В 3 т. Т. 1. Технические каналы утечки информации. - М.: НПЦ «Аналитика», 2008. - ISBN 978-59901488-1-9.
4. Гейне В. И. К вопросу оценки уровня ПЭМИ цифрового электронного оборудования [Текст] / / Защита информации. Конфидент. - 2000 - № 6.
5. Харкевич А. А. Спектры и анализ [Текст]. - М.: Гос. издат. техн.-теорет. литературы, 1953.
6. Теоретические основы связи и управления [Текст] / под ред. А. А. Фельдбаума. - М.: Госиздат физмат. литературы, 1963.
7. Markus G. Khun. Security Limits for Compromising Emanations [Электронный ресурс] // University of Cambridge, Computer Laboratory. - 2004. - URL: http://www.cl.cam. ac.uk/mgk25 (дата обращения: 29.09.20011).
УДК 004
УГРОЗЫ ЛИЧНОСТИ, ОБЩЕСТВУ И ГОСУДАРСТВУ ПРИ ВНЕДРЕНИИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
© Овчинников Сергей Александрович
почётный работник высшего профессионального образования Российской Федерации, доктор исторических наук, профессор, проректор, Саратовский государственный социально-экономический университет.
© Гришин Сергей Евгеньевич
кандидат философских наук, доцент кафедры документоведения и ДОХ Саратовский государственный социально-экономический университет.
В статье рассматриваются актуальные вопросы выработки защитных механизмов личности, общества и государства при использовании новых информационных технологий. Более того, сегодня необходимо продумать вопросы возможных последствий от внедрения технологий завтрашнего дня с тем, чтобы общество смогло развивать их таким образом, чтобы использовать их преимущества и минимизировать возможный вред. Ключевые слова: риски, угрозы, информационная безопасность, электронное правительство, защита персональных данных, управление цифровой идентичностью, кибербезопасность.
С развитием информационно-коммуникационных (ИКТ) встаёт вопрос о возможных рисках и угрозах и различных аспектах решения данной проблемы. Более того, высокая скорость технологических изменений требует, чтобы в упреждающем режиме вырабатывались защитные механизмы, в том числе в плане потенциального влияния на личность, общество и государство ещё на стадии разработки техно-
логий, а не тогда, когда последствия становятся очевидными, но никто не готов реагировать на них. В свете этих задач, общество сможет лучше предвидеть последствия и идти путём прогресса, используя преимущества и минимизируя возможный вред от нововведений в этой области.
Рассмотрим лишь один фрагмент из довольно широкого спектра возможных рисков и угроз применительно к новым технологиям,
вызывающий озабоченность с точки зрения нанесения возможного ущерба личности, обществу и государству [3].
Внедрение ИКТ, в частности, переход на оказание государственных услуг в электронном виде и обслуживание потребностей граждан с помощью социальных платёжных карт, требует введения методов управления цифровой идентичностью. Это управление цифровой информацией, касающейся конкретного человека. Иногда такую информацию называют «персональными данными» или «персонально идентифицируемой информацией». Второй термин более точно определяет, что сведения могут быть привязаны к конкретной личности.
Изначально архитектура Internet не предполагала механизма для проверки или аутентификации идентичности пользователей. Разработчики Сети работали в другое время и в других условиях, отличных от современных, а сообщество пользователей Internet в то время состояло из объединённых общими целями и интересами специалистов-компьютерщиков. Internet, который они создали, отражал их культуру на определённой ступени исторического развития общества [1, 2].
В результате бурного развития Сети участниками такого взаимодействия стало огромное количество пользователей. Однако существовавшая ранее в Internet атмосфера доверия заметно видоизменилась, а люди начали относиться к этому пространству с известной долей опасения. Иными словами, Internet пережил своего рода урбанизацию: всё больше и больше людей пользуются его услугами, однако сообщество в «традиционном» понимании распалось, и теперь многие понимают, что, находясь в Сети, они должны быть настороже [5].
