вторник, 4 марта 2014 г.

Информационная безопасность: сущность и содержание

Информационное общество – это закономерный этап в развитии современного социума. Этап, в котором воплотился ряд тенденций, наметившихся в прежних общественных формах. Это, в первую очередь,  изменение ресурсной базы производства, которая теперь связывается с тотальной информатизацией, развитием и конвергенцией телекоммуникаций и планетарной системы связи. Это - колоссальный рост влияния СМИ, которые получили возможность мгновенного инклюзивного охвата и беспрецедентного влияния на огромные массы населения планеты. Это и формирование единого глобального общества, которое доминирует над традиционными национальными государственными образованиями. Информационное общество отличается от всех предшествующих форм социальной организации в первую очередь тем, что встраивает между человеком и общественными институтами такого универсального «посредника», как информационное пространство, которое для других сфер общества выступает как метапространство. Это значит, что все структуры общества так или иначе представлены в этом пространстве как его «части» в виде информационных потоков, знаковых систем и символов, набора алгоритмов, и уже в таком виде воспринимаются и осваиваются членами общества. Взаимоотношения людей все больше и больше опосредуются информационной средой. Во главу угла общественной жизни все чаще ставится  отношение человека к самой информации, которая стала сегодня основой ориентации людей в повседневной жизни. Поэтому контроль над информацией, циркулирующей в средствах информатизации и телекоммуникационных каналах, позволяет активно влиять на формирование модели мира, и, следовательно, обеспечивать желаемые типы поведения. «Современное информационное общество – отмечается в работе В.А.Лисичкина и Л.А.Шелепина, - представляет собой особый  тип и социального структурирования, и власти. После индустриального капитализма, базирующегося на владении средствами производства, после финансового капитализма, опирающегося на власть денег, наступает этап некоего символического информационного капитализма, в котором власть основана и осуществляется через средства коммуникации, путем управления информационными потоками»[1]. Средства коммуникации, оперирующие, трансформирующие, дозирующие информацию, по мнению этих авторов, становятся главными инструментами влияния на современное общество. Для повышения эффективности осуществления властных стратегий используются самые современные информационные технологии, которые помогают превратить публику в объект манипулирования.  При этом сознание массового человека оказывается насквозь структурировано немногими, но настойчиво внедряемыми в него утверждениями, которые, бесконечно транслируясь  средствами информации, образуют некий невидимый каркас из управляющих мнений, установлений, ограничений,  который  определяет и регламентирует реакции, оценки, поведение публики.
Таким образом, главная парадигма информационного общества - противоречие между колоссальными возможностями по воздействию на социальную организацию и сознание человека, предоставляемыми новыми информационными технологиями, с одной стороны, и угрозами их использования в деструктивных по отношению к индивидууму, социальной группе, нации, всему человечеству целях, с другой. Другими словами, процессы формирования глобального информационного общества несут с собой не только одни лишь плюсы, обусловленные внедрением новых информационных технологий, но и «таят в себе угрозы разрушения самобытных культур и их носителей, что нанесет непоправимый ущерб всему человечеству»[2]. И если мы правильно осознаем специфику информационного сообщества в контексте обострения глобальных проблем, то уже сегодня мы должны двигаться тем путем, который ведет к использованию потенциала, заложенного в информационных технологиях, в конструктивных, по отношению ко всему человечеству, целях.
Проблема защиты от новых видов воздействия, порожденных информатизацией, тревожит многих исследователей современного общества, ей посвящена обширная исследовательская литература и количество работ, посвященных исследованию проблем информационной безопасности, постоянно растет. В то же время, анализ научной литературы показывает, что методологические аспекты исследования безопасности разработаны недостаточно. До сих пор преобладает выборочный подход к отдельным аспектам этой проблемы, по преимуществу, – техническому и технологическому. Отсутствие общепринятых понятий и категорий приводит к полисемии, а порой и к омонимии, что, в свою очередь, значительно снижает эффективность научных разработок в области безопасности, особенно их прикладное значение.
 Представляется, что прежде чем раскрывать сущность и содержание понятия «информационная безопасность», необходимо сначала определиться, что следует понимать под безопасностью как таковой.
