вторник, 15 апреля 2014 г.

Информационная безопасность: содержание понятия и его определение

Термин «информационная безопасность» сегодня употребляется очень широко. Однако однозначного определения этого термина как не было, так и нет.
«Информационная безопасность» определяется то как состояние защищенности интересов субъекта в информационной сфере, то как состояние защищенности информационной среды общества, то как защищенность жизненно важных интересов личности, общества и государства от информационных воздействий, и еще множеством различных способов. 
Например, Федеральный Закон от 4 июля 1994 г. № 85-ФЗ «Об участии в международном информационном обмене» трактовал «информационную безопасность» как «состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства». Всего лишь четырьмя годами позже в основополагающем документе в этой сфере – Доктрине информационной безопасности РФ [1] – под информационной безопасностью понимается уже «состояние защи­щенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства». В словаре-справочнике «Безопасность: теория, парадигма, концепция, культура» профессор В. Ф. Пилипенко дает такое определение: «Информационная безопасность – защищенность жизненно важных интересов личности, общества и государства от преднамеренных или непреднамеренных воздействий в той или иной форме (информационная блокада, информационная интервенция, информационная война, дезинформация и др.)» [2]. А суть информационной безопасности профессор  видит в обеспечении сохранности информационных ресурсов государства и защищенности законных прав личности и общества в сфере информации. Некоторые деятели трактуют информационную безопасность как «комплекс организационно-технических мероприятий, обеспечивающих целостность данных и конфиденциальность информации в сочетании с ее доступностью для всех авторизованных пользователей» и, одновременно, как «показатель, отражающий статус защищенности информационной системы» [3].
Кроме приведенных здесь существует множество других, не менее абсурдных, с точки зрения методологии науки, определений. Все их даже перечислить не представляется возможным. Да в этом и нет необходимости. Ведь наша задача состоит не в анализе существующих на сегодня определений понятия «информационная безопасность», а в формулировании определения, отвечающего требованиям научности и здравому смыслу.  
Все понимают, что «информационная безопасность»  взаимосвяза­на с «безопасностью информации». Довольно часто эти термины используют как синонимы. Однако не все понимают, что это грубая методологическая ошибка: объём понятия «информационная безопасность» не равен объёму понятия «безопасность информации». Ведь «безопасность информации» это безопасность объекта - «сведений (сообщений, данных) независимо от формы их представления»[4], а «информационная безопасность» - это безопасность, связанная с информационной деятельностью, информационной сферой, в которую, конечно же, входит информация, но кроме неё туда входят ещё и субъекты информационных отношений, и средства обработки и передачи информации, и каналы передачи информации, и даже условия приёма-передачи информации. Другими словами, информационная сфера, информационный процесс, указание на который присутствует в термине «информационная безопасность», подразумевает наличие множества объектов и множества факторов. По этой причине объём понятия «информационная безопасность» значительно превосходит объём понятия «безопасность информации». По этой же причине понятие «информационная безопасность» гораздо менее определённое, нежели понятие «безопасность информации». Если вообще можно говорить хоть о какой-то определённости этих понятий.
О какой информации, например, идёт речь в понятии «безопасность информации»? Информации вообще? Независимо от её вида, формы представления, принадлежности, назначения и т.д. и т.п.? Но это же бесконечность! А «безопасность бесконечности» есть не что иное, как абсурд. Чтобы понятие обрело смысл, необходимо задать признаки, сужающие понятие до такого предела, когда его определение становится возможным. Думается, что основными признаками, сужающими понятие «информация» и делающими понятие «безопасность информации» более или менее определённым, являются вид информации и её принадлежность. Другими словами, необходимо и достаточно ответить на два вопроса: «какая?» и «чья?». То есть, о безопасности какой (по виду, форме, сфере деятельности и т.п.) информации идёт речь и чьей (кому принадлежащей). Например, «безопасность конфиденциальной информации ООО «Рога и копыта» или «безопасность информации, обрабатываемой в локальной вычислительной сети ОАО «Банк «Городской»».
