Понятия морали, нравственности, этики в вопросах обеспечения информационной безопасности

 Понятия морали, нравственности, этики в вопросах обеспечения информационной безопасности. 
  Мораль охватывает жизненные ориентации и принципы, взгляды и чувства, цели и мотивы поступков и отношений, проводя границу между добром и злом, совестливостью и бессовестностью, честью и бесчестием, справедливостью и несправедливостью, нормой и ненормальностью, милосердием и жестокостью и т.д. Мораль является внешним требованием к поведению индивида, предполагает внешнюю оценку: социальная мораль – оценку общества, групп и т.д.; религиозная мораль – оценку в соответствии с религиозными принципами.
  Нравственность – это внутренняя установка индивида действовать согласно своей совести, в отличие от морали, связанной с другими объектами. Она ближе к таким понятиям других наук, как эмпатия, или сопереживание (биология), всепрощение (философия), конформизм (социология), бесконфликтность (психология). Иными словами, человек внутренне неагрессивный, мудрый, понимающий, сочувствующий, сопереживающий другим людям – нравственный человек.
  Этика – философское исследование морали и нравственности. Первоначально смыслом слова "этос" было совместное жилище и правила, порожденные совместным общежитием; нормы, сплачивающие общество; преодоление индивидуализма и агрессивности. По мере развития общества к этому смыслу добавляется изучение совести, сострадания, дружбы, смысла жизни, самопожертвования и т.д. Термин "этика" иногда употребляется также для обозначения системы моральных и нравственных норм определенной социальной группы.
  "Золотое правило" нравственности издревле известно в религиозных и философских учениях Востока и Запада и является основополагающим мировым этическим принципом: "Поступайте по отношению к другим так, как вы хотели бы, чтобы другие поступали по отношению к вам".
  Любые отношения, определяющие бытие личности на социальном уровне, задаются тектологически враждебной социальной средой, поскольку последняя, по определению, всегда выше в системном отношении, нежели любой ее объект. Поэтому как для самой личности, так и для социума в целом "...популяционный критерий – отношение к окружающей среде".
  Отношения такого уровня могут проявляться через конфликтные (тектологические) ситуации, которые следует прогнозировать, а также эффективно препятствовать их развитию. На это направлены установленные обществом общие нормы и принципы морали, т.е. этические критерии, обусловливающие регулирование отношений между субъектами и поведение субъектов, обеспечивающие возможность разрешения возникающих в социальной практике нравственных проблем и ситуаций, а также регулирование моральных обязательств.
  В этом контексте речь идет об особой форме организации безопасности личности. Любая форма активности личности должна отвечать трем базовым условиям: полезности, эффективности и безопасности. Этика и этическая безопасность, отражающие многоуровневую иерархическую сложность личности, определяют необходимость представления и рассмотрения с позиций современного системного подхода к сложным системам с высоким уровнем неопределенности вопроса о том, какова личность.
  Порой этические отношения обусловливали социальную дифференциацию и провозглашались изначально заданными неким "всеобщим законом справедливости" (Конфуций, VI в. до н.э.). Лишь в рамках этого "закона" основу социальных отношений полагаюсь строить через нравственное самоусовершенствование и соблюдение установившихся норм этикета ("ли").
  Согласно основному понятию этики И. Канта – категорическому императиву, I поведение человека нравственно, если оно определяется целиком без остатка разумом, рассудком. Общим для этих представлений является предельный субъективизм. К тому же сегодня сакральность и мистика по некоторым позициям демонстрируют агрессивную экспансию в направлении просвещенного разума, а с ним – автономной морали и нравственности.
  Этическая безопасность – понятие, выражающее уровень контроля допустимого состояния этических отношений в системе субъект  социальная среда в условиях или совокупности условий, могущих ограничить число степеней свободы субъекта и (или) его средового окружения.
  Формулировка понятия "этическая безопасность" опирается на исследовательские программы инвентаризации и классификации опасностей и угроз, способных реализоваться с управляемой степенью риска и, соответственно, существенно затрудняющих обеспечение этической безопасности человека и общества. Учитывая, что мораль и этика являются нормируемыми системными характеристиками общества, вполне обоснованы представления о допустимой динамике отклонений от нормы, принятой в данный исторический период (временно?е распределение отклонений). Обоснованными являются также стремления к формализации методов и средств обеспечения этической безопасности с учетом необходимости и возможностей регулирования величины допустимых отклонений от нормы.
  В практику введено понятие этической безопасности как "состояния защищенности человека или общества от неблагоприятных воздействий случайного или детерминированного характера, вызывающих системные сбои, ошибки в поведении человека или общества и, в конце концов, приводящие к правонарушениям или нарушениям традиций. Это в свою очередь приводит к необходимости ликвидации и компенсирования последствий ЧС, мобилизуя различные личностные (персональные) и общественные ресурсы, включающие моральное стимулирование активизации экономических и правовых механизмов обеспечения этики безопасности".