Компьютерные специалисты говорят сегодня: «Оглядываясь назад, мы понимаем, что должны были включить в Internet уровень аутентификации. Сегодня, когда Сеть так разрослась и столько торговых сделок совершается через Internet, возможности для мошенничества колоссальны» [5]. Отвечая на электронное письмо или заполняя форму online, мы стали задумываться, а не рискуем ли стать жертвой мошенничества? Так, Р. Trevithick (руководитель проекта Eclipse Foundation's Higgins Trust Framework) пишет, что из обследованных 5 000 потребителей online, более 42% покупателей и 28% граждан, осуществляющих в банковские операции, отказываются от этих возможностей по причинам безопасности и недостаточной защиты персональных данных [6].
Подобная ситуация привела к тому, что разработчики информационных технологий стали концентрировать свои усилия на создании
ориентированных на пользователей способов управления цифровой идентичностью. В этой новой парадигме человек сам будет выбирать себе «провайдера идентичности», который будет оперировать его персональными данными, в ряде случаев, и только с разрешения владельца пере-давть эти данные другому лицу или организации в процессе заключения сделки. В то же время новая система будет проверять и идентичность второго участника сделки [5].
Тем не менее П. Адлер (бывший руководитель по информационной безопасности Университета Колорадо) совершенно справедливо отмечает, что в информационную эпоху у людей возникла повышенная обеспокоенность тем, что личная информация не защищена должным образом. «Высокая скорость, с которой частная информация может быть использована и общераспространённое, часто без разрешения, свободное обращение с ней позволяют и увеличивают возможность кражи личных данных и другие пути несанкционированного использования персональной информации. Первоначальное саморегулирование данной проблемы посредством осуществления правильной политики безопасности считалось способом защиты электронных персональных данных. Во второй половине двадцатого века отраслевой подход к обеспечению информационной безопасности и регулирования начал получать поддержку путём принятия законов. Однако лишь в период с февраля 2005 по июль 2006 года насчитывалось 237 брешей в системе информационной безопасности... Число инцидентов безопасности показывает, что саморегулирование, в целом, не удалось» [4].
Развитие ситуации в данном ключе привело к тому, что контроль рисков и угроз личной информации путём укрепления информационной безопасности стал предметом государственного регулирования, всплеск числа государственных законов и нормативных актов представляет новые правовые нормы, возлагающие на организации и учреждения, бизнес и частных лиц новые задачи по защите персональных данных, которые они собирают, хранят, обрабатывают, используют и раскрывают. Эти законы всё более влияют на ситуацию, часто действуя в нескольких юрисдикциях. Неспособность защитить информацию такого рода неизбежно приводит к конфликтам и финансовым затратам, связанным с управлением реагирования на инциденты, а также может привести к расследованиям, штрафам и другим санкциям.
Эта проблема вызывает озабоченность на межгосударственном уровне. Так, в Декларации Комитета министров СЕ о правах человека и вер-
ховенстве права в Информационном обществе от 13 мая 2005 г. отмечается: «Широкомасштабное использование персональных данных, включающее электронную обработку, сбор, запись, организацию, хранение, адаптацию или изменение, поиск, консультирование, раскрытие посредством передачи или иным способом, способствовало повышению эффективности деятельности государства и частного сектора. Более того такие ИКТ, как Privacy Enhancing Technology (PETs), могут быть использованы для обеспечения неприкосновенности частной жизни. Тем не менее подобные технологические достижения представляют и серьёзную угрозу для права на частную жизнь и переписку [7].
Любое применение ИКТ должно уважать право на частную жизнь и тайну переписки. Последнее не подлежит иным ограничениям, кроме предусмотренных ст. 8 ECHR, только потому, что осуществляется в цифровой форме. Содержание и служебные данные электронных сообщений также в соответствии со ст. 8 ECHR не должны подвергаться другим ограничениям, кроме установленных в ней. Любая автоматическая обработка персональных данных подпадает под действие Конвенции о защите граждан в связи с автоматической обработкой персональных данных и должна соответствовать положениям этого документа.