А что такое «информационная безопасность»? Без указания объекта, безопасность которого необходимо обеспечить, понятие, обозначаемое этим термином, превращается в «универсалию», т.е. наиболее общее понятие, не имеющее никакого содержания и отсылающее нас по уровню рефлексии в средние века к «спору об универсалиях». Без указания объекта, безопасность которого исследуется, это понятие является абсолютно неопределённым. В таком виде его можно употреблять только для обозначения вида деятельности, но как обозначение задачи, требующей решения, этот термин абсолютно неприемлем. Чтобы сделать его мало-мальски определённым, необходимо указать субъекта, безопасность которого исследуется. Говорить об информационной безопасности какого-либо объекта, например, самой информации или компьютера, есть точно такая же глупость, как, например, разговор о «продовольственной безопасности хлеба» или «продовольственной безопасности пекарни».
В своих работах я неоднократно обращал внимание на некорректность (и даже пагубность) широко распространенной практики использования термина «информационная безопасность» вместо термина «безопасность информации» [5]. Подмена понятий, обозначаемых этими терминами, не столь безобидна, как это может показаться на первый взгляд. Она не только методологически несостоятельна и приводит к терминологической путанице, но она ещё и влечет за собой исключение из научного анализа других составляющих понятия «информационная безопасность», концентрируя внимание на решение частной задачи обеспечения защиты самой информации, безотносительно к ее главному производителю и потребителю – человеку. Каких составляющих, мы выясним несколько позже. И применим для этого метод аналогии. Как показывает опыт, он даёт неплохие результаты, заставляя взглянуть на проблему под иным углом, увидеть в привычном необычное.
Вряд ли найдётся хоть один человек, который не слышал максимы: «Не хлебом одним будет жить человек, но всяким словом, исходящим из уст Божиих» [6]. Это выражение свидетельствует о том, что люди  давным-давно заметили, что для человека потребление информации имеет ничуть не меньшее значение, чем потребление пищи. Другими словами, для человека продукты питания – пища физическая, знания (информация) – «пища» интеллектуальная. Между этими процессами – потребления пищи и информации – есть много общего. Но есть и серьёзные различия. Их заметил и отметил ещё Сократ: «Гораздо больше риска в приобретении знаний, чем в покупке съестного. Съестное-то ведь и напитки, купив их у торговца или разносчика, ты можешь унести в сосудах, и, прежде чем принять в свое тело в виде питья или еды, их можно хранить дома и посоветоваться, призвавши знающего человека, что следует есть или пить и чего не следует, а также – сколько и в какое время, так что при такой покупке риск не велик. Знания же нельзя унести в сосуде, а поневоле придется, приняв их в собственную душу и научившись чему-либо, уйти или с ущербом для себя, или с пользой» [7].
То есть, ещё две с половиной тысячи лет тому назад здравомыслящими людьми было понято, что процесс приобретения и потребления пищи менее рискован, а, следовательно, и менее опасен, чем приобретение и потребление знания (информации). Однако, то, что было очевидно для мыслителей древности, неочевидно и недоступно для современных российских учёных и практиков. 
И вот этот процесс – процесс потребления пищи (продуктов питания, шире – продовольствия) – я предлагаю взять в качестве упрощённого аналога процесса потребления информации (знания) и разобраться, что представляет из себя его безопасность и как она – эта безопасность – сегодня трактуется.
Феномен безопасности, связанной с потреблением пищи материальной, имеет название «продовольственная безопасность» и исследуется нашими современниками ничуть не меньше, чем «информационная безопасность». Тем не менее, спектр определений понятия «продовольственная безопасность» значительно уже спектра определений понятия «информационная безопасность».
В Российском законодательстве «продовольственная безопасность Российской Федерации» трактуется как «состояние экономики страны, при котором обеспечивается продовольственная независимость Российской Федерации, гарантируется физическая и экономическая доступность для каждого гражданина страны пищевых продуктов, соответствующих требованиям законодательства Российской Федерации о техническом регулировании, в объемах не меньше рациональных норм потребления пищевых продуктов, необходимых для активного и здорового образа жизни» [8] (выделено мной – Г.А.).
