О журнале
Рекомендации
К вопросу о понятии "информационная безопасность"
Арсентьев М.В.
______________________________________________________
М.В. Арсентьев
Среди других видов безопасности информационная безопасность обладает наибольшей степенью неопределенности. Это связано с двумя ее наиболее существенными свойствами, вытекающими из неопределенности самой информации как субстанции живой и не живой природы, разнообразием форм и видов информации и ее носителей, наличием информационного аспекта во всех видах человеческой деятельности и, собственно, пересечением информационных процессов, происходящих между ними и др. Поэтому трудно не согласиться с мнением А.П. Курило: "Необходимо сказать об отличии проблемы безопасности информации от других видов информации, хотя четко определить понятие информации крайне сложно. Это, во-первых, идеальный объект, во-вторых, нечто неопределенное и неизвестное. Информация - это не энергия, информация имеет дело со специфической субстанцией, которая, попадая к пользователю этой информации, вдруг приобретает материальную силу." [1]
Из-за таких свойств информации необходимо, видимо, крайне осторожно подходить к проблеме информационной безопасности, учитывая, что ошибочность в представлениях о ней может привести к серьезным последствиям.
Так, ознакомление с существующими определениями понятия "информационная безопасность", позволяет сказать, что большинство авторов, в той или иной мере занимающихся этой проблемой, трактуют его, на наш взгляд, зауженно, не учитывая, как было сказано, неопределенности и многоаспектности этого явления. Как правило, большинство определений связывают информационную безопасность с защитой информации, информационных ресурсов и т. п., что выражается, во-первых, в необходимости выделения той части информации, которую необходимо защищать, а во-вторых, со средствами этой защиты. Некоторые определяются в зависимости от реальных и потенциальных угроз со стороны тех или иных субъектов. Вполне понятно, что такие угрозы существуют в реальности, они наиболее очевидны и в силу этого, в первую очередь, привлекают внимание исследователей. Природа данной очевидности также ясна: в условиях конкурентности, соперничества, противоборства каждому субъекту необходимо сохранить в тайне свой реальный потенциал, который во многом заключается в обладании тем или иным объемом информации и 'при этом неизвестной конкуренту с целью ее использования в выгодном для себя направлении. Этим достигается определенное преимущество, распоряжение которым зависит уже от субъективных качеств обладателя информации.
Соответственно проникновение в защищаемую часть информационных ресурсов либо нарушает, либо сводит на нет это преимущество.
Однако, как представляется, защищенность собственных информационных ресурсов не гарантирует информационной безопасности для субъекта, поскольку даже возможно достигнутое преимущество в обладании той или иной информацией может быть оценено, как представляется, только в соотношении с информационными ресурсами другого субъекта. В силу этого другая сторона информационной безопасности заключается в предельно возможной степени ориентации во всей информационной сфере. Другими словами, недостаточность информированности может привести к принятию неадекватных управленческих решений и в этом смысле правильно трактовать состояние субъекта, принимающего такое решение, как находящегося в информационной опасности.
Такой подход позволяет выделить защиту собственных информационных ресурсов лишь как часть информационной безопасности и не сводить ее только к их защите.
Кроме указанного свойства информации, позволяющего достигнуть определенного преимущества в информированности, она обладает и другим, не менее важным (на что указывают многие авторы) свойством отрицательного воздействия одного субъекта на другой через информационный процесс. При этом объектами, на которые может быть направлено это воздействие, являются как любые объекты деятельности человека, общества, государства, так и средства, формы и способы этой деятельности.
В нашем случае задача заключается в том, чтобы на основе общего понимания информационной безопасности спроецировать его на очень важную, но и достаточно узкую сферу, а именно, научно-техническую.
Исходным пунктом служит то обстоятельство, что научно-техническая сфера является очень важной частью национального достояния России, которая должна обеспечиваться защитными средствами.
В этой связи необходимо все же обратиться к имеющимся определениям понятия "информационная безопасность" с целью выделения в них сущностных моментов (ключей), могущих иметь отношение к научно-технической сфере.