  Управление может осуществляться по интенсивному и экстенсивному направлениям. Интенсивное направление предполагает изменение базовых характеристик самого субъекта как через формирование различными приемами императива принятия соответствующих норм и правил, так и через изменение параметров собственного функционирования в пространстве центральной проблемы этики – сферы отношений добра и зла. Такой подход позволяет в рассчитанных пределах соответствовать требованиям окружающей среды, что и составляет содержание оптимальной адаптации. Экстенсивное направление требует существенно бо?льших ресурсов, поскольку оно реализуется через изменение характеристик ОС, а именно тектологической враждебности ОС по отношению к любому ее объекту, включая и личность. Как первое, так и второе направление развития морали по отдельности и в комбинации друг с другом ориентированы на уменьшение тектологической враждебности ОС, что составляет основу стратегии управления этической безопасностью на институциональном уровне.
  Среди характеристик важнейших опасностей и угроз в социальной практике реализации нравственных проблем и ситуаций, включая проблемы моральных обязательств, наиболее важными являются следующие (рис.1).
  
  Рис.1. Характеристики опасностей и угроз
  1. По возможности формализации:
  а) доступные для формализации;
  б) недоступные для формализации.
  2. По возможности управления:
  а) доступные для управления лишь на экстенсивном уровне;
  б) доступные для управления на интенсивном уровне;
  в) недоступные для управления.
  3. По отношению к институциональным категориям:
  а) относящимся к области социальной деятельности, организованной посредством взаимосогласованной системы целесообразно ориентированных стандартов поведения, например норм права, сгруппированных в соответствующую систему;
  б) не относящиеся к области социальной деятельности, например представленные критериями красоты, гармонии, совестливости и т.д.
  Некоторые, даже практически неформализуемые качества личности, например совесть, могут в определенных обстоятельствах становится управляемыми. Так, признанный методолог науки П. Фейерабенд писал: "Наилучшим средством для того, чтобы заставить замолчать "научную совесть" современного ученого, является все-таки доллар". Понятия "совесть" и "мораль" близки, что образно выразил Л. Н. Толстой: ".. .совесть есть память общества, усвояемая отдельным лицом".
  Поскольку мораль является системным свойством общества, его социальные инструменты позволяют управлять такой внеинституционной категорией, как нравственность, которая, не представляя сферу организованной деятельности людей, является системным свойством личности. Так реализуется системный принцип управления, при котором оно возможно лишь с уровня объектов и явлений более высокого в системном отношении к объектам и явлениям иерархически более низким.
  Информация и ее восприятие человеком
  Динамические двусторонние отношения личность  окружающая среда обеспечиваются через соответствующие аппараты входа и выхода личности как сложной системы и представляют собой иерархически обусловленную эволюцией организацию трехпотокового бытия (материального, энергетического и определяющего оба названных – информационного).
  В настоящее время практически не подвергается сомнению тот факт, что человек для реализации своего социального поведения в обществе нуждается в постоянном притоке информации. Постоянная информационная, как, впрочем, энергетическая и материальная, связь с окружающим миром, социальной средой, в которой он действует как активный социальный субъект, является одним из важнейших условий нормальной жизнедеятельности.
  Прекращение информационной связи может вызывать различные психические аномалии, вплоть до психических заболеваний. На человека оказывают огромное влияние не только постоянный информационный контакт с окружающей социальной средой или его отсутствие, но и количество, объем, содержание и структура поступающей и перерабатываемой информации.
  В современной науке рассматриваются два вида информации:
  • объективная (первичная) информация – свойство материальных объектов и явлений (процессов) порождать многообразие состояний, которые посредством взаимодействий (фундаментальные взаимодействия) передаются другим объектам и запечатлеваются в их структуре;
  • субъективная (семантическая, смысловая, вторичная) информация – смысловое содержание объективной информации об объектах и процессах материального мира, сформированное сознанием человека с помощью смысловых образов (слов, образов представления и воображения и ощущений) и зафиксированное на каком-либо материальном носителе.
  В бытовом смысле информация – это сведения об окружающем мире и протекающих в нем процессах, воспринимаемые человеком или специальным устройством.
  Информационная сфера – это сфера деятельности субъектов общественной жизни, связанная с поиском, созданием, преобразованием, хранением, распространением и использованием информации.
  Целенаправленное формирование информационных потоков, с одной стороны, является объективной общественной потребностью, с другой – представляет собой направление деятельности, результаты которой могут иметь как конструктивный, так и деструктивный характер для конкретного социума.
