Сфера оценки может включать один или несколько процессов объекта оценки, например организатор может сосредоточить внимание на одном или нескольких критических процессах, нуждающихся в совершенствовании. Выбор объекта оценки должен отражать намеченное использование организатором выходных данных оценки. Например, если выходные данные предназначены для использования при совершенствовании процесса, то сфера оценки должна соответствовать сфере намеченных работ по совершенствованию. Сфера оценки может быть любой: от отдельного проекта до всей организации. Во входных данных оценки должно быть представлено подробное описание объекта оценки, включающее размеры объекта оценки, область применения продуктов или услуг объекта оценки, основные характеристики (например, объем, критичность, сложность и качество) продуктов или услуг объекта оценки.
К ограничениям оценки можно отнести: возможную недоступность основных активов, используемых в обычной деловой деятельности организации; недостаточный временной интервал, выделенный для проведения оценивания; необходимость исключения определенных частей объекта оценки из-за стадии жизненного цикла. Кроме того, могут быть наложены ограничения на количество и вид данных, которые должны быть собраны и изучены. Например, что опросам может быть подвергнуто не более 10% персонала организации или что данные должны собираться только путем опросов, а не изучения документов и т.д.
|
|
К критериям компетентности специалиста по оценке относятся знание процессов, навыки в сфере оценки процессов и применения инструментария для поддержки оценивания, личные качества. Необходимый уровень компетентности (необходимые знания, навыки и личные качества) достигается путем периодического обучения, базового или дополнительного образования и участия в соответствующей профессиональной деятельности.
В члены группы оценки обычно входят и представители оцениваемого объекта. Их участие в проведении оценивания дает возможность
определить и учесть особенности процессов, обеспечить достоверность результатов оценивания.
Во время выполнения оценки могут происходить изменения во входных данных оценки. Изменения должны быть одобрены организатором оценки или уполномоченным представителем объекта оценки. Если эти изменения оказывают влияние на временной график и ресурсы проведения оценивания, то планирование оценки должно быть соответствующим образом пересмотрено.
2.3.3. Роли и обязанности по проведению
оценивания
Важным условием успешного проведения оценивания процессов является определение ролей и обязанностей по проведению оценивания. К таким ролям относятся роль организатора оценки, роль руководителя группы оценивания и роль специалиста по оценке.
|
|
Организатор должен иметь обязанности и полномочия, чтобы удостовериться в предоставлении адекватных ресурсов и наличии адекватной компетентности участников оценивания для проведения соответствующей оценки. Организатор должен обеспечить доступ группы оценивания к активам объекта оценки для изучения, к персоналу для проведения опросов, к инфраструктуре, необходимой во время оценивания. Хотя руководство объекта оценки напрямую не имеет никаких конкретных обязанностей по проведению оценивания, осознание важности оценки имеет очень большое значение. Это особенно актуально в том случае, когда организатор оценки не является членом руководства объекта оценки.
Руководитель группы оценивания отвечает за достижение целей оценки в результате проведения оценивания и за соответствие процесса оценивания требованиям установленного руководства по оценке процесса. Руководитель группы должен распределить ответственность между членами группы за оценивание конкретных процессов, подразделений, областей или видов деятельности объекта оценки. Такое распределение должно учитывать потребность в независимости, компетентности специалистов по оценке и результативном использовании ресурсов. Для достижения целей оценки в процессе проведения оценивания могут быть сделаны изменения в распределении ответственности.
Специалисты по оценке осуществляют мероприятия, связанные с оценкой, например сбор данных, проверку достоверности данных и сообщение результатов. Оценивание атрибутов процессов выполняются исключительно руководителем группы оценки и специалистами по оценке, входящими в группу оценки. Другой персонал может участвовать в работе группы оценки в качестве членов группы, обеспечивающих специализированные знания или выполняющих канцелярскую работу. Они могут поддерживать специалистов по оценке в вопросе формулирования суждения/но не будут нести ответственность за окончательную оценку атрибутов процессов.
2.3,4. Модель оценки процесса
Модель оценки процесса предназначена для использования специалистами по оценке и организаторами оценки и включает сферу модели, показатели, отображение и преобразование модели оценки процесса, а также эталонную модель процессов объекта оценки.
