Что такое безопасность в информационном обществе
Глава 16. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ОБЩЕСТВА
1. Общая характеристика информационной безопасности общества
Жизненно важные интересы общества в информационной сфере.
1. Обеспечение интересов общества.
2. Построение прав государства.
3. Построение информационного общества.
4. Сохранение нравственных ценностей общества.
5. Предотвращение манипулирования массовым сознанием.
6. Приоритетное развитие современных информационных технологий. Информационная безопасность общества обеспечивается его защитой от вредных
информационных воздействий в ходе информационной войны против страны, которая преследует в отношении общества следующие основные цели:
Вредное информационное воздействие на общество реализуется в основном через СМИ, в том числе электронные коммуникации, путем создания и внедрения штампов, доступных для понимания человека, игры на чувствах страха, надежды, раздражения и др., вызывающих состояние агрессии или безысходности, стремление уйти из реального мира, заменить его традиционно искусственным (алкоголизм, наркомания, приход в деструктивные секты) или виртуальным (телевизионный, компьютерный), усиление социально-политических, экономических и духовных коллизий, нарастание, закрепление и развитие психологической и психической напряженности, рост агрессивности, преступности, снижение самоконтроля среди молодежи, резкую активизацию иррациональной сферы общественного сознания, дестабилизацию социальной преемственности поколений, утрату культурного наследия, проявление бездуховности и безнравственности, повышение преступности в обществе и другие последствия.
2. Угрозы информационной безопасности общества
К угрозам информационной безопасности общества относятся:
1) неисполнение требований закона;
2) дезорганизация и разрушение накопления и сохранения информации;
3) усиление зависимости общественной жизни от зарубежных инфраструктур;
4) активизация различного рода религиозных сект.
Деятельность сект содержит в себе контроль сознания своих членов, который включает:
1) контроль поведения;
2) контроль мышления;
3) контроль информации;
5) снижение духовной нравственности, творческого потенциала населения России;
6) увеличение оттока специалистов за рубеж;
7) нарушение прав в сфере оборота информации (утечка, перехват, хищение, навязывание ложной информации);
8) нарушение правил в области функционирования информационной системы;
9) нарушение правил в области использования средств обеспечения информационной
безопасности:
— воздействие на парольные ключи системы;
— использование несертифицированных информационных технологий.
Наибольшую опасность в сфере внутренней политики представляют следующие угрозы информационной безопасности РФ:
— нарушение конституционных прав и свобод граждан, реализуемых в информационной
сфере;
— недостаточное правовое регулирование отношений в области прав различных
политических сил на использование средств массовой информации для пропаганды своих идей;
— распространение дезинформации о политике РФ, деятельности федеральных органов государственной власти, событиях, происходящих в стране и за рубежом;
Основными мероприятиями в области обеспечения информационной безопасности РФ в сфере внутренней политики являются:
— создание системы противодействия монополизации отечественными и зарубежными структурами составляющих информационной инфраструктуры, включая рынок информационных услуг и средства массовой информации;
— активизация контрпропагандистской деятельности, направленной на предотвращение негативных последствий распространения дезинформации о внутренней политике России.
Безопасность личности в информационном обществе
В этой статье будет рассмотрена одна из серьезнейших проблем нового информационного общества. Статья будет интересна тем, кто любит пофилософствовать на темы будущего и кому была интересна философия в университете.
Введение
С самого своего появления компьютерные системы были очень сложными и дорогими системами. В начале своей истории с компьютерами работали специалисты в белых халатах. Не многие получали доступ непосредственно к большой машине. Только гуру компьютеров имели к ним доступ, они получали формулы и задачи, а затем переводили их на понятный только им и компьютерам язык.
Спустя годы, как и предсказывали многие футуристы, мир совершил огромный скачек в области информационных технологий, благодаря появлению транзисторов, микросхем, развитию комбинаторики, алгебры, физики.
Сейчас компьютеры проникли во все области деятельности человека. Появились компьютеры размером с монету, стали переносными, научились работать автономно. Многие люди уже не представляют себе жизни без компьютера — они гуляют по интернет-магазинам, посещают лучшие музеи мира, работают и заводят знакомства.