  Поведение человека является результатом сочетания накопленного информационного опыта предшествующих поколений (традиции, обычаи, моральные ценности и т.д.) с приобретенными им самим знаниями в социальных институтах (школа, образовательные учреждения, семья, трудовой коллектив и т.д.), а также нравственных норм, личностных способностей и особенностей.
  Восприятие, перцепция (от лат. perceptio – получение, собирание, постижение, представление) – познавательный процесс, формирующий субъективную картину мира. Это психический процесс, заключающийся в отражении предмета или явления в целом при его непосредственном воздействии на рецепторы органов чувств (применительно к образам представления). Восприятие – одна из психических функций, определяющих процесс приема и преобразования информации, получаемой при помощи органов чувств, формирующих субъективный целостный образ объекта, воздействующего на анализаторы через совокупность ощущений, инициируемых данным объектом. Как форма чувственного отражения предмета, восприятие включает обнаружение объекта как целого, различение отдельных признаков в объекте, выделение в нем информативного содержания, формирование чувственного образа.
 Концепции и аспекты обеспечения информационной безопасности
 Составляющие информационной безопасности
  В общем случае информационную безопасность (ИБ) можно определить как "защищенность информации, ресурсов и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений – производителям, владельцам и пользователям информации и поддерживающей инфраструктуре" .
  Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации: это принципиально более широкое понятие, включающее защиту информации, технологий и систем.
  Требования по обеспечению безопасности в различных аспектах информационной деятельности могут существенно отличаться, однако они всегда направлены на достижение следующих трех основных составляющих информационной безопасности:
  • целостности. Это в первую очередь актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения, а именно: данные и информация, на основе которой принимаются решения, должны быть достоверными, точными и защищенными от возможных непреднамеренных и злоумышленных искажений;
  • конфиденциальности. Засекреченная информация должна быть доступна только тому, кому она предназначена. Такую информацию невозможно получить, прочитать, изменить, передать, если на это нет соответствующих прав доступа;
  • доступности (готовности). Это возможность за приемлемое время получить требуемую информационную услугу, т.е. данные, информация и соответствующие службы, автоматизированные сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда в них возникает необходимость.
  Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить, предотвратить или нейтрализовать следующие действия:
  • несанкционированный доступ к информационным ресурсам (НСД, Unauthorized Access – UAA);
  • искажение, частичную или полную утрату конфиденциальной информации;
  • целенаправленные действия (атаки) по разрушению целостности программных комплексов, систем данных и информационных структур;
  • отказы и сбои в работе программно-аппаратного и телекоммуникационного обеспечения.
  Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем (ИТ/ИС).
 Ключевые вопросы информационной безопасности
  Оценка реальной ситуации сводится в большинстве случаев к ответу на ключевые вопросы, составляющие системную основу для обеспечения информационной безопасности, и в частности надо ли защищаться, от кого и чего следует защищаться, что и как требуется защищать, какие меры обеспечат эффективность защиты, а также оценить предполагаемую стоимость разработки, внедрения, эксплуатации, сопровождения и модернизации систем безопасности.
  Первые три вопроса непосредственным образом относятся к проблеме оценки реальных угроз (рис.2). Ответы на эти вопросы неоднозначны – многое зависит от структуры, области деятельности и целей компании. При интеграции индивидуальных и корпоративных информационных систем и ресурсов в единую информационную инфраструктуру определяющим фактором является обеспечение должного уровня информационной безопасности для каждого субъекта, принявшего решение войти в единую инфраструктуру.
  
  Рис. 2. Ключевые вопросы информационной безопасности
  В едином информационном пространстве государственной структуры или коммерческой фирмы должны быть созданы механизмы и инструмент аутентификации для проверки подлинности пользователя, сообщения и контента. Таким образом, должна быть создана система информационной безопасности, которая включала бы необходимый комплекс мероприятий и технических решений по защите:
  • от нарушения функционирования информационного пространства путем исключения воздействия на информационные каналы и ресурсы;
  • несанкционированного доступа к информации путем обнаружения и ликвидации попыток по использованию ресурсов информационного пространства, приводящих к нарушению его целостности;
  • разрушения встраиваемых средств защиты с возможностью выявления неправомочности действий пользователей и обслуживающего персонала;
  • внедрения программных "вирусов" и "закладок" в программные продукты и технические средства.
  Особо следует отметить задачи обеспечения безопасности разрабатываемых и модифицируемых систем в интегрированной информационной среде, так как в процессе модификации КИС неизбежно возникновение нештатных ситуаций незащищенности системы (так называемые "дыры в системе").
  Наряду с анализом существующих в компании конкретных средств защиты должна осуществляться разработка политики в области информационной безопасности, включающей совокупность организационно-распорядительных мер и документов, а также методологических и технических решений, являющихся основой для создания инфраструктуры информационной безопасности (рис. 3) .
