Угрозы информации и информационные угрозы. Подготовка кадров в области информационной безопасности

____________________________________________

А.А. Малюк



Анализируются внутренние и внешние угрозы в сфере информационной безопасности, их основные источники и последствия проявления. Предлагается классификация угроз на угрозы информации и угрозы от информации. Рассматриваются концептуальные подходы к организации кадрового обеспечения решения проблем защиты информации и защиты от информации.

Информационная безопасность — такое состояние рассматриваемой системы, при котором она, с одной стороны, способна противостоять дестабилизирующему воздействию внешних и внутренних информационных угроз, а с другой, — ее наличие и функционирование не создают информационных угроз для элементов самой системы и внешней среды.

Отсюда естественным образом вытекает, что обеспечение информационной безопасности в общей постановке проблемы может быть достигнуто лишь при взаимоувязанном решении трех следующих составляющих проблем:


В соответствии с изложенным проблема информационной безопасности — это совокупность двух проблем — защиты информации и защиты от информации.

Важнейшее в обеспечении информационной безопасности — это определение угроз. С этого надо начинать.

В качестве общей ориентации здесь за основу можно взять проект Концепции информационной безопасности Российской Федерации, разрабатываемый по заданию Совета Безопасности России.

В разделе 3 проекта "Угрозы информационной безопасности Российской Федерации" постулируются следующие положения.

Источники угроз информационной безопасности можно разделить на внешние и внутренние.

К внешним источникам угроз относятся:


К внутренним источникам угроз относятся:
Способы воздействия угроз подразделяются на информационные, программно-математические, физические, радиоэлектронные, организационно-правовые.

Информационные способы включают:


Программно-математические способы включают: внедрение программ-вирусов;

установку программных и аппаратных закладных устройств; уничтожение или модификацию данных в информационных системах.

Физические способы включают:


Радиоэлектронные способы включают:
Организационно-правовые способы включают:
Используя приведенные положения в качестве основы, надо иметь, однако, в виду, что информационные угрозы в них не делятся на угрозы информации и угрозы от информации, в то время как такое деление, по нашему мнению, однозначно способствует более целенаправленному решению конкретных задач обеспечения информационной безопасности.

Если говорить об угрозах информации и проблемах защиты информации, то последние уже продолжительное время (свыше 25 лет) находятся в центре внимания специалистов, и к настоящему времени достигнуты следующие результаты:


На основе перечисленных результатов очевидно, что проблема защиты информации имеет серьезный базис для дальнейшего целенаправленного развития. При этом основные задачи дальнейшего развития могут быть сформулированы следующим образом. -

Первая и самая неотложная задача — организация системы регулярного сбора и обработки статистических данных о составе и результатах функционирования реальных систем защиты: Полученные таким образом данные необходимы как для совершенствования методологии проектирования новых систем защиты и повышения эффективности их функционирования, так и для дальнейшего развития теории защиты.

Вторая задача заключается в создании специализированных высокопрофессиональных центров защиты, которые располагали бы всем необходимым для оказания широкого спектра услуг своим абонентам: предприятиям, учреждениям, другим организациям, нуждающимся в защите информации.

Концепция создания и организации функционирования центров защиты к настоящему времени разработана достаточно полно, она изложена, например, в работе проф. В. А. Герасименко "Защита информации в автоматизированных системах обработки данных". Наиболее рациональным способом практической реализации этой концепции было бы создание одного-двух учебно-экспериментальных центров, на основе опыта работы которых можно будет развивать их систему.

Третья задача может быть сформулирована, как дальнейшее развитие научно-методологического базиса защиты.

Так, в самом общем виде могут быть представлены состояние и основные направления развития защиты информации как первой составляющей общей про блемы информационной безопасности. Общий вывод, очевидно, может быть тот, что несмотря на значительные достижения в теории и в практике защиты, дальнейшее развитие как теории, так и практики должно быть признано задачей повышенной актуальности.

Что касается проблем защиты от информации, то, несмотря на практически всеобщее понимание (по крайней мере, среди специалистов по информатике) важности проблемы, сколько-нибудь регулярные ее исследования и разработки практически не ведутся, что ставит ее в ряд остроактуальных.

Справедливости ради надо отметить, что проблема защиты от информации существенно сложнее проблемы защиты информации в силу того, что угрозы от информации чрезвычайно разнообразны, их воздействие далеко не всегда очевидно, а предотвращение и нейтрализация их требуют не столько технических решений, сколько организационно-правовых и даже политических, причем не только внутригосударственных, но и Межгосударственных и международных.

