Глоссарий по научной теории безопасности

Концептуальные и научно-методологические основы информационной безопасности (кибербезопасности) ещё только разрабатываются. К первоочередным задачам при создании научной теории относится формирование системы базовых понятий. Неоднозначная и противоречивая трактовка основополагающих понятий в сфере, связанной с проблемами безопасности, может повлечь далеко идущие негативные последствия.

Наиболее распространенные ошибки, допускаемые современными исследователями феномена безопасности:

см. О необходимости новой методологии информационной безопасности, О необходимости философского обоснования проблемы информационной безопасности,

Если названия вещей не точны, их словесное выражение не отражает сути. Если слова не отражают сути, дела не могут быть завершены. Незавершение дел выхолащивает ритуал и музыку. Умаление значения музыки и обычаев приводит к тому, что наказание не достигает цели. Если наказание не действенно, общество ожидает хаос. Поэтому, если благородный человек о чем-то говорит, его слова должны нести четкую смысловую нагрузку, ибо слова не должны расходиться с делом. В своих высказываниях благородный человек должен проявлять определённость, но не небрежность. (Конфуций, древний мыслитель и философ Китая)

Глоссарий составлен на основании научных публикаций и бесед с полковником в отставке, философом-алитейистом Геннадием Атамановым.

Наука

вид деятельности по исследованию объективной реальности и формированию о ней достоверного (в идеале – истинного) знания.

Признаки научности:

  1. предметность: наука изучает объективную реальность, то есть реально существующие предметы или реально происходящие процессы, а не субъективную реальность или объективную виртуальность.
  2. объективность: интерпретация полученных в ходе исследования данных должна носить объективный характер, то есть должна быть максимально очищена от субъективизма.
  3. логичность: полученные в ходе исследования выводы должны быть оформлены в полном соответствии с правилами логики. Если нет логики, то нет науки. Даже если в ней нет математики, это всё равно наука. Ярким примером научной теории может служить дарвиновская теория эволюции. Она содержит все компоненты, кроме математики и это настоящая наука.

см. Что такое теория? Зачем нужна теория ИБ?

Метод

(от греческого слова: μέθοδος – метод, путь к чему-либо) – это путь к цели.

Что предполагает метод (путь)? Например, мы собрались в путь. С чего мы начинаем? С цели, маршрута, по которому мы будем двигаться, способа передвижения и средств передвижения. Это составные части метода, то есть пути. Методология — это учение о том, как всё это сделать правильно.

Методология

учение о путях достижения целей.

Методология – это учение, а учение может быть научным, а может быть ненаучным. Следовательно, методология может быть научной, а может быть ненаучной. Если методология построена на научной основе, соответствует признакам научности, то это будет научная методология, если нет, то это ненаучная методология. Ключевым вопросом методологии является цель. Цель во многом определяет деятельность по её достижению. Чтобы цель достигнуть, её нужно поставить. Поставить цель правильно – тоже наука.

Методология нужна:

  • «стратегам» – тем, кто по долгу службы призван решать стратегические задачи (строить планы действий на долгосрочную перспективу в условиях неопределённости);
  • «исследователям» – тем, кто занимается исследовательской деятельностью (и не обязательно научной);
  • «творцам» – тем, кто относится к делу творчески, не утратил субъектности и не хочет быть рабом обстоятельств, кто считает, что он что-то может и должен делать;
  • «карьеристам» – тем, кто планирует в будущем стать руководителем, стратегом.

Методология не нужна:

  • «интеллектуальным лентяям» – тем, кто не хочет думать;
  • «функциональным дебилам» – тем, кто не может думать;
  • «функциональным рабам» – тем, кто не должен думать.

Методика

конкретный путь достижения конкретной цели.

В методике должны быть расписаны конкретные этапы, конкретные действия и конкретные средства, которые используются на каждом из этапов. Например, мы с вами собрались покорять Эверест. Кто это мы? Мы – команда. Что мы должны сделать? Мы должны покорить Эверест. Зачем мы это будем делать? Возможные варианты: хотим доказать себе и людям, что можем это сделать; хотим побить рекорд по скорости восхождения и т.д. Потом мы выстраиваем маршрут и разбиваем его на этапы: здесь мы летим на самолёте, здесь – на вертолёте до горы, потом шерпы нам помогают подняться на определенную высоту, затем мы сами должны подниматься на вершину. И для каждого этапа мы должны указать способы преодоления и используемые для этого средства. В итоге мы получаем общую структуру методологии: 1) кто, 2) что, 3) зачем, 4) маршрут, 5) этапы, 6) способы, 7) средства – семь вопросов, ответы на которые и образуют структуру методологии.

Методика нужна:

  • когда очень высока степень ответственности;
  • когда есть размытые, неоднозначные понятия;
  • когда персонал имеет низкий уровень знаний, навыков и умений;
  • когда деятельность не входит в должностной функционал работника.

см. Что такое методология?, Предмет и структура методологии, Методология

[ОБЩИЕ ТЕРМИНЫ]

Термины, определяющие научную основу предметной области БЕЗОПАСНОСТЬ.

Система

совокупность компонентов, коммуникаций, контента, образующих отграниченную от окружающей среды структурную и функциональную целостность.

см. Методология защиты информационных ресурсов

Антропная система

система, в функциональной структуре которой задействован человек.

Объект безопасности

объект, безопасность которого необходимо обеспечить; субъект, социальный актор, антропная система:

  • человек-индивид (состав: тело, психика, сознание);
  • организация-корпорация (состав: активы, персонал, руководство);
  • государство (состав: инфраструктура, население, власть).

Примечание. Субъект – это носитель действия (тот, кто познаёт, мыслит или действует), а объект – то, на что направлены мысль или действие субъекта.

см. Объекты и субъекты безопасности вообще и информационной в частности

Индивид

понятие, используемое, как правило, для описания и отображения разнообразных ипостасей бытия личности. Понятие «индивид» (впервые введено в научный оборот Цицероном как латинский аналог греческого термина «атом») сопряжено с представлением об отдельно взятом представителе человеческого рода, общества, народа, класса, социальной группы, как своеобычном социальном атоме, т.е. далее принципиально неразложимом элементе бытия социума. Используется также для введения представления о человеке как носителе какого-либо единичного качества.

Корпорация

  1. замкнутая группа лиц, объединённая общностью интересов (сословных, профессиональных и др.);
  2. объединение, союз, общество.

Термин «корпорация», заимствованный из латинского (т.е. в его этимологическом значении), но не из английского (американского) языка, целесообразно использовать в качестве родового понятия, обозначающего любое объединение физических лиц (индивидов) – формальное (коллектив) или неформальное (группа), институализированное (юридическое лицо) или не институализированное (группа), но только не случайное и суммативное (толпа, народ).

Государство

Государство в качестве субъекта выступает только и именно на мегауровне, т.е. во взаимоотношениях с другими государствами.

Ни индивид (физическое лицо), ни корпорация (объединение, имеющее статус юридического лица, или объединение без образования юридического лица) никогда не взаимодействуют с государством! Они взаимодействуют с другими индивидами и корпорациями, в число которых входят и органы исполнительной государственной власти, которые с точки зрения системного анализа являются точно такими же элементами – «индивидами» и «корпорациями», – как и они сами.

Примечание. Согласно системной теории, государство, как антропная система более высокого уровня структурной сложности, не должно вмешиваться в процесс обеспечения безопасности антропных систем низшего уровня структурной сложности (предприятий, учреждений, организаций, человека), а обязано создавать условия для осуществления такой деятельности, задавать «опорные точки» и вектор развития отрасли.

Вред

результат воздействия на объект внутренних и/или внешних факторов, выразившийся в:

  • нарушении структурной целостности (деструкция)
  • нарушении функциональной цельности (дисфункция)
  • ухудшении условий существования (дискомфорт)

в размерах, превышающих, установленный (допускаемый) оценивающим ситуацию субъектом, порог.

Иногда такой порог устанавливает уполномоченный орган государственной власти (т.н. регулятор) или руководитель (начальник), т.е. субъекты защиты (безопасности)

Связь между вредом и опасностью-безопасностью

Связь между объектом безопасности и вредом

Вред человеку и человеческим сообществам (антропным системам) может быть причинён в результате:

а) собственных действий (рисков):

  • неполучения (несвоевременного получения) нужной информации (информационной анорексии);
  • потребления ложной/вредной информации;
  • информационной булимии;
  • информационного эксгибиционизма;
  • информационных фобий;

б) деструктивных воздействий со стороны окружающей среды или компонентов системы (угроз):

  • специально организованных воздействий (атак);
  • чьих-то непреднамеренных действий (ошибок);
  • несчастных случаев (аварий);
  • природных катаклизмов (стихийных бедствий).

Существенный вред

превышающий допустимый, с точки зрения субъекта безопасности, осуществляющего оценку, или установленный уполномоченным лицом/органом власти вред объекту безопасности.

Объект защиты

предмет или его качество, для предотвращения деструктивного воздействия на которые, субъектом защиты предпринимаются (должны предприниматься) соответствующие (необходимые и достаточные) действия.

Объект защиты - объект, который необходимо защищать, чтобы исключить причинения вреда объекту безопасности.

Объект безопасности и объект защиты – разные объекты. Объектом безопасности может быть только субъект (человек, организация, нация), а объектом защиты – множество и людей, и предметов, принадлежащих или имеющих отношение к объекту безопасности, и коммуникаций (как физических, так и социальных), и контента, причинение ущерба которым может привести к причинению вреда объекту безопасности.

В таблице показана связь между объектом защиты и объектом безопасности.

Связь между объектом защиты и объектом безопасности

см. Объекты и субъекты безопасности вообще и информационной в частности

Субъекты защиты (безопасности)

У каждого из направлений деятельности по обеспечению безопасности объекта безопасности должен быть и свой субъект (субъекты) безопасности.

А так как направлений деятельности по обеспечению безопасности три (перечень направлений деятельности), то и групп субъектов безопасности может быть (и должно быть) тоже три:

  • субъекты, ответственные за принятие правильных (безопасных) решений и совершение правильных (безопасных) действий;
  • субъекты, ответственные за создание безопасных условий существования объекта безопасности;
  • субъекты, ответственные за защиту объекта безопасности от внешних угроз.

Кто отвечает за безопасность?

  1. Сам человек! («спасение утопающих — дело рук самих утопающих»)
  2. Специально подготовленные люди, подразделения, организации (специалиалисты по ИБ/КБ)
  3. Правоохранительные органы (т.н. «силовые структуры»)

Соотношение объектов и субъектов безопасности

Соотношение объектов и субъектов безопасности

Вся полнота ответственности за обеспечение безопасности социальных субъектов (которые одновременно является и объектами безопасности) должна лежать на них же. Это относится и к обеспечению безопасности принадлежащей им информации (информационных ресурсов): на государстве – за государственные ресурсы, на корпорации – за корпоративные ресурсы, на индивиде – за индивидуальные ресурсы.

