классификаций методов защиты не отвечает ни требованиям научности, ни здравому смыслу. Все они представляют собой перечисление пересекающихся разноуровневых разносущностных понятий.
Хорошо известно, что классификации (деление понятий) можно производить по разным основаниям. Главное, необходимо учитывать, что согласно закону логического деления понятий основание деления на каждом этапе деления должно быть одно. А здесь всё зависит от задачи, которая стоит перед исследователем (разработчиком), от наличия у него знаний и методологических предпочтений.
Если принять в качестве основания деления (классификации) понятия «методы защиты» средство, при помощи которого они реализуются, то методы защиты должны быть поделены на три вида:
1) организационно-антропный;
2) организационно-технический;
3) организационно-программный.
Если все три термина сократить на «общий множитель», то получим вполне логичную классификацию методов защиты:
1) антропный – метод, при реализации которого основным средством защиты являются люди (от греч. anthropos – человек);
2) технический – метод, основным средством при реализации которого являются технические устройства;
3) программный – метод, реализуемый в программной среде и, соответственно, с использованием программных средств.
Отдаю себе отчёт в том, что термин «антропный метод» режет и взгляд, и слух. Можно было бы, например, по аналогии с двумя другими (с учётом того, что основным средством при его реализации являются люди, т.е. человеки), назвать его «человеческий метод» или «людской метод», но это было бы ну уж совсем необычно и непривычно. Я бы оставил за этим методом старое название - «организационный». Это был бы компромиссный вариант: с точки зрения логики – не очень правильно, но зато более привычно и совершенно понятно, о чём идёт речь.
Если же принять в качестве методологического основания системный подход, то можно построить не просто логически верную, но ещё и красивую систему методов ЗИ.
Согласно системному подходу любой материальный объект и/или деятельность можно представить в качестве системы, которая состоит из: в классическом варианте:
1) элементов;
2) связей;
3) отношений,
в современной интерпретации:
1) структуры;
2) коммуникаций;
3) смыслов.
Исходя из этого, защиту можно обеспечивать, воздействуя на все три компонента системы обработки информации , которую образуют:
• элементы (структура) – люди, технические средства, программное обеспечение;
• связи (коммуникации) – физические (линии и каналы связи) и социальные;
• отношения (смыслы) – цели, задачи, технологии применения.
В результате мы получим вот такую – совершенно уникальную и совершенно замечательную – схему:
Рис. 1. Методы защиты информации.
Понятно, что «чистых» методов защиты не бывает. Речь во всех случаях будет идти о сочетании методов и о преимущественном использовании того или иного метода. Выставляя на охрану склада человека (антропный метод), ему обычно выдают какое-либо техническое средство – ружьё, шокер, резиновую дубинку, металлоискатель – или ставят турникет или шлагбаум (технический метод). Программа (например, антивирус) сама не установится на компьютере и, тем более, не настроится самостоятельно (то есть не администрируется) нужным образом (программный метод). Это должен сделать человек (антропный метод) и процесс этот нужно организовать и правильно оформить, применив при этом либо запретительные, либо стимулирующие методы (то есть применить административно-правовые методы). Методы обучения и воспитания довольно сильно коррелированы между собой, очень хорошо сочетаются со всеми остальными, дают очень хорошие результаты и при этом, как правило, не требуют значительных финансовых и временных затрат. Их повсеместно и довольно активно применяют, но редко позиционируют как методы.
Знание методов защиты необходимо для того, чтобы на следующем этапе – этапе построения системы защиты информационных ресурсов – получить наилучшие результаты при наименьших затратах. Но об этом в следующей статье.
____________________________________________________________________________
[1]. Атаманов Г.А. Методология безопасности [Электронный ресурс] / Фонд содействия научным исследованиям проблем безопасности «Наука-XXI». – 2011. – Режим доступа: http//naukaxxi.ru/materials/302/.
[2]. Атаманов Г.А. Чему угрожают: информации или её безопасности? // Защита информации. Инсайд. 2010, № 6, с. 20-28.