Если удалить из этого определения всё лишнее и антинаучное [9], то в «сухом остатке» получим, что продовольственная безопасность есть ситуация, при которой каждому человеку гарантируется физическая и экономическая доступность пищевых продуктов в объемах, необходимых для активного и здорового образа жизни [10].
Примерно так трактуется «продовольственная безопасность» и в «Римской декларации по всемирной продовольственной безопасности» [11]. В ней нет чёткого определения понятия «продовольственная безопасность». В ней декларируется «право каждого на доступ к безопасным для здоровья и полноценным продуктам питания, в соответствии с правом на адекватное питание и основным правом каждого на свободу от голода». Другими словами, подразумевается, что если будет обеспечено право каждого на:
1)    доступ (физический и экономический) к продуктам питания;
2)    безопасность продуктов питания для жизни и здоровья потребителя;
3)    полноценность продуктов питания,
то таким образом будет обеспечена и продовольственная безопасность.
Странно, не правда ли? Главное требование обеспечения продовольственной безопасности – доступность, а главное требование информационной безопасности (в российском законодательстве) – конфиденциальность, т.е. недоступность (вернее - доступность для избранных). На втором месте в продовольственной безопасности – безопасность продуктов для потребителя, в информационной безопасности – целостность самой информации. На третьем в продовольственной безопасности – полноценность продуктов питания, в информационной безопасности – доступность информации.
Получается, что проблема информационной безопасности не просто поставлена с ног на голову, она ещё и искажена до безобразия: первое требование к обеспечению информационной безопасности по российскому законодательству – конфиденциальность, т.е. каждый обязан ещё до получения какой бы то ни было информации её спрятать[12], потом обеспечить целостность, т.е. её физическую нерасчленённость, а потом – обеспечить доступность, т.е. отдать. Разве это не абсурд? Сначала спрятать, потом отдать?! Зачем прятать, если нужно отдать? А требование обеспечения целостности, видимо, присутствует здесь только потому, что никто не удосужился посмотреть в словарях значение этого термина. Целостность – характеристика формы, указывающая на её ненарушенность. Целостность предполагает отграниченность объекта от окружающей среды (наличие внешней границы, автономность). О какой целостности информации может, например, идти речь при её обработке с помощью средств вычислительной техники (далее – СВТ), когда сама технология предполагает постоянное и кардинальное изменение формы представления информации. А о какой целостности информации можно говорить при её шифровании? А при применении стеганографии? Нарушение целостности информации лежит  в основе и шифрования, и стеганографии. Получается, что требование обеспечения целостности информации ставит оба эти метода вне закона?! Равно как и обработку информации на СВТ.
Лучше всего целостность информации обеспечивается при нанесении её на гранит. И потому требование это хорошо выполняется только на кладбищах и в музеях. Да и то не всегда и не везде: вандалы и время делают своё дело.
Но вернёмся к нашей аналогии.
Основными методами обеспечения продовольственной безопасности согласно Доктрине продовольственной безопасности России являются: 
- своевременное выявление и предотвращение угроз продовольственной безопасности, минимизация их негативных последствий за счет постоянной готовности системы обеспечения граждан пищевыми продуктами, формирования стратегических запасов пищевых продуктов; 
- развитие отечественного производства продовольствия и сырья; 
- достижение и поддержание физической и экономической доступности для каждого гражданина страны безопасных пищевых продуктов в объемах и ассортименте, которые соответствуют установленным рациональным нормам потребления пищевых продуктов, необходимых для активного и здорового образа жизни; 
- обеспечение безопасности пищевых продуктов.
Если опять убрать из текста всё спекулятивное и ненаучное, получим, что для обеспечения продовольственной безопасности человека необходимо:
- обеспечить его качественными и полноценными продуктами питания;
- обеспечить физическую и экономическую доступность продуктов;
- обеспечить безопасность запасов пищевых продуктов.