Сегодня даже начинающего пользователя уже не удивишь такими фразами как: «вирус удалил файл», «запиши номер в телефон», «пять минут назад отослал письмо, а оно еще не пришло». Он знает, что такое спам, рекламный баннер, что надо пользоваться антивирусом и постоянно забывает пароли.
Существующие проблемы
Интернет создавался как сложная техническая система. За считанные годы распространился по всему миру и захватил умы многих людей. Компьютеры стали управлять вагонами метро, самолетами, холодильники стали заказывать еду в интернете. В несколько раз выросла нагрузка на человеческий разум, хотя многие считают что с возрастанием нагрузки на психику человека, умственная нагрузка очень сильно снизилась с всеобщей информатизацией [1]. Каждый день появляются новые программы, сайты, сложные технические устройства. И человеку приходится постоянно с ними сталкиваться.
На международном уровне уже давно обсуждаются вопросы контроля глобальных сетей, введения цензуры, безопасности личности. Заключаются договоры о международном сотрудничестве, производятся аресты международных компьютерных преступников.
Мы много раз слышали про трагедии, когда вышла из строя сложная техника по вине вездесущего «человеческого фактора». Но стоит задуматься, виноват ли человек во всех этих трагедиях? Может это информационные системы дали сбой. Именно информационные системы в целом, не какая-нибудь отдельная АСУ.
Как уже было сказано, в начале своего существования с компьютерами работали только настоящие технические специалисты, которые знали все их особенности и недостатки. Но как только компьютеры начали входить в обычные дома, появились программы, ориентированные на обычных пользователей. На производстве появились специализированные АСУ. Но кто занимался и занимается их разработкой — технические специалисты (программисты, специалисты по тестированию и отдельных технических областей). Поэтому программное обеспечение якобы ориентированное на пользователя для него на самом деле не предназначено, точнее оно ему не подходит [2].
Всем известно, что архитектура современных компьютеров мало подходит обычным пользователям — им нужен мультимедийный центр для игр, посещения страниц в интернет, прослушивания музыки и просмотра фильмов, ведения домашней бухгалтерии и еще небольшого списка задач. Но рекламируют фактически компьютеры для научных расчетов — многоядерные процессоры, гигабайты памяти, видеокарты для научных расчетов [3].
Многие проблемы безопасности личности в современном информационном обществе решаются техническими методами, теми же техническими специалистами. Например, спам, является абсолютно не технической проблемой — техника как раз успешно справляется с его передачей. Спам возник естественным образом при развитии экономики и рекламных технологий [5]. В российском сегменте интернета спам достигает 80%[6] всего почтового трафика — как видно проблема за десять с лишним лет техническими специалистами решена не была. Или те же пресловутые «блокираторы» интернета, которые призваны ограничить детей от определенного контента. Еще можно вспомнить недавние разбирательства с каналом 2х2.
Все эти устройства, технологии, проблемы — это то информационное пространство, в котором живет современный человек. Личность человека постоянно проверяется «на прочность» и не многие могут бороться с этими агрессивными воздействиями.
Что же делать в сложившейся ситуации? Какие меры стоит предпринять? Что необходимо знать обычным пользователям?
Видение проблем современным миром
На этом этапе вся аудитория разделяется на два лагеря: гуманитарные и технические специалисты. Но практически никто не замечает третью часть лагеря — гуманитариев хорошо знакомых с техническими аспектами информационных технологий и наоборот. О малочисленности последнего говорит практически полное отсутствие публикаций в сети интернет.
Некоторые пытаются выработать этические принципы на основе уже давно известных профессиональных кодексов, таких как клятва Гиппократа [1]. Вот что из этого получается:
Пять этических принципов ИБ (информационной безопасности)
1. Обучение желающих
Работники ИБ должны помогать людям, делиться знаниями в области информационных технологий и защиты информации. Эти знания должны передаваться безвозмездно всякому, кто выразит желание обучаться.
2. Избегание вреда
В своей деятельности работники ИБ должны избегать причинения вреда защищаемому объекту (побочного вреда) за исключением случаев, когда предотвращаемый вред заведомо превышает причиняемый.
