CC BY-NC
36Слагаемые качества обеспечения информационной безопасности
Скородумова Ольга Борисовна
доктор философских наук
профессор, кафедра философии, Российский государственный социальный университет 123154, Россия, г. Москва, ул. Маршала Тухачевского, 37/21
И obsel@mail.ru Скородумов Борис Иванович
кандидат технических наук доцент, кафедра информационной безопасности, Финансовый университет 125993, Россия, г. Москва, ул. Ленинградский Проспект49, 49
ЕЗ bisko2003@list.ru
Матронина Лилия Федоровна
кандидат философских наук
доцент, кафедра философии, социологии и политологии, Московский технологический университет
199454, Россия, г. Москва, ул. Проспект Вернадского, 78
И lmatronina@gmail.com
Статья из рубрики "Информационное обеспечение национальной безопасности"
Аннотация.
Предметом исследования является информационная безопасность, которая в условиях интенсивного развития информационной сферы наряду с технико-технологической составляющей все более приобретает социально-политический и гуманитарный характер, так как возрастает необходимость защиты личности, организации, государства и общества в целом от информационных угроз. Исследуются нормативно-технические требования и нормативно-правовые механизмы регулирования отношений в области создания и использования современных информационных технологий, социально-культурные факторы, направленные на сохранение культурно-нравственных ценностей в условиях глобализации мира и формирование новой образовательной парадигмы. Обосновывается необходимость междисциплинарного и трансдисциплинарного подходов к решению проблемы обеспечения информационной безопасности. На основе методов социально-философского и компаративистского анализа раскрываются основные угрозы информационной безопасности и выделяются слагаемые качества обеспечения информационной безопасности. Рассматривая перспективы решения проблемы обеспечения информационной безопасности личности, корпорации, государства и общества в целом, следует признать, что эта деятельность напрямую связана с развитием информационной сферы как системообразующего фактора жизни современного общества и сохранением культурно-нравственных ценностей в условиях глобализации мира.
Ключевые слова: социальная экспертиза, антропологические риски, социальная
инженерия, защита информации, ки информация, информационные угроз информационная безопасность
DOI:
10.7256/2454-0668.2018.2.26045
Дата направления в редакцию:
10-05-2018
Дата рецензирования:
11-05-2018
Дата публикации:
17-05-2018
Происходящие ныне процессы информатизации общества обусловливают необходимость исследования особенностей функционирования и развития информационно-коммуникативных технологий и их влияния на все сферы жизни социума и человека. Открывая невиданные ранее возможности, инновационные технологии в то же время порождают новые проблемы и риски.
На рубеже XX-XXI вв. информационная безопасность превращается в одну из глобальных проблем человечества, которая наряду с технико-технологической составляющей все более приобретает социально-политический и гуманитарный характер. При определении специфики современного общества в научной литературе наблюдается
общая тенденция трактовать его как общество риска —2]. Риск обусловлен как деятельностью людей, выбирающих альтернативные решения и рассчитывающих степени вероятности исхода, так и общей социально-экономической и социально-культурной ситуацией. Человеку приходится принимать решения в условиях неопределенности. В связи с этим одной из важнейших задач является гуманитарная оценка технической и технологической новации на предмет степени рискосодержащих компонентов и в оз мож но с те й их с ниж е ния .
В современных научных исследованиях, посвященных проблеме обеспечения информационной безопасности, как правило, рассматриваются технические и технологические аспекты: методы комплексного обеспечения информационной безопасности, технологии и средства многоуровневой защиты информации в информационных системах и компьютерных сетях, вопросы защиты национальных/государственных информационных ресурсов, обусловленные расширением доступа к ним через открытые информационные сети типа интернет и др.
Так, в работе «Основы программно-аппаратной защиты информации» I3 авторы предпринимают попытку системного изложения существующих подходов к решению проблемы защиты информации в информационных системах, а также теоретических основ применения добавочных средств защиты. Они раскрывают возможности типовых
берпреступность, инсайдер, конфиденциальная ы, обеспечение информационной безопасности,
средств защиты из состава современных операционных систем и прикладного программного обеспечения, анализируют причины их уязвимостей на основе существующей статистики угроз.
