Гуманитарные императивы информационной безопасности
Проблемы реализации гуманитарной сущности информационной безопасности. Герменевтический методологический стандарт деятельности обеспечения информационной безопасности. Динамика мощности естественно-научного метода на разных уровнях психической регуляции.
Рубрика | Безопасность жизнедеятельности и охрана труда |
Вид | книга |
Язык | русский |
Дата добавления | 17.04.2018 |
Размер файла | 989,6 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Наконец, третья особенность символического языка, касающаяся интуитивного чувства «целого», также имеет прямое отношение к ИБ. Каждая возникающая угроза и уязвимость в процессе ее многократного включения в созданную КСЗИ постоянно соотносится с интуитивным представлением о целостности этой системы, в которую внедряется данный элемент знания об угрозе или уязвимости, об их месте, роли и влиянии на КСЗИ. Этот компонент мышления ученые называют квазипредметностью (149, с. 52). Интерпретация новых угроз и уязвимостей информации в защищаемом объекте, оценка информационных рисков чрезвычайно важны для выбора адекватных мер защиты объекта в рамках целостной КСЗИ. Эта особенность отражает интерпретационный потенциал языка специалиста по ИБ.
Язык угроз защищаемой информации и их понимания и интерпретации, классификационный язык, язык уязвимостей информации и другие языки составляют систему языков, выраженных обобщающим понятием «язык специалиста по защите информации». Каждый из них обладает, на наш взгляд, различной мерой знаковости и образности, различным формализационным и интерпретационным потенциалом.
Символический характер языка специалиста по ИБ обусловливает органическое единство его практической и познавательной деятельности, подтверждающее действие общего принципа интегративности практической деятельности, о котором мы говорили в начале параграфа. Зададимся вопросом, может ли познавательная деятельность в процессе создания КСЗИ быть названа теоретической? Или она носит эмпирический характер?
По мнению В.С. Швырева, эмпирическое исследование есть нахождение и обработка фактов, классификация явлений, установление между внешними свойствами явлений, формулировка эмпирических зависимостей без раскрытия существенных, глубинных характеристик и связей предмета (273, с. 288). На первый взгляд, это мнение дает возможность отнести деятельность по обеспечению ИБ и его язык к эмпирическому типу познания. Тем более что, по словам философа, эмпирическая наука содержит элемент «деятельности по совершенствованию и развитию концептуальных средств», т. е. «по существу в эмпирическую стадию науки входит и элемент теоретического мышления» (там же, с. 306).
Заметим, однако, что в современной философии существуют и другие позиции в отношении теоретичности, отличные от приведенной выше. Так, Е.А. Мамчур считает, что «область теоретического в научном познании складывается из различного рода форм деятельности - составления классификаций, выдвижения гипотез, построения моделей, конструирования теорий» (160, с. 299). Следовательно, формально и построение классификаций угроз защищаемой информации, и моделирование КСЗИ мы можем отнести к научно-теоретическим процедурам.
Язык специалиста по ИБ основан на принципе объяснения, который, как известно, является признаком научно-теоретического познания. Правда, это не причинное, а функциональное объяснение, о котором мы уже упоминали в п. 2.1. Суть этого принципа заключена в том, что для объяснения уровня защищенности объекта необходимо включить выявленные угрозы и уязвимости данного объекта в различные классификации угроз защищаемой информации, причин, обстоятельств, факторов воздействия на защищаемую информацию, интерпретировать степень их опасности, оценить информационные риски, а затем создать новую систему защиты информации, адекватную выявленным угрозам и уязвимостям.
Эксплицирование научно-теоретического характера языка специалиста по ИБ позволяет сделать вывод о том, что он в процессе создания КСЗИ фиксирует новое научное знание, т. е. результаты приращения знания. Приращение знания основано на интерпретационных и формализующих возможностях языка специалиста по ИБ. Развитие знания за счет символических возможностей языка - это один из путей приращения знания - «интерпретационное приращение».
Однако есть и другой путь теоретизации, приращения знаний - путь, основанный на формализации и упрощении, также базирующийся на объяснении. Объяснить явление, как считают ученые, это значит сделать доступной пониманию сложность тех его наблюдаемых форм, которые даны нам в непосредственном созерцании (160, с. 300). Объясняющая сила деятельности по обеспечению ИБ коренится в её удивительном свойстве принимать в себя, как бы ассимилировать разнообразие творений человеческого духа, тем самым делая их не только обозримыми, но и доступными нашему разумению. Эта уникальная способность делать знание видимым обусловлена формализующими, упрощающими возможностями языка специалиста по ИБ.
Проблема формализации и интерпретации знания тесно связана с исследованиями принципа простоты, которые также подтверждают научно-теоретический характер языка специалиста по ИБ. Как считают специалисты, исходная процедура теоретизации, а именно процедура идеализации может быть рационально интерпретирована как процедура упрощения (160). Поэтому язык специалиста по ИБ, безусловно, являясь языком упрощения, формализации расчета угроз и уязвимостей в целях создания КСЗИ - это не только эмпирический, но и теоретический язык, язык «формализующего приращения» знания.
В каких конкретных процессах воплощается упрощение в сфере обеспечения ИБ? Философы выделяют около 28 типов упрощений. Основными среди них являются 3 типа: субстратное, структурное и концептное. В субстратном упрощении преобразуется лишь субстрат, в структурном - лишь структура, в концептном - изменяется системообразующее свойство (160, с. 277).
Основа субстратного упрощения - небольшое число элементов, характеризующих защищаемый объект, как основа объяснения его уникальности в многообразии объектов. Данный тип упрощения лежит в основе анализа структуры защищаемого объекта.
Структурное упрощение - подведение защищаемого объекта под определенный класс объектов. Происходит сравнение, сопоставление отдельных объектов и поиск сходного, тождественного в их свойствах и проявлениях. Данный тип упрощения лежит в основе классифицикации защищаемых объектов и их категорирования, например, - в классификации информационных систем персональных данных (ИСПДн).
Концептное упрощение выходит за плоскость эмпирии в процессе сложной познавательной деятельности, которая предполагает обращение к систематизации методов и средств защиты объекта. Данный тип упрощения - основание моделирования КСЗИ.