Государства должны поддерживать условия для саморегулирования и совместного регулирования со стороны частного сектора в целях защиты права на частную жизнь и тайну переписки. Ключевым принципом поддержки такого регулирования должно быть то, что любая обработка персональных данных госорганами или частным сектором должна быть совместимой с правом на частную жизнь; исключения ограничены рамками параграфа 2 статьи 8 ECHR и параграфа 2 статьи 9 Конвенции о защите граждан при автоматической обработке персональных данных» [7].
Ныне всё чаще высказывается мнение и о том, что при создании систем оказания электронных услуг гражданам, существование систем управления цифровой идентичностью может представлять риск для неприкосновенности частной жизни и информационной безопасности. В предлагаемой архитектуре агент персональной идентичности будет выступать в роли доверенного посредника в новой системе цифровой идентичности; однако ныне существующие технологии не гарантируют, что агент персональной идентичности не будет вступать в сговор с другими сторонами сделки (то есть провайдерами идентичности и полагающимися сторонами). Кроме того, вполне возможно, что рынок не поддержит множество провайдеров
идентичности, а услуги по провайдингу идентичности будут сосредоточены в одном месте.
Пользователям может показаться неудобным или слишком дорогим решение разделять свои данные и поручать их элементы разным провайдерам идентичности. Или же полагающиеся стороны будут неохотно признавать провайдеров идентичности. В результате контролировать весь массив персональных данных будет ограниченное число провайдеров идентичности. Принимая во внимание особенности существующей системы, у провайдеров идентичности и полагающихся сторон есть технические возможности для сговора. Непонятно, как игроки в инфраструктуре управления идентичностью будут подотчётны пользователям и информационному обществу в целом. Но что произойдёт, если правительство или мегакорпорация узурпируют распределённую ориентированную на пользователя систему и использует свой глобальный уникальный идентификатор, нарушая тем самым принцип ориентированности на пользователя, повсеместно провозглашаемый разработчиками [8].
Именно эти аспекты вызывают существенную озабоченность и подробно анализируются в докладе Д. Л. Мк. Клура, директора Управления защиты информационных систем, представленном подкомиссии по Правительственному управлению, информации и технологиям, Комитета по Правительственной реформе Палаты представителей США. «Сообщения в прессе о нападениях хакеров на сети, стирание страниц и информации на кредитных карточках, отправляемых по электронной почте, нередки со стороны должностных лиц и граждан, отказывающихся делать «реальный» бизнес по Internet. И их беспокойства вполне обоснованы. Недавно были найдены слабости систем безопасности во многих федеральных правительственных агентствах, где имелась «чувствительная» информация о налогах, медицинские, и другие личные отчёты, опасные с точки зрения неправомочного раскрытия. Кроме того, федеральные участки сети имеют уязвимые участки для кибератак. Сегодня не существует внутренней технологической защиты на случай возможного использования таких инструментов в будущем. Если бы эти инструменты были бы злонамеренно, в целях дискриминации, принуждения и блокирования коммуникации применены на всём пространстве информационного общества, права человека оказались бы в большой опасности. Масштаб таких последствий не следует преуменьшать, учитывая возможность революции в области взаимодействия между машинами или в сфере веб-услуг, к которой может привести управление цифровой идентичностью» [10].
За последние годы рынок практически отверг системы управления идентичностью «Passport», разработанные Microsoft. Рынок также категорически отказался от предшественника «Passport» - системы «Hailstorm». OpenID, Sxip, The Liberty Alliance, Shibboleth, Passel и другие игроки в данной отрасли присоединились к Microsoft в поиске средств управления идентичностью, которые будут приняты рынком. Именно поэтому сегодня активно разрабатывается проект «Higgins», целю которого должно стать создание дополнительной технологии, которая могла бы автоматически передавать информацию от определённой цифровой идентичности (или личности) индивида, когда он заходит на вебсайт. В этом случае инструменты управления цифровой идентичностью могут быть наиболее влиятельными: позволяя машинам автоматически обмениваться персональными данными от имени человека, упомянутые инструменты устранят самые серьёзные препятствия на пути развития веб-услуг [6].