В своей деятельности работники ИБ должны избегать причинения любого вреда непричастным, даже если благодаря этому будет предотвращён вред защищаемому объекту.
3. Нераспространение опасного
Работники ИБ не должны передавать кому-либо сведений об уязвимости, позволяющих эту уязвимость использовать (за исключением владельца или разработчика уязвимой системы — только с целью исправления уязвимости).
Работники ИБ не должны передавать кому-либо вредоносных программ или программ двойного назначения, если есть опасение, что они будут использованы во вред.
4. Добросовестное использование
Полученный любым способом доступ в чужую систему или информацию о чужой системе работники ИБ должны использовать только для защиты, предотвращения вреда и повышения безопасности. Ни для каких других целей (в том числе, безобидных) такой доступ или информация использоваться не могут. При исчезновении необходимости такой доступ должен закрываться, а информация — уничтожаться.
5. Сохранение тайны
Работники ИБ должны сохранять в тайне сведения, ставшие им известными в связи с оказанием услуг по защите, составляющие чью-либо коммерческую тайну, тайну частной жизни, профессиональную тайну, а также другую конфиденциальную информацию, независимо от наличия явного соглашения или обязательства о сохранении тайны.
Другие приписывают информации магические свойства [7] и считают, что это чисто технические проблемы и решаются они тоже техническими методами в совокупности с введением строгих правил для технических специалистов. Повсюду приводятся выписки из различных международных документов:
Резолюция 428 Консультативной ассамблеи Совета Европы (раздел С), в которой сформулированы два правила:
В случае противоречия между правом на свободу информации и на уважение частной жизни, приоритет отдается последнему;
Частная жизнь общественных деятелей должна защищаться, как и частная жизнь других граждан, за исключением случаев, когда она может оказать воздействие на общественно-значимые события.
Альтернативные подходы
Не кажется ли вам, что тут не хватает специалистов по безопасности, безопасности личности? Кажется, весь мир увлекся решением технических проблем, философскими изысканиями в области информационной безопасности. И информация в современном обществе давно заняла ведущие позиции. Но как выясняется, существующие специалисты обучены защищать информацию, а безопасность личности, кроме государственных служб, законов, контролирующих СМИ и пр., никто на всем информационном пространстве не обеспечивает. Наши университеты не обучают специалистов по безопасности личности, по безопасному использованию продуктов медиа-рынка. Мало кто задумывается при упоминании информационной или компьютерной безопасности, что это всего лишь среды для коммуникации людей, что люди важнее.
Таких специалистов стоит обучать азам защиты информации, но ориентировать их на защиту личности. Специалисты этого направления смогут работать во всех областях информационных технологий: заниматься разработкой и сопровождением электронных СМИ, обучать пользователей безопасному поведению в информационной среде, компьютерной грамотности, в том числе и компьютерной безопасности. Они смогут проводить конференции, чем популяризировать и расширять подход к безопасности личности, чем повышать компьютерную грамотность каждого человека в отдельности.
Выводы
Не нужно конечно воспринимать сказанные слова буквально. Все специалисты по безопасности нужны, пока существуют вопросы безопасности страны, защиты личной жизни, тайны переписки… Но необходимо задуматься о создании совершенно новой профессии, ориентированной как раз на проблемы безопасности личности, где порой безопасность информации и компьютеров уходит на второй план.
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ В СОВРЕМЕННОМ ОБЩЕСТВЕ
В настоящее время обеспечение информационной безопасности является одной из приоритетных задач многих государств.
Ключевой составляющей термина «информационная безопасность» является само понятие безопасности.
В каждой эпохе определение безопасности трактовалось по-разному.
Изначально безопасность понималась через реализацию отношений природы и человека; все опасности казались непостижимыми и принимались беспрекословно.
В древнегреческой философии считалось, что достичь абсолютной безопасности возможно только лишь во время деятельности, приносящей удовольствие. А единственная безопасная форма общего бытия – город-государство, основной целью которого является воспитание людей в духе благодеяния.
На этапе религиозного мировоззрения безопасность принималась в качестве абсолютного блага.