Одним из наиболее эффективных и перспективных средств защиты информации в системах, а также реальным способом предотвращения несанкционированного доступа, согласно российским исследователям Дезы Е. И. и Котовой Л. В., являются
криптографические методы защиты информации Г41. Заметим, что в настоящее время на основе криптографии создан «тандем» технологий биткойн (криптовалюты) и блокчейн (распределенные реестры), вокруг которых образовался финансовый ажиотаж. Слово «блокчейн» все больше используется в маркетинговых целях для привлечения внимания к продуктам и услугам той или иной компании. Более того, блокчейн рассматривается как новая организационная парадигма для координации любого вида человеческой
деятельности Г51. Разработчики данной технологии считают в качестве главного преимущества децентрализованного хранения данных и учета различных активов возможность обеспечения информационного обмена в сферах с устоявшимся низким уровнем доверия между участниками. В этих сферах работа осуществляется через посредников, которые устанавливают удобные для себя правила, хранят данные в частных закрытых системах. И если централизация становится причиной многих сценариев атак, когда злоумышленник проникает в единый для всех защищенный ресурс и наносит ущерб всей системе, то, как считают разработчики, с блокчейном такой подход перестает работать, так как информация продублирована на тысячах узлах и взлома
одного из них будет недостаточно J61. Наряду с этим, в ряде работ Г7, 8] представлен детальный анализ существующих недостатков модели распределенного хранения данных, связанных непосредственно с информационной безопасностью. Показано, что на данный момент существует множество не освещаемых должным образом вопросов, затрагивающих эффективность и надежность распределенных реестров, а, следовательно, и потенциал внедрения децентрализованного хранения данных в информационных системах, предназначенных для широкого круга пользователей.
Действенным способом обеспечения информационной безопасности является заблаговременное предупреждение информационных угроз, их прогнозирование. Но в настоящее время прогнозирование инцидентов информационной безопасности слабо развито, и основные средства организации направляются на распознавание инцидентов. В работе «Kaspersky Security Bulleton: 2017. Развитие угроз»^91 на основе мониторинга различных систем рассматриваются основные типы инцидентов информационной безопасности компаний, делаются обоснованные выводы об информационных угрозах, даются конкретные рекомендации по защите информации, представляющие значительный интерес не только для специалистов, но и для общественности.
Таким образом, информационные науки, применяя общенаучные и частнонаучные методы исследования, сосредоточены на выявлении и последущей разработке технических механизмов и инструментов обеспечения информационной безопасности. Не менее важным является анализ социальных и гуманитарных факторов, влияющих на рост преступности в области информационных технологий, поиск комплексных средств и методов, направленных на снижение антропологических рисков, обусловленных компьютерной преступностью Г10, с- 89-92; 11, с. 1041. Информационная безопасность как социальный феномен представляет значительный интерес для экономистов, социологов, политологов, философов и т.д. На рубеже XX-XXI веков проблема информационной безопасности приобретает междисциплинарный характер и требует для своего решения
совместных усилий специалистов различных научных направлений исследования.
Обратимся к исходным понятиям, определяющих анализ рассматриваемой темы. Согласно «Доктрине информационной безопасности Российской Федерации» информационная безопасность - «это состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойное качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства». Обеспечение информационной безопасности характеризуется как «осуществление взаимоувязанных правовых, организационных, оперативно-розыскных, разведывательных, контрразведывательных, научно-технических, информационно-аналитических, кадровых, экономических и иных мер по прогнозированию, обнаружению, сдерживанию, предотвращению, отражению инфорационных угроз и ликвидации последствий их проявления».