[3]. Атаманов Г.А. Азбука безопасности. Исходные понятия теории безопасности и их определения // Защита информации. Инсайд. 2012, № 4, с. 16-21.
[4]. Викисловарь. – Режим доступа: http://ru.wiktionary.org/wiki/%F0%E5%F1%F3%F0%F1 (28.08.2014).
[5]. Словари на Академике. - Режим доступа: http://official.academic.ru/ (27.08.2014).
[6]. Атаманов Г.А. Азбука безопасности. Объекты и субъекты безопасности вообще и информационной в частности // Защита информации. Инсайд. 2013, № 6, с. 18-24.
[7]. БСЭ. – Режим доступа: http://slovari.yandex.ru (10.12.2014).
________________________________________________________________________________
Библиографическая ссылка: Атаманов Г.А. Методология защиты информационных ресурсов.- Режим доступа: http://gatamanov.blogspot.ru/2015/04/blog-post.html
Добрый день, Геннадий!
ОтветитьУдалитьПредлагаю принять участие в нашем проекте, делясь своими новостями из Вашего блога и других ресурсов, которые вы читаете. Это позволит привлечь Вам дополнительную аудиторию, а сообществу узнать больше из мира информационной безопасности.
Проект news.informationsecurity.club - Новостной веб-агрегатор.
Ресурс с рейтинговой системой для распространения ссылок на актуальные, интересные и нужные статьи, ресурсы, сервисы в сети интернет среди сообщества в сфере информационных технологий и безопасности.
О проекте можно немного больше прочитать тут - http://www.informationsecurity.club/news/
С правилами можно ознакомиться тут - http://news.informationsecurity.club/rules.php
Готов ответить на Ваши вопросы.
Спасибо за предложение. Но вряд ли мои статьи будут интересны вашим читателям. И мой блог и мои статьи не новостные. Я разрабатываю теорию безопасности (в т.ч. информационной), а это практикам не очень интересно. Они находятся в плену действующей парадигмы и не хотят (а некоторые и не могут) воспринимать информацию теоретического (методологического) характера. Многие считают, что это и не нужно.
УдалитьЗдравствуйте, Геннадий! Спасибо за познавательную статью! В ходе прочтения у меня возник только один вопрос: как можно относить к информационному ресурсу разговор в кафе на производственную тему? Ведь, опираясь на ваши определения, информационный ресурс есть совокупность информационных объектов, которые в свою очередь являются двуединством материального носителя информации и самой информации, т. е., если я правильно понимаю, должны быть и носитель, и информация. В разговоре есть информация, но нет материального носителя. Получается, что нет объекта, следовательно, нет ресурса. Возможно, лучше сформулировать утверждение как "запись разговора в кафе на производственную тему"? Слово "запись" в заданном контексте, очевидно, указывает на материальный носитель информации, а не на процесс. Или под материальным носителем вы подразумеваете воздух? Но, тогда это - среда передачи информации. Или в примере имеется в виду что-то другое?
ОтветитьУдалитьНосителем информации в разговоре является акустическая волна. Она может распространяться в воздухе, в воде, в бетоне и пр. материале (среде). Акустическая волна, модулированная голосовыми связками говорящего - информационный объект (и он материален). Если этот объект содержит информацию, которую можно использовать в производственном процессе - это ресурс. Во время разговора в кафе может родиться гениальная идея, которая в случае реализации может принести компании огромные дивиденды, а эту идею услышали посетители кафе, сидящие за соседним столиком, и быстро её запатентовали. В случае её реализации на предприятии - огромные штрафы. Нечто подобное произошло в конце 80-х в Казахстане (тогда ещё - республике СССР). Как-нибудь расскажу при случае.
УдалитьКстати, разговор записали и затем дешифровали или просто услышали, в данном случае не имеет значения. Это - всего лишь различные способы ознакомления с информацией. Запись - процесс переноса (трансляции) информации с одного носителя (акустическая волна) на другой (магнитная лента). В первом случае - непосредственное здесь-и-сейчас ознакомление, во втором - опосредованное и отложенное.
Удалить