Размышления по традиционной проблеме
С. М. Пюкке,
piukke@tascom.ru
Стремительные процессы информатизации, охватившие в последнее время все сферы жизни общества и продолжающие усиливать свое влияние на человека, вместе с несомненными благами принесли и существенные проблемы. Это стало причиной возрастающего внимания, проявляемого по отношению к такой новой и вместе с тем старой и традиционной проблеме, как обеспечение информационной безопасности.
Ему посвящено множество книг, публикаций в средствах массовой информации и в сети Интернет. Однако при изучении этих работ в глаза бросается разнообразие подходов к пониманию термина обеспечение информационной безопасности, в определении круга входящих в него явлений. В этой статье сделана попытка найти точки опоры, отталкиваясь от которых можно было бы привести накопленные знания в рассматриваемой области в единую систему.
Однако перед тем, как перейти непосредственно к вопросу обеспечения информационной безопасности, представляется целесообразным рассмотреть, что такое информация и какова ее роль в жизни и деятельности человеческого общества. Причем официальное определение, отраженное в Законе Российской Федерации «Об информации, информатизации и защите информации», согласно которому информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления, нам вряд ли поможет. После себя оно оставляет больше вопросов, чем ответов: что такое сведения и почему это понятие шире понятия информации; какой критерий был положен в основу классификации того, какие сведения являются информацией; охватывают ли лица, предметы, факты, события, явления и процессы весь объективный мир или существует нечто, выходящее за рамки этих понятий? Таким образом, бытующее определение подходит в основном для формирования обыденного понимания информации, не отражающего ни сущности, ни функций, ни практической значимости информации, ни механизмов ее возникновения и распространения.
Подходов к определению сущности информации может быть несколько. В русском языке она традиционно понимается в значении сообщения, передаваемого от одного субъекта к другому. Так, Большая советская энциклопедия определяет информацию как «сведения, передаваемые одними людьми другим людям устно, письменно или какимлибо другим способом (например, с помощью условных сигналов, с использованием технических средств), а также сам процесс передачи и получения этих сведений» 1. Подобное определение можно встретить и в словаре Ожегова – «сообщения, осведомляющие о положении дел, о состоянии чего-нибудь» 2. Другой подход основан на утверждении, что существо информации – это связанность, определенность среды, противоположная хаосу, энтропии. С этой точки зрения информация присуща и объектам неживой природы, она – свойство материи вообще 3.
Оба этих подхода по-своему интересны и полезны, однако представляется, что для анализа выбранных вопросов они неприменимы. Иначе в первом случае мы должны были бы при рассмотрении процесса обеспечения информационной безопасности неоправданно ограничиться сферой коммуникации, где между субъектами циркулируют сообщения. А вторая трактовка вообще исключает субъект из нашего анализа, так как объективная информация для своего существования в нем не нуждается. В то же время любой процесс обеспечения информационной безопасности привязан к субъекту, для которого обладание той или иной информацией имеет определенную ценность.
Поэтому рассмотрим, что такое информация, исходя из ее места и роли в деятельности любого, обладающего целью или предназначением, а также механизмом их реализации субъекта. При этом отметим, что целью обладают социальные субъекты, то есть люди и их объединения (общества – фирмы, политические партии, государства, этнические образования и т. д.). Их цель – это реализация свободы воли. Предназначение характерно для технических систем, которые, не обладая свободой воли, не могут самостоятельно генерировать цель, однако могут быть нацелены их создателем на выполнение определенной задачи. Механизм реализации цели или предназначения – это проявление свободы поведения субъекта, то есть те средства изменения окружающего мира, используя которые субъект приближает наступление момента достижения цели.
Возникновение и использование субъектом информации можно представить следующим образом. Объективный мир, то есть совокупность взаимодействующих материальных тел, полей и энергии, порождает сигналы – изменения качественного и количественного состава своих элементов. Субъект, находясь внутри этого объективного мира и пользуясь присущим ему активным характером отражения окружения, может фиксировать какую-то часть сигналов.
Однако не все сигналы из этой части субъект регистрирует, то есть обращает на них внимание. Причина избирательности в том, что сигналов поступает огромное множество за короткое время, к тому же не все они имеют одинаковую ценность для субъекта. Он это осознает и пытается выбрать на основе каких-либо признаков самые важные и объединить их в массив. Зарегистрированные таким образом (выбранные из множества) и сгруппированные сигналы можно обозначить как «данные».
При получении данных перед субъектом встает очередная проблема: преобразовать данные в известные ему понятия. Субъект уже обладает некоторым набором понятий, которые он осознает и которыми может оперировать (так называемый тезаурус). Для использования полученных данных он должен сопоставить их с тезаурусом при помощи определенных методов. Эти методы могут быть известными, и тогда при их взаимодействии с данными образуется определенная информация, а иногда они требуют специального нахождения.