Как следует из выше представленного определения, информационная безопасность напрямую связана с реализацией (и решением) экономических, социальных и гуманитарных аспектов человеческой жизнедеятельности. Она характеризует защищенность информационной среды социума, направлена на обеспечение ее формирования и выработку стратегий развития в интересах индивидуальных пользователей, организационных структур, наций и государств. К основным проблемам информационной безопасности следует отнести следующие: предотвращение несанкционированного доступа к конфиденциальной информации; предотвращение использования персональных данных во вред конкретной личности, социальной группы, государства; предотвращение компьютерной преступности; защита авторских прав; предотвращение психических расстройств и техностресса у пользователей компьютеров; предотвращение опасности ограниченного доступа к информации и свободы ее распространения и ряд других.
Обеспечение информационной безопасности, в свою очередь, включает комплекс мер, направленных на обнаружение и предотвращение информационных угроз. Среди этих мер основополагающими являются: нормативно-техническое обеспечение защиты личности и общества в информационной сфере, нормативно-правовое регулирование отношений в области создания и использования современных информационных технологий, социально-культурные факторы, направленные на сохранение культурно-нравственных ценностей в условиях глобализации мира и на формирование новой образовательной парадигмы. Совокупность этих мер, как представляется, определяют качество обеспечения информационной безопасности, если исходить из понимания качества как социокультурного феномена, фиксирующего не только существенную определнность объекта, но и его функционально-смысловую значимость для человеческой жизнедеятельности. Социальный контекст обеспечения информационной безопасности непосредственно сязан с защитой государственных и национальных интересов, развитием социальной структуры и общественных отношений, системы жизнеобеспечения и социализации людей, их образа жизни -Ш1.
Решение этих и других проблем сопряжено с рядом трудностей. Во-первых, пограничный характер проблематики, находящейся на «стыке» технического и гуманитарного знания, затрудняет разработку мер по информационной защите. Во-вторых, существует трудность получения эмпирического материала в силу того, что есть «закрытая» информация, которой владеют специалисты по информационной безопасности, субъекты компьютерных
преступлений (инсайдеры, хакеры) и их объекты - пострадавшие организации. Они, как правило, не склонны к тому, чтобы публиковать данные как о мотивах и методиках подготовки нападений, так и о фактах самих нападений и их последствиях. В-третьих, наблюдаются тенденции расширения использования методов социальной инженерии при подготовке вторжений и взломов. Опираясь на знания в области информационно-коммуникативных технологий, психологии, нейролингвистического программирования и других наук, социальные инженеры эффективно используют разнообразные приемы и способы деструктивного влияния на человека, программируют его к совершению действий, необходимых для получения конкретных сведений с целью последующего использования их в корыстных целях Г14, 15]. Об этом свидетельствует, в частности, мониторинг публикаций на специализированных хакерских сайтах, адреса которых представлены на сайте ISO27000.ru Искусство управления информационной
безопасностью -U61. Прикладная социальная инженерия направлена на решение узкопрагматических задач и не принимает во внимание нравственно-этические нормы, представляющие необходимое условие существования любого социума. Тем самым, она порождает антропологические риски, связанные с неконтролируемым воздействием применяемых методик на сознание человека, формированием общественного мнения и
личностных установок Г17, с- 53-591.
В XXI веке одной из основных угроз для компаний являются несанкционированные действия инсайдеров - людей, работников компании, имеющих доступ к «закрытой» информации. Обладая широким доступом к конфиденциальной информации о методах безопасности внутри организации, данных и компьютерных системах, они занимаются ее хищением. Инсайдерские угрозы - это вредоносные угрозы, включающие мошенничество, кражу конфиденциальной и коммерчески ценной информации, воровство интеллектуальной собственности, саботаж компьютерных систем. Утечки информации наносят ущерб компаниям во всех отраслях. Даже очень крупные и успешные организации и фирмы не застрахованы от деятельности инсайдеров, что подтверждается периодически появляющимися в прессе сообщениями об утечках.