Особо сложно обстоит дело с определением форм и способов информационного воздействия на людей в силу того, что они исключительно многообразны и далеко не всегда очевидны, а преднамеренное воздействие, как правило, осуществляется изощренно и коварно. Сколько-нибудь полное и объективное выявление этих угроз требует очень глубоких исследований» которые до настоящего времени еще не проведены. В первом приближении можно назвать следующие способы и формы информационного воздействия на людей:


В последнее время ведутся разработки методов и средств компьютерного проникновения в подсознание человека и оказания на него глубокого воздействия. Приведем некоторые примеры.

В статье С. Кузиной "Душа в компьютерных сетях" ("Комсомольская правда" от 6.10.95 г.) сообщалось, что "группа московских ученых разработала и уже практикует новый метод, позволяющий так глубоко проникать в тайники подсознания, как Фрейду и не снилось. В перспективе — изобретение компьютерного психоанализа, что может стать страшнее и мощнее изобретения атомной бомбы, потому что оно способно контролировать сознание, вскрывая души, как консервные банки, и меняя начинку по своему вкусу". Ведутся эти работы в Институте компьютерных психотехнологий Российской академии естественных наук.

А в московском рекламном еженедельнике "Экстра-М" № 47 (25.11.95 г.), издаваемом миллионными тиражами и распространяемом не только бесплатно, но и принудительно (раскладывают по почтовым ящикам, не спрашивая нашего согласия, что уже само по себе не совсем законно) на стр. 55 (слева вверху) рекламируется домашний компьютер, оборудованный так называемым шлемом виртуальной реальности, который характеризуется как "крутейшее" периферийное устройство для Вашего компьютера", обеспечивающее "фантастический мир иллюзий с полным ощущением реальности". Другой информации об этом "крутейшем" устройстве в рекламе нет, но белыми буквами на черном фоне, да еще и с восклицательным знаком предупреждается: "Компания не несет ответственности за опасности и приключения, подстерегающие Вас в киберпространстве". Выходит, рекламируют заведомо опасное киберпространство? Это устройство продается в так называемом компьютерном супермаркете в центре Москвы (Садово-Триумфальная ул.), в рекламе приведены телефоны и факс.

Если судить по данным рекламы, то "шлем виртуальной реальности" представляет собою головной убор, оснащенный датчиками, через которые формируемые компьютером сигналы могут воздействовать на определенные участки головного мозга, формируя соответствующие , ощущения, эмоции, иллюзии и т. п. А поскольку возможности программирования для современных ЭВМ практически безграничны, то тем самым открываются практически безграничные возможности целенаправленного воздействия как на физическое, так и на психоэмоциональное состояние человека. А поскольку компьютерная техника распространяется в массовом порядке и совершенно бесконтрольно, то над обществом нависает реальная опасность.

Учитывая возможности глубокого воздействия на психику человека и практически неограниченные возможности распространения информации, можно говорить о новом оружии массового поражения — информационном. По силе воздействия информационное оружие является не менее грозным, чем ядерное, но гораздо изощренней по форме воздействия и коварней по способу применения.

Этим предопределяется настоятельная необходимость крупномасштабных и глубоких исследований информационных угроз в целях поиска рациональных путей их эффективной нейтрализации.

Решение этих сложных научно-технических проблем требует адекватного обеспечения, причем основными (или системообразующими) видами обеспечения являются научно-методическое и кадровое.

Остановимся более подробно на проблемах кадрового обеспечения информационной безопасности.

Данный вопрос применительно к первой составляющей обеспечения информационной безопасности — защите информации — имеет достаточно серьезное практическое разрешение и некоторые теоретико-методологические обобщения. Справедливость сказанного можно подтвердить следующими фактами:


Вся совокупность имеющихся результатов по обсуждаемому вопросу дает достаточные основания для того обобщающего вывода, что существующая система кадрового обеспечения в общем соответствует наиболее насущным потребностям текущего времени и вполне может быть принята за основу решения проблемы. Однако при решении вопросов ее совершенствования и развития не обходимо Исходить из того, что существующая система кадрового обеспечения ориентирована пока только на подготовку кадров (хотя и с некоторыми изъянами) по защите информации и слабо ориентирована на перспективу с учетом тенденций развития современной информатики. Исходя из этого, с учетом всех выделенных аспектов проблемы информационной безопасности и перспектив развития информатики, необходимо предпринять попытку формирования системы кадрового ее обеспечения, ориентированной не только на потребности текущего времени, но и обозримого будущего.

Мы же, со своей стороны, учитывая всевозрастающую важность и актуальность проблемы защиты от информации и связанной с ней проблемы защиты от информационного оружия, считаем целесообразным начать подготовительные работы по организации подготовки особых специалистов, которых условно назовем "инструкторами по информационной безопасности".


Статья поступила в редакцию
в июле 1996 г.
Московский государственный
инженерно-физический институт



© Информационное общество, 1996, вып. 4, с. 65-70.