Существует довольно много определений понятия «безопасность». Чаще всего безопасность трактуют как такое состояние, когда нет опасности, т.е. «факторов и условий, угрожающих существованию непосредственно индивиду или его сообществу в форме семьи, населенного пункта или государства» [3].  А.Бурьяк[4] трактует национальную безопасность как «показатель состояния нации, означающий, что совокупное действие внутренних и внешних вредных факторов не может значительно снизить качество ее жизни и не создает угрозу ее существованию». И. Л. Прохоренко дает такое определение[5]: "Национальная безопасность - это такое сочетание внутренних и внешних обстоятельств, воздействующих на жизнь государства, при котором отсутствуют угрозы критического характера и в то же время сохраняется полноценная способность государства адекватно реагировать на эти угрозы, коль скоро они возникнут."  Безопасность довольно часто трактуется как способность объекта сохранять при наличии деструктивных, дезорганизующих воздействий (внешних и/или внутренних) свои важнейшие, системообразующие свойства[6], основные характеристики и параметры, потеря которых может привести к тому, что объект утрачивает свою сущность, перестает быть самим собой. Ряд исследователей под безопасностью понимает систему гарантий, обеспечивающую явлению его нормальное развитие. В Законе Российской Федерации «О безопасности» содержание понятия «безопасность» трактуется как «состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз».
Практически все приведенные выше определения подвергались и продолжают подвергаться критике и со стороны специалистов-практиков и со стороны ученых[7]. Несостоятельность многих очевидна. Рамки данной статьи не позволяют раскрыть этот вопрос болеет подробно. Ясно одно – безопасность не может существовать без своей диалектической противоположности – опасности. Более того, некий комплекс опасностей присутствует всегда. Понятие же «опасность» в самом общем плане характеризует такое состояние объекта, при котором угроза его бытию за счет разрыва или искажения наиболее существенных связей и отношений в системе превышает некую предельно допустимую субъективно установленную величину. Опасность возникает тогда, когда объект подвергаются воздействию (изнутри или извне) такого вида и такой силы, что механизмы его жизнеобеспечения становятся неспособны поддерживать нормальный режим функционирования, вследствие чего объект может быть частично или полностью разрушен (подвергнуться деструкции) и/или перестать выполнять свои основные функции (подвергнуться дисфункции). Следует особо отметить то обстоятельство, что не каждая угроза деструкции и дисфункции должна восприниматься как опасность, а та и только та, реализация которой может привести к такому нарушению структуры объекта, при которой он перестает быть структурно цельным, теряет собственную идентичность, либо блокируется или существенно затрудняется выполнение им своих основных функций, т.е. нарушается его функциональная целостность. Соответственно, безопасность возникает лишь как преодоление, снятие этой ситуации. 
Безопасность социального объекта следует понимать как такое его состояние, при котором обеспечивается его устойчивое существование в пределах установленных параметров, сохраняется возможность и способность постановки и достижения выгодных самому объекту целей. При этом объект может изменяться в границах допустимого (меры или нормы), усложняться, менять структуру, свойства, но при этом он должен сохранять свои цели,  функции и собственную идентичность (сохранить структурную цельность и функциональную целостность). 
Определив таким образом понятие «безопасность», перейдем теперь к анализу сущности и содержания понятия «информационная безопасность».