Государство при этом должно только:

  • создавать условия, при которых индивиды и корпорации имели бы возможность реализации функции обеспечения своей безопасности;
  • принимать меры по созданию безопасной для индивидов и корпораций среды;
  • оказывать помощь индивидам и корпорациям в ликвидации последствий деструктивных воздействий, если им не удаётся таковых избежать.

Соотношение объектов и субъектов безопасности

Соотношение объектов и субъектов безопасности

см. Объекты и субъекты безопасности вообще и информационной в частности

Цель защиты объекта

исключить (снизить вероятность и размеры) причинения объекту защиты вреда в виде деструкции, дисфункции, ухудшения условий эксплуатации его объектом безопасности.

Примеры

Ситуация

сочетание условий и обстоятельств, создающих определенную обстановку, положение.

Есть сама ситуация, а есть переживание этой ситуации мыслящим субъектом. Ситуация (феноменальная информация) - одна для всех (и тех, кто, например, летит в самолёте, и тех, кто вне его), а переживание ситуации будет у каждого своё. Это даже не ноуменальная информация, а производная от синтеза ноуменальной и феноменальной информации. Сложная интерференционная картина исходной информации и не менее сложная переживаний.

Недопустимое для субъекта событие

ситуация, реализацию которой допустить нельзя, вследствие того, что объекту защиты может быть причинён фатальный вред.

Перечень утверждается Субъектом защиты (безопасности)

Примеры

Недопустимые события для организации

Для того, у кого нет резервной копии своего информационного ресурса, вирус-шифровальшик - недопустимое событие, потому что приведёт (может привести) к ликвидации корпортации. А для тех, у кого есть бэкап, это - нежелательной событие, но не фатальное.

Недопустимые события для государства

Компания Change Healthcare (США) 21-го февраля 2024 года столкнулась с инцидентом. Первоначально компания не признавала это проблемой ИБ и просто ссылалась на недоступность отдельных приложений, а потом и сетевых коммуникаций. Спустя 12 часов компания признала, что это инцидент кибербезопасности. Ожидалось, что нарушение работы сервисов продлится не менее одного дня. Но прошло уже больше 4-х дней, а компания все еще не восстановилась. В результате атаки по всей Америке начались перебои с поставкой лекарств через аптечные сети. Рейтинговое агентство Moody’s заявило, что эта атака негативно скажется на кредитном рейтинге UnitedHealth Group, в которую входит Change Healthcare. Сама пострадавшая компания пока никак не оценивает финансовые потери от данного 4-хдневного (пока) инцидента.

С точки зрения ИБ налицо серьезная проблема, результатом которой явился 4-хдневный простой информационных систем. Но так ли плохо о последствиях думает руководство компании? Возможно для них это не фатальное событие. Возможно, они застрахованы от него и страховка покроет все потери. А возможно и наоборот — за простои в поставках лекарств предусмотрены штрафные санкции от подрядчиков и клиентов, государство оштрафует компанию со своей стороны, акции группы компаний упадут, а кредитный рейтинг UnitedHealth Group, и правда, будет снижен. И вот тогда это может стать недопустимым событием (не сам собой, а его последствия).

Дополнительно

ФСТЭК Российской Федерации

Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации

Positive Technologies

Уязвимость

место в системе, воздействие на которое с целью причинения системе вреда, требует меньших усилий, чем воздействие с теми же целями на другие места системы.

Наиболее уязвимыми местами в системе могут быть:

  • слабые элементы;
  • слабые межэлементные связи.

Уязвимости могут иметь происхождение:

  • естественное / искусственное;
  • случайное / закономерное;
  • преднамеренное / непреднамеренное.

Ущерб

видовое понятие, входящее в объём понятия деструкция, а вред – понятие родовое, в объём которого входят все виды вреда – и материального, и морального.

Примечание. Термин, часто используемый как синоним термина вред, что с т. зр. методологии является грубой ошибкой – отождествление части и целого.

см. Основные понятия теории безопасности

Угроза

обещание субъекта и/или демонстрация объектом/субъектом возможности причинить вред человеку (антропной системе).

Примечание. Обещание может исходить только от субъекта! Но вред может причинить не только субъект, но и объект. Угроза всегда предметна и адресна, т.е. исходит от предмета (субъекта или объекта) и направлена в адрес конкретного субъекта.

Никто и никогда не угрожал объекту – предмету или его качеству, и, тем более, его безопасности! Поэтому «угроза предмету», а тем более «угроза безопасности» – это абсурд!

Основными характеристиками угрозы являются:

  1. вероятность реализации;
  2. размеры ущерба, который может быть причинен в случае ее реализации.

Классификация угроз:

  1. с позиции онтологии (как есть): (исходящие от объектов неживой природы) / субъектные (исходящие от человека или человеческих объединений, т.е. субъектов);
  • антропогенные, т.е. исходящие от человека;
  • техногенные, т.е. исходящие от технических средств;
  • природные.
  1. с позиции гносеологии (как познаем и что знаем):
  • явные (видимые, артикулируемые);
  • скрытые (латентные, не проявленные).
  1. с позиции аксиологии (как относимся):
  • существенные (т.е. могущие в случае их реализации нанести с точки зрения оценивающего ситуацию субъекта серьезный ущерб объекту воздействия);
  • несущественные (т.е. те, которые, по мнению оценивающего субъекта, либо не могут причинить вреда, либо вред будет незначительным, допустимым).

Виды возможного воздействия:

  • механическое;
  • энергетическое;
  • информационное.

Примечание. Чисто механического, чисто энергетического или чисто информационного воздействия не бывает никогда! Любое воздействие всегда носит комплексный (механическо-энергетическо-информационный) характер. Корректно говорить о преимущественном виде воздействия.

Источник угроз

Соотношение «источников угроз» и «источников опасности» наглядно демонстрирует соотношение грома и молнии. Гром – источник угрозы, молния – источник опасности.

Источники угроз или источники опасности

Источники возможных деструктивных воздействий (угроз)

Все три группы источников угроз связаны отношениями взаимного влияния по двум прямо противоположным направлениям – прямом и обратном.

Эту классификацию можно продолжить и от типов источников угроз (опасностей) перейти к видам, подвидам и т.д.

Пример классификации источников угроз

Источники угроз можно классифицировать и иначе. Например, их можно поделить по признаку принадлежности структуре на два класса – внутренние и внешние. Объекты (субъекты), с которыми взаимодействует объект защиты, проявляются в качестве внешних источников угроз, а элементы, из которых он сам состоит, в качестве внутренних источников угроз. Вариант такой классификации для объекта защиты – предприятия представлен в таблице.

Источники угроз информационной безопасности СЭД

Примечание. Защищаться от большинства угроз, практически, нет необходимости, ибо они так и остаются угрозами и никогда не перейдут из категории «возможное» («потенциальное») в категорию «действительное» («актуальное»), т.е. никогда не будут реализованы. Те же из них, которые все же начинают претворяться в реальную действительность, становятся уже не угрозами («обещаниями» причинить вред, т.е. воздействием информационным), а действием (воздействием физическим).

На самом деле и угроз, и их источников может быть неограниченно много. При этом подавляющее большинство угроз никогда не будет реализовано, а источниками угроз, в пределе, являются все материальные объекты. И только маленькая толика источников угроз представляет реальную опасность, то есть могут совершить атаку, результаты которой невозможно спрогнозировать заранее и тем более подсчитать ущерб, который может быть причинён объекту безопасности в результате нападения.

Но для многих «безопасников», наверняка, покажется странным следующее утверждение: источник опасности не оказывает, практически, никакого влияния на процесс формирования системы защиты информационных ресурсов субъекта любого структурного уровня сложности, будь то индивид, корпорация или государство. Абсолютно неважно, кто или что станет источником опасности и по какой причине может выйти из строя сервер: из-за низкого качества «железа», падения метеорита, землетрясения, наводнения, атаки террористов, бомбового удара ВВС США, таргетированной атаки кибертеррористов или киберхулиганов. Другими словами, источники угроз представляют собой некое множество, границы которого определить невозможно. Здесь важно другое – то, что любой из источников может нанести вполне определённый вид ущерба, размеры которого, кстати, также определить априори невозможно. Получается, что вид ущерба – нечёткое число, а размер ущерба – нечёткое множество. Но при этом можно точно сказать, что видов угроз информационным ресурсам, хранящимся и обрабатываемым на любом объекте информатизации, всего шесть:

  1. некорректное уничтожение информации;
  2. искажение информации;
  3. неправильная статусофикация информационного ресурса;
  4. нарушение установленного статуса информации;
  5. установка некорректных условий доступа к информации;
  6. нарушение установленного порядка доступа.

Но определить заранее какой из видов ущерба причинит та или иная атака того или иного источника опасности, опять же, невозможно. Получается, все элементы, которые необходимо так или иначе учитывать при построении системы обеспечения безопасности информации, хранящейся и обрабатываемой на любом объекте информатизации – источники риска; источники угроз; виды угроз; уязвимости; потенциальные нарушители; методы и способы нападения; технические средства, используемые для атаки; направление атаки; возможно причинённый ущерб и другие, – представляют собой либо нечёткие множества, либо нечёткие числа.

см. Анализ математического аппарата и методов, применяемых для оценки безопасности объектов информатизации, Методология обеспечения информационной безопасности

Примечание. В современном тезаурусе в области безопасности (особенно информационной) есть такие термины, как «угроза безопасности», «модель угроз», «модель нарушителя» и им подобные, которые являются идиомами (идиоматическими оборотами) и свидетельствуют о методологической безграмотности и их авторов, и тех, кто эти термины употребляет.

Почему? Потому что:

  • Безопасности никто и никогда не угрожал. Угрожают всегда и только субъекту!
  • Угроза – это обещание/возможность причинить вред. Как смоделировать обещание/возможность?
  • Нарушитель – это тот, кто уже что-то нарушил. Модель нарушителя строят по имеющимся фактам для того, чтобы найти этого нарушителя, но не того, кто ещё ничего не нарушил. Возможно (но не нужно) строить Модель потенциального нарушителя. Но делать это должен регулятор!

см. Чему угрожают: информации или ее безопасности?, Источники угроз, Основные понятия теории безопасности

Вызов

это воспринятое и осознанное субъектом явление (изменение состояния окружающей среды), требующее от него некоторой реакции.

Реакция может быть:

  • своевременной / несвоевременной;
  • адекватной / неадекватной.

Несвоевременная и/или неадекватная реакция на вызов может привести к причинению субъекту вреда!

Вызов – всегда явление! Т.е. проявленное (ставшее явным) событие, воспринятое и осознанное субъектом.

см. Информационные вызовы, риски и угрозы

Атака

  • единичное воздействие на объект с целью причинения ему вреда;
  • реализованная (реализуемая) угроза.

Нападение

совокупность согласованных по месту и времени действий, направленных на причинение объекту вреда.