Формализующие свойства языка, наличие основных типов упрощения в познании специалиста по ИБ позволяет говорить о теоретическом характере воспроизведения им реального мира объектов, о достижении в процессе познания единства в многообразии, являющегося, как мы выяснили, условием теоретического освоения мира.
Как любое упрощение, упрощение в сфере ИБ не является простым переводом содержания объекта на специфический язык, а предполагает довольно длительную и сложную работу мышления. «Обратное движение» от специфического языка к традиционному знанию об объекте также дает прирост знания по сравнению с исходным знанием, подвергавшимся упрощению (250, с. 351). Анализ языка специалиста по ИБ в категориях символического языка науки (148, с. 202) свидетельствует об острой необходимости разработки его семантики, т. е. способа содержательной интерпретации КСЗИ, или - специфического знания о защищаемых объектах. Только тогда язык специалиста по ИБ сможет подняться на одну ступень с полноценными символическими языками.
Язык выполняет 3 функции: 1) функцию общения (взаимного обмена знанием о защищаемом объекте), 2) функцию сообщения (передача некоторого логико-пространственного, голографического содержания объекта), и 3) функцию воздействия: волюнтативную (выражение волеизъявления, желания, пожелания), экспрессивную (сообщение высказываниям выразительности) и эмотативную (выражение чувств, эмоций) (148). И уж, коль мы говорим о специфическом языке, то мы должны признать, что все 3 функции так или иначе (на разных функциональных участках - ярче или слабее) реализуются в деятельности по обеспечению ИБ. Так, если в инженерно-технической защите наиболее рельефно проявляется функция сообщения и функция общения (движение сигналов по цепям), то в организационной защите информации наиболее отчетливо реализуется функция воздействия, например, - на сотрудников предприятия, имеющих доступ к защищаемой информации.
Таким образом, исследование языка специалиста по ЗИ показало, что его мышление материализуется не только в знаковые, но и в образные формы языка, что свидетельствует о теоретическом характере познания информационной реальности специалистом по защите информации. Требования, предъявляемые ко всем символическим научным языкам, диктуют необходимость разработки семантики языка, методологии содержательной интерпретации КСЗИ. Интерпретация результатов формализации (упрощения) и интерпретации - вот 2 основных направления, методология которых должна быть разработана в рамках изучения семантики языка специалиста по ЗИ. Методология формализующего и интерпретационного приращения знания о защищаемом объекте должна вывести теорию информационной безопасности на качественно новый уровень развития.
Полиязычность ДОИБ, обоснованная в настоящем параграфе, синтез знакового и символического языков, их разноуровневость и специфические проявления насыщают эту деятельность многообразием смыслов. Высокая смыслоемкость ДОИБ требует от специалистов по ЗИ применения филологических, лингвистических, психологических и других гуманитарных знаний и методов познания смыслов.
2.2.2 Принцип полилогичности
Принцип полилогичности ДОИБ заключается в том, что императивом ее адекватности является множественность коммуникативных связок в процессе деятельности.
Процесс обеспечения ИБ - это не только традиционный диалог (коммуникация) Специалист по ЗИ - Собственник информации. Это - весь спектр коммуникативных связей участников процесса: Специалист по ЗИ - Специалист по ЗИ, Собственник информации - Контрагент, Специалист по ЗИ - Контрагент, Специалист по ЗИ - Потенциальный нарушитель, Собственник информации - Потенциальный нарушитель, Контрагент - Потенциальный нарушитель, Контрагент - Контрагент, Специалист по ЗИ - Сотрудник предприятия, Специалист по ЗИ - Контролирующие органы и др. Каждое из этих отношений между элементами абстрактно-деятельностной метасистемы КСЗИ порождает свой спектр явлений, угроз, уязвимостей, формы и жанры информации, способы защиты. И только вся их гамма образует сложную системную целостность системы ИБ в её динамике. Исходя из этого, можно смело утверждать, что деятельность по обеспечению ИБ полилогична. «Полилогичность» деятельности по обеспечению ИБ - это очень важное методологическое положение, подчеркивающее ее герменевтический стандарт.
Этот принцип можно выразить словами великого Шиллера: «Чем уже круг, тем уже наша мысль». И - наоборот - умножение реальных и виртуальных контактов в процессе обеспечения ИБ, управление ими, их стимулирование, безусловно, способствует повышению качества ДОИБ. Каждая из названных диалогических коммуникативных связок обладает специфическими особенностями и особыми проблемами в процессе управления ИБ.
Диалоговый характер имеют все основные процессы деятельности по обеспечению ИБ: моделирование защищаемого объекта, моделирование угроз защищаемому объекту, моделирование КСЗИ, управление КСЗИ. В различных процессах есть специфика общения. Если общение в обеспечении кадровой безопасности и анализе эффективности КСЗИ - реальная процедура, то его присутствие в процессе моделирования угроз защищаемой информации или личности носит виртуальный характер. В связи с этим следует сказать о наличии в деятельности по обеспечению ИБ прямого и косвенного общения. Прямое общение - это непосредственный контакт специалиста по ИБ с персоналом, имеющим доступ к информации ограниченного доступа, с персоналом, обслуживающим объекты информатизации, с целью передачи и получения информации о выполнении требований по защите информации. Косвенное общение наблюдается всякий раз, когда между источником информации (например, субъектом негативного информационно-психологического воздействия на сотрудника предприятия) и специалистом по ЗИ имеется информационное средство - статья, книга, телефонограмма и др. Однако, преобладают смешанные формы общения, включающего в себя как непосредственный контакт участников деятельности, так и использование промежуточных звеньев.
К косвенному общению относится и виртуальное, мысленное общение специалиста по ИБ с потенциальными нарушителями, которое заставляет понять их цели, задачи, интерпретировать их в контексте защищаемой информации и принять адекватные меры. КСЗИ коммуникативна уже потому, что в ней заключена содержательно-смысловая программа, которая является результатом исключительно интерпретационной деятельности специалиста по ИБ, а, следовательно, - процесс создания КСЗИ, как и процесс её использования, не могут быть изучены вне сферы герменевтики. Очевидно, что это доказывает диалогическую природу деятельности по обеспечению ИБ, утверждая её герменевтический методологический стандарт.