Сфера модели оценки процесса может распространяться на подмножество процессов, определенных эталонной моделью процессов объекта оценки, а также охватывать дополнительные процессы, выходящие за рамки процессов объекта оценки. Сфера модели может полностью соответствовать эталонной модели процессов объекта оценки.
Модель оценки процесса основывается на совокупности показателей, которые используются в качестве основы при сборе объективных данных для определения степени достижения атрибутов процессов, назначения и результатов процессов в рамках сферы модели оценки процесса. Показатели формализуют процесс оценки, дают возможность последовательно формировать суждения специалиста по оценке и улучшать воспроизводимость результатов. Показатели позволяют оценить степень реализации процессов объекта оценки. Модели оценки процесса в целом обеспечивают различные степени анализа процесса на основе числа показателей оценки, предоставляемых моделью оценки процесса. Учитывая одинаковую сферу процесса, модель оценки процесса с двадцатью показателями оценки будет считаться обеспечивающей более значительный анализ процесса, чем модель оценки процесса с десятью показателями оценки. Конечно, такой анализ достается более высокой ценой с точки зрения усилий во время оценки
|
|
по выявлению данных, касающихся показателей оценки, а затем обработки данных.
Модель оценки процесса должна позволять отображать атрибуты процессов объекта, оценки на выбранной шкале. Такой шкалой могут быть количественная шкала (например, абсолютная или шкала отношений), которая указывает степень реализации процесса или достижение заданного уровня атрибута процесса, или качественная шкала (например, порядковая), которая указывает на зрелость процесса.
Основными элементами эталонной модели процессов являются описания процессов в рамках сферы модели. Описания процессов в эталонной модели включают формулировку назначения процесса, которая на высоком уровне описывает общие цели выполнения процесса, результаты процессов, которые соответствуют успешному достижению назначения процессов. Результат процесса — это видимый результат успешного выполнения процесса.
Показатели, отображая назначения, результаты и атрибуты процессов, формируют таким образом эталонные профили процессов.
2.3.5. Мероприятия процесса оценивания и выходные данные оценивания
Оценивание должно проводиться в соответствии с задокументированным процессом оценивания, который соответствует назначению оценки.
Одним из этапов процесса оценивания является планирование процесса, включающее определение необходимых входных данных, мероприятий, которые должны быть осуществлены при проведении оценки, определение ресурсов и графика для этих мероприятий, персонификацию ролей для участников оценки, описание запланированных выходных данных оценки.
Ресурсы и график находятся в прямой зависимости от информации, содержащейся во входных данных оценки, таких, как сфера и назначение оценки. Эта информация должна быть тщательно проверена перед планированием. Расписание и потребности в ресурсах могут меняться в ходе мероприятий оценивания. Тогда график и ресурсы мероприятий процесса оценивания будут корректироваться.
|
|
Сбор данных может осуществляться различными способами, например с помощью опросов, анкет, бесед и рассмотрения созданных продуктов. Перед началом сбора данных должно быть установлено соответствие процессов объекта оценки процессам, определенным в модели оценки процесса. Механизм выборки должен гарантировать, что совокупность выбранных процессов соответствует назначению оценки. Касающаяся выборки информация и логическое обоснование сохраняются.
Сбор информации может быть организован как часть механизма мониторинга и составления отчетов. Альтернативным образом сбор информации может быть автоматическим или полуавтоматическим в результате поддержки какого-то инструментального средства. Инструментальное средство может использоваться постоянно в течение жизненного цикла, например в определенных контрольных точках для оценивания соблюдения процесса или его совершенствования.
Собранные данные должны быть точным представлением оцениваемых процессов. Проверка достоверности этих данных должна включать оценку того, является ли объем выборки достаточным для оцениваемых процессов.
В поддержку проверки достоверности данных используются следующие механизмы:
— сравнение результатов с результатами предыдущих оценок для того же объекта оценки;
— поиск соответствий между связанными процессами;
— согласование и обсуждение данных с уполномоченными представителями объекта оценки.
Проверка достоверности данных может происходить и на этапе сбора данных, когда данные собираются и оцениваются. Если проверка достоверности данных не может быть выполнена, это обстоятельство должно быть четко изложено в выходных данных оценки процесса вместе с анализом риска, связанного с потенциальным отсутствием достоверности результатов.