Примечание. И объектом, и субъектом нападения может быть только биологическая система! Никто и никогда не говорит «молния напала на человека» или «пожар напал на ООО «Рога и копыта» и т.п. Но: «удав напал на кролика», «экстремисты напали на мирных граждан»…

Субъектом атаки также всегда является биологическая система, но объектом атаки может быть и физический объект, принадлежащий биологической (антропной) системе: «Враг атаковал склад боеприпасов», «рота атаковала высоту “Х”», «хакеры атаковали ИС/АС ООО «Рога и копыта»»…

Опасность

имя (наименование), присваиваемое ситуации, при которой, по мнению оценивающего ситуацию субъекта безопасности или субъекта защиты, может быть причинён существенный вред объекту безопасности.

Опасность – это производная отношений объекта безопасности с объектами внешней среды и компонентов, из которых он состоит / ситуация, при которой объекту может быть причинён вред в размере, превышающем субъективно установленный оценивающим ситуацию субъектом предел.

Примечание. Любой объект (субъект) в реальной действительности всегда находится в ситуации, когда ему может быть причинен вред, то есть в опасности. Но в жизни мы обладаем неполным и не всегда достоверным знанием о существующих и могущих возникнуть угрозах и рисках, вероятности их реализации и размерах возможно причиненного вреда. А те, о которых знаем, оцениваем исключительно субъективно, как правило, основываясь на предшествующем опыте, спекулятивных рассуждениях и умозрительных представлениях.

Познающий субъект (т.е. мы с вами) оценивает не реальную действительность, а знание о ней. А часто в своих оценках познающий субъект исходит даже не из анализа знания (неполного и субъективного), а из анализа собственных чувств и эмоций, испытываемых по поводу этого знания. В результате «опасность» проявляется как «чувство страха», «ощущение опасности», т.е. как сущности психические, но не гносеологические (т.е. обусловленные знанием) и тем более онтологические (т.е. реально существующие).

Возможные варианты оценки ситуации

  1. Субъект сам оценивает ситуацию, в которой находится. Результат – генерируемый модус безопасности.
  2. Субъект оценивает ситуацию, в которой находится другой субъект (объект), и проецирует результаты такой оценки на него. Результат – проецируемый модус безопасности.
  3. Субъекту навязывается оценочное мнение о ситуации извне (которое может не соответствовать действительности). Результат – индуцированный модус безопасности.

см. Определения понятий «опасность» и «безопасность», Что такое опасность и безопасность?

Источник опасности

объект или субъект, отношения и связи с которым могут привести к созданию ситуации, при которой объекту защиты с высокой степенью вероятности может быть причинён вред в размерах, превышающих субъективно установленный анализирующим ситуацию субъектом предел.

см. Источник угроз

И количество, и перечень источников опасностей для каждого объекта безопасности будут сугубо индивидуальны. И зависеть это будет, в первую очередь, от самого объекта безопасности, от его характеристик. Если этот объект, например, информация, то количество и перечень источников опасностей будут определяться ценностью данной информации для определённого круга субъектов, а также свойствами носителя, на котором она размещена, и средств, при помощи которых она обрабатывается и передаётся. Если объектом безопасности является субъект, то самым главным источником опасностей для него будет он сам, а количество внешних угроз будет определяться его способностями «искать приключения» (т.е. рисковать) и «наживать себе врагов» (т.е. плодить желающих причинить ему вред), а также способностями противодействовать тем, кто может нанести ему существенный вред (т.е. его стойкостью к деструктивным воздействиям и способностью избегать нападений) и, наконец, наличием и качеством системы защиты.

Примечание. Необходимо также иметь в виду, что термин «источник опасности» в отличие от термина «источник угроз» является идиоматическим оборотом. Угроза может рождаться, появляться, начинать своё распространение там, где есть объект или субъект, исходить от них. Опасность же не может ни рождаться, ни распространяться, ни исходить.

см. Источники угроз

Безопасность

имя (наименование), присваиваемое ситуации, при которой, по мнению оценивающего ситуацию субъекта безопасности или субъекта защиты, не может быть причинён существенный вред объекту безопасности.

Безопасность (равно как и опасность) возникает в процессе взаимодействия объектов реальной действительности и представляет собой название интегральной характеристики коммуникативного процесса, неотъемлемыми составными элементами которого являются:

  1. действующий объект в совокупности его целей и возможностей по причинению объекту воздействия вреда;
  2. канал коммуникации, с учетом наличия / отсутствия в его составе системы защиты;
  3. объект воздействия в совокупности его свойств.

Представляется, что с точки зрения методологии будет правильнее трактовать такую интегральную характеристику как ситуацию, т. е. сочетание условий и обстоятельств, создающих определенную обстановку, положение.

Безопасность – это без-опасность – ситуация, когда нет опасности, т.е. опасность первична, безопасность – вторична!

Примечание. “Безопасность” не существует сама по себе, без указания объекта, безопасность которого требуется обеспечить. Выбор объекта безопасности не только делает само понятие определённым, но в известной степени и предопределяет содержание работ по её обеспечению.

Очень часто безопасность отождествляют с устойчивым развитием и стабильностью и трактуют неустойчивое развитие и дестабилизацию как угрозу. С точки зрения методологии это – грубая ошибка! Любое движение сопряжено с опасностью и чем выше скорость движения (развития), тем выше уровень опасности! Стабильность рано или поздно приводит к стагнации, а стагнация – это смерть!

На свете нет ни яда, ни противоядия. Тем и другим всё делает доза! Дестабилизация становится угрозой только тогда, когда управляющее воздействие превышает параметры устойчивости системы и/или превращается в норму!

Безопасность не может быть состоянием, потому что состояние – это «СОвместное СТОЯНИЕ» элементов системы здесь-и-сейчас (расположение элементов системы, в конкретный момент времени), которое описывается набором определённых параметров. Состояние – постоянно меняющаяся характеристика (фаза) генезиса (бытия) материального объекта.

Состояние – фаза (мгновенный срез процесса) существования (бытия) предмета, описываемая набором параметров. Например, болезнь – состояние биологического организма, описываемая набором параметров: температура, пульс, давление, состояние кожных покровов, тургор кожи и др.

В природе (онтологически) нет ни опасности, ни безопасности. Есть только изменяющаяся в пространстве и времени материя.

Безопасность – категория аксиологическая, т.е. оценочная. А мерой всех вещей, т.е. источником, носителем и потребителем оценок является человек. И оценку он осуществляет, в первую очередь, относительно себя. Так он – человек – устроен. Кстати, не только человек. Всё живое борется за своё выживание, но только человек может поставить (и ставит) задачи сохранения, например, информации выше (или вместо) задачи сохранения жизни и здоровья человека (в т. ч. психического).

Обозначение ситуацииОПАСНОСТЬ / БЕЗОПАСНОСТЬ – производится:

  1. интуитивно – как проявление чувства страха или ощущения опасности / безопасности
  2. когнитивно – в результате анализа знаний и/или представлений субъекта о:

Задача обеспечения безопасности объекта

в содержательном плане включает в себя в неразрывном единстве три компонента:

  1. удовлетворение потребностей объекта безопасности (обеспечение жизнеспособности для биологических систем, обеспечение работоспособности для технических систем, обеспечение целостности для неорганических систем);
  2. создание и поддержание безопасной для объекта безопасности окружающей среды (обеспечение жизнедеятельности);
  3. защита объекта безопасности от деструктивного воздействия.

Совокупность действий по обеспечению безопасности объекта

  1. Определение объекта безопасности, конкретизация составных частей (элементов) его структуры, обладающих относительной самостоятельностью в структурном и функциональном плане.

Например: «объект безопасности» - государство. Элементы структуры: «территория», «население», «власть». Следовательно, «безопасность государства» = «военная безопасность» + «национальная безопасность» + «социальная безопасность».

  1. Выявление «источников угроз»:
  • объекты/субъекты;
  • внутренние/внешние;
  • естественные (природные)/искусственные (техногенные) и т.п.
  1. Мониторинг элементов и сфер деятельности объекта, на которые может быть направлено деструктивное воздействие (совершено нападение).
  2. Анализ возможных средств и методов реализации угроз.
  3. Прогнозирование возможного ущерба от реализации угроз.
  4. Ранжирование угроз по степени опасности (с учетом вероятности их реализации и размеров возможно причиненного ущерба).
  5. Разработка мероприятий по противодействию угрозам.

Противодействие может осуществляться следующими способами:

  • внешним угрозам: уклонением от нападения; блокированием угроз, вплоть до уничтожения их источника; парированием атак;
  • внутренним угрозам: профилактикой; локализацией источника, вплоть до его устранения;
  • повышением устойчивости к деструктивным воздействиям (выработкой иммунитета).
  1. Реализация разработанных мероприятий по противодействию.
  2. Контроль эффективности принятых мер.

см. Анализ математического аппарата и методов, применяемых для оценки безопасности объектов информатизации, Диалектика безопасности, Методология безопасности, Исходные понятия теории безопасности, Что такое опасность и безопасность?

Цель обеспечения безопасности

исключить (снизить вероятность и размеры) причинения вреда объекту безопасности в виде деструкции, дисфункции, дискомфорта.

Безопасность субъекта может и должна обеспечиваться:

  1. снижением рисков;
  2. своевременной и адекватной реакцией на угрозы;
  3. созданием системы ликвидации возможных негативных последствий.

Данные направления деятельности по обеспечению безопасности субъектов инвариантны по отношению к виду их деятельности и виду безопасности, которую необходимо обеспечить. Решение задачи обеспечения конкретного вида безопасности каждого конкретного субъекта потребует применения специфических, свойственных только этому виду деятельности и этому субъекту способов и средств.

На первом месте среди направлений деятельности по обеспечению безопасности стоит «снижение рисков». Отсюда следует, что «снижение рисков» обеспечивается совершением действий, за которыми не последуют вообще или последуют, но незначительные, деструктивные воздействия, т.е. вред либо не будет причинён, либо будет причинён в незначительных (не оказывающих серьёзного снижения жизнеспособности и ухудшения жизнедеятельности объекта безопасности), допустимых, с точки зрения оценивающего ситуацию субъекта, размерах.

  1. Снижение рисков обеспечивается:
  • правильной кадровой политикой;
  • выявлением и санацией (вплоть до уничтожения) источников опасности;
  • заключением с источниками опасности договоров о ненападении;
  • уклонением от контактов с источниками опасности.
  1. Своевременная и адекватная реакция на угрозы предполагает:
  • повышение устойчивости субъекта к деструктивным воздействиям (повышением прочности и мощности, выработку и укрепление иммунитета);
  • выявление и ранжирование угроз;
  • формирование и совершенствование способностей к активному противодействию деструктивным воздействиям;
  • применение технических средств защиты от деструктивных воздействий.
  1. Создание системы ликвидации негативных для субъекта последствий связано с его безопасностью не напрямую, а косвенно. Такая деятельность призвана обеспечить жизнеспособность защищаемого субъекта не здесь-и-сейчас, а в будущем, когда один этап обеспечения его безопасности уже будет преодолён, когда угрозы из категории возможного перейдут в категорию реального, то есть станут атаками, произойдет нападение, после которого наступит следующий – принципиально иной – этап жизнедеятельности субъекта. Яркий пример применения данного метода – работа психологов с пострадавшими в катастрофах.