В результате анализа можно, на наш взгляд, выделить наиболее значимые из них:
"Защищенность (устойчивость) по отношению к опасным информационным воздействиям...", "...эффективное использование информационного ресурса и защита интересов государства", "состояние защищенности, значимость информационных ресурсов для субъектов...", "...состояние защищенности информационной среды общества", "...порядок взаимного обмена производственными и научно-техническими сведениями внутри народнохозяйственного комплекса и с зарубежными партнерами", "...сохранение суверенитета в использовании информационных ресурсов", "...состояние либо отсутствие информационных угроз, либо, при наличии таковых, состояние защищенности и, следовательно, устойчивости основных сфер жизнедеятельности".
Как это видно из приведенных сущностных моментов, они сводятся в основном к защите информационных ресурсов от всевозможных угроз. Если развивать это ключевое положение логически дальше, то оно приводит к пониманию существующих информационных процессов как процессов соперничества, противостояния, борьбы. Такое понимание фактически и заложено, например, в проекте "Концепции информационной безопасности Российской Федерации", в которой, в частности, говорится следующее: "Именно через информационную среду осуществляются угрозы национальной безопасности в различных сферах деятельности государства". [2] И далее под этим углом зрения оцениваются угрозы в конкретных сферах. Так, в политической сфере "...растут удельный вес и значимость информационно-психологического воздействия"; в экономической "...растет уязвимость экономических структур от недостоверности, запаздывания и незаконного использования экономической информации"; в военной - "...исход вооруженной борьбы все в большей степени зависит от качества добываемой информации и уровня развития информационных технологий"; в духовной жизни "...возникает опасность развития в обществе агрессивной потребительской идеологии, тотальной коммерциализации культуры, распространения идей насилия и нетерпимости, воздействия на психику разрушительных форм мифологизированного сознания. Эти угрозы и защита от них, а также утверждение нравственных ценностей реализуются внутри информационной среды и, прежде всего, через средства массовой информации и формирования общественного мнения".
Не отрицая, а, наоборот, подтверждая существование данных угроз, хотелось бы подчеркнуть, что, по нашему мнению, нельзя связывать проблему информационной безопасности исключительно с противоборством между субъектами (безразлично какими). Это только часть (разновидность) взаимодействия человека, общества, различных субъектов друг с другом, с информационной средой или по поводу информационного потенциала.
Можно различать объективную и субъективную стороны опасности в целом, но применительно к ее разновидности - информационной, корректно говорить о сочетании опасности (потенциальной или реальной), но не о состоянии информационной опасности (как это не парадоксально), если в общемировом информационном пространстве не содержится информации о некой угрозе. Исходя из этого, информационная опасность (угроза) возникает тогда, когда субъект по каким-либо причинам не может воспользоваться циркулирующей в информационном пространстве информацией, которая необходима для принятия соответствующих управленческих решений. Само же отражение возникающих угроз, при их осознании субъектом, связано лишь с наличием или отсутствием у него средств их отражения.
В зависимости от взаимоотношений субъектов с информационной средой (доступа к ней) и наличия средств для отражения информационных угроз можно вывести принципиальную типологию субъектов по уровню (степени) их информационной безопасности. Очевидно, что субъект, осознающий угрозы, имеющий неограниченный доступ к информации и располагающий необходимыми средствами для их отражения, находится в наивысшей по сравнению с другими субъектами степени информационной безопасности. И, соответственно, наоборот.
Необходимо отметить, что в различных источниках, хотя и не в столь жестко очерченной форме, все же присутствует и описанный выше подход. Так, в одном из вариантов Концепции национальной безопасности России при описании и корреляции интересов России в информационной сфере с внутренними и внешними угрозами в качестве внутренней угрозы определяется "стратегическое отставание России от ведущих стран мира по уровню информатизации", "недостаточность информационного обеспечения потребностей государства и общества, необходимого для прогрессивного развития России", а внешней - "препятствие включению России на полноправной основе в международный информационный обмен".