Определение степени достижения атрибутов процессов с помощью показателей основывается на суждении специалиста по оценке и опирается на достоверные объективные данные. Это суждение должно принимать в расчет назначение оценки и контекст оценки. Совокупность оцененных атрибутов процесса представляется как профиль процесса оцениваемого объекта оценки. Каждый атрибут процесса оценивается на основе достоверных объективных данных, собранных с помощью показателей оценки, предоставленных моделью оценки процесса.
При принятии решения об оценке каждого атрибута желательно достижение максимального согласия специалистов по оценке. Если согласие не является единодушным, должны устанавливаться правила для процесса принятия решения (например, консенсус, решение большинством голосов и т.д.). Установленное правило должно быть зафиксировано.
Профиль процесса должен быть представлен в форме (формах), позволяющей простую интерпретацию его смысла и значения. На этом этапе необходимо прослеживать связь между оценками атрибутов и использованными объективными данными. Это позволяет обосновать суждения специалиста по оценке и обеспечить основу для воспроизводимости результатов оценивания. Другими словами, проверка, проводимая третьей стороной или при повторении оценивания, позволяет проследить все данные, связанные с оцениванием атрибутов и, вероятно, получить те же результаты оценивания.
Сообщение результатов оценивания может проходить неформально (при внутренней оценке) или в форме подробного отчета (при независимой внешней оценке). Кроме того, для представления результатов оценивания могут быть подготовлены и другие выводы и предлагаемые планы действий — в зависимости от назначения оценки и от проведения дополнительного анализа одновременно с оценкой. Результаты могут быть представлены в абсолютных выражениях или в относительных выражениях в сравнении с результатами предыдущих оценок, контрольными данными, в сравнении с деловыми потребностями и т.д. Результаты оценки обычно используются в качестве основы для разработки плана совершенствования или определения возможностей и соответствующих рисков.
Выходные данные оценивания предназначены для понимания результатов оценки и облегчения сравнения и проверки, проводимых третьей стороной. Зарегистрированные выходные данные оценки включают дату проведения оценивания, входные данные оценки, собранные объективные данные, описание используемого процесса оценивания, совокупность профилей процессов, полученных при оценивании. Зарегистрированные данные могут сохраняться в различной форме (бумажной или электронной) в зависимости от обстоятельств и инструментов, использованных для поддержки оценки.
На основе любого соглашения об обеспечении конфиденциальности или ограничений доступа, идентифицированных во входных дан-
2.3.6. Факторы успешной оценки процесса
Важными факторами для успешной оценки процесса являются:
• осознание и мотивация руководства организации;
• конфиденциальность;
• доверие.
Позиция руководства организации оказывает существенное влияние на исход оценки. Поэтому руководство организации должно побуждать участников оценки к открытости и конструктивности. Оценка процесса сосредоточивается на процессах, а не на функционировании членов объекта оценки, реализующих процесс. Смысл оценки состоит в том, чтобы сделать процессы более эффективными в достижении деловых целей, а не в том, чтобы возложить вину на отдельных лиц.
Обеспечение обратной связи и поддержка атмосферы, поощряющей открытое обсуждение предварительных выводов во время оценивания, содействуют обеспечению того, чтобы выходные данные оценки были значимыми для объекта оценки. Руководителям организации и персоналу объекта оценки необходимо осознавать, что участники оценки являются основным источником знаний и опыта, связанных с процессом, и что руководители и персонал имеют хорошую возможность для идентификации потенциально слабых мест.
Уважение к конфиденциальности источников информации и документации, собранной во время оценивания, необходимо для обеспечения безопасности этой информации. В тех случаях, когда используются опросы или обсуждения, следует обратить внимание на обеспечение того, чтобы их участники не ощущали угрозы или не испытывали какого-либо беспокойства в отношении конфиденциальности. Некоторая часть из предоставленной информации может составлять собственность организации. Поэтому важно наличие адекватных средств контроля для обращения с такой информацией.
Организатор оценки, руководство и персонал объекта оценки должны верить в то, что оценка принесет результат, являющийся объективным и показательным для сферы оценки. Важно, чтобы все сторо-
ны могли быть уверены в том, что специалисты по оценке обладают адекватными знаниями и опытом проведения оценки, достаточно беспристрастны и у них есть адекватное понимание объекта оценки и его бизнеса для проведения оценки.