Совершенно очевидно, что понятие «информационная безопасность»  взаимосвяза­но с понятием «безопасность информации». Довольно часто их используют как синонимы. Но, как известно, «безопасность» не существует сама по себе, безотносительно к объекту, «без определения объекта понятие «безопасность» является неопределенным, лишенным внутреннего смысла»[8]. Выбор объекта безопасности  предопределяет содержание понятия «безопасность». Поэтому, если в качестве объекта защиты выступает собственно информация, то понятия «информационная безопасность» и «безопасность информации» действительно становятся синонимами. Но, если в качестве объекта защиты рассматривается некий объект (субъект) - участник информационных отношений, то слово «информационная» в  термине «информационная безопасность» указывает на направление деятельности, посредством которой может быть причинен вред объекту защиты и понятие «информационная безопасность» в этом случае следует трактовать как состояние защищенности данного объекта от угроз информационного характера. С.П.Расторгуев, характеризуя современное состояние проблемы, пишет: «В результате проблема защиты информации, которая ранее была как никогда актуальна, перевернулась подобно монете, что вызвало к жизни ее противоположность — защиту от информации. Теперь уже саму информационную систему и, в первую очередь человека,- необходимо защищать от поступающей “на вход” информации, потому что любая поступающая на вход самообучающейся системы информация неизбежно изменяет систему. Целенаправленное же деструктивное информационное воздействие может привести систему к необратимым изменениям и, при определенных условиях, к самоуничтожению»[9]. Безопасность информации при этом должна рассматриваться как составная часть общей проблемы обеспечения безопасности объекта защиты, причем не самой главной, а лишь в той части, в которой необеспечение безопасности информации, имеющей отношение к объекту защиты, может нанести ему вред, который, в свою очередь, может привести к нарушению его структурной цельности и функциональной целостности.
В нашей стране основное внимание общественности сконцентрировано исключительно на проблеме защиты информации. Такое положение сложилось в силу многих обстоятельств. В первую очередь, это обусловлено очевидностью. Информация стала товаром, а товар нужно защищать. Вполне естественно, что первыми на себе это ощутили представители кредитно-финансовой сферы, где информация – это деньги, а деньги – это информация. Утекла информация – утекли деньги. Все предельно просто и очевидно и, что немаловажно, ущерб имеет материальное выражение, подлежащее счету. Наличие финансовых возможностей позволило кредитно-финансовому сектору привлечь к решению вопросов обеспечения защиты своей информации лучших специалистов, сконцентрировав их внимание на узкоспециализированных направлениях. Во вторую очередь - профессиональной подготовкой специалистов, первыми осознавших остроту проблемы. Подавляющее большинство из них – представители технических специальностей. Но и этими специалистами безопасность самой информации понимается неоднозначно. Как правило, она трактуется как защищенность установленного статус-кво информации от внутренних и внешних угроз; от утеч­ки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (поддел­ки), несанкционированного копирования, блоки­рования информации и т.п.; от случайных или преднамеренных несанкционированных воздейст­вий на информацию или несанкционированного ее получения; от случайного или преднамеренного доступа лиц, не имеющих права на получение ин­формации, ее раскрытие, и др. Значительно реже безопасность информации рассматривается с точки зрения изначальной полноты и надежности информации.
Сущность информационной безопасности большинством специалистов видится в невозможности нанесения вреда объекту защиты, его свойствам или  деятельности по выполнению своих функций[10]. В основополагающем документе в этой сфере – Доктрине информационной безопасности РФ – под информационной безопасностью «понимается состояние защи­щенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства». Такая формулировка нашла свое место в Доктрине несмотря на то, что термины "защищенность", "интересы" и другие являются  неопределенными и расплывчатыми[11]. К этому можно добавить, что некорректно рассматривать в качестве объектов защиты в законе не только «интересы», но и «личность», и «общество», да и «государство» тоже. Прежде всего потому, что они не являются субъектами права. Как известно, субъектами права являются физические и юридические лица (в крайнем случае – граждане, лица без гражданства, организации) и исполнительные органы власти. «Личность», «общество», «государство» являются категориями социологии, социальной философии и использование этих понятий в законодательном акте неуместно. Корме того, понятия эти несопоставимы (разносущностны) и крайне расплывчаты.
В рассмотренных автором работах наибольший интерес вызывает определение информационной безопасности, данное А.И.Алексенцевым: «Информационная безопасность - состояние ин­формационной среды, обеспечивающее удовлетво­рение информационных потребностей субъектов информационных отношений, безопасность ин­формации и защиту субъектов от негативного ин­формационного воздействия»[12]. Информационная среда, понимаемая как сфера деятельности субъектов, связанная с созданием, преобразовани­ем и потреблением информации, выступает в данном контексте как мета-объект защиты.
Таким образом, в содержательном плане, по мнению А.И.Алексенцева, информационная безопасность включает три составляющие:
1.               удовлетворе­ние информационных потребностей субъектов;
2.               обеспечение безопасности информа­ции;
3.               обеспечение защиты субъектов информационных отношений от нега­тивного информационного воздействия.