см. Методология обеспечения информационной безопасности

Топология безопасности

Предельный интерес любой биологической (следовательно и антропной) системы – сохранение жизни. Это аксиома. Из нее мы будем исходить при построении классификации видов безопасности, имеющих наибольшее значение для антропных систем. Другими словами, мы ставим перед собой задачу выявить и систематизировать те виды безопасности, без обеспечения которых невозможно дальнейшее существование антропных систем или, иначе, необеспечение которых ставит под сомнение возможность существования любой антропной системы (от отдельного индивида до государства и, в пределе, всего человечества).

Список видов безопасности антропных систем в их иерархической последовательности:

  1. Экологическая (экосистемная безопасность)
  2. Продовольственная
  3. Энергетическая
  4. Экономическая
  5. Политическая
  6. Психическая
  7. Консциентальная

Наглядно это можно представить в виде «пирамиды безопасности»:

Иерархия видов безопасности антропных систем

Три вида безопасности – экологическая (экосистемная безопасность), продовольственная, энергетическая – имеют отношение к первой составляющей антропной системы – ее структуре. Их обеспечение есть необходимое, но недостаточное условие физического существования базового элемента любой антропной системы – человека.

Экологическая (экосистемная безопасность)

На первом месте по значению для сохранения жизни и здоровья любых биологических систем, а, значит, и антропных, стоит проблема обеспечения экологической (правильнее – экосистемной) безопасности.

Представляется, что жизнь человека - базового элемента антропной системы - равно как и любого биологического образования, невозможна в неблагоприятных для этого внешних условиях. Жизнь как явление просто не могла бы возникнуть и тем более длительно существовать в условиях для этого не подходящих. Некогда возникнув, живая материя постоянно приспосабливается к условиям своего бытия, стремясь выжить. Но человек, в отличие от всей остальной биоты, пытается повысить свои потенции в борьбе за выживание не столько путем самосовершенствования, сколько путем «совершенствования» окружающей среды. Вследствие этого постоянно увеличиваются размеры практической деятельности человека, параллельно увеличивается и сила его воздействия на природную среду. Масштабы этого воздействия достигли такого уровня, что теперь уже состояние природной среды в значительной степени зависит от деятельности человека. Таким образом, если на начальных стадиях развития человек спасался от возможно негативного воздействия со стороны окружающей среды, то теперь впору природу спасать от негативного воздействия человека.

С учетом этих замечаний получается, что под термином экологическая безопасность антропной системы следует понимать десигнат (обозначение) ситуации, при которой экосистема не причиняет антропной системе вреда, т. е. не оказывает на нее воздействия, приводящего к ее деструкции и/или дисфункции.

см. Экологическая безопасность и ее место в структуре безопасности антропных систем

Продовольственная безопасность

Не менее очевидным и бесспорным является и то, что на втором месте по значению для жизнедеятельности человека стоит пища: чтобы жить, человек должен питаться. На начальных этапах эволюционного развития человек потреблял то, что ему предоставляла природа. Проблема удовлетворения потребности в пище распадалась на две взаимосвязанные задачи:

  1. найти или добыть продукт, который можно употребить в пищу;
  2. не употребить то, что может причинить вред собственному организму.

За многовековую историю человечества по форме эти задачи не претерпели каких-либо изменений, но в содержательном плане приобрели значительно большее разнообразие и сложность. Сейчас для большинства населения планеты уже нет необходимости искать съедобные плоды и коренья или с риском для жизни охотиться на дичь. Человек научился сам производить продукты питания, повысив таким образом уровень безопасности своего существования. В нормальном современном государстве с определенной степенью социальной защиты задача удовлетворения потребности в пище, как правило, более или менее решена. Однако значительно усложнилась задача обеспечения «безопасности от пищи». Табак, алкоголь, наркотики, концерогеносодержащие, генномодифицированные продукты, несбалансированная или избыточная диета, не говоря уже о просто недоброкачественных или с истекшим сроком хранения продуктах – вот далеко не полный перечень опасностей, поджидающих человека с этой стороны. Для борьбы с этими опасностями созданы и функционируют различные государственные институты и общественные организации, призванные как решать задачу обеспечения населения продуктами питания, так и не допускать деструктивного влияния продуктов на жизнь и здоровье человека, т.е. обеспечивать продовольственную безопасность.

Энергетическая безопасность

Следующая задача, которую пришлось решать человеку и человечеству, на пути эволюционного развития – это обеспечение возможности существования в менее благоприятных климатических условиях. Для этого было необходимо не только научиться готовить пишу при помощи огня, но и понадобилось сначала научиться выбирать, а затем и строить жилище, отапливать его сначала при помощи открытого огня, а затем и более сложными и изощренными способами и средствами. Все эти мероприятия требовали затрат всё большего количества энергии, которые человек для себя сначала открывал, а затем ставил себе на службу: тепловая энергия, энергия ветра и воды, солнечная энергия, электрическая энергия, энергия атома и термоядерной реакции. Однако открытие новых видов энергии и новых её источников не только позволяло человечеству успешнее решать задачи обеспечения более безопасного существования, но и создавало новые виды угроз. Мало того, что угрозу содержали сами новые виды энергии, появилась ещё необходимость защищать их источники и технологию использования. Особую актуальность эта проблема приобрела в современную эпоху, когда стало ясно, что источники некоторых из них, на сегодня наиболее распространенных и востребованных, не бесконечны и на всех добываемых ресурсов не хватит, а в недалеком будущем они и вовсе могут иссякнуть. Таким образом, проблема обеспечения энергетической безопасности, также как и две предыдущие, диалектически распалась на две взаимосвязанные и взаимообусловленные задачи:

  1. обеспечение антропной системы энергией, необходимой для комфортного существования, в достаточном количестве;
  2. обеспечение безопасности антропной системы от возможных деструктивных воздействий, связанных с использованием энергии.

Вторая составляющая социальной системы – это связи или в интерпретации современной системной теории – коммуникации. Здесь мы выделим две несводимые друг к другу, взаимосвязанные, но операционально различные сферы социальной коммуникации – экономику и политику. Представляется, что соотношение экономики и политики наилучшим образом раскрыто в марксистско-ленинской теории: экономический базис и политическая надстройка. Мы же отметим, что так же как экономика несводима к политике, экономическая безопасность несводима к политической безопасности и наоборот. И так же как экономика является основанием для политики, а политика определяет экономику, экономическая безопасность является основанием для политической безопасности, но интересы политической безопасности определяют содержание и параметры экономической безопасности.

Экономическая безопасность

ситуация, при которой антропной системе не может быть причинен существенный вред как экономическому актору, т.е. ее деструкция и/или дисфункция, ухудшение условий осуществления ею своей экономической деятельности.

Обеспечение экономической безопасности субъекта экономической деятельности (СЭД) в содержательном плане распадается на три взаимосвязанных, но операционально независимых направления деятельности:

  1. формирование оптимальной структуры СЭД, обеспечение ее соответствия решаемым задачам, поддержание в работоспособном состоянии;
  2. «безопасное» (т.е. умное, грамотное, ответственное) управление деятельностью СЭД;
  3. создание благоприятных условий осуществления экономической деятельности.

Обеспечение информационной безопасности субъекта экономической деятельности любого структурного уровня сложности представляет собой совокупность сложных многофакторных взаимосвязанных, но операционально различных, задач:

  1. удовлетворе­ние потребностей в информации, связанной с ведением бизнеса;
  2. защита бизнеса от нега­тивного информационного воздействия;
  3. обеспечение безопасности собственных информа­ционных ресурсов.

см. О некоторых методологических аспектах исследования экономической безопасности субъектов экономической деятельности, О банковской безопасности и безопасности банков

Политическая безопасность

Даже в стаде животных, не говоря уже о человеческих объединениях (антропных системах), судьба его членов во многом зависит от поведения вожака и принимаемых им решений, собственных поступков и действий, поступков и действий других элементов системы. В человеческих же сообществах по мере зарождения, становления и усложнения политики как сферы деятельности, в которой реализуются отношения господства и подчинения между социальными группами и слоями, связанные с завоеванием, удержанием, распределением, использованием власти, эта зависимость становилась все больше и больше. Но, опять же, зависимость эта распадалась на две взаимосвязанные и взаимозависимые составляющие. С одной стороны, объединение людей повышало их потенции в борьбе за выживание, т.е. повышался общий уровень безопасности. Максимума он достиг в государстве. Это одним из первых в истории заметил и описал Т. Гоббс в своем бессмертном труде «Левиафан». С другой, человек жертвуя часть своих прав, делегируя их «наверх», попадал во все большую зависимость от этого «верха», то есть, от «власть предержащих». Таким образом, под политической безопасностью антропной системы, с нашей точки зрения, следует понимать ситуацию, при которой искомой антропной системе не может быть причинен значимый вред (деструкция, дисфункция, ухудшение условий существования и развития) как политическому актору, т. е. в политической сфере или посредством политической сферы.

Другими словами, политическая безопасность представляет собой ситуацию, при которой антропная система может существовать и осуществлять свою разумно организованную деятельность не опасаясь деструкции, дисфункции и ухудшения условий своего существования со стороны других политических акторов, а также политической системы, элементом которой она является.

Следующим – третьим – компонентом социальной системы являются отношения или в терминах системной теории (по Луману) – смыслы.

Психическая безопасность

ситуация, при которой антропной системе (индивиду, группе, нации) не может быть причинен вред в виде деструкции и/или дисфункции психики и не создаются условия для этого в будущем.

Механизмы чувственно-эмоциональной или рационально-рассудочной деятельности человека носят принципиально различный характер. Каждая из этих сфер деятельности таит в себе определенные (отличные друг от друга и несводимые друг к другу) угрозы. В то же время, и чувственно-эмоциональная, и рационально-рассудочная деятельность в современном научном дискурсе обозначаются одним термином «психическая». Не вдаваясь в тонкости соотношения этих понятий в психологии, отметим, что с точки зрения опасности / безопасности принципиальное значение имеет то, как формируются цели, принимаются решения и осуществляется предметная деятельность – сознательно (осознанно) или бессознательно (неосознанно).

В современном российском научном сообществе пока еще не созрело понимание того, что существует настоятельная необходимость ввести четкое разграничение между методами и технологиями воздействия на чувственно-эмоциональную сферу человека и рационально-рассудочную.

Заставить человека действовать против своих интересов можно как посредством воздействия на его чувственную и эмоциональную сферы (индивидуальное или коллективное бессознательное), так и посредством управления знанием, применяя специальные технологии его обработки и подачи, формируя искаженную картину мира, навязывая ложные цели и ценности, внедряя в сознание (индивидуальное и коллективное) неверную методологию. А это две принципиально различные технологии, базирующиеся на, хотя и неразрывно связанных, взаимозависимых, но качественно различных сферах человеческой экзистенции.