2.3.7. Внутренний и внешний аудит
Независимая оценка может быть осуществлена с помощью внутреннего и внешнего аудита объекта оценки. Под аудитом понимается систематический, независимый и документируемый процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита. Критериями аудита могут быть политики (например, политика бизнеса, информационной безопасности), процессы (например, процессы менеджмента организации, информационной безопасности) и соответствующие процедуры и требования.
Принципы проведения аудита [33] делают аудит результативным и надежным методом поддержания политики руководства и контроля, обеспечивая информацией, на основе которой организация может улучшать свои характеристики, а также являются предпосылкой для объективных заключений по результатам аудита.
К принципам проведения аудита относят:
а) этичность поведения — основа профессионализма.
Существенными при аудите являются ответственность, неподкупность, умение хранить тайну и осмотрительность;
б) беспристрастность (fair presentation) — обязательство представлять правдивые и точные отчеты.
Выводы аудитов, заключения по результатам аудита и записи отражают правдиво и точно деятельность по аудиту. Неразрешенные проблемы или разногласия между аудиторской группой и проверяемой организацией отражают в отчетах (актах);
в) профессиональная осмотрительность (due professional care) — прилежание и умение принимать правильные решения при проведении аудита.
Профессиональная осмотрительность аудиторов соответствует важности выполняемого задания и доверительности со стороны заказчиков и других заинтересованных сторон. Важным фактором является необходимая компетентность;
г) независимость (independence) — основа беспристрастности и объективности заключений по результатам аудита.
Аудиторы независимы в своей деятельности и свободны от предубеждений и конфликтов интересов. Аудиторы сохраняют объективное мнение во время всего процесса аудита с целью обеспечения того, что в основе выводов и заключений находятся только свидетельства аудита;
д) подход, основанный на свидетельстве (evidence-based approach), — разумная основа для достижения надежных и воспроизводимых заключений аудита в процессе систематического аудита.
Свидетельство аудита основано на выборках существующей информации, поскольку аудит осуществляется в ограниченный период времени и с ограниченными ресурсами. Соответствующее использование выборок тесно связано с доверием, с которым относятся к заключениям по результатам аудита.
Под свидетельствами аудита понимаются записи, изложение фактов или другая информация, которые имеют отношение к критериям аудита и могут быть проверены.
)6зор моделей безопасности бизнеса
>водная информация о моделях >езопасности бизнеса
аналитический материал IBM
/. Введение
Эффективная и действенная система безопасности является неотъемлемой частью бизнеса, предлагающего своим клиентам продукты и услуги. Организациям требуется обеспечить безопасность бизнес-операций и каналов, по которым осуществляется взаимодействие с заказчиками и партнерами.
Любой бизнес неизбежно сопряжен с рисками. Собственные риски присутствуют и в бизнес-операциях организации, и в процессе ее взаимодействия с заказчиками и партнерами. Выявление и понимание взаимосвязей между этими рисками и решениями для обеспечения безопасности являются ключевой предпосылкой для построения эффективной системы безопасности, позволяющей нейтрализовать эти риски. Модели безопасности бизнеса предлагают мощную методологию для выявления и понимания этих взаимосвязей, помогающую увеличить отдачу от инвестиций в решения для обеспечения безопасности.
Этот раздел содержит вводную информацию о моделях безопасности бизнеса. Он рассчитан на директоров по ИТ, руководителей служб безопасности, а также любых других сотрудников организации, ведающих вопросами информационных технологий и безопасности.
Данный раздел начинается с обсуждения рисков и безопасности с точки зрения бизнеса. Затем предлагается логическое обоснование потребности в использовании моделей безопасности бизнеса. Обсуждается концепция, и вниманию читателей предлагаются пять конкретных моделей безопасности бизнеса. В последующих разделах дается обзор каждой модели, после чего приводится пример сценария, использующего все модели. Затем модели рассматриваются на фоне набора общих атрибутов, которые, в свою очередь, используются для дальнейшей дифференциации каждой модели с точки зрения решения для управления рисками и обеспечения безопасности. В заключение рассматриваются вопросы о том, как модели и значения их атрибутов можно использовать для выявления конкретных бизнес-рисков, необходимых решений для обеспечения безопасности, а также как модели помогают составить эффективный план действий, приносящий пользу бизнесу.