Немецкая классическая философия подразумевала пути достижения безопасности с помощью действия созидательных сил индивида – общения, разума, нравственности и труда, а сам индивид определялся как деятельное создающее себя культурно-историческое существо. Отсюда можно сделать вывод, что в каждом философском направлении, используются собственные критерии для оценки безопасности, а определение этому термину дается в зависимости от господствующего мировоззрения и культурно-исторической ситуации.
Согласно закону, в настоящее время безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз (ст. 1). Жизненно важные интересы при этом – это совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
Основной структурной оставляющей выделенных объектов безопасности является деятельность, основной предмет которой – информация. Наличие угроз личности, обществу, государству или интересам данных объектов позволяет ввести понятие информационная безопасность.
Информационную безопасность в общем виде можно определить как невозможность нанесения вреда свойствам объекта безопасности, обусловливаемым информацией и информационной инфраструктурой.
Из такого определения информационной безопасности можно выделить два важных следствия:
Трактовать проблемы, в основе которых лежит информационная безопасность, можно по-разному. Формулировка будет зависеть от категории субъекта. Ярким примером будет служить сопоставление государственных и учебных организаций. В первом случае, будет легче допустить перерыв в работе, чем раскрыть секретную информацию, а во втором – поддерживать стабильность в работе самой системы.
Субъект информационных отношений может понести убытки или пострадать не только от несанкционированного доступа к информации, но и от сбоев, вызвавших перерыв в работе. Следовательно, понятие информационная безопасность нельзя свести только к защите от несанкционированного доступа к информации. Для некоторых организаций защита от несанкционированного доступа вообще не является ключевой позиций в политике информационной безопасности.
В ХХ в. возникла концепция «информационного общества», вследствие чего сформировалась проблема обеспечения информационной безопасности. В условиях мировой глобализации данная проблема приобретает международный, комплексный и междисциплинарный характер.
Третий вид опасностей является наименее агрессивным, но не стоит недооценивать его значение. В первую очередь усиление влияния информационных технологий в политической борьбе обусловлено ослаблением государственного давления. Ключевую роль играет информация, а умение правильно распорядиться информационными ресурсами обеспечивает победу на политической арене в большинстве случаев.
Стремление к информационному обществу порождает новые виды опасностей и угроз. Само же общество вынуждено реагировать на вызовы международной, национальной, общественной и личной безопасности.
Следовательно, наиболее рациональным подходом к проблемам информационной безопасности является выявление субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это обратная сторона использования информационных технологий.
Быстрый процесс информатизации общества создает новый этап развития в современной науке. Исследования философов все больше направлены на изучение многогранных и сложных междисциплинарных объектов.
Обеспечение информационной безопасности является первоочередной задачей для современного общества. Это достаточно сложный и многофункциональный процесс, который зависит как от внешних, так и от внутренних факторов. Это объясняется тем, что на современном этапе развития общества информационные технологии приобретают все большую значимость в жизни не только отдельного человека, но и целого государства.
Список литературы:
1. Соловьёв, А.В. Информационное общество: полифония культурных форм/ А.В. Соловьёв. – Рязань, Ряз. гос. ун-т им. С.А. Есенина, 2007. – 184 с.
2. Астахова, Л.В.Информационная безопасность: герменевтический подход / Л.В. Астахова. – М.: РАН, 2010. – 185
3. Закон Российской Федерации «О безопасности» от 5 марта 1992 года; Концепция национальной безопасности Российской Федерации, в редакции Указа Президента Российской Федерации № 24 от 10 января 2000 года.
4. Обеспечение информационной безопасности России. Теоретические и методологические основы / Стрельцов А.А. – М., МЦНМО, 2002. – 296 с.
Основы информационной безопасности. Часть 1: Виды угроз
Безопасность виртуального сервера может быть рассмотрена только непосредственно как «информационная безопасность». Многие слышали это словосочетание, но не все понимают, что же это такое?
«Информационная безопасность» — это процесс обеспечения доступности, целостности и конфиденциальности информации.
Под «доступностью» понимается соответственно обеспечение доступа к информации. «Целостность» — это обеспечение достоверности и полноты информации. «Конфиденциальность» подразумевает под собой обеспечение доступа к информации только авторизованным пользователям.
