CC BY
1Д.Ш. Цырендоржиева, д-р филос. наук, проф., e-mail: dari145@mail.ru
Бурятский государственный университет О.М. Манжуева, канд. филос. наук, доц., e-mail: ocydenova@yandex.ru Восточно-Сибирская государственная академия культуры и искусств
г. Улан-Удэ
УДК: 004.056.5
ЗНАЧЕНИЕ ЭТИЧЕСКИХ МЕР В ПРОЦЕССЕ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Информационная безопасность общества направлена на предотвращение негативных последствий использования информационных технологий, многие из которых представляют серьезную угрозу для личности, общества, государства. В статье раскрыты основные направления обеспечения информационной безопасности современного общества, определено значение морально-этических мер информационной безопасности.
Ключевые слова: информационные технологии, информационная безопасность, морально-этические меры.
D.Sh. Tsyrendorzhieva, Dr. Sc. Philosophy, Prof.
O.M. Manzhueva, Cand. Sc. Philosophy, Assoc. Prof.
IMPORTANCE OF ETHICAL ISSUES IN INFORMATION SAFETY MANAGEMENT
The information safety of a society is directed on prevention of negative consequences of use of information technologies, many of which represent serious threat for an individual, a society, a state. The article discloses the basic trends of the information safety of modern society in information technology epoch, the meaning of moral measures.
Key words: information technology, information safety, moral and ethical issues.
Проблемы обеспечения информационной безопасности сегодня приобретают особую актуальность. При выработке подходов к решению задач безопасности на первый план выходит защита всех категорий субъектов информационных отношений от нанесения морального, материального или иного вреда в результате преднамеренных или случайных воздействий. В свою очередь, интересы субъектов информационной безопасности заключаются в сохранении конфиденциальной, персональной, экономической, политической и касающейся других сторон деятельности информации от неправомерного ее использования: фальсификации, разглашения, незаконного тиражирования и уничтожения.
В целях обеспечения перечисленных свойств информации и системы, а также предупреждения опасностей информационного характера введены следующие меры противодействия угрозам безопасности: организационные, физические и технические, правовые и морально-этические. Из них физические меры безопасности представляют собой механические и электромеханические устройства и сооружения, возводимые с целью создания преград на всех путях потенциальных нарушителей к защищаемой информации в автоматизированной информационной системе, кроме этого в данную категорию относят охранные сигнализации, средства связи и визуального наблюдения. Технические средства защиты информации заключаются в аппаратном и программном обеспечении, входящим в состав автоматизированной системы. К основным функциям этой категории средств относят процессы идентификации и аутентификации пользователей, разграничение доступа к ресурсам, аудит, криптографические методы защиты информации и т.д. Организационные, или административные, меры представляют собой регламентирующие правила работы автоматизированной системы обработки информации, правила использования ресурсов, работу персонала, а также все во-
просы взаимодействия пользователей с системой с целью исключить возможность реализации угроз различного характера на содержащуюся информацию.
Стоит отметить, что административные меры защиты информации скорее необходимы для обеспечения эффективного поддержания каких-либо других видов средств защиты, но обеспечить необходимый уровень безопасности, основываясь исключительно на административных мерах, невозможно из-за присущего ряда серьезных недостатков. В первую очередь, если в организационной структуре низкий уровень дисциплины и правопорядка, то вести речь об эффективном функционировании данного вида мер бессмысленно, кроме того, с их применением связаны дополнительные неудобства работы с большим объемом формальной деятельности. Еще один недостаток - это «склонность людей нарушать любые установленные дополнительные организационные правила, если их только можно нарушить» [1]. В подобных случаях физические и технические меры защиты применяют для сглаживания недостатков организационных мер методом установки барьеров на пути злоумышленника, а также с целью привести к минимуму возможные нарушения персонала и пользователей системы, неумышленно допущенные (путем ошибок или по халатности). Основная характеристика физических и технических мер защиты заключается в том, что они строятся на основе аппаратных и программных средств и средств связи, формируя защиту автоматизированной системы обработки информации. Размер и сложность систем защиты на основе программных средств находятся в дихотомии с развитием организации. Технические средства, развиваемые в одном или нескольких направлениях и требующие определенного программного обеспечения, в известном смысле определяют деятельность по технической защите каждой организации. Но необходимо отметить, что возможность построить эффективную и бесперебойно функционирующую систему на основе одних технических средств защиты исключена. Эффективность функционирования системы защиты информационной безопасности зависит от суммы объективных и субъективных характеристик, главная из которых -степень качества аппаратного и программного обеспечения, заложенного в ее основе.