Однако наделение машин такими возможностями может привести к перевороту в межмашинных взаимодействиях. Самое значительное и потенциально опасное последствие: дело уже не в том, что люди могут делать с помощью данных инструментов, но в том, как машины будут обращаться с людьми, обладая настолько хорошо организованными персональными данными. Так, главный архитектор Microsoft по идентичности и доступу К. Кэмерон (K. Cameron) акцентирует внимание на этом прогнозе: «Более общие аспекты того, как интеллект Сети реагирует на нашу личность, волнует меня всё больше, когда я задумываюсь, что будет через 20 лет... Помимо злоупотребления властью существуют и другие равно неприятные варианты будущего, связанные с потенциальными отношениями между человечеством и машинным интеллектом. Я понимаю, что люди не склонны обсуждать этот вопрос, потому что пока это - проблема слишком отдалённого будущего, однако взаимное влияние этой пары может привести к действительно пугающим последствиям» [9, 10].
К сожалению, можно констатировать, что вхождение в информационную эпоху сопровождалось появлением для всего мира новой угрозы - кибербезопасности, и это не эфемерные домыслы авторов статьи. Данный тезис нашёл отражение на международном, межгосударственном уровне и зафиксирован в ряде положений Резолюции 57/239 Генеральной Ассамблеи ООН от 20 декабря 2002 г. «Элементы для создания глобальной культуры кибербезо-пасности». В документе, в частности, отмечено, что стремительное развитие информационных технологий изменило и то, как государственные
органы, предприятия, другие организации и индивидуальные пользователи (т. н. «участники»), которые разрабатывают эти информационные системы и сети, поставляют их, управляют ими, обслуживают и используют их, должны подходить к кибербезопасности. Глобальная культура кибербезопасности будет требовать от всех участников учёта следующих девяти взаимодополняющих элементов:
1) осведомлённость - участники должны быть осведомлены о необходимости безопасности информационных систем и сетей и о том, что они могут сделать для повышения безопасности;
2) ответственность - участники отвечают за безопасность информационных систем и сетей сообразно с ролью каждого из них. Они должны подвергать свои политику, практику, меры и процедуры регулярному обзору и оценивать, соответствуют ли они среде их применения;
3) реагирование - участники должны принимать своевременные и совместные меры по предупреждению инцидентов, затрагивающих безопасность, их обнаружению и реагированию на них. Они должны обмениваться в надлежащих случаях информацией об угрозах и факторах уязвимости и вводить процедуры, предусматривающие оперативное и эффективное сотрудничество в деле предупреждения таких инцидентов, их обнаружения и реагирования на них. Это может предполагать трансграничный информационный обмен и сотрудничество;
4) этика - поскольку информационные системы и сети проникли во все уголки современного общества, участникам необходимо учитывать законные интересы других и признавать, что их действия или бездействие могут повредить другим;
5) демократия - безопасность должна обеспечиваться так, чтобы это соответствовало ценностям, которые признаются демократическим обществом, включая свободу обмена мыслями и идеями, свободный поток информации, конфиденциальность информации и коммуникации, надлежащая защита информации личного характера, открытость и гласность;
6) оценка риска - все участники должны выполнять периодическую оценку риска, которая позволяет выявлять угрозы и факторы уязвимости; имеет достаточно широкую базу, чтобы охватить такие ключевые внутренние и внешние факторы, как технология, физические и человеческие факторы, применяемая методика и услуги третьих лиц, сказывающиеся на безопасности; даёт возможность определить допустимую степень риска; помогает выбрать надлежащие инструменты контроля, позволяющие регулировать риск потенциального ущерба информационным системам и сетям
с учётом характера и значимости защищаемой информации;
7) проектирование и внедрение средств обеспечения безопасности - участники должны рассматривать соображения безопасности в качестве важнейшего элемента планирования и проектирования, эксплуатации и использования информационных систем и сетей;
8) управление обеспечением безопасности - участники должны принять комплексный подход к управлению обеспечением безопасности, опираясь на динамичную оценку риска, охватывающую все уровни деятельности участников и все аспекты их операций;
9) переоценка - участники должны подвергать вопросы безопасности информационных систем и сетей обзору и повторной оценке и вносить надлежащие изменения в политику, практику, меры и процедуры обеспечения безопасности, учитывая при этом появление новых и изменение прежних угроз и факторов уязвимости.