Отличительной особенностью современной герменевтики является акцентирование её внимания не только на авторе и тексте, но и на потенциальном потребителе текста (270, с. 1097). Поэтому нацеленность специалиста по ИБ не только на потенциального нарушителя, но и на потенциального потребителя КСЗИ - это герменевтическая особенность методологии обеспечения ИБ.
Проиллюстрируем полилогичность ДОИБ на примере моделирования угроз защищаемой информации. Субъект моделирует не только угрозы защищаемой информации, но и источники этих угроз. Самым распространенным, многообразным и опасным источником дестабилизирующего воздействия на защищаемую информацию являются, как известно, люди. Самым распространенным этот источник является потому, что дестабилизирующее воздействие на защищаемую информацию могут оказывать различные категории людей, как работающих, так и не работающих на предприятии. К ним относятся: сотрудники данного предприятия; лица, не работающие на предприятии, но имеющие доступ к защищаемой информации предприятия в силу служебного положения (из вышестоящих, смежных (в т. ч. посреднических) предприятий, контролирующих органов государственной и муниципальной власти и др.); сотрудники государственных органов разведки других стран и разведывательных служб конкурирующих отечественных и зарубежных предприятий; лица из криминальных структур, хакеры.
В части соотношения с видами и способами дестабилизирующего воздействия на информацию эти категории людей подразделяются на две группы: 1) имеющие доступ к носителям данной защищаемой информации, техническим средствам ее отображения, хранения, обработки, воспроизведения, передачи и системам обеспечения их функционирования и 2) не имеющие такового. Отличия в конкретно применяемых видах и методах дестабилизирующего воздействия на информацию между названными группами людей (при однотипности видов и методов) обусловлены преследуемыми целями.
Основной целью второй группы людей является несанкционированное получение (хищение) информации, являющейся конфиденциальной. Уничтожение, искажение, блокирование информации стоит на втором плане, а нередко и не являются целью. Дестабилизирующее воздействие со стороны этой группы людей в подавляющем большинстве случаев является преднамеренным (умышленным, сознательным). К тому же, для того чтобы осуществить дестабилизирующее воздействие на конфиденциальную информацию, людям, входящим в эту группу, нужно иметь канал несанкционированного доступа к ней.
Для первой группы людей несанкционированное получение конфиденциальной информации вообще не является целью в силу наличия у них доступа к такой информации. Целями дестабилизирующего воздействия со стороны этой группы являются разглашение, несанкционированное уничтожение, блокирование, искажение информации (перечислены в последовательности, соответствующей степени интенсивности воздействия, от большей к меньшей). Хищение информации также присуще для данной группы, но оно является не целью, а средством для осуществления уничтожения или разглашения информации. Предметом воздействия со стороны этой группы является не только конфиденциальная информация (хотя она в первую очередь), но и защищаемая часть открытой информации. Воздействие со стороны людей, включенных в данную группу, может быть как преднамеренным, так и непреднамеренным (ошибочным, случайным). Очевидно, что, выявив потенциальные источники угроз защищаемой информации, субъект ее защиты должен мысленно провести диалог с каждым из предполагаемых нарушителей для выявления его потенциальных целей, а также для моделирования собственных действий по защите информации от каждой конкретной категории лиц. Высокая вариативность названных моделей позволяет подчеркнуть полилогичность деятельности специалиста по защите информации.
Реализация принципа полилогичности повышает качество обеспечения ИБ. Сам процесс обеспечения ИБ должен быть основан на обширных реальных контактах специалиста по ЗИ с собственниками и владельцами информации, ее потребителями, руководителем предприятия, а также виртуальных контактов - с потенциальными нарушителями. Насыщение технологий обеспечения ИБ контактами, моделирование КСЗИ и ситуаций проникновения в контролируемую зону, безусловно, повышает качество ДОИБ.
Кроме того, насыщенная коммуникационная емкость процесса обеспечения ИБ выступает прочной основой для формирования и развития специфических качеств специалистов по ЗИ - умения вчувствоваться в мир чужого сознания, рисковости, инновативности и готовности к развитию. Максимум информации - это основа гарантий успеха риска, это свобода. Только свободный и уверенный в успехе специалист может достигнуть необходимых результатов.
Полилогичность ДОИБ, обоснованная в настоящем параграфе, обусловливает множественность реальных и виртуальных диалогов, а значит, требует от специалиста по ЗИ знания теории коммуникаций, психологии, социологии и других гуманитарных наук.
2.2.3 Принцип единства объективного и субъективного
Принцип единства объективного и субъективного в ДОИБ заключается в том, что императивом ее адекватности является учет взаимодополнительности объективной реальности и субъективных потребностей участников информационных отношений, связанных с защищаемым объектом.
В процессе ДОИБ специалист пользуется особым приемом исследования - «выходом за пределы понимаемого», «принципом вненаходимости». Различные точки вненахождения специалиста по ИБ дают ему возможность «переселения», «вживания» в чужую культуру. Этому способствуют 3 этапа диалогического движения понимания, которые в отношении гуманитарных наук были выделены М.М. Бахтиным. На 1 этапе исходным моментом является носитель смысла, или - текст. Перенесение исследуемого текста в настоящее время, в настоящий контекст является исходной точкой движения понимания, так как тексты всегда принадлежат прошлому, сколь бы малый промежуток времени ни отделял их от настоящего. Содержание 2 этапа составляет движение назад - изучение данного текста в прошлых контекстах. 3 этап характеризуется движением вперед, стремлением к «предвосхищению будущего контекста». Понимание текста есть синтез многих интерпретаций на всех 3-х этапах. Полнота произведения раскрывается только в «большом времени» (47, с. 239).