Следуя логике великого советского учёного А.А. Богданова, изложенной в его совершенно замечательном труде под названием «Тектология» или «Всеобщая организационная наука», мы можем смело утверждать, что оба процесса – обеспечение продовольственной безопасности и обеспечение информационной безопасности – с точки зрения организации подобны! Подобны и методы обеспечения этих видов безопасности!
А что это значит?
А это значит, что для обеспечения информационной безопасности субъекта информационных отношений необходимо:
1)    обеспечить его достоверной и в необходимом для принятия правильного решения количестве (т.е. достаточной) информацией;
2)    обеспечить физическую и семантическую [13] доступность информации;
3)    обеспечить безопасность принадлежащих ему информационных ресурсов.
Таким образом, в результате несложных логических рассуждений мы подошли к пониманию содержания работ по обеспечению информационной безопасности субъекта информационных отношений.
Диалектически каждая из этих задач распадается на две противоположные, взаимосвязанные и взаимодополняющие составляющие. Так, задача обеспечения субъекта информационных отношений достоверной и достаточной информацией предполагает обеспечение его (субъекта) защиты от недостоверной (ложной) и недостаточной (неполной) информации. Обратной стороной обеспечения физической и семантической доступности информации будет обеспечение её недоступности, т.е. конфиденциальности. Обеспечение безопасности информационных ресурсов, принадлежащих субъекту, предполагает  их защиту от искажения, некорректного уничтожения, а так же некорректного установления и/или изменения статуса [14]. Следовательно, оппозицией в этом случае будет обеспечение сохранности информационного ресурса, корректное уничтожение ненужной (неактуальной) информации, а так же корректное установление и изменение её статуса.
Главное предназначение информации – быть исходным материалом для принятия решения в процессе постановки и достижения цели. Суть же деструктивного информационного воздействия как в техническом, так и в гуманитарном смысле, состоит в том, чтобы заставить систему действовать не в соответствии со своими целями и задачами, а в интересах управляющей системы. «Целенаправленное же деструктивное информационное воздействие может привести систему к необратимым изменениям и, при определенных условиях, к самоуничтожению», - справедливо считает С.П.Расторгуев [15]. Поэтому главенствующее положение в перечне требований к информации, с позиции обеспечения информационной безопасности, занимает именно обеспечение достоверности информации. Ведь  «полуправда бывает хуже лжи, т. к. подает ложную надежду» [16] и приводит в итоге к принятию неправильных (опасных) решений. Следовательно, субъекты информационных отношений должны быть защищены, в первую очередь, от недостоверной (т.е. ложной) информации. Однако это требование распространяется не на всю информацию, а только на ту, которая необходима субъекту для социально значимого целеполагания и целедостижения.
Как и в любом другом деле, здесь не обойтись без исключений. Никто не отменял «ложь во благо»: иногда в интересах сохранения жизнеспособности и жизнедеятельности    информационной системы (субъекта информационных отношений) её необходимо дезинформировать, т.е. снабдить ложной информацией [17].
В целом же, чтобы процесс удовлетворения информационных потребностей носил позитивный характер, т.е. шел на пользу потребителю информации, а не во вред ему, информация должна отвечать требованиям достоверности, доступности, достаточности [18].
Соотношение между этими требованиями и основные способы их выполнения демонстрирует приведенная ниже таблица.
Табл. 1. Требования к информации с точки зрения обеспечения информационной безопасности субъекта информационных отношений и основные способы их выполнения.
№ пп
Требования к информации
Способы обеспечения
1
Достоверность,
потому что лучше не иметь никакой информации, чем иметь ложную. Ложная информация однозначно приводит к принятию неверного решения и в итоге к гибели системы.
· Применение различных способов верификации поступающей информации.
·     Использование доверенных источников информации и надежных каналов ее трансляции.