  
  Рис. 3. Составляющие инфраструктуры информационной безопасности
  Следующим этапом по разработке комплексной системы информационной безопасности служит приобретение, установка и настройка средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны (брандмауэры, файерволы), средства анализа защищенности и др. Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал.
  С течением времени имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных уязвимых мест и атак, меняются технология обработки информации, программные и аппаратные средства, а также персонал компании. Поэтому необходимо регулярно пересматривать разработанные организационнораспорядительные документы, проводить обследование ИС или ее подсистем, обучать персонал и обновлять средства защиты.
  Любое предприятие, получающее ресурсы, в том числе и информационные, перерабатывает их, чтобы в конечном итоге реализовать на рынке собственный коммерческий продукт. При этом оно порождает специфическую внутреннюю среду, которая формируется усилиями персонала всех структурных подразделений, а также техническими средствами и технологическими процессами, экономическими и социальными отношениями как внутри предприятия, так и во взаимодействии с внешней средой.
  Корпоративная информация отражает финансово- экономическое состояние предприятия и результаты его деятельности. Примеры подобной информации – это регистрационные и уставные документы, долгосрочные и текущие планы, приказы, распоряжения, отчеты, производственные данные, данные о движении финансов и других ресурсов, сведения о подготовке персонала и сферах применения продуктов деятельности, включая методы и каналы сбыта, технику продаж, заказы, логистику, информацию о поставщиках и партнерах.
  Источники корпоративной информации – директорат и администрация предприятия, планово-финансовые подразделения, бухгалтерия, ИТ-отделы и вычислительные центры, отделы главного инженера и главного механика, производственные подразделения, юридические, эксплуатационные и ремонтные службы, отделы логистики, закупки и сбыта и т.д.
  Корпоративная среда включает государственные, экономические, политические и социальные субъекты, действующие за пределами предприятия. Информация вне корпоративной среды часто неполна, противоречива, приблизительна, разнородна и неадекватно отражает состояние внешней среды. Примерами внешней информации, выходящей за пределы корпоративной среды, являются состояние рынка (его долговременное и текущее состояние, тенденции в деловой среде, колебания спроса и предложения, нестабильность ситуации, изменчивость, противоречивость требований), изменения в законодательстве, ожидания потребителей, "происки" конкурентов, последствия политических событий и т.д.
  Бо?льшая часть этой информации является открытой, однако в зависимости от особенностей внутренней деятельности и взаимодействия с внешним миром часть информации может быть предназначена "для служебного пользования", т.е. быть "строго конфиденциальной" или "секретной". Такая информация является, как правило, "закрытой" и требует соответствующих мер защиты.
  Для обеспечения безопасности при работе с охраняемой информацией следует, во-первых, выстроить политику работы с конфиденциальной и служебной информацией, разработать и внедрить соответствующие руководства и процедуры и, во-вторых, обеспечить необходимые программно-аппаратные ресурсы.
  Программно-аппаратные средства для работы с охраняемой информацией либо встраиваются в соответствующие модули корпоративной информационной системы (КИС), либо используются локально в системах, оговоренных в политике ИБ. К ним относятся устройства, осуществляющие:
  • мониторинг перемещения конфиденциальной информации по информационной системе (Data-in-Shell);
  • управление контролем утечки данных через сетевой трафик по протоколам TCP/IP, SMTP, IMAP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, собственных протоколов посредством фильтрации контента на уровне:
  – шлюза, через который идет трафик из внутренней сети во внешнюю сеть (Data-in-Motion);
  – сервера, обрабатывающего определенный тип трафика (Data-at-Rest);
  – рабочей станции (Data-in-Use);
  – внутренних каналов почты Microsoft Exchange, Lotus Notes и др.
  – управления контролем утечки охраняемой информации с рабочих станций, периферийных и мобильных
  устройств посредством контроля действий авторизованных пользователей с конфиденциальными данными: с файлами, внешними устройствами, сетью (локальной, беспроводной), буфером обмена, приложениями, устройствами печати (локальными, сетевыми);
  – установления проактивной защиты и персональных сетевых экранов;
  – теневого копирования информационных объектов в единую базу контентной фильтрации для всех каналов по единым правилам.
  Грамотно организовать защиту охраняемых данных и информации нелегко и недешево. Для этого нужно провести классификацию данных, тщательную инвентаризацию информационных ресурсов, выбрать адекватное программноаппаратное решение, разработать и внедрить совокупность регламентирующих документов по обеспечению внутренней безопасности. Главную роль в этой непростой работе по минимизации рисков утечки данных играют компетентность и воля высшего руководства предприятия, актуальные политики и эффективные программные средства, а также режим коммерческой тайны при работе с охраняемой информацией.

.......................