Исходя из Ваших целей и выполняемых задач на виртуальном сервере, необходимы будут и различные меры и степени защиты, применимые по каждому из этих трех пунктов.
Для примера, если Вы используете виртуальный сервер, только как средство для серфинга в интернете, то из необходимых средств для обеспечения безопасности, в первую очередь будет использование средств антивирусной защиты, а так же соблюдение элементарных правил безопасности при работе в сети интернет.
В другом случае если у Вас размещен на сервере продающий сайт или игровой сервер, то и необходимые меры защиты будут совершенно различными.
Знание возможных угроз, а также уязвимых мест защиты, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее оптимальные средства обеспечения безопасности, для этого рассмотрим основные моменты.
Под «Угрозой» понимается потенциальная возможность тем или иным способом нарушить информационную безопасность. Попытка реализации угрозы называется «атакой», а тот, кто реализует данную попытку, называется «злоумышленником». Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем.
Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы.
Угрозы информационной безопасности, которые наносят наибольший ущерб
Рассмотрим ниже классификацию видов угроз по различным критериям:
Применимо к виртуальным серверам, угрозы, которые Вам как администратору сервера, необходимо принимать во внимание это — угроза доступности, конфиденциальности и целостность данных. За возможность осуществления угроз направленных на конфиденциальность и целостность данных, не связанные с аппаратной или инфраструктурной составляющей, Вы несете прямую и самостоятельную ответственность. В том числе как и применение необходимых мер защиты, это Ваша непосредственная задача.
На угрозы направленные на уязвимости используемых Вами программ, зачастую Вы как пользователь не сможете повлиять, кроме как не использовать данные программы. Допускается использование данных программ только в случае если реализация угроз используя уязвимости этих программ, либо не целесообразна с точки зрения злоумышленника, либо не имеет для Вас как для пользователя существенных потерь.
Обеспечением необходимых мер безопасности от угроз направленных на аппаратуру, инфраструктуру или угрозы техногенного и природного характера, занимается напрямую та хостинг компания, которую Вы выбрали и в которой арендуете свои сервера. В данном случае необходимо наиболее тщательно подходить к выбору, правильно выбранная хостинг компания на должном уровне обеспечит Вам надежность аппаратной и инфраструктурной составляющей.
Вам как администратору виртуального сервера, данные виды угроз нужно принимать во внимание только в случаях при которых даже кратковременная потеря доступа или частичная или полная остановка в работоспособности сервера по вине хостинг компании могут привести к не соизмеримым проблемам или убыткам. Это случается достаточно редко, но по объективным причинам ни одна хостинг компания не может обеспечить Uptime 100%.
Угрозы непосредственно информационной безопасности
К основным угрозам доступности можно отнести
Основные угрозы целостности
Можно разделить на угрозы статической целостности и угрозы динамической целостности.
Так же стоит разделять на угрозы целостности служебной информации и содержательных данных. Под служебной информацией понимаются пароли для доступа, маршруты передачи данных в локальной сети и подобная информация. Чаще всего и практически во всех случаях злоумышленником осозхнанно или нет, оказывается сотрудник организации, который знаком с режимом работы и мерами защиты.
С целью нарушения статической целостности злоумышленник может:
Основные угрозы конфиденциальности
Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.
Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.
К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.
Для наглядности данные виды угроз так же схематично представлены ниже на рис 1. 
Рис. 1. Классификация видов угроз информационной безопасности
Для применения наиболее оптимальных мер по защите, необходимо провести оценку не только угроз информационной безопасности но и возможного ущерба, для этого используют характеристику приемлемости, таким образом, возможный ущерб определяется как приемлемый или неприемлемым. Для этого полезно утвердить собственные критерии допустимости ущерба в денежной или иной форме.
Каждый кто приступает к организации информационной безопасности, должен ответить на три основных вопроса:
Основные методы и средства защиты, а так же минимальные и необходимые меры безопасности применяемые на виртуальных серверах в зависимости от основных целей их использования и видов угроз, нами будут рассмотрены в следующих статьях под заголовком «Основы информационной безопасности».