2
Доступность,
потому что мало, чтобы информация существовала, она должна быть представлена в понятных индивиду семантических кодах, доступна физически и тогда, когда она ему необходима.
·     Применение технологий, позволяющих осуществить доступ к нужной информации в любое время.
·     Разработка и использование надёжных интерпретаторов информации.
3
Достаточность,
потому что нет необходимости (целесообразности) собирать всю информацию по проблеме,  чтобы принять верное решение.
·  Разработка алгоритмов принятия решений, требующих минимального количества исходных данных.
·  Получение возможно большего количества исходных данных.
Безопасность информации при этом должна рассматриваться как составная часть общей проблемы информационной безопасности субъекта информационных отношений, причем не самой главной, а лишь в той части, в которой необеспечение безопасности информации, имеющей отношение к субъекту, может нанести ему вред. 
В сущностном плане по аналогии с «продовольственной безопасностью», которая представляет собой безопасность процесса обеспечения людей продовольствием, «информационная безопасность» есть безопасность информационного процесса. Процесса, состоящего из подпроцессов производства, передачи, хранения и, наконец, потребления информации субъектами информационных отношений [19].  
С учётом всего изложенного выше понятию «информационная безопасность» можно дать следующее – максимально широкое – определение.
Информационная безопасность субъекта есть ситуация, при которой ему обеспечивается физический и семантический доступ к информации в объёмах и качестве, необходимых для принятия верных решений, а так же ему не причиняется вред путём воздействия на его информационную сферу и информационное пространство, в котором он находится, вследствие чего он сохраняет способность и возможность ставить позитивные социально значимые цели, направленные на прогрессивное развитие своё и социума, обеспечивать условия и сохранять возможности их достижения.
Я сознательно ввёл в определение аксиологические (ценностные) компоненты, такие как «позитивные социально значимые цели» и «прогрессивное развитие». Человек (субъект) – существо социальное и его помыслы и его действия должны быть направлены на позитивное отношение к социуму. Он может получить доступ к достоверной информации, например, составляющей коммерческую тайну, и использовать её в своих корыстных интересах, но для других субъектов и социума в целом это будет вред. Он так же может считать, что находится в информационной опасности, когда ему запрещают читать «Main Kampf» или посещать экстремистские интернет-сайты, но с позиции социума это благо. Хотя, как говорил Ярослав Гашек, хорошо воспитанный человек может читать всё. Правда, для того, чтобы человеку предоставить право читать и смотреть всё, его нужно сначала хорошо воспитать (выработать высокий «информационный иммунитет»). Но даже несмотря на наличие хорошего воспитания, современный человек не будет находиться в информационной безопасности, потому что нынешние информационные технологии ему этого не позволят. Применяемые сегодня приёмы подачи информации и используемые для этого информационно-телекоммуникационные технологии достигли такого уровня,  что воздействие на сознание человека может осуществляться вопреки его воле и даже минуя её. За примерами далеко ходить не надо – российское телевидение, российская пресса, русскоязычный Интернет – ярчайшие образчики деструктивного информационного воздействия. Ложь, вымысел, передёргивание и подтасовки фактов, информационный шум и многое-многое другое стали неотъемлемыми атрибутами российской действительности. Даже для российского законодательства деструктивное информационное воздействие становится нормой, так много в нём стало алогичного, противоречащего здравому смыслу и, даже, элементарным правилам русского языка. И именно это – реальные информационные опасности. Они страшны тем, что создают условия (и одновременно являются индикаторами) дебилизации населения страны, приводят к дисфункции и последующей деструкции социальных институтов и общества в целом. Но более подробно об информационных рисках, угрозах и опасностях в следующей статье.

[1] Утв. Президентом РФ от 9 сентября 2000 г. N Пр-1895.
[2] Безопасность: теория, парадигма, концепция, культура. Словарь-справочник / Автор-сост. профессор В. Ф. Пилипенко. Изд. 2-е, доп. и перераб. — М.: ПЕР СЭ-Пресс, 2005.