В ДОИБ происходит идентичный процесс: Даже самый элементарный процесс работы с защищаемым объектом есть его структурная идентификация в настоящем; изучение в контексте угроз и уязвимостей; построение КСЗИ; затем - изучение истории инцидентов его информационной безопасности и, наконец, - определение всех будущих «угрозных» контекстов его функционирования и корректирующие действия в отношении КСЗИ. Не существует раз и навсегда разработанной модели угроз защищаемому объекту и КСЗИ. Они каждый раз заново создаются понимающим субъектом (специалистом по ЗИ). Но процесс этот зависит от многих факторов: от наличия этих сведений в перечне сведений, составляющих тот или иной вид тайны, ценности информации, изменившейся социально-экономической и политической ситуации, способности специалиста выявить состав потенциальных злоумышленников, адекватно оценить конкурентов и др. Это - проявление специфического для ИБ аспекта традиционного для гуманитарных наук принципа несепарабельности, заключающегося в определяющей роли контекста для смысла любого выражения. Вне контекста этот смысл становится крайне расплывчатым и неопределенным. Если опираться на теорию познания (251, с. 210-213), то становится ясно, что специалист по ЗИ не может понять объект и необходимую методологию его защиты, не включая его в систему своих представлений об угрозах и уязвимостях защищаемой информации, о конкурентной среде предприятия, в систему представлений и опыта потенциальных злоумышленников, в систему качества и надежности технического обеспечения защиты информации на предприятии, в систему правового обеспечения защиты информации в стране и т. д. Поэтому в одном ряду с объективным компонентом ДОИБ стоит субъективный компонент. Так, объективны носители источников негативных информационно-психологических воздействий, но субъективно их содержание, определяемое авторскими целями и задачами манипулирования сознанием людей; объективны дестабилизирующие воздействия на защищаемую информацию, фиксируемые техническими средствами, но субъективно восприятие опасности угроз этих воздействий специалистом по ЗИ; объективен состав защищаемой информации по видам тайн, но субъективны степени секретности (в отношении государственной тайны) и конфиденциальности (в отношении других видов информации ограниченного доступа); объективна преемственность накопленного опыта технологий защиты информации, но субъективно использование этого опыта в практической ДОИБ; объективна КСЗИ предприятия, но субъективна адекватность этой системы содержанию угроз защищаемой информации; объективны деловые контакты с деловыми партнерами, подкрепленные договорными обязательствами, но субъективны их стратегические цели по развитию бизнеса и т. д. Так, например, встречи представителей субъекта Российской Федерации с зарубежной делегацией или руководителя российского коммерческого предприятия с зарубежными партнерами могут быть ограничены протокольными мероприятиями, а цели и задачи этих визитов могут оставаться до определенной поры неизвестными. Для того чтобы хотя бы догадываться о неявных целях и задачах этих визитов, недостаточно использовать грамматическую и логическую интерпретацию, пригодных для постижения явных смыслов. В этом случае требуются исторические, экономические и политические знания, основываясь на которых можно более или менее приблизительно судить о неявном содержании фактов и явлений. Кроме того, смысл информационного текста (факта, явления) может иметь некоторый объективно бессознательный элемент, а также субъективную психологическую составляющую.
Объективно-субъективный, но в большей степени объективный характер имеет все информационно-безопасное пространство, которое включает проблемы ИБ, вовлеченную в их решение общественность, а также господствующие в данное время теории и социально-психологические стереотипы, регламентирующие поведения людей по поводу их отношения к ИБ. Более субъективна информационно-безопасная среда, которая представляет собой понятие, в большей степени ориентированное на вычленение индивидуально - личностного аспекта. Это объясняется тем, что одна и та же среда может быть информационно-безопасной для одного человека и информационно-опасной для другого. Каждый человек имеет шанс самостоятельно формировать свою информационно-безопасную среду в границах определенного пространства, выбирая те или иные институты или создавая ее самостоятельно. При этом важнейшим условием успешности организации ДОИБ специалистом по ЗИ является способность формировать и постоянно расширять собственное информационно-безопасное пространство. Речь идет, прежде всего, о способах поиска информации о различных способах и средствах ДОИБ, об использовании наиболее оптимальных средств и т. д. Условия партнеров по бизнесу об охране конфиденциальности их коммерческой тайны должны быть нормой и выполняться согласно гражданско-правовому договору, в противном случае информационные риски из потенциальных становятся реальными.
Принцип единства объективного и субъективного в ИБ - это принцип, направленный на гуманизацию профессиональной среды, «очеловечивание», «окультуривание» среды, в которой протекает процесс ДОИБ, на достижение понимания индивидуальных потребностей субъектов информационных отношений, на достижение паритета между объективным и субъективным в реализации их потребностей. Известно, что одним из методологических принципов защиты информации является единство в решении производственных, коммерческих, финансовых и режимных вопросов (279), который выражается в том, что система защиты информации в организации не должна блокировать профессиональную деятельность персонала. Специалист по ЗИ не должен относиться к персоналу организации с излишней подозрительностью. Сотрудник организации должен иметь выбор - работать или нет с информацией ограниченного доступа. Такая гибкость и вариативность, безусловно, способствует достижению более высокой степени защиты информации, а также создает свободную, творческую, комфортную, самоадаптивную информационно-безопасную среду, способную удовлетворить динамические потребности каждой личности. Иными словами, принцип единства объективного и субъективного проявляется еще и как необходимость создания комфортной информационно-безопасной среды сотрудников организации. Только такая среда может удовлетворять широкий спектр индивидуальных потребностей субъектов. При этом, если понятия система и пространство носят в значительной степени объективный характер, то понятие информационно-безопасная среда в большей степени субъективизировано.
Задача ДОИБ - достижение органического единства объективного и субъективного в ней.
Гуманизация условий процесса ДОИБ и самого процесса ДОИБ не может не определять гуманизации результатов последнего. Удовлетворение информационных потребностей субъектов информационных отношений, гуманизация деловой среды, развернутая структура мотивации деятельности субъектов защиты информации, духовное развитие личности, высокий уровень культуры ИБ - вот результат, который может быть достигнут в процессе реализации принципа единства объективного и субъективного в ДОИБ.
Очевидно, что субъективность специалиста по ИБ оказывается динамическим и цементирующим моментом, придающим системе ИБ организации целостность, системность, алгоритмичность, способствующие повышению уровня защищенности интересов личности, общества и государства в информационной сфере.
Принцип единства объективного и субъективного придает ДОИБ структурную сложность, реализуется на всех уровнях герменевтики (дескриптивном, нормативном и подытоживающем) и требует от ее субъекта знаний коммуникативных, психологических и других гуманитарных наук.
2.2.4 Принцип полиинтерпретационности
Принцип полиинтерпретационности ДОИБ заключается в том, что императивом ее адекватности является множественность интерпретаций содержания, функционирования и эволюции защищаемых объектов, а также угроз этим объектам.