Консциентальная безопасность

ситуация, при которой воздействие на сознание (индивидуальное, групповое) антропной системы не приводит к его деструкции и/или дисфункции и не снижает потенции его носителя в достижении им социально значимых целей.

В 1997 году Ю. В. Громыко, доктор психологических наук, специалист в области теории сознания, ввёл в обиход термины «консциентальная война» и «консциентальное оружие». При этом под термином «консциентальная война» он понимает особый тип манипулирования сознанием, главная цель которого – смена идентичности, а под термином «консциентальное оружие» – такую технологию работы с сознанием, которая нацелена на поражение и уничтожение определенных форм и структур сознания, а также некоторых режимов его функционирования. Ю. В. Громыко считает, что существовавшие ранее виды господства, основанные на насилии, финансовой зависимости, обладании знанием в современных условиях «очищаются от другого типа механизмов» и превращаются в «чистый тип господства над сознанием».

Применение «консциентального оружия» по мнению специалистов предполагает:

а) понижение общего уровня сознания людей; б) разрушение устойчивой системы мировоззренческих ценностей и замещение их разного рода ценностными симулякрами; в) разрушение традиционных механизмов самоидентификации и замещение их механизмами идентификации нового типа; г) разрушение субъектности целых этносов и народов, осуществление их цивилизационной перевербовки[37].

Здесь следует уточнить, что в ходе исторического развития антропных систем, то есть филогенетически, проблемы обеспечения безопасности возникли не одномоментно все сразу, а появлялись последовательно, одна за другой и, следовательно, имеют иерархическую структуру. В судьбе же отдельного организма, то есть онтогенетически, имеющиеся на данном этапе филогенеза проблемы, задаются топологически, то есть все сразу, правда, каждая - с разной степенью интенсивности. Антропная система не может изменить это положение дел. Чтобы выжить ей придется решать задачу обеспечения своей безопасности от всех видов угроз, существующих в данном континууме (пространстве-времени), одновременно.

Кроме того и угрозы, и риски находятся в постоянной динамике, постоянно меняется их интенсивность, вероятность реализации, размеры возможно причиненного вследствие их реализации вреда. Вследствие этого и обеспечение безопасности становится процессом, задачей со многими степенями свободы. Неспособность решить такую сложную задачу, а, тем паче, нежелание или пренебрежение ею, однозначно приведет антропную систему к гибели. И только своевременное выявление, корректные идентификация и компарирование существующих и возникающих угроз и рисков позволят разработать и принять адекватные меры по обеспечению безопасности (т.е. структурной целостности, функциональной цельности и благоприятных условий жизни и деятельности) заданной антропной системы.

см. Топология безопасности, О банковской безопасности и безопасности банков

Риск

атрибут деятельностного акта, в результате которого, субъекту, его совершающему, может быть причинён вред.

Примечание. Рисковать – значит совершать действие, которое может привести к причинению действующему вреда. Существование риска обусловлено наличием неопределённости результата деятельности, невозможностью однозначного предсказания конечного результата

Риск может быть:

  • оправданным / неоправданным
  • допустимым / недопустимым

Наиболее вероятный ущерб (и, как правило, наибольший) социальному субъекту может быть причинён в результате его собственных действий или, иначе, риска, т.е. действий субъекта в условиях неопределённости и непредсказуемости результатов.

От совершения им своего поступка никто не может защитить, кроме самого субъекта, который в данном случае выступает и в роли объекта безопасности. Постараться предупредить – да, убедить – да, но уберечь – нет! От подавляющего большинства угроз не сможет защитить никакая полиция, ФСБ, прокуратура, ФСТЭК и, тем более, Роскомнадзор, даже вместе взятые. Почему? Да хотя бы потому, что их нет и не может быть там, где есть опасность.

К каждому субъекту не приставишь по пожарной машине, машине скорой помощи, милиционеру или специалисту Роскомнадзора. Именно поэтому главный метод борьбы с любыми угрозами – избегать их. «Предотвращенная схватка – выигранная схватка» - говорили древние китайские мастера боевых искусств.

Источники риска

субъекты, принимающие решения и совершающие действия.

[ТЕРМИНЫ ИЗ ОБЛАСТИ ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ]

Термины, определяющие научную основу предметной области ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ.

Информация

  1. онтологически – форма и деформации;
  2. гносеологически – содержание и результат коммуникации (взаимодействия материальных объектов);
  3. аксиологически – ресурс, который может быть использован как во благо, так и во вред человеку;
  4. праксиологически – средство, необходимое для целеполагания и целедостижения (сырьё, средство производства и продукт деятельности – из информации при помощи информации производится информация).

Высший вид информации – СОЦИАЛЬНАЯ.

Социальная информация выполняет функции:

  • коммуникативную, т.е. является наиболее эффективным средством социальной коммуникации;
  • дескриптивную, т.е. является средством выражения, хранения и передачи знания, получаемого человеком в результате реализации им познавательной функции

СОЦИАЛЬНАЯ ИНФОРМАЦИЯ необходима человеку (антропной системе) для:

  1. формирования картины мира - Где Я?
  2. самоидентификации - Кто Я?
  3. определения целей деятельности - Зачем? (Для какой цели?)
  4. достижения выбранных целей - Как? (Каким образом?)

Конечным потребителем и пользователем информации в социуме вне зависимости от сферы ее существования – гуманитарной или технической – является человек.

Общая схема коммуникации

Информация ему необходима для реализации двух жизненно важных функций:

  1. адаптации к окружающей среде и
  2. деятельности.

Что касается деятельности, то здесь информация является и исходным материалом, и основой технологии ее обработки, и конечным результатом, поэтому удовлетворение потребности субъекта в информации есть необходимое условие его выживания.

Классификация информации

Феноменальная информация

это форма материальных объектов и их деформации, полученные в ходе взаимодействия.

Появление и существование феноменальной информации обусловлено исключительно физическими законами.

см. Монография Агасофия информации

Ноуменальная информация

результат деятельности мозга. Онтологически она также представляет собой форму и деформации материальных объектов – нейронов мозга. Но её появление и существование обусловлено не только и не столько физическими законами, сколько законами нейробиологическими и нейропсихологическими. Физические законы играют здесь второстепенную роль.

Ноуменальная информация – это информация принципиально иного вида, она не может быть сведена к феноменальной информации в силу сложности процесса её появления.

см. Монография Агасофия информации

Типология социальной информации с позиции опасности/безопасности

В основу данной типологии положено деление социальной информации на две большие группы:

  1. с точки зрения содержания (структурный подход) - «открытую» и «конфиденциальную»;
  2. с точки зрения доступности (функциональный подход) – «свободного доступа» и «регламентированного доступа».

Под открытой здесь понимается информация, доступ к которой либо не должен быть ограничен, либо не может быть ограничен в силу специфики ее функционального предназначения. К данному типу информации относится также всякая информация, которая с необходимостью должна быть доступна каждому.

С позиции диалектики естественной оппозицией понятия «открытая» должно было бы стать понятие «закрытая». Однако в русском языке слово «закрытая» предполагает абсолютную отграниченность объекта от субъекта, полную недоступность защищаемого (закрываемого). Применить подобное понятие к социальной информации (а речь идет именно о ней) невозможно в силу специфики самого феномена информации и ее функционального назначения. Поэтому предлагается информацию, доступ к которой необходимо ограничить по причине того, что в ней содержится нечто, могущее в случае бесконтрольного распространения и/или некорректного (противоправного) использования причинить вред ее собственнику, владельцу или третьим лицам, обозначить термином «конфиденциальная», который вошел в наш лексикон не так давно, однако до сих пор не нашел своего четко определенного места ни в научном дискурсе, ни в законотворческом. Понятие «конфиденциальная», таким образом, предлагается использовать как синоним термина «информация ограниченного распространения» и в качестве родового по отношению к любой информации, не подлежащей всеобщему оглашению, т.е. той, которая должна быть известна только ограниченному кругу лиц. К этой категории должна быть отнесена и та информация, которая сегодня рядом законодательных актов уже трактуется как «конфиденциальная», и служебная информация ограниченного распространения, и, совершенно очевидно, секретная информация. Уж что-что, а секретная информация потому и является секретной, что известна самому узкому кругу лиц. Другими словами, более конфиденциальной, чем секретная, никакая другая информация быть не может. И довольно странно, что до настоящего времени понятия «секретная информация» и «конфиденциальная информация» сосуществуют не пересекаясь, взаимоисключая друг друга. Такой подход представляется нелогичным.

Вместо понятия «информация ограниченного доступа» предлагается ввести совершенно новое – «информация регламентированного доступа», – которое является значительно более широким, чем понятие «информация ограниченного доступа» и родовым по отношению к любой информации, доступ к которой регулируется (регламентируется) тем или иным способом. В жизни мы не имеем возможности прямого и свободного доступа к огромному пласту интересующей нас информации, которая по определению не является конфиденциальной. Например, если вы захотите ознакомиться с совершенно открытой информацией, напечатанной в газете, вы должны будете:

а) купить газету в киоске; б) выписать по почте; в) найти того, у кого такая газета есть и попросить ее у него.

Миром владеет не тот, у кого много (пусть даже и ценной) информации, а тот, кто грамотно распоряжается имеющимися (в том числе и совершенно открытыми и общедоступными) информационными ресурсами и умело управляет информационными потоками!

см. Монография Агасофия информации, Физическая природа информации, Социальная информация, Типология социальной информации по признаку конфиденциальности: инновационный подход, О цене и ценности информации

Свойства информации

  1. дуализм - способность оказывать воздействие одновременно и на сознание и на психику;
  2. амбивалентность - способности содержать одновременно и истину и ложь;
  3. амфотерность - способность оказывать на одного и того же субъекта, находящегося в различных состояниях, или на различных субъектов разное воздействие.

Как известно любое управление есть определенная деятельность, совершаемая субъектом управления (управляющей системой) по отношению к объекту управления (управляемой системе), с тем, чтобы обеспечить его движение к заданной цели. Управление осуществляется субъектом управления путем трансляции пакетов информации. Объект управления принимает эту информацию и перерабатывает в решения и, в конечном итоге, действия. Таким образом, информация, поступающая на вход информационной системы, является исходным материалом для подсистемы принятия решения и, следовательно, непосредственно определяет поведение системы. Одновременно информация влияет и на состояние системы. Это свойство информации – одновременно воздействовать и на поведение системы и на ее состояние – называется дуализмом. Наличие у информации такого свойства позволяет, как непосредственно управлять системой, так и управлять состоянием системы. И в первую очередь это относится к человеку.

Последствия любого информационного воздействия практически невозможно оценить в реальном масштабе времени. Результат всегда проявляется с некоторой задержкой, то есть имеет «отложенный» характер.