С точки зрения А.И.Алексенцева, информация, необходимая для удовлетворения информаци­онных потребностей, должна быть:
1) относительно полной (достаточной для принятия правильных решений);
2) достоверной;
3) своевременной.
Не вызывает сомнения тот факт, что удовлетворение любых потребностей (в пище, воде, деньгах и т.д.)  сопряжено с опасностью (см., например, “Баязед” Пикуля). Удовлетворение инфопотребностей сопряжено с опасностью подвергнуться деструктивному воздействию со стороны других участников информационного взаимодействия. Но что должно предшествовать - удовлетворение инфопотребности или обеспечение безопасности - каждый субъект решает исходя из учета величины потребности и своего предшествующего опыта (знания) в соответствии с критерием «эффективность-стоимость», где  стоимость понимается не в денежном выражении, а как степень влияния на функциональную цельность и структурную целостность объекта. С учетом этого замечания данный критерий может быть трансформирован в формулу «потребность - цена риска». Одним из первых и наиболее ярких примеров пренебрежения этим критерием является история с троянским конем: удовлетворение инфопотребности без проверки качества потребляемой информации привело к физическому уничтожению тысяч людей и прекрасного города-государства. Из этого примера можно сделать только один вывод: процесс удовлетворения информационной потребности должен быть, прежде всего, безопасен для потребителя. Лучше не иметь никакой информации, чем иметь недостоверную. Отсутствие исходной информации для принятия решения заставляет субъекта экстраполировать ситуацию, исходя из предыдущего опыта, учитывающего поведение элементов системы, состояние связей, структуру и т.д. Вероятность принятия правильного решения при этом определяется «мудростью» самого субъекта, т.е. способностью находить правильные решения при дефиците исходных данных. В крайнем случае, субъект в состоянии запустить уже имеющуюся программу поведения, прошедшую проверку временем и дающую положительные результаты в подобных ситуациях, и закрепленную, как правило, в мифах, сказаниях, максимах, моральных нормах и принципах, т.е. культуре данного социума.
По меткому выражению В.Пономаренко,  «полуправда бывает хуже лжи, т. к. подает ложную надежду»[13]. Более того, недостоверная информация приводит в итоге к принятию неправильных (опасных для субъекта) решений, т.к. субъект не видит необходимости задействовать программы верификации входящей информации, информации о собственных тенденциях системы. В результате недостоверность информации так и не будет преодолена, а значит – и безопасность не гарантирована. Исходя из этого, следует признать, что главенствующее положение в перечне требований к информации с позиции обеспечения информационной безопасности, занимает ее достоверность. Т.е., в первую очередь, субъекты (объекты) информационных отношений должны быть защищены от «недоброкачественного товара» и недобросовестных производителей. Во вторую – от недобросовестных пользователей. От тех, кто может использовать в деструктивных по отношению  к объекту защиты целях информацию, полученную как законными, так и незаконными средствами и методами. К блоку проблем по реализации данного требования принадлежат, например, задачи по защите авторских прав и защите информации от утечки по техническим каналам, защите информации от несанкционированного доступа и защите информации от воздействия вредоносных программ.
Что касается третьей составляющей информационной безопасности – удовлетворения информационных потребностей субъектов – то особо следует отметить, что удовлетворяться в безусловном порядке должны не любые информационные потребности, а только те, которые определяются необходимостью обеспечения жизнедеятельности субъекта, его адаптации к постоянно изменяющимся условиям окружающей среды. В первую очередь сюда следует включить все, что обеспечивает формирование адекватной научно обоснованной картины мира. Во вторую очередь – информацию,  обеспечивающую социализацию личности. Далее – все, что связано с производственной, хозяйственной и т.п. деятельностью. А для того, чтобы процесс удовлетворения информационных потребностей носил позитивный характер, т.е. шел на пользу потребителю информации, а не во вред ему, сама информация должна соответствовать требованиям достоверности, своевременности и достаточности.
Таким образом, в сущностном плане, информационная безопасность есть такое состояние объекта, при котором состояние информационной среды, в которой он находится, позволяет ему сохранять способность и возможность принимать и реализовывать решения сообразно своим целям, направленным на прогрессивное развитие.