Интерпретация - это истолкование, разъяснение смысла, значения чего-либо (234, с. 199).
Принцип полиинтерпретационности основан на основополагающей роли понимания в процессах познания. Эту мысль точно выразил Г.П. Щедровицкий, заметив, что «смысла» не существует, а существуют лишь процессы понимания» (284). Аксиомой в теории познания является факт, что ни отдельно взятое слово устной или письменной речи, ни отдельное предложение, ни даже относительно замкнутый текст не обладают значением и смыслом как своими атрибутивными характеристиками. Субъект познания не столько «проявляет» интересующие его свойства текста, сколько «порождает» их (251, с. 371). Поэтому сколько людей - столько и пониманий факта или явления, столько и их интерпретаций. Этот факт подтверждается и одним из отличительных свойств современного рационализма, каковым является множественность интерпретаций, а следовательно, - и множественность пониманий. Это приводит к тому, что исследователь и объект исследования оказываются связанными нерасторжимыми узами (174, с. 201). Содержания концепции информации как субъективной реальности мы касались в п. 1.1.
В связи с этим специалист по ИБ обладает игровым мышлением, которое, к сожалению, в теории информационной безопасности остается в тени. Между тем, именно игровой аспект мышления специалиста по ИБ является источником новизны и уникальности КСЗИ, являющейся продуктом его мыслительной деятельности. Без игровых мыслительных действий, без способности реконструировать КСЗИ в связи с изменившимся информационным контекстом (появившиеся новые угрозы, новые интересы субъекта и т. д.), специалист по ИБ не сможет адекватно понять этот контекст, а также дать его интерпретацию, которая может стать новым знанием и лечь в основу новой КСЗ защищаемого объекта. Новизна КСЗИ может быть достигнута исключительно за счет специфического качества игрового мышления специалиста по ЗИ - его комбинаторности - многообразного сочетания операций по включению защищаемого объекта в различные информационные контексты (с разным составом интересов субъектов, угроз защищаемым объектам, их уязвимостей), за счет их вариационности и многоходности.
С древних времен идея Игры связана с процессами творения, что проявилось во многих религиях. И не только в них. В современной философской фантастике достаточно вспомнить «Солярис» Станислава Лема, в котором мыслящий океан постоянно занят познавательно-имитационной игрой, создавая и разрушая различные структуры. Те же по своей сути цели преследует театральный актер, играющий спектакль, или ребенок, играющий конструктором. Как справедливо замечает А.В. Соколов, вся творческая смысловая коммуникационная деятельность принадлежит к игровому виду человеческой деятельности (237, с. 287). К этому виду деятельности относится и ДОИБ. Подобно мыслящему океану, ребенку или актеру специалист по ЗИ создает для объекта защиты в разные периоды времени различные КСЗИ, которые после потребления на определенном этапе перестают удовлетворять изменившимся условиям. И тогда на их основе специалист по ИБ создает более сложные структуры КСЗИ. В основе этих «игр» лежат процессы мышления специалиста по ИБ.
Многозначность лежит в основе моделирования диффузных (плохо организованных) систем, в которых нельзя четко выделить отдельные явления. В таких системах следует учитывать действие множества разнородных факторов, задающих различные по своей природе, но тесно взаимодействующие друг с другом процессы. Известно, например, что в химико-технологических процессах надо одновременно учитывать такие неподдающиеся в реальных условиях разграничению процессы, как теплоотдача, аэродинамические и гидродинамические процессы, а также кинетику множества одновременно протекающих реакций. Примером плохо организованной системы может служить хорошо известный процесс эмиссионного спектрального анализа.
С еще большими трудностями приходится сталкиваться при попытке изучения диффузных систем, в которых неизвестны протекающие элементарные процессы. Примером такой системы служит социотехническая система. Одни и те же аспекты этой системы в зависимости от критериев оценки можно описывать различными моделями, одновременно имеющими право на существование. КСЗИ, как любая социотехническая система, - это диффузная, плохо организованная, а потому многозначная, полисемантическая система. Утверждение многозначности представлений о поведении элементов этой системы позволяет нам говорить о многозначности понимания и объяснения, то есть о множественности интерпретаций всех фактов, явлений и событий, происходящих в сфере ИБ и за ее пределами. Эту закономерность будем именовать полиинтерпретационностью.
Субъект обеспечения ИБ должен осознавать потребность находиться в многоликом, полиинтерпретационном пространстве, в окружении различных толкований, интерпретаций сущности, всего многообразия функционирования и эволюции защищаемых объектов и интересов их собственников и конкурентов, угроз этим интересам.
Принцип полиинтерпретационности реализуется в ДОИБ на всех уровня герменевтики ИБ. На дескриптивном уровне свойство полиинтепретационности ДОИБ проявляется как понимание и учет специалистами по ЗИ мотиваций потенциальных нарушителей. Так, мотивы, которые побуждают потенциальных нарушителей к совершению несанкционированных действий в отношении объекта и его жизненно важных элементов, могут быть политическими, идеологическими, экономическими; личными. Политические мотивы связаны с геополитическими и экономическими интересами отдельных государств, а также политических партий и групп. Идеологические мотивы связаны с религиозной, политической или философской системой отдельных государств, конфессиональных групп и религиозных фанатиков. Экономические мотивы связаны с желанием получения финансовой или другой материальной выгоды. При этом похищенные ценности рассматриваются в качестве предметов продажи. Личные мотивы связаны со специфическими обстоятельствами, характерными для отдельных лиц, и могут быть вызваны отношениями в коллективе, социальными и другими причинами. Многообразие мотивов действий нарушителей активно изучается в психологии мотивации.
На нормативном уровне герменевтики ИБ, на уровне моделирования КСЗИ, принцип полиинтерпретационности реализуется как различные понимания и интерпретации научных знаний и подходов к проблемам теории и практики обеспечения ИБ, различные понимания и интерпретации технологий и методов несанкционированного доступа к информации. В процессе моделирования КСЗИ один и тот же защищаемый объект может гипотетически помещаться в неограниченное количество угроз-информационных контекстов, что обусловливает более полное выявление уязвимостей этого объекта, а значит - создание максимально адекватной КСЗИ. Множественность интерпретаций методов и средств защиты информации, обусловливающая принятие правильных управленческих решений, - это специфическая особенность методологии деятельности специалиста по ИБ, которая заключается в возможности такого преобразования информационных моделей защищаемых объектов, способах оперирования с ними, в результате которых исходное знание об этих объектах выходит на новый уровень, ибо исходное состояние объектов меняется.