Любой информационный поток, блок информации, отдельный сигнал, принимаемый системой, может содержать одновременно достоверную (истинную) информацию и недостоверную (ложную). Свойство информации содержать одновременно и истину и ложь называется амбивалентностью (от лат. ambo - оба и valentia – сила). Это свойство информации широко используется, например, средствами массовой информации, когда они, подавая по большей части достоверную информацию, «сдабривают» ее вкраплениями лжи, которая читателями / слушателями / зрителями воспринимается как достоверная.

В результате под амфотерностью информации предлагается понимать способность информации вызывать у разных информационных систем или у одной и той же системы, находящейся в различных состояниях, разные реакции. Можно добиться выполнения информационной системой, будь то человек или компьютер, нужных управляющей системе (субъекту управления) реакций. Заложив в информационную систему нужные программы ее будущих действий (бездействий), замаскировав их под безобидные сообщения или пристегивая «граммы лжи к тоннам правды», приводя систему в нужное состояние, формируя соответствующим образом сообщения, и запуская их именно в тот момент, когда система будет больше всего готова выполнить именно ту, которая требуется, управляющая система (субъект управления) заставляет действовать управляемую систему (объект управления) в своих интересах, оставаясь при этом «в тени» и сохраняя у управляемой системы (объекта управления) иллюзию полной свободы действий. Именно поэтому средства коммуникации генерирующие, трансформирующие, дозирующие и транслирующие информацию становятся главными инструментами влияния как на технические, так и на социальные системы. Их владельцы, доводя до информационных систем нужную информацию в нужное время, приводят их в нужное состояние и, в итоге, добиваются совершенно определенных (нужных им) реакций.

Примечание. Конфиденциальность, целостность, доступность – не свойства информации!

Конфиденциальность и доступность – свойства системы распределения: этим даю, этим не даю. Эти т.н. свойства к самой информации не имеют никакого отношения. Причём наличие конфиденциальности и доступности в одном перечислении (классификации) – признак полнейшей методологической безграмотности. Это – пересекающиеся множества: «конфиденциальность» – доступность для некоторых, «доступность» – доступность для всех.

Нарушение доступности – некорректный с точки зрения правил русского языка термин. Это же относится и термину «блокирование информации». Нарушить доступность или блокировать информацию нельзя. Термины типа «блокирование информации» или «нарушение доступности» – это «идолы рынка» (Ф. Бэкон), то есть выражения обыденной речи, неуместные в научной и профессиональной литературе. Блокирование – это противодействие, предотвращение действия. Можно блокировать доступ к информации, но не информацию, нарушить установленные правила доступа, права доступа, порядок доступа, но не доступность.

Целостность – свойство носителя информации, ненарушенность его формы, что к информации тоже не имеет никакого отношения.

см. О свойствах информации, обуславливающих существование феномена информационной опасности, Физическая природа информации, Социальная информация

Производитель (источник) информации

всегда человек, индивид.

см. Типология социальной информации по признаку конфиденциальности: инновационный подход

Собственник информации

субъект, которому принадлежат все имущественные права на данную информацию.

см. Типология социальной информации по признаку конфиденциальности: инновационный подход

Распорядитель информации

субъект, которому собственник делегировал часть своих прав на принадлежащую ему информацию.

см. Типология социальной информации по признаку конфиденциальности: инновационный подход

Потребитель информации

конечное звено цепочки информационных отношений – субъект, не обладающий имущественными правами на информацию. Это может быть как конкретный человек (индивид), так и коллектив (корпорация, государство).

см. Типология социальной информации по признаку конфиденциальности: инновационный подход

Тайна

информация, отнесенная собственником к категории конфиденциальной, по защите которой предпринимаются определенные действия.

Тайна есть информация, которая

  1. должна быть известна только строго определенному кругу лиц, и
  2. по ограничению доступа к которой лиц, не входящих в этот круг, осуществляется определенная предметная деятельность. Если хоть одно из этих условий нарушается, информация, относящаяся к данному классу, перестает быть таковой. То есть, тайна перестает быть тайной!

Классификация видов тайн

С позиции системной теории (по Н.Луману) субъект более высокого структурного уровня не должен управлять (соуправлять) процессами формирования структуры субъекта низшего структурного уровня, по отношению к которому он выступает как внешняя среда, но обязан создавать соответствующие условия и задавать «опорные точки», т.е. подвигать «низшего» к соблюдению норм и правил, установленных «высшим». Исходя из этого, государство (в лице его исполнительных органов), как субъект самого высокого уровня должно создать условия и предоставить возможность субъектам низшего уровня – индивиду и корпорации – самим управлять принадлежащей им информации.

Собственник информации должен иметь возможность относить информацию, неправомерное использование которой может причинить ему вред, к категории тайны, определять степень ее конфиденциальности и требуемый уровень обеспечения ее защищенности. Но при этом он должен сам и оплачивать все мероприятия по ее защите. «Кто заказывает музыку, тот и платит!»,- должно стать непреложным законом. Взаимная ответственность собственника и потребителя информации за обеспечение ее безопасности может оформляются как двухсторонними договорами, предусматривающими требования и нормы по ее защите, так и договорами оферты.

Государство, в лице исполнительного органа власти (правительства), утверждает перечень информации, которая однозначно не может быть отнесена к категории тайны (как это делается и сейчас). Но перечни эти требуют существенной корректировки. Например, с точки зрения авторов, такая информация, как фамилия, имя и отчество, паспортные данные, адрес места жительства, место работы и должность, семейное положение, результаты профессиональной и общественной деятельности, размеры состояния и доходов граждан даже в совокупности не может быть отнесена к категории конфиденциальной и подлежать скрытию. Она нужна и важна для сохранения целостности общества, безопасности государства. Это как раз тот случай, когда интересы индивида не просто не совпадают, а прямо противоположны интересам государства. Но интересы государства, в данном случае, должны иметь неоспоримый приоритет. Ссылки на борьбу с криминалом и т.п., мягко говоря, не корректны. Преступник совершает преступление против личности или организации не потому, что купил на рынке базу данных налоговой инспекции, а купил базу данных потому, что он задумал совершение преступления и получит необходимую для этого информацию из других источников, чтобы не делали защитники информации. В совершении преступления виновен преступник, а не средство его совершения. Следовательно, выявлять и устранять, в первую очередь, необходимо источники угроз (в данном случае – преступников), а не средства их объективации (средства совершения преступления).

см. Типология социальной информации по признаку конфиденциальности: инновационный подход

Носитель информации

материальный объект, на (в) котором может быть размещена информация. Понятие “носитель информации” является родовым по отношению ко всем материальным объектам, так как любой материальный объект может быть (и по факту является) носителем информации.

  1. Носитель информации – человек. Огромное количество информации записано и хранится в нейронах его мозга. Получается, что человек должен трактоваться как информационный объект. Получается, что человек выступает одновременно в двух ипостасях: и как информационный объект и как информационный субъект! В какой ипостаси рассматривать человека – в качестве информационного объекта или информационного субъекта – будет зависеть от конкретной ситуации и задач анализа.

  2. Носитель информации – воздух. В этом случае информационный объектакустическая волна, созданная голосовыми связками человека или техническим устройством и модулированная информативным сигналом. Такой объект нельзя ни продать, ни подарить. Правда, можно уничтожить, создав акустические помехи. Одно очевидно, что это настолько специфический объект, что его перемещение в социуме если и должно регулироваться законодательством, то только специально для этого разработанным.

Примерно так же обстоят дела с информацией, передаваемой при помощи электрических, электромагнитных, оптических и т.п. сигналов.

  1. Носитель информации – предмет, с нанесенной на него символьной информацией в доступном для восприятия человеком виде:
  • книги,
  • рукописи,
  • берестяные грамоты,
  • глиняные таблички,
  • свитки,
  • списки и т.д. и т.п.
  1. Носитель информации – предмет, с нанесенной на него информацией в машинных кодах, т.е. в недоступном для непосредственного восприятия человеком виде: магнитные диски, дискеты, ленты, электронные и электронно-оптические носители информации и т.д.

Информационные объекты данного вида подразделяются на два подвида:

  1. содержащие смыслосодержащую информацию в машинных кодах;
  2. содержащие машинно-кодовую информацию в машинных кодах.

Информационный объект

совокупность носителя информации и содержащейся на нём информации в семантических[1] или машинных кодах.

[1] Правильнее было бы «антропных», т.е. «человеческих» (ещё лучше – «человечьих») кодах: машинные коды тоже, в некотором плане, семантические. И получается, что семантические и машинные коды – пересекающиеся множества, а антропные и машинные – нет.

Информационный ресурс (субъекта)

это совокупность информационных объектов, находящихся в распоряжении субъекта.

Примечание. Информационный ресурс – это не только документы и массивы документов в информационных системах. Это и разговоры на производственную тему, и отходы производства, и карты, схемы, чертежи, служебные записки, «четрертушки» с резолюциями и т.д. и т.п. В то же время никому не придёт в голову подвести под определение «информационный ресурс предприятия» «трёп» сотрудников в курилке или частные разговоры по служебному телефону. Но разговор в кафе на производственную тему вполне под него подпадает.

Информационная опасность

ситуация, при которой может быть причинен недопустимый, с точки зрения оценивающего ситуацию субъекта безопасности или субъекта защиты, вред:

  1. информационной инфраструктуре;
  2. средствам обеспечения функционирования информационной инфраструктуры;
  3. информационным ресурсам объекта безопасности.

В информационной сфере опасность для человека представляет причинение вреда в виде:

  • формирования искажённой картины мира и неправильной методологии его исследования;
  • затруднения и/или искажения самоидентификации;
  • навязывания социально-негативных целей и ценностей;
  • формирования асоциальных моделей поведения.

Информационная безопасность субъекта

есть ситуация, при которой его

  1. информационной инфраструктуре,
  2. информационной функции (коммуникациям) и
  3. информационным ресурсам не может быть причинён существенный вред

Объекты информационной безопасностиантропные системы:

  • человек (состав: тело, психика, сознание);
  • корпорация (состав: активы, персонал, руководство);
  • государство (состав: инфраструктура, население, власть).

Цель обеспечения информационной безопасности субъекта

предотвратить (минимизировать) причинение вреда субъекту путём информационного воздействия на него и/или деструктивного воздействия на информационные ресурсы, необходимые для формирования у него корректного мировоззрения и корректной методологии.

Примечание. Человек переживает:

  • когда у него пропадает важный документ;
  • когда он не может оформить пенсию из-за того, что нерадивый кадровик не сделал в его трудовой книжке соответствующую запись или сделал её неправильно и пенсионный фонд отказывается признать её достоверность;
  • когда он не может найти нужную информацию, необходимую ему для принятия жизненно важного решения;
  • когда его приватная переписка стала достоянием общественности, в результате чего у общественности изменилось к нему отношение с положительного на крайне отрицательное и он потерял и уважение, и доходы и т.д. и т.п.

Получается, что информацию нужно защищать для того, чтобы избавить от неприятностей человека, которые могут случиться в результате какого-либо происшествия с нужной или важной для него информацией.