Полагаем, что нет надобности дополнительно комментировать столь чёткие и конкретные международные рекомендации в сфере обеспечения безопасности информации, которые целиком и полностью распространяются и на защиту персональных данных граждан. Необходимо всем «участникам» знать эти требования, неукоснительно и в полном объёме выполнять их в повседневной жизни.
Таким образом, можно сделать следующие выводы. Ориентация на «гражданина как клиента» при построении электронного правительства и переходе на оказание государственных услуг гражданам в электронном виде несёт существенный вызов для всех правительственных и посреднических структур, обеспечивая внутренние стимулы для повышения качества обслуживания клиента, сокращения жалоб на действия представителей госаппарата, уменьшения затрат их времени на обслуживание клиентов, поскольку граждане рассматривают получение правительственных услуг по аналогии с проведением любой другой коммерческой сделки.
Однако, несмотря на обещания, продвижение новых технологий не панацея для устранения правительственных проблем, поскольку при этом мы сталкиваемся и со значительными вызовами. Некоторые из этих вызовов, которые захватывали информационные системы, имели место из-за неадекватного в течение десятилетий внимания к технической и деловой архитектуре, приверженности стандартам и ограниченного осуществления механизмов для обеспечения безопасности и секретности, что является только одним из многих факторов, воздействующих на
крупномасштабное использование электронного правительства [10].
Кроме того, высшее руководство должно эффективно соединить всю мощь электронных взаимодействий госструктур с бизнесом, гражданами с необходимым и соответствующим управлением, процессом усовершенствования, что будет обеспечивать положительные результаты в сфере информационной безопасности.
Необходимо учитывать, что Сеть обеспечивает новые вызовы для нескольких традиционных областей информационных политик, поэтому нужны новые механизмы, способные гарантировать свободу информации, авторского права, защиты, управления записями, секретность информации, защиту персональных данных, что нельзя недооценивать.
Библиографический список
1. Панин А. Н. Вызовы и угрозы политической системе России в условиях глобальной информатизации : дис. ... канд. полит. наук. - Саратов, 2006.
2. Сажин М. А. «Электронное правительство» - инструмент модернизации общественных отношений в России и проблемы обеспечения
информационной безопасности : дис.....канд.
полит. наук. - Саратов, 2005.
3. Бутенко А. Л. Электронное государственное управление в системе взаимодействия власти и общества : дис. ... канд. полит . наук. - Саратов, 2009.
4. Adler M. Peter. A Unified Approach to Information Security Compliance. - URL: http:www// csrc.nist.gov/publications/index.html (дата обращения: 10.06.2011).
5. Steven Bellovin et al. Security Implications of Applying the Communications Assistance to Law Enforcement Act to Voice over IP // Information Technology Association of America (ITAA). - June 13. - 2006. - URL: http://www.itaa.org/news/ docs/CALEAVOIPreport.pdf (дата обращения: 10.06.2011).