Подытоживающий уровень герменевтики ИБ - уровень мониторинга КСЗИ - предполагает интерпретации, толкование инцидентов информационной безопасности для корректирования организационных, программно-аппаратных и инженерно-технических средств и методов защиты уязвимых объектов.
Принцип полиинтепретационности реализуется и на уровне условий ДОИБ, в формировании полиинтерпретационного, вариативно-содержательного пространства, в обеспечении атмосферы взаимопонимания и сотрудничества в коллективе сотрудников организации, ответственных за ИБ. Сознание современного специалиста по ИБ не должно отличаться одноплановостью, в нем могут присутствовать одновременно несколько взаимодополняющих друг друга картин мира (идеологическая, научная, мифологическая, художественная, бытовая). Каждая из них может актуализироваться в определенной ситуации, что делает его более гибким и подвижным, способным функционировать в различных ситуациях.
В сознании специалиста периода советской власти доминировали идеологическая и бытовая картины мира, при этом подчиняя себе научную, религиозную и художественную картины мира. В постсоветский период произошла быстрая деградация идеологической картины мира и одновременно - связанных с ней мифов и научных теорий. В результате в сознании специалистов, особенно молодого поколения, стала преобладать бытовая картина мира, не отягощенная ценностными подходами, связанных с функционированием иных картин мира. С этим упрощением, в частности, связана утрата ценностей и идеалов. Поэтому важнейшая задача современного специалиста по ИБ - формирование множественной, объемной картины мира, в которой бы система ценностей обыденного сознания была бы уравновешена иными системами ценностей. Неслучайно сфера защиты информации тесно связана с понятиями патриотизм, корпоративная культура и др.
К формам полиинтерпретационности следует отнести также вариативность знаний специалиста по ИБ. Это должно выражаться в получении специалистом по ИБ смежных квалификаций, углублении межпредметных и междисциплинарных связей.
Принцип полиинтерпретационности увеличивает смыслоемкость ДОИБ, а потому, как и другие герменевтические принципы адекватности, требует от специалистов по ИБ знаний психологии, семантики, семиотики и других гуманитарных наук.
2.2.5 Принцип реконструируемости
Принцип реконструируемости ДОИБ заключается в том, что императивом ее адекватности является возможность постоянного ретроспективного, текущего и перспективного мониторинга динамики угроз защищаемому объекту и их влияния на уязвимость последнего, а также инцидентов и эффективности принятых мер, связанных с нарушениями установленного статуса защищаемой информации. Цель реализации данного принципа - выявление всего многообразия сценариев поведения потенциальных нарушителей и моделей реакции на это поведение разработанной системы ЗИ.
Повсеместно внедряемые системы мониторинга имеют огромное значение для ДОИБ, поскольку позволяют собирать и анализировать сообщения о событиях безопасности, поступающих из средств защиты, операционных систем, прикладного программного обеспечения и др. Данная информация собирается в едином центре, обрабатывается и подвергается анализу. Мониторинг может осуществляться и без использования средств автоматизации. В этом случае администратор безопасности вручную проводит сопоставительный анализ результатов работы различных средств защиты, средств защиты и параметров работы программно-аппаратного обеспечения информационных систем, осуществляет поиск информации об одном событии в журналах аудита различных средств защиты и др. Мониторинг позволяет специалистам по ЗИ фокусироваться на реальных угрозах безопасности, оперативно реагировать на них, оценивать эффективность используемых средств защиты и прогнозировать угрозы в будущем.
Кроме того, на уровне реализации процесса обеспечения ДОИБ принцип реконструируемости проявляется как: проведение социологических опросов на предмет выявления уровня лояльности персонала, сбор, обработка и анализ информации для осуществления прогностической деятельности; мониторинг интересов и потребностей сотрудников предприятия, его партнеров, конкурентов - потенциальных нарушителей, в т. ч. злоумышленников, которые оказывают определяющее влияние на способы защиты информации от них; совместная информационно-аналитическая работа специалистов по ЗИ и специалистов по экономической безопасности, их умение просчитывать все возможные пути деловых партнеров в конкретных бизнес-ситуациях и др.
Очевидно, что принцип реконструируемости ДОИБ, постоянное включение КСЗИ в контекст будущего резко повышает статус информационно-аналитической работы специалиста по ЗИ. Качество ДОИБ напрямую зависит от того, насколько полно и точно изучены потенциальные и реальные потребности конкурентов, противников, противостоящих сторон, от которых может исходить угроза защищаемой информации в будущем.
Важность принципа реконструируемости ДОИБ для прогностической деятельности подчеркивается акцентированием в последние годы не на ликвидации последствий информационных нарушений, а на их профилактике. Поэтому на уровне результата ДОИБ принцип реконструируемости ДОИБ проявляется не в успешной ликвидации последствий хакерских атак, а в предотвращении утраты или утечки информации в случае попытки злоумышленника эти атаки предпринять.
На уровне условий процесса ДОИБ реализация принципа реконструируемости предполагает: усиление внимания специалиста по ЗИ к исследовательской деятельности и в особенности - к исследованию тенденций функционирования и развития мирового и отечественного (в том числе регионального) рынка средств ЗИ и всех элементов его инфраструктуры, к исследованию типологий личности, мотивации отдельных типов личности и т. д.;
Очевидно, что реализация принципа реконструируемости ДОИБ резко повышает интеллектуальную емкость ДОИБ и требует от специалиста по ИБ знания технологий информационно-аналитической деятельности, а также знаний психологии, социологии и других гуманитарных наук.
Охарактеризовав систему герменевтических принципов ДОИБ, заметим, что ключевыми среди них являются принцип единства объективного и субъективного и принцип полиинтерпретационности. Этот вывод основан на исследовании М.Ю. Немцева, который, вводя понятие минимальной герменевтики, ее необходимыми и достаточными составляющими назвал истолкование текста согласно принципу двойного значения (заключающегося в выявлении очевидного и скрытого содержания текста) и принципу истины, суть которого заключается в том, что истина должна быть прочитана в результате интерпретации (183).