Защищать информацию ради информации просто глупо. Поэтому, когда заходит речь о защите информации, всегда надо помнить, что главная цель этой деятельности – защита от возможных неприятностей человека! Человек – объект безопасности, а информацияобъект защиты.

Обеспечение информационной безопасности субъекта

представляет собой совокупность взаимосвязанных, но операционально различных задач:

  1. удовлетворение потребностей в информации;
  2. защита от деструктивных информационных воздействий;
  3. обеспечение безопасности собственных информационных ресурсов;

Рассмотрим каждую из задач.

Удовлетворение потребностей в информации

первейшая и важнейшая задача в деле обеспечения существования любого субъекта. Не будет информации – не будет и субъекта (человек есть продукт общества)! При этом нужна не любая информация, а только та, которая обеспечит принятие правильных решений. Для этого она должна отвечать т.н. принципу «3Д», т.е. быть достоверной, доступной и достаточной.

Достоверность информации

лучше не иметь никакой информации, чем иметь ложную. Ложная информация однозначно приводит к принятию неверного решения и в итоге к гибели системы.

Способы обеспечения:

  1. применение различных способов верификации поступающей информации;
  2. использование доверенных источников информации и надежных каналов ее трансляции.

Доступность информации

мало, чтобы информация существовала, она должна быть представлена в понятных индивиду семантических кодах (семантическая доступность), доступна физически (доступна к восприятию) и тогда, когда она ему необходима.

Способы обеспечения:

  1. применение технологий, позволяющих осуществить доступ к нужной информации в любое время (создание библиотек социально значимой информации);
  2. разработка и использование надёжных интерпретаторов информации;
  3. обучение эффективным методам поиска и потребления релевантной информации.

Достаточность информации

нет необходимости (целесообразности) собирать всю информацию по проблеме, чтобы принять верное решение.

Способы обеспечения:

  1. разработка алгоритмов принятия решений, требующих минимального количества исходных данных (мудрость);
  2. получение возможно большего количества исходных данных (знания).

Защита от деструктивных информационных воздействий

см. Учебное пособие ГУМАНИТАРНЫЕ АСПЕКТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Защита информационных ресурсов (обеспечение кибербезопасности)

см. Кибербезопасность

см. О необходимости философского обоснования проблемы информационной безопасности, Что такое информационная безопасность?

Информационная война

это разновидность противоборства социальных систем, в ходе которого осуществляется воздействие на сознание противника с целью уничтожения определённого типа сознания.

Сам носитель сознания (в случае успешного «перепрограммирования») может не подвергаться уничтожению.

Сунь-цзы сказал: по правилам ведения войны наилучшее — сохранить государство противника в целости, на втором месте — сокрушить это государство. Наилучшее — сохранить армию противника в целости, на втором месте — разбить ее. Наилучшее — сохранить бригаду противника в целости, на втором месте — разбить ее. Наилучшее — сохранить батальон противника в целости, на втором месте — разбить его. Наилучшее — сохранить роту противника в целости, на втором месте — разбить ее. Наилучшее — сохранить взвод противника в целости, на втором месте — разбить его. Поэтому сто раз сразиться и сто раз победить — это не лучшее из лучшего; лучшее из лучшего — покорить чужую армию, не сражаясь. (Сунь-цзы - китайский стратег и мыслитель, живший в VI веке до н. э. Автор трактата о военной стратегии «Искусство войны»)

Информационная война и кибервойна

см. Информационная война: экспликация понятия

[ТЕРМИНЫ ИЗ ОБЛАСТИ КИБЕРБЕЗОПАСНОСТЬ]

Термины, определяющие научную основу предметной области КИБЕРБЕЗОПАСНОСТЬ.

Информационная система

совокупность компонентов, коммуникаций, контента, образующих отграниченную от окружающей среды целостность, выполняющую функцию обработки, хранения и трансляции информации.

Это определение максимального уровня обобщения, оно не имеет прикладного значения. Чтобы применить его на прикладном уровне, необходимо конкретизировать объект, о котором идет речь (например – информационная система ООО «Рога и копыта»). Тогда компонентами этой системы будут и люди, и телефоны, и канцелярия, и архив, и информационно-телекоммуникационная система предприятия (если таковая имеется), и много чего еще.

В рамках предприятия может быть только одна информационная система! Она состоит из подсистем, решающих отдельные задачи: управление отдельными технологическими процессами и даже отдельными станками, бухгалтерского учета и планирования экономической деятельности, учета финансово-хозяйственной деятельности и кадровой работы, и т. д. и т. п. Все это – не отдельные информационные системы, а всего лишь подсистемы одной системы. Они даже могут быть отграничены внутри предприятия функционально, но структурно вычленить их в отдельную сущность невозможно. Предприятие (организация, учреждение) – юридически закрепленная структурная и функциональная целостность. Это – единый организм, у которого есть единая информационная система, в состав которой может входить на правах подсистемы информационно-телекоммуникационная система (ИТКС) предприятия или компьютерная система обработки информации (КСОИ) предприятия. Назвать такие системы можно по-разному, но и состав у этих систем будет разным. Кроме того, у каждого предприятия будет своя уникальная информационная система. Компоненты, коммуникации, а, главное, контент при общей похожести всегда будут отличаться и подходить к их защите с едиными мерками, по меньшей мере, недопустимо. Общими могут быть принципы защиты и нормы, но не технологии и средства защиты.

Становится также очевидным, что не может быть ни на предприятии, ни вообще в принципе, таких, например, систем, как информационные системы персональных данных (ИСПДн). Ни у юридических, ни у физических лиц нет такой функции – обработка персональных данных. Ее не существует в принципе, даже в ЗАГСах. Есть функция – расчет заработной платы работников. Для реализации этой функции на предприятии создается ИТКС «1С-зарплата», в которой в обязательном порядке используются данные о работниках предприятия (не персональные данные, а данные о работниках). Есть функция – управление предприятием. В целях реализации этой функции издаются приказы, в которых присутствуют некоторые данные о работниках предприятия. В целях автоматизации выполнения этой функции на предприятии создается ИТКС «Система электронного документооборота». И таких примеров можно привести множество, но, думаю, и этих достаточно для того, чтобы показать, что нет и не может (не должно) быть таких информационных систем, как ИСПДн. Система – только то, что может быть отграничено от окружающей среды структурно и функционально! То, что сегодня трактуется как ИСПДн, структурно отграничить (то есть провести четкую демаркационную линию) от других компонентов информационной системы ни в рамках юридического лица, ни в рамках физического лица невозможно!

В общем виде:

Компоненты – средства обработки, отображения, трансляции, хранения информации и средства обеспечения их функционирования.

Коммуникации – каналы приёма-передачи (трансляции) информации.

Контентинформационные ресурсы, хранящиеся в компонентах системы и транслируемые по соединяющим их каналам коммуникации.

Причинение значимого вреда и/или некорректное использование любой из перечисленных выше составляющих информационной системы приводит к причинению вреда их владельцу и/или третьим лицам и потому расценивается как опасность.

Поэтому компоненты информационной системы, каналы коммуникации, контент подлежат защите.

Свойства системы:

  1. структурная отграниченность;
  2. функциональная отграниченность от предметов окружающей среды.

Система может быть:

  • с контролируемым доступом;
  • с неконтролируемым доступом.

«Открытая система» – не есть система по определению понятия «система». «Закрытая система» – мёртвая система.

см. Информационная система как объект защиты, Методология защиты информационных ресурсов

Киберсистема

подвид, составная часть информационной системы,

совокупость:

  • компонентов – киберустройств (компьютеры, датчики, исполнительные устройства);
  • коммуникаций – линий связи (проводных, оптоволоконных, радиочастотных);
  • контента – ПО, ППО, СПО, образующих отграниченную от окружающей среды структурную целостность, и функциональную цельность, предназначенную для обработки, трансляции и хранения информации в машинных кодах.

Объекты кибербезопасности (информационно-кибернетические системы)

  • компьютерные системы;
  • информационно-телекоммуникационные сети;
  • средства обеспечения функционирования ИС/ИТКС.

Кибербезопасность

ситуация, при которой киберсистемам и киберустройствам не может быть причинен существенный, с точки зрения их владельца вред в виде деструкции (разрушения, выведения из строя элементов системы и системы в целом), дисфункции (нарушения функционала) и дискомфорта (ухудшения условий эксплуатации):

Виды вреда информационным ресурсам

Деструкция - нарушение или разрушение структуры информации.

  1. частичная деструкция – нарушение структуры информации, затрудняющее восприятие информации в заданном смысловом контексте (такую деструкцию применительно к информации следует трактовать как искажение);
  2. полная деструкция, которая, по сути, будет ее уничтожением. Последнее подразумевает не только, и не столько физическое уничтожение информации (это – частный случай), сколько перевод ее в такое состояние, при котором она перестает восприниматься информационной системой в заданном смысловом контексте, без возможности ее восстановления в первоначальном значении.

К категории угроз целесообразно отнести только некорректное уничтожение информации.

Дисфункция - нарушение функции (для информации – функциональности), то есть возможности ее использования.

Что может привести к нарушению функциональности или, иначе, нарушению условий циркулирования социальной информации?

  1. установка некорректных условий доступа;
  2. нарушение установленных условий доступа.

Дискомфорт

  1. некорректная статусофикация информации;
  2. неправомерное изменение статуса информации.

Защита информационных ресурсов от

  • некорректного уничтожения, искажения;
  • некорректного присвоения и некорректного нарушения установленного в соответствии с законом статуса;
  • установления некорректных условий доступа и нарушений условий доступа, установленных в соответствии с законом.

Меры по защите информационных ресурсов / обеспечению кибербезопасности

  • превентивные;
  • реактивные;
  • постинцидентные.

Направления деятельности по защите информационных ресурсов / обеспечению кибербезопасности

  1. Снижение рисков:
  • подбор и расстановка кадров;
  • обучение и воспитание персонала;
  • контроль персонала и посетителей;
  1. Противодействие угрозам:
  1. Ликвидация последствий:
  • оперативное восстановление;
  • расследование инцидентов;
  • совершенствование СЗИРП (системы защиты информационных ресурсов предприятия);

Частные методы защиты информационных ресурсов / обеспечения кибербезопасности

  • управление доступом к объектам защиты (что? кому? когда? как?);
  • обучение и воспитание персонала;
  • контроль действий персонала и посетителей;
  • повышение устойчивости объектов защиты к деструктивным воздействиям;
  • выявление и санация источников угроз;
  • оперативное реагирование на инциденты;
  • создание резервов («горячих» и «холодных») и др.

Резервы:

  • антропные (в т .ч. освоение смежных специальностей);
  • технические (компоненты и коммуникации);
  • программные (ПО и значимые информационные ресурсы).

Принципы построения системы защиты информационных ресурсов / обеспечения кибербезопасности

Адекватность:

  • соответствие объекту – его размерам, виду деятельности, финансовым возможностям;
  • соответствие внешним условиям – угрозам, возможностям злоумышленников, законодательству;
  • соответствие настоящему моменту – своевременность, злободневность (актуальность).