II. Логическое обоснование
Цель существования организаций заключается в создании ценностей, выраженных в виде продуктов и услуг. Создание ценностей требует применения физических, логических и конфиденциальных ограничений к пользователям, процессам и ресурсам. Необходимо найти экономичный способ обеспечения безопасности этих границ. Сделать это, однако, совсем непросто. Учитывая тот факт, что в большинстве компаний сегодня уже присутствует значительное количество пользователей, процессов и ресурсов, реальные шансы использовать подход типа «чистый лист бумаги» крайне малы, т.е. реализация плана безопасности может негативно сказаться на существующих операциях. Неудивительно, что в течение десятилетий организации пытались найти ответ на вопрос «Как использовать нужные ресурсы в сфере безопасности для управления бизнес-рисками?». В последнее время благодаря возросшему вниманию к вопросам безопасности со стороны правительственных структур и органов стандартизации, благодаря более жесткой регламентации вопросов безопасности в торговых соглашениях и нормативных документах определение рисков и экономически эффективное управление ими стали важнейшей заботой руководителей многих центров данных.
Безопасность нельзя свести к какому-то определенному продукту или сервису. Это условие, которое должно стать составной частью процесса создания ценностей. Безопасность охватывает целый ряд вопросов. Ее можно рассматривать как физическую безопасность (охранники, пистолеты, нагрудные значки}, совокупность продуктов для обеспечения информационной безопасности (межсетевые экраны, системы обнаружения вторжений и инструменты управления безопасностью), как элемент управляемых сервисов безопасности или просто как встроенные атрибуты продуктов, таких, как операционные системы или репозитории данных.
Безопасность никогда не бывает абсолютной. Не бывает полной безопасности или полной свободы от сомнений или страха — людям и организациям всегда приходится иметь дело с рисками. Некоторые риски можно устранить полностью, другие — уменьшить, а часть — принять. Всегда необходимо помнить о том, что любую систему безопасности можно взломать. Организация может считаться «безопасной», когда она осознает существующие риски и способна управлять ими таким образом, что затраты, направленные на снижение рисков, становятся соразмерными ожидаемой пользе для бизнеса. Как провайдеру сервисов ИТ, вам придется найти разумный баланс между затратами на обеспечение безопасности и преимуществами, которые безопасность обещает вашему бизнесу.
///. Понимание рисков
В данном разделе под риском понимается вероятность того, что произойдет нечто негативное или нежелательное. Под бизнес-риском понимается вероятность того, что нечто нежелательное случится с вашей компанией, ее заказчиками или организацией, от которой зависит ваш бизнес. Обычно большинство бизнес-рисков можно измерить в количественном выражении с использованием таких экономических терминов, как упущенная прибыль, заработная плата или ущерб, нанесенный торговой марке. Снижение вероятности уменьшения ценности, производимой бизнесом, и уменьшение негативных последствий или экономических потерь, связанных с определенным инцидентом, могут привести к снижению бизнес-рисков. Ниже будут рассмотрены различные типы рисков и способы, с помощью которых компании могут управлять ими.
Риски для организаций
Риск для активов — кража, разрушение или порча бизнес- активов. Отказ в законном доступе к бизнес-активам.
Компенсировать — компания может возместить затраты, связанные с риском, путем договоренностей со сторонними специалистами.
Риск ложной идентификации — работа под видом законных пользователей.
Риск владения чужими ресурсами — неспособность защитить ресурсы, принадлежащие третьим сторонам, включая персональные сведения о физических лицах.
Инфраструктурный риск — подрыв работы бизнес-систем; обход защитных мер.
Риск несоответствия — подверженность риску несоблюдения установленных законом норм, регламентирующих правила обеспечения безопасности и конфиденциальности.
Опции управления рисками
Передать — кампония может передать риски другим сторонам.
Нейтрализовать — компания может нейтрализовать риск либо путем снижения вероятности возникновения нежелательного события, либо путем уменьшения негативного эффекта, являющегося результатом события.
Обойти — компания может намеренно избегать тех видов деятельности, которые сопряжены с определенными типами рисков.
Принять — компания может просто смириться с негативными последствиями рисков.