Это означает, что информационная безопасность может достигаться как в результате проведения мероприятий, направленных  на поддержание информационной среды в безопасном для объекта защиты состоянии, защиту объекта от деструктивного воздействия, так и путем укрепления иммунитета и развития способности объекта уклоняться от деструктивного информационного воздействия (в т.ч. за счет предвидения их возможности).
Следовательно, задача обеспечения информационной безопасности государства состоит в том, чтобы создать такие условия функционирования информационной инфраструктуры (главным элементом которой является не компьютер, а человек), при которых отдельные граждане, коллективы, органы власти  могли бы принимать управленческие решения и добиваться их реализации сообразно целям, направленным на прогрессивное развитие всего общества.



[1] Лисичкин, В. А. Третья мировая информационно-психологическая  война / В.А.Лисичкин, Л.А.Шелепин. - М. : Ин-т социально-политических исследований АСН, 2000.- С.46.
[2] Лепский, В.Е. Становление стратегических субъектов в глобальном информационном обществе: постановка проблемы // Информационное общество, 2002, Вып. 1.- С.58
[3] Дзлиев, М. И. Проблемы безопасности: теоретико-методологические аспекты / М.И.Дзлиев, А. Л. Романович, А.Д.Урсул. – М., 2001.- С.9.
[4] Бурьяк А. Национальная безопасность (отрывки).- Режим доступа: http://bouriac.narod.ru.
[5] Прохоренко И.Л. Национальная безопасность и баланс сил / Баланс сил в мировой политике: теория и практика.- М., 1993.- С.70.
[6] Стрельцов А.А. Содержание понятия «обеспечение информационной безопасности» // Информационное общество.- 2001.- № 4.- С.10-16.
[7] См., например, Дзлиев, М. И. Проблемы безопасности: теоретико-методологические аспекты / М.И.Дзлиев, А. Л. Романович, А.Д.Урсул. – М., 2001., Кузнецов, В. Н. Российская идеология XXI века в обеспечении эффективности и безопасности динамично-устойчивого развития России. - http://spkurdyumov.narod.ru/Kuznetsov25.htm.
[8] Стрельцов А.А. Содержание понятия «обеспечение информационной безопасности» // Информационное общество. 2001. № 4. С.12.
[9] Расторгуев С.П. Философия информационной войны. М.: 2002г. (Электронный вариант). Ч.5
[10] См., например, Стрельцов А.А. Обеспечение информационной безопасности России. Теоретические и методологические основы. – М., МЦНМО, 2002. – С.52-57.
[11] См. Дзлиев, М. И. Проблемы безопасности: теоретико-методологические аспекты / М.И.Дзлиев, А. Л. Романович, А.Д.Урсул. – М., 2001.- С.9.
[12] Алексенцев А. И. Сущность и соотношение понятий "защита информации", "безопасность информации", "информационная безопасность" // Безопасность информационных технологий. 1999. № 1. С.45.
[13] Пономаренко В. Проблема 2033. – Режим доступа: http://www.libereya.ru/biblus/pr2033.html.
 

Библиографическая ссылка: Атаманов Г.А. Информационная безопасность: сущность и содержание [Электронный ресурс]. – Режим доступа: http://gatamanov.blogspot.ru. – Имеется печатный аналог: Атаманов Г.А. Информационная безопасность: сущность и содержание // Бизнес и безопасность в России. – 2007. – № 47. – С. 104-109.

2 комментария:

  1. Вторая составляющая информационной безопасности, исходя из написанного, более подходит под определение «защита информации», да и в абзаце. Раскрывающем сущность этого понятия говорится про ЗИ, а не БИ! А так все верно и правильно.

    ОтветитьУдалить
  2. Вторая - это по классификации А.И.Алексенцева. Я принял её за основу, но считаю, что порядок деятельности по обеспечению ИБ должен быть иной: 1) удовлетворение инфопотребностей; 2) защита субъектов от деструктивного информационного воздействия; 3) защита информационного ресурса.
    Т.е. ЗИ - это третья составляющая обеспечения ИБ.

    ОтветитьУдалить