[3] Современный экономический словарь. – Режим доступа: http://slovari.yandex.ru (22.03.2011).
[4] См. ст. 2 Федерального закона РФ от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
[5] См., например, Атаманов Г.А. Диалектика безопасности / Национальная безопасность России в перспективах развития современного общества. – Саратов : Изд-во «Научная книга», 2005; Атаманов Г.А. Роль и место информационной безопасности в структуре безопасности государства // Материалы IV Всероссийской научно - практической конференции. Волгоград, 17-18 ноября 2006г.
[6] В этой максиме термин «хлеб» используется как метафора, родовое понятие, обозначающее продукты питания. Термин «слово» здесь используется как метафора знания, шире – информации. «Уста Божии» - метафора источника знания (информации). Древние считали, что знания имеют божественное происхождение.
[7] Платон. Протагор. Цит. по Бурьяк А. Национальная безопасность (отрывки). – Режим доступа: http://bouriac.narod.ru/ (21.12.2009).
[8] Доктрина продовольственной безопасности Российской Федерации. Утверждена Указом Президента Российской Федерации от 30 января 2010 г. № 120. – Режим доступа: http://www.mcx.ru/documents/document/show/12214.19.htm (10.11.2012).
[9] «Российская Федерация» не потребляет продовольствия, поэтому оборот «продовольственная безопасность Российской Федерации» есть абсурд. Здесь должно быть «продовольственная безопасность населения Российской Федерации». Именно «населения», но не «граждан». Есть хотят не только граждане РФ, но и граждане других стран, проживающие на территории РФ, лица без гражданства, бомжи, в конце-концов. У аборигенов, живущих в долине Амазонки вообще нет никакой «экономики», но с продовольственной безопасностью – полный порядок: бананов и крокодилов – хоть отбавляй. Ссылаться в определении понятия на требования законодательства РФ о техническом регулировании – это либо верх методологической безграмотности, либо предел антигуманности.
[10] Я бы добавил сюда кроме объёмов ещё и качество. Т.е. «в объёмах и качестве, необходимых» и далее по тексту.
[11] Римская декларация о всемирной продовольственной безопасности и План действий Всемирной встречи на высшем уровне по проблемам продовольствия (Рим, 13 ноября 1996 года). – Режим доступа: http://www.g20civil.com/ru/documents/205/577/ (13.11.2012).
[12] А лучше «съесть до прочтения», как шутят иногда по этому поводу секретчики.
[13] Семантическая доступность = доступность для понимания. Это требование  говорит о том, что информация должна быть представлена в семантических кодах, доступных для восприятия и понимания субъектом. Например, текст на иностранном языке, которого субъект не знает, будет восприниматься его органами чувств, но останется недоступным для понимания, т.е. будет семантически недоступным.
[14] Об этом подробнее см.: Атаманов Г.А. Чему угрожают: информации или её безопасности? // Защита информации. Инсайд. – 2010. – № 6. – С. 20-28.
[15] Расторгуев С.П. Философия информационной войны. М.: 2002г. (Электронный вариант). Ч.5. – Режим доступа: www.pobeda.ru/cyberwars/filos.htm (02.01.2004).
[16] Пономаренко В. Проблема 2033. Режим доступа: http://www.libereya.ru/biblus/pr2033.html (04.08.2003).
[17] Об этом подробнее: Атаманов Г. А. Информационная безопасность в современном российском обществе (социально-философский аспект): дис. …канд. филос. наук.- Волгоград, 2006.- С. 132.
[18] Для сокращения я называю это «принцип 3Д».
[19] Таковыми следует считать индивида, организацию (корпорацию), государство. 
______________________________________________________________________________
Библиографическая ссылка: Атаманов Г.А. Азбука безопасности. Информационная безопасность: содержание понятия и его определение / Г.А. Атаманов // Защита информации. Инсайд. – 2013. – № 3. – С. 8 - 13.

Комментариев нет:

Отправить комментарий