Британская компания Ernst&Young (EY), являющаяся лидером в области аудита и консультирования, подготовила отчет «Информационная безопасность в России: обзор
EY на 2016 год» Проведенный опрос показал, что более одной трети компаний в мире не могут противостоять киберугрозам. Среди основных причин -неосмотрительность и несознательность сотрудников (ответ 64% респондентов) и отсутствие квалифицированных кадров (53%). В обзоре Software Engineering Institute (США, 2016) установлено, что 27 % электронных преступлений вызваны инсайдерами
В России вопросы защиты информации от утечек не менее актуальны. Исследования,
проведенные группой компаний InfoWatch I201, свидетельствуют о том, что российские утечки информации данных близки к американским. Электронный документооборот приводит к использованию чужих персональных данных в собственных целях. Многие компании и организации, которые занимаются информационной безопасностью, собирают подобные сведения из материалов прессы и других источников для получения обоснованных количественных характеристик процессов, происходящих при информатизации общества. Авторы исследования, наряду с утечками выделяют случаи, когда сотрудник имеющий легитимный доступ к данным, использует их в целях мошенничества (манипуляции с платежными данными, инсайдерской информацией); когда сотрудник получает доступ к данным, которые не нужны ему для исполнения
служебных обязанностей (превышение прав доступа). Обзоры инцидентов при автоматизации бизнеса служат основой аргументации принятия конкретных технических решений безопасности. Анализ информации содержит множество составляющих: сбор полной статистики, отслеживание тенденций и т.д. В базу данных включаются публичные сообщения об инцидентах из коммерческих и некоммерческих (государственных, муниципальных) организаций. Такой подход к формированию поля исследования приходится считать допустимым ввиду отсутствия более обоснованных данных. В одних компаниях не обращают необходимого внимания на методологию сбора и обработки исходных данных и считают получившуюся выборку репрезентативной для генеральной совокупности. Другие компании пользуются подобными методиками обработки информации, но не уделяют внимания на их описание.
Учитывая сложившуюся ситуацию, связанную с необходимостью защиты информации, в США создан и успешно функционирует центр реагирования на компьютерные инциденты (Computer Emergency Response Team, CERT), который занимается рисками на уровне операционных систем и программного обеспечения. Исследовательский проект CERT базируется на изучении реальных киберинцидентов и осуществляет разработку моделей, программ обучения и инструментарий для повышения осведомленности о рисках инсайдерской угрозы для индентификации факторов, мотивирующих инсайдеров, и разрабатывает контрмеры по защите организации от угрозы инсайда. Представленные эмпирические данные по борьбе с потенциальными и реализованными угрозами указывают на то, что характер инсайдерских угроз отличается от других вызовов
кибребезопасности и требует иной стратегии их предотвращения и устранения I^H.
Положительным примером комплексного решения проблемы защиты информации от несанкционированного доступа является банковская система России, которая недавно начала публиковать в открытом доступе материалы инцидентов при переводе денег.
Основываясь на требованиях Федерального закона «О персональных данных» I-22!, в 2012 году Центральный банк Российской Федерации (Банк России) совместно с Ассоциацией Российских банков разработал отраслевые документы по приведению организаций банковской системы в соответствие с требованиями законодательства в области персональных данных. В 2016 году был принят комплекс документов в области стандартизации Банка России, которые упорядочивают и нормализуют методологию оценки инцидентов информационной безопасности; разработаны рекомендации к
деятельности организаций банковской системы Российской Федерации [23, с- 3]. Сегодня, когда фактографическая база инцидентов Банка России достигла необходимой зрелости (репрезентативности) и полностью отлажена, ее материалы используются для прогнозирования процессов информационной безопасности.