Качеством программного продукта, согласно определению в соответствии со стандартом ISO 8402:1994, является совокупность характеристик объекта, относящихся к его способности удовлетворить установленные и предполагаемые потребности. С точки зрения тестирования программного продукта, существует деление на два вида качества: внешнее и внутреннее. Внешнее качество программного обеспечения - его способность удовлетворить потребность конечного пользователя. Внутреннее качество программного обеспечения определяется удобством его производства, технологичностью, стандартизованностью, безопасностью. Указанные виды качества программного обеспечения связаны с реализацией процессов жизненного цикла программного обеспечения [2, с. 188]. Необходимо сказать, что достаточно продолжительное время программные продукты были нацелены на повышение продуктивности, при этом неоправданное количество усилий тратилось на избавление от ошибок, тестирование ради улучшения качества. В настоящее время 60% наиболее квалифицированных специалистов заняты отладкой и улучшением программ. Сегодня именно качество программных средств, а не их продуктивность является решающим фактором в процессе производства. Э. Деминг, обучивший в первой половине прошлого столетия специалистов Японии принципам контроля за качеством продукции, чем способствовал экономическому возрождению и усилению Японии после Второй мировой войны, сформулировал 14 правил, максимизирующих результат повышения качества информационных технологий:
1. Определите постоянные цели совершенствования качества компьютерных программ. Чтобы удовлетворить это правило, необходимо понять, что такое качество компьютерных программ, и объяснить это пользователю. Определите операциональный инструментарий совершенствования программ. Определите, какие преимущества это дает. Используйте автоматизацию программирования и точно укажите ресурсы, какими Вы располагаете для совершенствования качества программ.
2. Примите новую философию. Ошибки и недостатки как в компьютерных программах, так и в аппаратах - неизбежный спутник информационных технологий. Неработающие про-
граммы, несоответствующие спецификации компьютеров, технари, не приемлющие новшества или неправильно ими пользующиеся, менеджеры, не способные принимать или неправильно применяющие информационные технологии, - вот что нужно постоянно иметь в виду и с чем необходимо бороться. В этом плане очень важны самосовершенствование, стремление к новому, постоянный тренинг.
3. Устраните зависимость от экспертизы как средства улучшения качества. Экспертиза обычно осуществляется после того, как продукт завершен. Это слишком поздно, поэтому программный продукт необходимо совершенствовать в процессе его создания, постоянно корректировать и улучшать, не дожидаясь завершения.
4. Откажитесь от практики получения прибыли только с помощью цен. Вместо этого минимизируйте общие затраты, начав работать с одним поставщиком, или сократите количество поставщиков, что является одним из способов улучшения качества. Проблема состоит в том, чтобы найти поставщика или поставщиков, способных достичь нужного уровня качества и выработать вместе с ними необходимую для этого стратегию. Надо ясно осознать, что цена не имеет никакого значения без соответствующих мер по достижению качества.
5. Постоянно улучшайте качество программного обеспечения. Не существует «приемлемого» уровня качества, его повышение - это непрекращающийся процесс. Оценивая качество своего продукта, анализируйте достижения конкурентов, реальных и потенциальных, выработайте меры по усилению конкурентоспособности своего программного обеспечения.
6. Введите обучение на рабочем месте. Используйте для этого тьюторов. Обучение в служебное время поможет уточнить свои представления о том, какого уровня качества необходимо добиваться, а тем, кто проходит обучение, - понять, что от них ожидают.
7. Разработайте и введите институт руководителей-инспекторов. Инспектор должен помогать служащим в разрешении их производственных проблем, уметь найти причину ошибки и устранить ее, разработать производственную стратегию, исходя из анализа ошибок в прошлом. Одна из главных задач инспектора - научиться использовать в своей работе результаты опросов компьютерных пользователей.
8. Перестаньте обвинять сотрудников в ошибках системы. Люди не могут работать эффективно, не имея возможности делать свои замечания, а для того, чтобы высказывать свое мнение, они должны чувствовать себя в безопасности.
9. Устраните барьеры между службами отделов. Изучите проблемы всех служб. Поощряйте заинтересованность персонала одной службы делами смежных служб.
10. Откажитесь от выраженных в цифрах целей, лозунгов и плакатов, заклинающих работать людей лучше. Вместо этого демонстрируйте готовность менеджеров содействовать служащим в улучшении качества их работы.
11. Откажитесь от выраженных в цифрах квот для рабочих и выраженных в цифрах целей для менеджеров. Лучше сделать целью устранение ошибок и дефектов и сфокусироваться на способах оказания поддержки служащим, стремящимся улучшить качество своей работы. Важно, чтобы люди четко знали, какую задачу ставит перед собой организация и как их деятельность способствует выполнению этой задачи.