С учетом всего сказанного попытаемся выделить основные элементы содержания информационной безопасности. Ключевым (определяющим) является, на наш взгляд, контроль за информацией, циркулирующей в мировом информационном пространстве, а также наличие возможностей и средств для отражения возникающих угроз. Это определяется и предполагает:
- возможность доступа к информации;
- наличие собственного высокого информационного потенциала (ресурсов);
- независимость (суверенитет) в использовании собственного информационного потенциала;
- средства защиты этой части потенциала (правовые, технические, специальные др.);
- определение защищаемой части собственного информационного потенциала за счет его соотнесения с информационным потенциалом других субъектов;
- создание возможностей и условий для обогащения своего собственного информационного потенциала за счет потенциала других субъектов, в том числе и находящегося под защитой, что определяется существующей конкуренцией, соперничеством, противоборством;
- возможности, условия и средства для отражения угроз, связанных с информационным воздействием других субъектов, а также для управления информационными потоками в выгодном для себя направлении.
Исходя из этого, можно дать следующее определение информационной безопасности относительно конкретного субъекта.
Информационная безопасность - это снятие информационной неопределенности относительно объективно и субъективно существующих потенциальных и реальных угроз за счет контроля над мировым информационным пространством и наличия возможностей, условий и средств для отражения этих угроз, что в совокупности определяет уровень (степень) информационной безопасности каждого субъекта.
Исходя из так понимаемой информационной безопасности, субъект может находиться в том или ином состоянии информационной безопасности (опасности), в зависимости от вышеперечисленных условий. В связи с этим возникает проблема оценки этого состояния. "Отражение ситуации с безопасностью в сознании субъекта определяет его оценки безопасности. Очевидно, последние могут существенно отличаться от реальности, в зависимости от полноты и глубины знаний о ситуации, о формах и силе влияния изменений на состояние и т. п." [3]
Из этого вытекает:
- объективная и субъективная стороны опасности и безопасности;
- принципиальная важность уровня информированности субъекта при оценке безопасности.
- Проецирование общих представлений об информационной безопасности на конкретную сферу (в данном случае на научно-техническую) должно быть связано с особенностями той или иной сферы, ее взаимодействием с другими сферами в системном выражении, так как информация существует лишь как сведения, знания о чем-то конкретном, то есть как отображение этих сведений о конкретном предмете в каких-то знаковых символах.
С точки зрения информационной безопасности научно-технической сферы можно говорить о том, что, во-первых, в широком смысле ее безопасность будет зависеть от внутренних информационных связей между всеми составляющими данную систему (внутренний аспект) и внешних связей с мировым информационным пространством, в котором циркулирует научно-техническая информация (внешний аспект). А в узком смысле она будет зависеть от эффективности системы защиты охраняемой информации с обязательным обеспечением возможности доступа к защищаемой информации других субъектов.
Основываясь на учете всех составляющих информационную безопасность в научно-технической сфере можно оценивать ее состояние, в котором решающую роль играет оценка реальных и потенциальных угроз.
Целесообразно их условно разделить по следующим основным параметрам на общие и специальные угрозы.
Общие угрозы
1. Разрыв потоков информации между:
а. научной и научно-технической сферами;
б. научно-технической и экономической сфера
ми.
2. Односторонний характер внешних связей с акцентом на предоставление научно-технической информации внешнему потребителю.
3. Ограниченность доступа к мировым информационным ресурсам.
4. Неясность государственной научно-технической политики.
5. Уход научно-технических кадров - носителей информации в другие сферы деятельности.
6. Переход прав собственности на научно-технические предприятия в частные руки и к внешним субъектам.
7. Другие угрозы.
Угрозы специального характера
1. Проникновение внешних субъектов в защищаемую часть научно-технической информации через:
а. агентурное проникновение;
б. техническое проникновение.
2. Уход научно-технических кадров к внешним субъектам ("утечка мозгов").
3. Информационное воздействие внешних субъектов (дезинформирование и т. п.).
4. Другие угрозы.
Данный перечень может быть уточнен и расширен. Однако, как представляется, он отвечает основной задаче - возможности принципиальной оценки основных угроз для информационной безопасности научно-технической сферы.
Литература:
1. Курило А. П. Информационная безопасность как объект исследования. //Проблемы безопасности и устойчивости социально-политического развития российского общества. - М., 1994.
2 Концепция информационной безопасности РФ. // М., 1994.
3. Тамбовцев В. Объект экономической безопасности. //Вопросы экономики. - М., 1994. № 12. С. 45.
© Информационное общество, 1997, вып. 4-6, с. 48-50.