Комплексность:

  • учёт всех объектов и их свойств, подлежащих защите;
  • охват всех этапов жизненного цикла объектов защиты;
  • учёт всех актуальных на данный момент времени для данных объектов защиты и их свойств видов, способов и средств причинения вреда.

Системность:

  • наличие подразделения, состоящего из квалифицированных работников, обладающих соответствующими компетенциями, имеющих в распоряжении необходимые технические и программные средства;
  • наличие необходимых внутренних и внешних технических и социальных коммуникаций и статуса;
  • наличие полного комплекта высококачественных руководящих и нормативно-методических документов, позволяющих осуществлять деятельность с достаточной эффективностью.

Средства защиты информационных ресурсов / обеспечения кибербезопасности

  • антропные;
  • технические;
  • программные.

Антропные средства защиты информационных ресурсов = Субъекты защиты информационных ресурсов

Субъекты защиты информационных ресурсов:

  1. Работник
  2. Администратор ИС
  3. Безопасник
  4. Руководитель СБ
  5. Топ-менеджмент
  6. Директор
  7. Владелец

Вариант классификации источников угроз информационных ресурсов государства

Вариант классификации источников угроз информационных ресурсов государства

Цель защиты информационных ресурсов субъекта

предотвратить (минимизировать) причинение вреда субъекту и/или третьим лицам в результате некорректного использования или деструктивного воздействия на информационную инфраструктуру и информационные ресурсы субъекта.

Алгоритм действий по обеспечению кибербезопасности предприятия

  1. Ревизия ИТКС и определение степени конфиденциальности информационных ресурсов.

Разрабатывается/уточняется: «Структурная схема ИТКС», «Перечень информационных ресурсов», «Перечень ТСОХТИ», «Перечень ТСОФ ТСОХТИ».

  1. Мониторинг элементов и процессов в ИТКС, деструктивное воздействие на которые или их некорректное использование/изменение может привести к причинению вреда предприятию.

Разрабатывается/уточняется: «Перечень объектов защиты».

  1. Составление/уточнение перечня угроз и ранжирование их по степени опасности (с учётом вероятности их реализации и размеров возможно причинённого ущерба, в т.ч. и со стороны «регуляторов»).

Разрабатывается/уточняется: «Матрица угроз».

  1. Анализ возможных средств и способов реализации угроз.

Разрабатывается/уточняется: «Модель потенциального нарушителя» (внутреннего и внешнего).

  1. Разработка/модернизация проекта системы защиты ИРП.

Разрабатывается/уточняется: «Модель системы защиты ИРП».

  1. Разработка плана работ по защите ИРП.

  2. Реализация плана работ по защите ИРП.

  3. Контроль эффективности принимаемых мер.

  4. Модернизация системы защиты ИРП.

ПЕРВООЧЕРЕДНЫЕ ПРАВИЛА, соблюдение которых позволит повысить уровень безопасности информационных ресурсов (кибербезопасности) предприятия

  1. При приёме на работу граждан применяются специальные методики проверки, в т. ч. уточняются обстоятельства предыдущей деятельности кандидатов.
  2. Все сотрудники подписывают в качестве условия приёма на работу обязательство о неразглашении сведений, ставших известными им в ходе исполнения служебных обязанностей.
  3. На предприятии разрабатывается и внедряется система защиты информационных ресурсов, обеспеченная соответствующим персоналом и ресурсами.
  4. Проводится квалифицированный анализ угроз и рисков и разрабатывается руководство по защите информационных ресурсов, предусматривающее план экстренного реагирования и план ликвидации последствий возможных инцидентов.
  5. Инструктажи (тренинги) всех работников по необходимости соблюдения мер безопасности проводятся как минимум раз в год (под роспись).
  6. На каждом объекте разрабатывается и внедряется система разграничения доступа и контроля действий сотрудников и посетителей.
  7. Доступ к информационным ресурсам (не только обрабатываемым при помощи СВТ) строго регламентируется. Все пользователи компьютерных систем должны иметь индивидуальные логины и пароли, которые периодически меняются. Работникам категорически запрещается работать под чужими реквизитами!
  8. Сотрудникам категорически запрещается вносить несанкционированные изменения в программную среду ИТКС предприятия, а также выносить с территории предприятия носители служебной информации без разрешения руководства предприятия.
  9. Все инциденты тщательно расследуются и результаты докладываются высшему руководству.
  10. Эффективность СЗИР проверяется не реже одного раза в год.

см. Информационная система как объект защиты, Методология обеспечения кибербезопасности организации (ч.1), Методология обеспечения кибербезопасности организации (ч.1)

Кибервойна

процесс, в ходе которого осуществляются управляющие воздействия на технические средства обработки, хранения и передачи информации противника с целью их физического разрушения (деструкции) или нарушения работоспособности (дисфункции), а так же получения возможности управлять его информационными ресурсами.

см. Информационная война и кибервойна: сущность и соотношение понятий, Информационная война и кибервойна: сущность феноменов и соотношение понятий

Концепция → Доктрина → Стратегия

В основе, в фундаменте любой проблемы должна лежать концепция, на основании которой разрабатывается доктрина, а в последующем – стратегия. При этом Концепция должна содержать следующие разделы:

  1. научная трактовка понятия;
  2. цели деятельности;
  3. задачи деятельности;
  4. объекты и субъекты деятельности (участники процесса);
  5. методы деятельности;
  6. принципы деятельности;
  7. способы деятельности.

Концепция – относительно стабильный документ, разрабатываемый на длительный отрезок времени. Она не зависит от политической конъюнктуры и отражает существующую на данный момент времени систему научного знания на предмет или явление, применительно к которому разрабатывается, поэтому концепцию должны разрабатывать и писать ученые. Это должен быть коллективный труд, обобщающий разработки не только отечественных ученых в конкретной области знания, но и учитывающий передовые достижения мировой науки.

Доктрина – документ политический. Он разрабатывается высшими органами руководства субъекта и должен содержать:

  1. характеристику ситуации;
  2. главную цель деятельности;
  3. принципы, которых (по мнению руководства субъекта) следует придерживаться в процессе достижения цели.

Доктрина имеет конкретно-исторический характер, то есть ее положения определяют цели и принципы деятельности на конкретном отрезке времени. Доктрина может и должна пересматриваться всякий раз, когда существенно изменяется ситуация (внутренние и/или внешние условия).

Стратегия – основа практики. Она должна содержать следующие разделы:

  1. анализ наличной ситуации и тенденций ее развития;
  2. анализ препятствий и возможных деструктивных воздействий;
  3. анализ своих сил и возможностей;
  4. конкретные задачи и возможные способы их решения;
  5. силы и средства, привлекаемые для решения поставленных задач;
  6. ответственные исполнители и механизмы взаимодействия между ними;
  7. этапы достижения цели и критерии их идентификации.

Стратегия является основанием для разработки тактики – набора сценариев действий в виде взаимосвязанного комплекса управленческих решений, обеспечивающих достижение промежуточных целей, в качестве которых выступают этапы на пути достижения общей цели. Этап считается пройденным, если наличная ситуация соответствует заданным критериям.

см. Проект КОНЦЕПЦИЯ СТРАТЕГИИ КИБЕРБЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ и Комментарии, Аналитический отчет Стратегии кибербезопасности

см. Концепция, доктрина, стратегия: уточнение содержания и соотношения понятий

[ДОПОЛНИТЕЛЬНЫЕ МАТЕРИАЛЫ]

Быстрый СТАРТ: примеры схем на основе глоссария

Реализация, предложенная DeepSeek

Связь между терминами риск, угроза, объект безопасности, вред и ущерб визуализируется через процесс причинения ущерба и реакции системы.

Связь между терминами

Текстовое объяснение логики связей (согласно глоссарию)

На основе приведенных в глоссарии определений связь выстраивается в следующую цепочку:

Объект безопасности — это всегда субъект (человек, организация, государство). Именно ему может быть причинен вред.

Два источника неприятностей:

Риск — исходит от самого Объекта безопасности. Это результат его собственного деятельностного акта в условиях неопределенности.

Угроза — исходит извне, это обещание или демонстрация возможности причинить вред.

Реализованная угроза приводят к Атаке (единичному воздействию) или Нападению.

Цель воздействия: Атака направлена на Объект защиты (сервер, инфраструктура), который принадлежит Объекту безопасности. Повреждение объекта защиты ведет к страданию объекта безопасности.

Результат воздействия — Вред. Важный момент: вред всегда оценивается субъективно самим Объектом безопасности или регулятором (является ли вред существенным или нет).

Задания для самопроверки

  • Объяснить разницу между объектом безопасности и объектом защиты на примере защиты квартиры для безопасности человека.
  • Представьте, что вам нужно объяснить коллеге без технического бэкграунда, в чём разница между «объектом безопасности» (например, человек) и «объектом защиты» (например, его телефон). Приведите свой аналогичный пример.
  • Объяснить, почему фраза “угроза безопасности” является методологической ошибкой (угрожают субъекту, а не абстрактной безопасности).
  • Используя термины, проанализировать описанный в тексте инцидент с Change Healthcare: определить возможные объекты безопасности, виды причиненного вреда, субъектов защиты.
  • Классифицировать возможные угрозы для организации по источникам (антропогенные, техногенные).
  • Оценить, насколько классификация объектов безопасности (индивид/корпорация/государство) является полной и применимой в современном киберпространстве.
  • На основе предложенной терминологии разработать методичку для не-технических сотрудников компании, объясняющую, почему безопасность — ответственность каждого.
  • Проанализируйте, какие последствия для практики ИБ/КБ может иметь такая смена терминологии.

Беседы с Геннадием Атамановым

Об авторе подробнее.

  1. Знакомство
  2. Кризис теории информационной безопасности
  3. Что такое теория? Зачем нужна теория ИБ?
  4. Что такое опасность и безопасность? [PDF]
  5. Основные понятия теории безопасности [PDF]
  6. Физическая природа информации [PDF]
  7. Социальная информация [PDF]
  8. Что такое информационная безопасность? [PDF]
  9. Что такое методология? [PDF]
  10. Методология обеспечения ИБ [PDF]
  11. Методология обеспечения кибербезопасности организации (ч.1) [PDF]
  12. Методология обеспечения кибербезопасности организации (ч.2) [PDF]
  13. АГАсофия ИИ [PDF]
  14. Агасофия познания (часть 1) [PDF]
  15. Агасофия познания (часть 2) [PDF]

Другие публикации на тему безопасности

см. также Виктор БЕЛОВ, Алексей ГОЛЯКОВ. Терминологическая база теории безопасности, А.Г. Федорец. Формирование терминологической системы понятия “безопасность”, Безопасность жизнедеятельности: Толковый словарь терминов, ГОСТ 12.0.002—2014. Система стандартов безопасности труда, В.А. Акимов. Общая теория безопасности жизнедеятельности в современной научной картине мира