Таким образом, предпринятый в настоящем параграфе анализ методологических аспектов ДОИБ позволяет сделать следующее заключение. Если У.Р. Эшби сформулировал один принцип адекватности деятельности (187), то в отношении ДОИБ мы выявили и обосновали в п. 2.2.1 - 2.2.5 совокупность принципов адекватности, объединенных в систему герменевтическим подходом. Обоснованная система герменевтических принципов адекватности ДОИБ позволяет нам сформулировать герменевтический закон адекватности ДОИБ:
Если в процессе ДОИБ реализованы принципы полиязычности, полилогичности, полиинтерпретационности, единства объективного и субъективного и реконструируемости, то такая деятельность является адекватной.
Данный закон выражает гуманитарную сущность ДОИБ и императив герменевтики как ее методологического стандарта.
2.3 Герменевтические методы и средства ДОИБ
Согласно исследованиям герменевтической методологии, ее специфическими методами и средствами являются: специальные логические средства (в том числе - логика герменевтического круга), вопросно-ответный метод, контекстный метод (включающий в себя совокупность методов, соответствующих разным контекстам), а также семиотические и психологические методы (136). Рассмотрим, как они реализуются в ДОИБ.
2.3.1 Специальные логические средства
Специальные логические средства ДОИБ обусловлены первой герменевтической особенностью ДОИБ - полиязычностью, повышающей ее смыслоемкость, а потому - доминированием «понимающих» методов деятельности, что обосновано нами в п. 2.2. Именно императив понимания смыслов фактов, явлений, событий, которые обозначаются в герменевтике емким словом «текст», требует специфических логических процедур.
Центральная категория герменевтики - понимание. Оно отвечает за содержание и предметное своеобразие мыслительной деятельности специалиста по ИБ. Полнота и адекватность понимания специалистом по ИБ текстов (событий, явлений) зависит от интенциональных и инструментально-операциональных возможностей его мыслительной деятельности, от того, насколько владеет он языком и логикой, семантическими и синтаксическими правилами и приемами определения значений, от наработанного им когнитивно-информационного базиса, а также его опыта. «Понимающее» мышление - это содержание мышления специалиста по ИБ. При этом термин «понимание» в сфере ИБ должно трактоваться в органическом единстве когнитивного и аксиологического подходов. Когнитивный подход основывается на представлении о понимании в его познавательной функции - как направленном на познание объективной реальности защищаемого объекта. При этом центральным предметом понимания становится научно-теоретическое и эмпирическое знание об объекте. С точки зрения аксиологического подхода понимание направляется на ценностную сторону предмета понимания, позволяет воспринимать и оценивать его с позиций «должного», т. е. через призму ценностных категорий. Необходимость оценки безопасности ИБ закреплена, например, в ГОСТ Р ИСО/МЭК15408-3-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» (М., 2002), в РД ФСТЭК России «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» (М., 2002) и др. На ценностном подходе основаны и отдельные процессы ДОИБ. Так, согласно «Методике определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (М., 2008), оценивается опасность каждой выявленной угрозы. Опасность оценивается на основе опроса экспертов (специалистов в области защиты информации), которые знают систему ценностей в сфере ИБ. На основе экспертных оценок определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения: низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных; средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных; высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных (167).
Для понимания смыслов фактов, событий и явлений с позиций когнитивного и аксиологического подходов в процессе ДОИБ используются специфические логические средства. Необходимость логического обоснования целей и требований безопасности декларируется в нормативных документах по защите информации. Так, в ГОСТ Р ИСО/МЭК15408-3-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности» (М., 2002) сказано, что логическое обоснование целей безопасности должно демонстрировать, что изложенные цели безопасности пригодны для противостояния всем идентифицированным угрозам безопасности, что изложенные цели безопасности пригодны для охвата всех установленных положений политики безопасности организации и предположений; логическое обоснование требований безопасности должно демонстрировать, что минимальный уровень стойкости функции в ПЗ, как и каждое явное указание стойкости функции, согласуются с целями безопасности объекта, что требования безопасности ИТ пригодны для достижения целей безопасности, что совокупность требований безопасности ИТ образует взаимно согласованное и внутренне непротиворечивое целое и т. д.
Проблема специфики логики познания защищаемых объектов не поднималась в отечественной теории ИБ, поскольку недостаточно разработана проблема мышления специалиста по ИБ. Между тем, необходимо определить, насколько специфична деятельность по обеспечению ИБ с точки зрения логической.
Логика - это некое орудие мышления (совокупность правил рассуждения), которое одновременно дает возможность «переводить» мысли с языка идеальных сущностей на естественный язык (136, с. 158), это механизм перевода идеального содержания мыслей специалиста по ИБ, моделей КСЗИ - в материальное (знаковые формы языковых выражений), средство для перевода идеальных концептуальных образований в материальные, чувственно-воспринимаемые явления.
Необходимым условием понимания людьми определенного языкового сообщества, друг друга в процессе общения является, как известно, всеобщность и обязательность формы и содержания мышления. Иными словами, понимание в коммуникативных актах обеспечивается общностью концептуального содержания мышления и универсальностью логических форм.
Но можно ли говорить о независимости логических форм от конкретной предметной действительности? Традиционное понимание формальной логики базировалось именно на положительном ответе на этот вопрос. Господствовало мнение о единстве, универсальности и независимости от действительности формальной логики как средства выражения мыслей. Формальная логика была не только самостоятельной дисциплиной, но, что более важно, - методологической концепцией, согласно которой логика изучает только формы мыслей, отвлекаясь от их содержания. Разделение предмета и метода (содержания и формы) достигало своего апогея в критической философии Канта, который провозглашает первичность метода по отношению к предмету.
В современной методологии науки существует и антикантиантская установка, поэтому сегодня речь идет лишь об относительной самостоятельности формальной логики, которая обеспечивает общезначимость логических структур в процессе человеческих рассуждений. Эти структуры обладают ярко выраженной спецификой в зависимости от предметных областей (136, с. 162). Поэтому к настоящему времени возникли и развиваются такие специальные логики, как логика времени, логика изменения, логика норм и оценок, модальная логика, эпистемическая логика, социальная логика, логика дополнительности, логика вопросов и т. д.