12. Устраните барьеры, мешающие людям гордиться своей работой. Откажитесь от ежегодного рейтинга или системы оценок. Вместо этого введите систему обратной связи, и люди всегда будут знать, что они сделали не так и что необходимо исправить.
13. Введите программу обучения и самосовершенствования для каждого. Люди должны быть уверены, что будут и в дальнейшем иметь работу, и должны знать, какие новые навыки пригодятся им, чтобы ее сохранить.
14. Привлеките каждого работающего в области информационных технологий к разработке стратегии трансформации. Создайте группу в сфере высшего менеджмента, которая ежедневно будет формулировать 13 приоритетных задач, исходя из которых менеджер в области информационной технологии должен создать ударную группу, руководимую экспертом-консультантом [3, с. 68].
Американский гуру качества, физик, статистик Э. Деминг достаточно ясно отвечает на вопрос относительно повышения качества информационных технологий, определяя основные направления концентрации усилий с целью максимизирования результата. С его точки зрения, техническая сторона вопроса заключается на повороте к процессоориентированному подходу обеспечения качества, обязывающего проводить контроль качества и исправления ошибок на каждом этапе разработки программных средств, экономическая сторона решения этой приоритетной задачи сводится к сокращению количества поставщиков. Большое внимание уделено созданию особой психологической атмосферы внутри предприятия: отказа от рейтинговой системы оценок, введения системы обратной связи, устранения барьеров, мешающих людям гордиться результатами своей работы, а также поддержание в них уверенности в завтрашнем дне. Ставка в погоне за качеством информационного продукта сделана на повышение уровня образования, постоянного обучения и самосовершенствования персонала. Специалисты, не приемлющие новшества, и неквалифицированный персонал организации являются объектами особого внимания, с недостатками профессионализма которых идет процесс постоянной борьбы.
«Будущее информационной технологии зависит от способности профессионалов создавать высококачественное программное обеспечение» [4, с. 71], в подтверждение данного высказывания специалисты отмечают, что важное отличие программного обеспечения от других промышленных продуктов заключается в сильном влиянии человеческого фактора на производство программного продукта, так как производство программного продукта - интеллектуальная и творческая деятельность [3, с. 188].
Таким образом, качество информационной технологии, образующей каркас системы безопасности, зависит, прежде всего, от профессиональных и личностных характеристик рабочего, как убеждает новая философия: ошибки и недостатки как в компьютерных программах, так и в аппаратных средствах - неизбежный спутник информационной технологии, повышение качества - это непрекращающийся процесс, что свидетельствует о необходимости постоянной работы с персоналом организации в целях повышения образовательного уровня, формировании благоприятной психологической атмосферы в коллективе и воспитании определенных морально-этических установок.
Анализируя статистику возможных сбоев и нарушений системы безопасности, согласно данным Национального института стандартов и технологий США (№БТ), мы пришли к выводу, что лишь 10% случаев приходится на преднамеренные попытки получения несанкционированного доступа через внешние источники, 4% всех возможных нарушений занимают вирусы, 15% относятся к проблемам физической безопасности. Наиболее распространенными источниками нарушений безопасности являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационную систему, на их долю приходится 55% случаев, 16% - действия обиженных и нечестных сотрудников организации. Уволенные сотрудники, знакомые с порядками в организации, как оказалось, способны весьма эффективно навредить. Виновными в кражах и подлогах в большинстве расследованных случаев оказывались штатные сотрудники организации, отлично знакомые с режимом работы и защитными мерами [5, с.77]. Приведенные статистические данные подсказывают основные направления работы администрации и персонала организации по направлению усилий с целью снижения угроз безопасности. Примеры наиболее распространенных источников нарушений безопасности еще раз доказывают особую роль принятия правовых и морально-этических мер защиты информации в процессе построения системы информационной безопасности.
Законодательные, или правовые, меры защиты информации представляют собой нормативные акты, определяющие правила использования информационных ресурсов в стране, степень ответственности и наказания за их нарушения, тем самым являясь сдерживающим фактором от неправомерного использования информации [1].
Морально-этические меры защиты информационной безопасности складываются из традиционно сложившихся в стране или в обществе норм поведения и правил обращения с
информацией. Указанные правила чаще не упомянуты в законодательном своде требований, в то же время следствием их несоблюдения является падение авторитета человека или организации. Морально-этические меры бывают в виде общепризнанных норм чести, патриотизма и т.д., а также в виде оформленных в некий свод предписаний или правил [1].