Для каждого типа рисков существуют несколько опций управления рисками. Сложная природа рисков, многочисленные опции управления рисками и разнообразные потребности бизнеса свидетельствуют о необходимости целостной, согласованной методологии обеспечения безопасности. Модели безопасности бизнеса предлагают методологию обеспечения безопасности, которую можно использовать для создания решений в сфере безопасности, позволяющих эффективно и с минимальными затратами нейтрализовать различные риски. Последующие страницы этого раздела будут посвящены определению и рассмотрению моделей безопасности бизнеса.
IV. Модели безопасности
В ходе масштабных фундаментальных исследований и продолжительного сотрудничества с организациями, работающими в сфере финансовых услуг, государственном секторе, производстве, здравоохранении, транспортной сфере, розничной торговле и других отраслях, компания IBM выявила целый ряд моделей безопасности бизнеса. В начале 2003 г. специалисты IBM провели ряд интервью с сотрудниками крупных, средних и малых организаций, работающих в общественных, частных, регулируемых и нерегулируемых секторах.
Эти интервью помогли объединить идеи, родившиеся в ходе академических и практических исследований и сотрудничества с бизнес-структурами (в том числе с огромной внутренней инфраструктурой IBM), и выработать общую стратегию совершенствования безопасности в сфере ИТ. В ходе интервью обязательно возникали некоторые общие темы независимо от того, на большом или малом предприятии и в какой именно отрасли работал интервьюируемый. Практически все организации стремились найти способы эффективной организации пользователей, ресурсов и процессов, позволяющие создать безопасную и одновременно экономичную среду. В процессе этих дискуссий IBM выявила наличие ряда повторяющихся бизнес-потребностей, касающихся применения ограничений, нейтрализации рисков и технологий обеспечения безопасности. Эти потребности можно связать
с набором бизнес-атрибутов, которые присутствуют в каждой организации.
Модели безопасности бизнеса служат для идентификации и понимания взаимосвязей между бизнес-целями, бизнес-рисками и решениями для обеспечения безопасности. Существуют пять основных моделей безопасности бизнеса:
• «Присутствие в Web»;
• «Бизнес—потребитель»;
• «Бизнес—бизнес»;
««Операционная безопасность»;
• «Высокий уровень контроля».
Ценность моделей проистекает из определения соответствия между бизнес-параметрами и параметрами рисков, с одной стороны, и организационными структурами — с другой. Такое соответствие позволяет получить шаблон для эффективной реализации системы безопасности. Анализируя состояние вашей организации с использованием моделей безопасности бизнеса, вы можете создать повторяемую методологию, которая позволит вам построить адекватную и экономичную систему безопасности для вашей компании. Каждая модель безопасности бизнеса используется для описания определенного аспекта бизнес-процесса, с которым связан некоторый уровень риска. Сочетая различные модели безопасности, вы можете создать решение в сфере безопасности, позволяющее удовлетворить целый ряд потребностей бизнеса.
На рисунке представлена репрезентативная инфраструктура заказчика, которая обычно включает в себя как унаследованные, так и появляющиеся новые бизнес-системы. Комплексная архитектура и сложные взаимосвязи, присущие такой инфраструктуре, могут привести к появлению неидентифицированных рисков в сфере безопасности. Очень важно уметь выделить из этой сложной инфраструктуры конечный ряд сфер применения в бизнесе, идентифицирующих различные аспекты безопасности в духе «кто, что, когда, как, почему и когда». Наложение моделей безопасности бизнеса на топологическое представление бизнес-систем предлагает мощную модель комплексной организации точек принятия решений в сфере безопасности, ценностей и движущих сил бизнеса.
> <
£J
X в
О
ТІ >
JZ
s о X X
о
СП m Ш О
ZI >
Partners |
Suppliers |
Assel Risk, Custodia! Risk, Infrastructure Risk |
1 о о
Репрезентативная инфраструктура заказчика
«Присутствие в Web»
Мы предлагаем начать с простейшей модели — «Присутствие в Web» (Web Presence). Как правило, это информационный портал на основе Интернета, и, если рассматривать его в качестве одного из аспектов бизнеса, «Присутствие в Web» представляет собой распространение обращенной к заказчикам, не ориентированной на транзакции бизнес-информации. Цель — предоставление пользователям доступа через Интернет к публичной информации о бизнесе. Ключевой операционной характеристикой этой модели является публичность совместно используемой информации и ценность информации, проистекающая из ее доступности и способов распространения.