Классические стандарты (принципы тождества, непротиворечия, исключенного третьего, достаточного основания) и общие требования (принципы однозначности, предметности и взаимозаменяемости) для конкретных предметных областей могут соблюдаться или не соблюдаться. Специфичность логического аппарата науки приобретается за счет фундаментального изменения основных логических законов, а также введения некоторых дополнительных принципов, которые оттеняют особенности данной предметной области. Например, если классическая логика отвлекалась от времени произнесения высказываний, то логика времени явным образом учитывает временные параметры.
...Подобные документы
Сущность и основные понятия информационной безопасности, состав и методы реализации, история развития. Нормативные документы в области информационной безопасности и органы, ее обеспечивающие. Программно-технические способы и средства обеспечения.
контрольная работа [39,4 K], добавлен 28.08.2010Методы и средства защиты информации в сетях. Анализ системы обеспечения информационной безопасности ОАО "Альфапроект". Модернизация программной защиты для разграничения доступа. Разработка алгоритма программы, ее внедрение в систему ИБ предприятия.
дипломная работа [1,8 M], добавлен 14.08.2015Сущность и критерии оценки уровня информационной безопасности. Особенности организации войн и терроризма в данной сфере, оценка роли и значения в системе национальной безопасности. Безопасность человека в информационном пространстве. Оружие самообороны.
реферат [211,3 K], добавлен 15.06.2014Основные понятия, сущность и определения безопасности труда. Принципы, методы и средства обеспечения безопасности деятельности. Зарубежный опыт безопасности управленческого труда. Анализ формирования системы безопасности труда на примере Сургутского УФМС.
курсовая работа [588,3 K], добавлен 02.11.2014Нормативно-правовые документы по регулированию безопасности личности. Информатизация общества и проблема информационной безопасности. Источники угроз. Ряд новых проблем, связанных с появлением интернет. Особенность информации как фактора социализации.
курсовая работа [37,8 K], добавлен 14.01.2014Основные психологические причины создания опасных ситуаций. Виды инструктажа по безопасности труда. Управление и правовое регулирование БЖ. Критерии экономической безопасности, способы обеспечения. Международное сотрудничество по проблемам безопасности.
контрольная работа [24,9 K], добавлен 03.12.2009Понятие политики безопасности. Современные средства физической, аппаратной и программной защиты информации. Выбор и обоснование аппаратных (компьютерных) мер защиты информации. Практические рекомендации по нейтрализации и локализации уязвимостей системы.
курсовая работа [139,3 K], добавлен 04.06.2015Виды угроз и способы их реализации. Подразделение физической охраны персонала, цели и задачи его деятельности. Технические средства охраны и личной безопасности. Правила личной безопасности. Меры обеспечения безопасности в условиях экстремальной ситуации.
курсовая работа [68,0 K], добавлен 09.04.2004Технологии, опасности и меры предосторожности на ювелирном производстве. Мероприятия по оснащению средствами охранной сигнализации. Изолирующие электрозащитные средства. Разработка плана эвакуации на случай пожара. Обеспечение информационной безопасности.
курсовая работа [496,2 K], добавлен 07.02.2016Система автоматического управления торможением. Факторный анализ состояния безопасности движения. Ранжирование причин, вызвавших нарушение безопасности движения. Оценка рисков возникновения нарушения безопасности. Разработка корректирующих мероприятий.
курсовая работа [1,8 M], добавлен 20.11.2021Деятельность ВОЗ в рамках обеспечения безопасности продуктов питания. История появления проблемы продовольствия. Заболевания пищевого происхождения, их причины. Рекомендации для органов власти и потребителей по стабилизации безопасности продуктов питания.
реферат [36,0 K], добавлен 06.06.2015Анализ существующих мер по управлению подрядными организациями на предприятии. Оптимизация процессов и разработка информационной модели, позволяющей повысить уровень безопасности труда и снизить риск аварий при работе подрядных организаций на объектах.
дипломная работа [2,5 M], добавлен 30.05.2015Формы и виды розничной торговли. Суть и основные принципы обеспечения безопасности труда. Нормирование безопасности трудовой деятельности. Схема охраны руководителя предприятия. Организация взаимодействия с правоохранными органами местного самоуправления.
курсовая работа [175,1 K], добавлен 23.01.2012Генетически модифицированный организм - живой организм, генотип которого был искусственно изменён. Состояние защищенности природной среды от негативного воздействия хозяйственной деятельности. Развитие программы обеспечения безопасности здоровья граждан.
курсовая работа [104,4 K], добавлен 06.12.2011Экономические последствия и материальные затраты обеспечения безопасности жизнедеятельности. Международное сотрудничество в области безопасности жизнедеятельности. Международные финансовые организации по оказанию экономической взаимопомощи странам.
реферат [26,7 K], добавлен 09.11.2012Нормирование безопасности трудовой деятельности. Применение систем безопасности труда на предприятии, санитарные нормы. Оценка безопасности труда методом учета и аттестации рабочих мест. Оценка технологической безопасности оборудования и рабочих мест.
курсовая работа [40,0 K], добавлен 18.05.2008Понятие безопасности - состояния защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз. Аксиома потенциальной опасности и концепция приемлемого риска. Объекты и субъекты безопасности, принципы обеспечения.
презентация [167,8 K], добавлен 24.06.2015Характеристика понятий, терминов и определений безопасности жизнедеятельности. Основы национальной безопасности, ее виды, правовое регулирование и органы обеспечения. Единая государственная система предупреждения и ликвидации чрезвычайных ситуаций.
реферат [26,9 K], добавлен 01.10.2011Психологические факторы, действующие в системе безопасности дорожного движения, их обоснование. Психология персонала органов надзора за дорожным движением как основной аспект обеспечения безопасности. Психология начинающего водителя и участников движения.
реферат [17,6 K], добавлен 16.02.2009Анализ обеспечения безопасности участников тушения пожара, требования безопасности по предупреждению травматизма при тушении пожаров, обеспечение безопасности при угрозе пожара, эффект от установки беспроводной системы автоматического пожаротушения.
дипломная работа [231,7 K], добавлен 10.06.2022