Данные меры задают правила обращения с информацией и накладывают определенную степень ответственности за их несоблюдение. Обычно на этом уровне работы применяемых мер различают два направления: создание и поддержание в обществе негативного отношения к нарушениям и нарушителям по отношению к информационной безопасности, в том числе и карательного характера. Второе заключается в координации действий, направленных на повышение уровня образованности и информированности общества в области информационной безопасности. Необходимо заметить, что морально-этические и правовые меры противодействия в некотором смысле являются универсальными мерами на всех этапах построения системы защиты. В одних случаях они являются единственными мерами защиты информации от неправомерных действий: злоупотребления служебным положением при работе с информацией, защита открытой информации от незаконного тиражирования и т.д. В других случаях люди просто не совершают противоправных действий не потому, что это технически сложно или невозможно, но потому, что подобные действия выходят за рамки допустимых норм в обществе, они осуждаются и, более того, наказываются.
Юридическая ответственность за правонарушения в информационной сфере на первый взгляд кажется одним из эффективнейших способов регулирования общественных отношений. Но реальность такова, что на правовом уровне вопросы гражданско-правовой ответственности за нарушения информационной безопасности не находят своего отражения, развитие законодательства в данной области отстает от темпов роста технологий и числа преступлений в информационной среде. Кроме того, сложившаяся ситуация в области применения информационных технологий требует согласования нормативно-правовой базы государства с международной практикой. В России это касается, прежде всего, разработки стандартов и сертификационных нормативов согласно международному уровню как в области информационной безопасности, так и в области информационных технологий в целом. Первая причина, почему необходимы усилия в данном направлении, - это требование защищенного взаимодействия с зарубежными партнерами, вторая - приоритетное преобладание на рынке информационных технологий аппаратно-программных средств зарубежного производства.
Следующее пожелание, также основанное на зарубежном опыте, касается координации характера направления разработки и применения законодательных мер. Такая новая область деятельности, как информационная безопасность, требует применения мер скорее не карательного характера, а в первую очередь разъяснительного: в подобной ситуации важно научить оказать помощь, чем запретить и наказать. Сегодня общество должно ясно осознать всю важность проблемы, увидеть и понять возможные пути решения поставленных задач. В связи с этим необходимо скоординировать усилия научного, учебного и производственного плана. От государства в частности и общества в целом требуются интеллектуальные вложения, направленные на формирование морально-этических установок функционирования в информационной среде.
Таким образом, согласно известному утверждению: принципиально невозможно построить абсолютно (идеально) надежную систему защиты информационной безопасности, нельзя считать, что только с помощью физических и технических (аппаратных и программных) средств возможно построить систему защиты безопасности. Поскольку в первую очередь стойкость системы безопасности определяется стойкостью персонала, повышение ее уровня происходит за счет кадровых, законодательных и морально-этических мер. Но даже совершенных законов и грамотной кадровой политики недостаточно для конечного решения проблемы защиты. Потому как даже самый надежный человек способен случайно допустить неумышленное нарушение, кроме того, не существует в практике такого персонала, в отношении которого невозможно предпринять действий, подстрекающих его пойти на нарушение.
В данной ситуации острую актуальность приобретают морально-этические меры, являющиеся первым и последним рубежом в построении системы защиты информационной безопасности. Морально-этические принципы и ответственность каждого, основанные на принятых правилах поведения и подкрепленные мерами законодательного характера, выступают решающим фактором регулирования деятельности человека в процессе обеспечения информационной безопасности.
Библиография
1. Гайкоеич В.Ю., Ершов Д.В. Основы безопасности информационных технологий. - URL: www.twirpx.com (дата обращения: 26.05.10).
2. Благодатских В.А. Стандартизация разработки программных средств. - М.: Финансы и статистика, 2006. - 288 с.
3. Миллер Г. У. Качественная программа: будущее информационной технологии // Информационная революция: наука, экономика, технология. - М.: ИНИОН РАН, 1993. - С. 63-72.
4. Галщкий А.В. Защита информации в сети: анализ технологий и синтез решений. - М.: МДК Пресс, 2004.-616 с.
Bibliography
1. Gaykovich V.Yu., Ershov D.V. Basics of Information Technology Security. -URL:www.twirpx.com (date of access: 26.05.10).
2. Blagodatskikh V.A. Standardization of software development. - M.: Finansy i statistika, 2006. -
288 p.
3. Miller H.U. Quality program: the future of information technology // Information revolution: science, economy, technology. - M.: INION RAN, 1993. - P. 63-72.
4. Galitsky A.V. Protection of information in networks: analysis of technologies and solutions. - M.: MDK Press, 2004.-616 p.