Можно сказать, что информация является связующим звеном между субъектом и объективным миром. Она помогает ему выбирать наиболее рациональный способ поведения из возможных для реализации своей цели или предназначения. Другими словами, информация уменьшает неопределенность ощущения субъектом себя и своего места в объективном мире, увеличивает количество и связность познаваемых им элементов мира, то есть является инструментом расширения его когнитивной области. В этом состоит ее функция и практическая значимость. Являясь посредником между субъективным и объективным миром, информация служит тем фундаментом, опираясь на который субъект выбирает способы изменения своего окружения с помощью имеющихся у него материальных и энергетических ресурсов.
Таким образом, информацию можно охарактеризовать как формализованный продукт преобразования зарегистрированных сигналов окружающего мира в известные (субъекту) понятия.
Описанный механизм возникновения и использования информации позволяет выделить в структуре как социального субъекта, так и технической системы следующие составляющие: регистратор внешних сигналов, преобразователь сигналов в известные понятия, центр принятия управленческих решений, рабочие органы и связывающие их коммуникационные каналы.
Регистратор обеспечивает получение сигналов из внешнего мира. От характеристик этого элемента системы в большой степени зависят ее потенциальные возможности по получению необходимой для функционирования информации. У людей в этом качестве используются органы чувств, общества задействуют возможности своих членов. Регистрирующие элементы технических систем зависят от их предназначения, это могут быть различного рода датчики, интерфейсные устройства, так называемые «устройства считывания информации» и т. д.
Преобразователь нужен для усвоения сигналов системой, встраивания их в картину знаний о внешнем мире. Он располагает определенным набором методов преобразования, можно сказать определенной идеологией, в соответствии с которой он интерпретирует сигналы, получая из них информацию, и оценивает ее на предмет актуальности, достоверности и полноты. Как правило, преобразование сигналов в информацию – достаточно сложный и многоэтапный процесс, особенно это касается социальных систем.
В качестве иллюстрации можно рассмотреть в упрощенном и сокращенном виде процесс получения информации из совокупности сигналов, которую представляет собой данная статья. Сама по себе она не является информацией. Для любого человека она – всего лишь часть непознанного им объективного мира. Однако если кто-либо начинает ее читать, то он начинает получать информацию. Сначала, открыв статью, читатель определяет, что в ней содержится текст, а не изображение или что-либо еще, потом понимает, что текст написан на русском языке, а после этого постепенно, от простого к сложному, проникает в суть изложенного вопроса.
При этом разные люди, прочитав данную статью, получат разную информацию. Так, если ее прочитает специалист в области русского языка и литературы, то он наверняка будет обладать большей чем другие люди информацией о грамотности, лексическом запасе и владении русским языком ее автором, если психолог – то он извлечет больше сведений о психологических характеристиках личности автора. Причина этого скрыта в обладании ими иными методами преобразования зарегистрированных сигналов в информацию.
Необходимо отметить, что ни один метод не может полностью преобразовать какие-либо данные в информацию. Каждый из них образует определенную информацию и преобразует данные, которые после этого могут частично преобразовываться в иную информацию с помощью иного метода. Процесс преобразования данных в информацию бесконечен, то есть ни один зарегистрированный сигнал не может быть до конца преобразован в информацию, так как это бы означало познание всей полноты объективного мира. Однако это и не нужно, и субъект останавливается на том уровне раскрытия сигнала, который позволяет сформировать подходящее для анализа представление об окружении.
В технических системах механизм преобразования данных в информацию гораздо более простой, так как возможные методы преобразования заранее определены ее создателем. При этом данные преобразовываются в вид, который может быть воспринят центром принятия управленческих решений. Например, если это электронное устройство, то все регистрируемые входящие сигналы – световые, тепловые, звуковые и т. д. должны быть переведены в электрические.
Только после того, как появляется информация, понятная для центра принятия управленческих решений, возможно моделирование окружающего мира и формирование на основе анализа этой модели поведения субъекта – целенаправленного изменения окружающего мира с помощью рабочих органов, в том числе путем генерирования и распространения новых сигналов. Для этого социальный субъект принимает определенное решение, а техническая система выбирает один из возможных алгоритмов действий.
Вместе с тем далеко не всегда получаемая информация сразу же требуется центру принятия управленческих решений. Кроме того, некоторые сведения могут использоваться многократно. Поэтому возникает необходимость хранить информацию, которая может потребоваться в будущем , и именно это является функцией хранилища информации.
Схематично процесс получения и использования информации можно представить следующим образом (см. рисунок).