Большое значение в решении проблемы обеспечения информационной безопасности имеет не только обнаружение, изучение, прогнозирование существующих и потенциальных угроз, оповещение системынх администраторов и другого технического персонала об этих угрозах, координация их деятельности, но и образовательная политика государств и международных сообществ, направленная на разработку системы подготовки квалифицированных профессиональных кадров в области информационной безопасности. Эффективность системы образования во многом определяется тем, насколько «встроены» в нее механизмы выявления потребительских интересов и ожиданий. Сегодня запросы общества формируются под влиянием рыночной экономики, наблюдается востребованность профессионалов, обладающих определенным набором качеств или компетенций в виде знаний, умений, навыков. Федеральный государственный образовательный стандарт высшего образования ориентирует на
формирование общекультурных, общепрофессиональных и профессиональных компетенций. Современный специалист должен уметь свободно ориентироваться в информации, реализовывать на практике полученные знания, обладать когнитивными способностями и критическим мышлением, уметь выбирать адекватные способы и методы решения проблем, создавать новые значимые формы, налаживать коммуникативные связи и отношения, работать в команде. Но не менее важным является развитие социальной и личной отвественности специалиста, понимание им социальной значимости
своей будущей профессии, соблюдение норм профессиональной этики и т.д. [24, с- 7]. Формирование общекультурных компетенций при подготовке профессиональных кадров в области иинформационой безопасности имеет чрезвычайно большое значение, так как профессиональные знания, умения, навыки являются, по сути, амбивалентными: их можно использовать как во благо, так и во вред личности, общества и государства. Понимание важности проблемы сохранения «человеческого качества» знаний ведет к переосмыслению места и роли социально-гуманитарных дисциплин при подготовке специалистов в области информационной безопасности, главная задача которых состоит в формировании целостной личности, ее духовно-нравственных ценностей.
В заключении отметим, что в XXI веке проблема обеспечения информационной безопасности приобретает глобальный характер. Более того, в условиях гипердинамичного развития и совершенствования высоких технологий (Hi-Tech) актуальность этой проблемы будет сохраняться в дальнейшем. Как следствие, возрастает необходимость разработки теоретико-методологических оснований исследования проблемы обеспечения информационной безопасности. Одним из них, на наш взгляд, является трансдисциплинарный подход, специфика которого заключается в том, что он «выходит за рамки» научных исследований и требует привлечения правительственных органов, парламентских комиссий, широкой общественности для социальной оценки современного научно-технического развития и его последствий в целом и информационной безопасности в частности. Трансдисциплинарное исследование, как справедливо отмечают российские философы Киященко Л. П. и Моисеев В. И., «...нуждается для своего проведения, с одной стороны, в осмыслении мотивов, ценностей, оценки рисков последствий совместных действий различных познавательных практик, их вписываемости в современную культуру и цивилизацию, а с другой, - во
взгляде на ситуацию в целом, что характерно для философского подхода» [25, с 29]. Проведение этой оценки невозможно только с точки зрения специалистов в области информационных технологий, поскольку они являются заинтересованной стороной, и, как правило, не обладают достаточными знаниями социально-экономических, социально-политических, этических, правовых аспектов исследования научно-технического развития. Поэтому возрастает роль незаинтересованных экспертов из сферы политики, экономики, права, социально-гуманитарных наук, а также представителей конкретных областей науки и техники, ообладающих способностью к методологической рефлексии и обобщениям.
Библиография
1. Бехманн Г. Современное общество: общество риска, информационное общество, общество знания / пер. с нем. - М.: Логос, 2010. 248 с.
2. Beck U. and Grande E. Varieties of second modernity: the cosmopolitan turn in social and political theory and research // The British Journal of Sociology. 2010. Vol 61. Issue 3. Р. 406-638.
3. Борисов М. А., Заводцев И. В., Чижов И. В. Основы программно-аппаратной защиты информации / изд. 4, перераб. и доп. - М.: URSS, 2016. 416 c.
4. Деза Е. И., Котова Л. В. Введение в криптографию. Теоретико-числовые основы защиты информации. - М.: URSS. 2018. 376 с.
5. Свон М. Блокчейн. Схема новой экономики / пер. с англ. - М.: Олимп-Бизнес, 2016. 224 с.
6. Блокчейн в будущем: пять основных перспектив // URL:
https ://baksman.com/news/Blokchejn-v-buducshem-pjat-osnovnyh-perspektiv.html (дата обращения: 20.04.2018).
7. Поппер Н. Цифровое золото: невероятная история Биткойна / пер. с англ. - М.: ООО «И. Д. Вильямс», 2016. - 368 с.
8. Blockchains: How They Work and Why They'll Change the World // URL:
https ://spectrum.ieee.org/computing/networks/blockchains-how-they-work-and-why-theyll-change-the-world / (дата обращения: 20.04.2018).