6. Доклад Европейской комиссии «Руководство для гражданина - центрального звена e-Govern-ment» : [пер. с англ.]; раздел «Доверие и прозрачность». - URL: http://www.ccegov.eu (дата обращения: 10.06.2011).
7. Declaration of the Committee of Ministers on human rights and the rule of law in the Information Society // CM(2005)56 final. -13 May. - 2005. -URL: https://wcd.coe.int/ViewDoc.jsp?id=849061 (дата обращения: 10.06.2011).
8. Декларация Комитета министров о правах человека и верховенстве права в Информационном Обществе от 13 мая 2005 г. : [пер. с англ.]. -URL: http://www .ifap/html/ (дата обращения: 10.06.2011).
9. Cameron К. Identity Weblog. - URL: http:// www/identityblog.com/ (дата обращения: 10.06.2011).
10. Резолюция 57/239 Генеральной Ассамблеи ООН от 20.12.2002. «Элементы для создания глобальной культуры кибербезопасности» : [пер. с англ.]. - URL: http://www.ifap/html/ (дата об-
ращения: 10.06.2011).
УДК 004
11. Мк. Клур Д. Л. Электронное правительство. Федеральные инициативы развития. Вызовы : [пер. с англ.]. - URL: http://www.gao. gov /fraudnet/ fraudnet.htm (дата обращения: 10.06.2011).
ПЕРСПЕКТИВЫ РАЗВИТИЯ НОВОГО НАУЧНОГО НАПРАВЛЕНИЯ ПОЛИТОЛОГИИ -ИНФОРМАЦИОННО-ПОЛИТИЧЕСКОЙ РИСКОЛОГИИ
© Овчинников Сергей Александрович
почётный работник высшего профессионального образования Российской Федерации, Международный эксперт-исследователь, советник Правительства Саратовской области по информационной безопасности, заместитель председателя УМЦ по информационной безопасности Приволжского Федерального округа, доктор исторических наук, профессор, проректор, директор НОЦ «ИНФО ЭПР», Саратовский государственный социально-экономический университет.
В статье впервые в научных публикациях заявлено о развитии нового научного направления — информационно-политической рискологии. Ценность анализа информационно-политического риска состоит в том, что он помогает решить задачи, связанные с выяснением многих сторон реализации целевых программ стра тегий и концепций информа тизации российской политической системы. Анализ информационно-политических угроз служит цели стра тегического управления рисками в этой сфере путём определения факторов, которые могут привести к увеличению вероятности и последствий нежелательных событий
Ключевые слова: актор, микро-перспектива, организационный анализ, политические риски, процесс анализа рисков, качественный подход, количественный подход, рейтинг, оценка рисков, отношения рисков.
/Сегодня вряд ли кто будет возражать прокутив того, что анализ информационно-политических рисков должен стать одним из важных инструментов мониторинга (экспертизы) процессов информатизации политической системы, основного на междисциплинарном подходе к изучению взаимосвязи между политическими, экономическими, социальными, культурными событиями и процессами информатизации политической системы.
Суть анализа информационно-политического риска состоит в том, что он помогает решить задачи, связанные с выяснением многих сторон реализации целевых программ стратегий и концепций информатизации российской политической системы. Постановка этих задач обусловлена возникновением в ходе информатизации неопределенностей в развитии политической ситуации, соотношениях поли-
тических сил, что может представлять угрозу успеху реализации политической стратегии при информатизации политической системы.
Риск в этой сфере означает вероятность неудачи реализации проекта информатизации, который, в первую очередь, строился на уверенности в получении существенного успеха в случае его реализации, что должно проявиться в повышении качества оказания государственных услуг, обеспечении прозрачности власти и, в целом, эффективности государственного управления.
Анализ информационно-политических рисков, в конечном счёте, служит цели стратегического управления рисками путём определения факторов, которые могут привести к увеличению вероятности и последствий нежелательных событий, учитывая, что управление рисками является не более чем стратегией, которая нацелена на уменьшение вероятности или воздей-