Естественно, эта схема – результат упрощения, так как практически любая социальная и техническая система имеет несколько регистраторов, преобразователей и центров принятия управленческих решений разного уровня. А, кроме того, один и тот же элемент системы может выполнять несколько функций. Однако такой подход позволяет понять принцип получения и использования информации и делает возможным рассмотрение сущности обеспечения информационной безопасности. Здесь также имеется несколько различных точек зрения.
На уровне отдельной организации, предприятия или учреждения информационная безопасность рассматривается, как правило, как безопасность информации. Так, Д. Б. Халяпин и В. И. Ярочкин определяют ее как защиту информации от случайного или преднамеренного доступа лиц, не имеющих на это права, ее получения, раскрытия, модификации или разрушения 4. С теми или иными несущественными изменениями подобные определения безопасности информации дают также В. В. Мельников 5 и В. В. Домарев 6.
По аналогии с обеспечением физической безопасности как защищенностью от физических воздействий, военной безопасности как защищенностью от военных акций информационную безопасность можно также понимать как защищенность объекта от средств информационного воздействия.
Однако при применении перечисленных подходов к описанной выше схеме получения и использования информации нельзя не заметить их однобокости. Представляется очевидным, что обеспечение информационной безопасности должно включать в себя мероприятия по защите от негативного воздействия всех стадий информационного процесса – от регистрации субъектом адекватных окружающему миру сигналов до передачи управляющего воздействия рабочим органам системы. А защита информации от несанкционированного уничтожения и модификации или защита субъекта от средств информационного воздействия – это важные, необходимые, но лишь составляющие элементы процесса обеспечения информационной безопасности.
В целом можно выделить следующие составляющие этого процесса:
1. Ограждение субъекта от сигналов, неадекватных окружающему миру.
2. Обеспечение регистрации всех необходимых для функционирования субъекта сигналов.
3. Защита от несанкционированного изменения методов преобразования данных в информацию.
4. Обеспечение безопасности информации сохраняющейся системой.
5. Поддержание должного уровня функционирования коммуникационных каналов, предотвращение несанкционированной модификации циркулирующих по ним данных.
6. Обеспечение возможности распространять сгенерированные сигналы.
Один из вариантов реализации этого подхода применительно безопасности России мы можем увидеть в Доктрине информационной безопасности Российской Федерации. Согласно Доктрине, под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства. При этом интересы личности, общества и государства в информационной сфере – это не что иное, как потребность в нормальном протекании имеющих жизненно важное значение информационных процессов.
Поэтому Доктрина требует, в частности, не допускать пропаганду и агитацию, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды (первая составляющая процесса обеспечения информационной безопасности); обеспечить конституционные права человека и гражданина на доступ к информации, гарантировать свободу массовой информации и запрет цензуры (вторая составляющая); сохранять и укреплять нравственные ценности общества, традиции патриотизма и культуры (третья составляющая); обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации, обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством, обеспечить защиту сведений, составляющих государственную тайну (четвертая составляющая); развивать и совершенствовать инфраструктуру единого информационного пространства Российской Федерации, развивать отечественную индустрию информационных услуг, производство конкурентоспособных средств и систем информатизации, телекоммуникации и связи, обеспечить безопасность информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России (пятая составляющая); обеспечить конституционные права и свободы человека и гражданина свободно производить, передавать и распространять информацию любым законным способом, укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан (шестая составляющая).
Представляется, что этот подход, основанный на защите всех стадий информационного процесса, может быть использован и при организации обеспечения информационной безопасности иных социальных субъектов, а также технических систем. Это позволит субъекту наилучшим образом обеспечить свои интересы в информационной сфере, выстроить наиболее целесообразное поведение, кратчайшим путем и с наименьшими затратами достичь желаемого результата (выполнить свое предназначение).
________________________________
1 Большая советская энциклопедия. Т.10, «Советская энциклопедия», 1972. С. 353.
2 Ожегов С. И. Словарь русского языка. Под ред. Н. Ю. Шведовой, М., 1990. С. 253.
3 См. например: Лопатин В. Н. Информационная безопасность России: Человек. Общество. Государство. СПб университет МВД России. СПб.: Фонд «Университет». 2000. С. 23.
4 Халяпин Д. Б., Ярочкин В. И. Основы защиты промышленной и коммерческой информации. Термины и определения (Словарь). Издание 2-е, дополненное, исправленное. М.: Институт повышения квалификации информационных работников, 1994. С. 10.
5 См.: Мельников В. В. Защита информации в компьютерных системах. – М.: Финансы и статистика; Электроинформ, 1997. С. 11.
6 См.: Домарев В. В. Защита информации и безопасность компьютерных систем – К.: Издательство «ДиаСофт», 1999. С. 437.
«Защита информации. Конфидент», №4-5, 2002, с.22-25.