9. Вестник лаборатории Касперского «Kaspersky Security Bulletin: 2017. Развитие угроз» // URL: https://cdn.securelist.ru/files/2017/12/KSB_Review-of-2017_final_RU.pdf/ (дата обращения: 20.04.2018).
10. Скородумов Б. И., Скородумова О. Б. Информационная безопасность: гуманитарные факторы // Вопросы безопасности России и постсоветского пространства: история и современность: сб. статей. Пензенский гос. университет архитектуры и строительства; Общество изучения истории отечественных спецслужб; Межотр. науч.-инф. центр. -Пенза, 2015. С. 89-92.
11. Яшина А. В. Информационные технологии и трансформация системы обеспечения безопасности // Вопросы безопасности. 2014. № 4. С.104-130 // URL: http://e-notabene.ru/nb/article_13332.html (дата обращения: 20.04.2018).
12. Указ Президента РФ от 05.12.2016 N 646 «Об утверждении Доктрины информационной безопасности Российской Федерации» // URL: http://kremlin.ru/acts/bank/41460 (дата обращения: 20.04.2018).
13. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 25.11.2017) «Об информации, информационных технологиях и о защите информации» (с изм. и доп., вступ. в силу с 01.01.2018) // URL: http://legalacts.ru/doc/FZ-ob-informacii-informacionnyh-tehnologijah-i-o-zawite-informacii/ (дата обращения: 20.04.2018).
14. What is social engineering? How criminals take advantage of human behavior / G. V. Hulme and J. Goodchild // URL: http://www.csoonline.com/article/2124681/security-awareness/social-engineering-the-basics.html (data obrashcheniya: 20.04.2018).
15. The Official Social Engineering Portal. Security Through Education // URL: https ://translate.google.ru/translate?hl = ru&sl = en&u = http://www.social-engineer.org/&prev=search (дата обращения: 20.04.2018).
16. IS027000.ru Искусство управления информационной безопасностью // URL: http://www.iso27000.ru/katalog-ssylok/hakerskie-saity (дата обращения 20.04.2018).
17. Матронина Л. Ф., Агафонов А. Н. Социоинженерная деятельность в информационную эпоху // Российский технологический журнал. Электронное сетевое издание. 2016. Том 4. №3(12). С. 53-59.
18. Информационная безопасность в России: обзор EY на 2016 год. Екатерина Старостина, менеджер EY // URL: http:// www.ey.com/ru/ru/services/advisory/ey-global-information-security-survey-2015 (дата обращения: 20.04.2018).
19. Insider Threat Software Engineering Institute // URL: http://resources.sei.cmu.edu/library/asset-view.cfm?assetID = 52375 (дата обращения : 20.04.2018).
20. ГК InfoWatch // URL: https://www.infowatch.ru/ (дата обращения: 20.04.2018).
21. Computer Emergency Response Team // URL: https://www.sogeti.com/solutions/cybersecurity/cert/ (дата обращения: 20.04.2018).
22. Федеральный Закон от 27.07.2006 N 152-ФЗ (ред. от 05.04.2013 с изм., вступ. в силу с 19.04.2013) «О персональных данных» // URL: http://www.zakonprost.ru/zakony/o-personalnyh-dannyh (дата обращения: 20.04.2018).
23. Стандарт Банка России. «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» (СТО БР ИББС-173-2016) // URL: http://www.cbr.ru/credit/gubzi_docs/st-13-16.pdf (дата обращения: 20.04.2018).
24. Портал Федеральных государственных образовательных стандартов высшего образования. Приказ от 1 декабря 2016 г. «Об утверждении федерального государственного образовательного стандарта высшего образования по направлению подготовки 10.03.01 Информационная безопасность (уровень бакалавриата)» // URL: http://fgosvo.ru/uploadfiles/fgosvob/100301.pdf (дата обращения: 20.04.2018).
25. Киященко Л. П., Моисеев В. И. Философия трансдисциплинарности / Рос. акад. наук, Ин-т философии. - М.: ИФРАН, 2009. 205 с.
