Значение этических мер в процессе обеспечения информационной безопасности

Проблемы обеспечения информационной безопасности сегодня приобретают особую актуальность. При выработке подходов к решению задач безопасности на первый план выходит защита всех категорий субъектов информационных отношений от нанесения морального, материального или иного вреда в результате преднамеренных или случайных воздействий. В свою очередь, интересы субъектов информационной безопасности заключаются в сохранении конфиденциальной, персональной, экономической, политической и касающейся других сторон деятельности информации от неправомерного ее использования: фальсификации, разглашения, незаконного тиражирования и уничтожения.

В целях обеспечения перечисленных свойств информации и системы, а также предупреждения опасностей информационного характера введены следующие меры противодействия угрозам безопасности: организационные, физические и технические, правовые и морально-этические. Из них физические меры безопасности представляют собой механические и электромеханические устройства и сооружения, возводимые с целью создания преград на всех путях потенциальных нарушителей к защищаемой информации в автоматизированной информационной системе, кроме этого в данную категорию относят охранные сигнализации, средства связи и визуального наблюдения. Технические средства защиты информации заключаются в аппаратном и программном обеспечении, входящим в состав автоматизированной системы. К основным функциям этой категории средств относят процессы идентификации и аутентификации пользователей, разграничение доступа к ресурсам, аудит, криптографические методы защиты информации и т.д. Организационные, или административные, меры представляют собой регламентирующие правила работы автоматизированной системы обработки информации, правила использования ресурсов, работу персонала, а также все во- просы взаимодействия пользователей с системой с целью исключить возможность реализации угроз различного характера на содержащуюся информацию.

Стоит отметить, что административные меры защиты информации скорее необходимы для обеспечения эффективного поддержания каких-либо других видов средств защиты, но обеспечить необходимый уровень безопасности, основываясь исключительно на административных мерах, невозможно из-за присущего ряда серьезных недостатков. В первую очередь, если в организационной структуре низкий уровень дисциплины и правопорядка, то вести речь об эффективном функционировании данного вида мер бессмысленно, кроме того, с их применением связаны дополнительные неудобства работы с большим объемом формальной деятельности. Еще один недостаток - это «склонность людей нарушать любые установленные дополнительные организационные правила, если их только можно нарушить» [1]. В подобных случаях физические и технические меры защиты применяют для сглаживания недостатков организационных мер методом установки барьеров на пути злоумышленника, а также с целью привести к минимуму возможные нарушения персонала и пользователей системы, неумышленно допущенные (путем ошибок или по халатности). Основная характеристика физических и технических мер защиты заключается в том, что они строятся на основе аппаратных и программных средств и средств связи, формируя защиту автоматизированной системы обработки информации. Размер и сложность систем защиты на основе программных средств находятся в дихотомии с развитием организации. Технические средства, развиваемые в одном или нескольких направлениях и требующие определенного программного обеспечения, в известном смысле определяют деятельность по технической защите каждой организации. Но необходимо отметить, что возможность построить эффективную и бесперебойно функционирующую систему на основе одних технических средств защиты исключена. Эффективность функционирования системы защиты информационной безопасности зависит от суммы объективных и субъективных характеристик, главная из которых степень качества аппаратного и программного обеспечения, заложенного в ее основе.

Качеством программного продукта, согласно определению в соответствии со стандартом ISO 8402:1994, является совокупность характеристик объекта, относящихся к его способности удовлетворить установленные и предполагаемые потребности. С точки зрения тестирования программного продукта, существует деление на два вида качества: внешнее и внутреннее. Внешнее качество программного обеспечения - его способность удовлетворить потребность конечного пользователя. Внутреннее качество программного обеспечения определяется удобством его производства, технологичностью, стандартизованностью, безопасностью. Указанные виды качества программного обеспечения связаны с реализацией процессов жизненного цикла программного обеспечения [2, с. 188]. Необходимо сказать, что достаточно продолжительное время программные продукты были нацелены на повышение продуктивности, при этом неоправданное количество усилий тратилось на избавление от ошибок, тестирование ради улучшения качества. В настоящее время 60% наиболее квалифицированных специалистов заняты отладкой и улучшением программ. Сегодня именно качество программных средств, а не их продуктивность является решающим фактором в процессе производства. Э. Деминг, обучивший в первой половине прошлого столетия специалистов Японии принципам контроля за качеством продукции, чем способствовал экономическому возрождению и усилению Японии после Второй мировой войны, сформулировал 14 правил, максимизирующих результат повышения качества информационных технологий:

• 1.    Определите постоянные цели совершенствования качества компьютерных программ. Чтобы удовлетворить это правило, необходимо понять, что такое качество компьютерных программ, и объяснить это пользователю. Определите операциональный инструментарий совершенствования программ. Определите, какие преимущества это дает. Используйте автоматизацию программирования и точно укажите ресурсы, какими Вы располагаете для совершенствования качества программ.

• 2.    Примите новую философию. Ошибки и недостатки как в компьютерных программах, так и в аппаратах - неизбежный спутник информационных технологий. Неработающие про-

• граммы, несоответствующие спецификации компьютеров, технари, не приемлющие новшества или неправильно ими пользующиеся, менеджеры, не способные принимать или неправильно применяющие информационные технологии, – вот что нужно постоянно иметь в виду и с чем необходимо бороться. В этом плане очень важны самосовершенствование, стремление к новому, постоянный тренинг.

• 3.    Устраните зависимость от экспертизы как средства улучшения качества. Экспертиза обычно осуществляется после того, как продукт завершен. Это слишком поздно, поэтому программный продукт необходимо совершенствовать в процессе его создания, постоянно корректировать и улучшать, не дожидаясь завершения.

• 4.    Откажитесь от практики получения прибыли только с помощью цен. Вместо этого минимизируйте общие затраты, начав работать с одним поставщиком, или сократите количество поставщиков, что является одним из способов улучшения качества. Проблема состоит в том, чтобы найти поставщика или поставщиков, способных достичь нужного уровня качества и выработать вместе с ними необходимую для этого стратегию. Надо ясно осознать, что цена не имеет никакого значения без соответствующих мер по достижению качества.

• 5.    Постоянно улучшайте качество программного обеспечения. Не существует «приемлемого» уровня качества, его повышение это непрекращающийся процесс. Оценивая качество своего продукта, анализируйте достижения конкурентов, реальных и потенциальных, выработайте меры по усилению конкурентоспособности своего программного обеспечения.

• 6.    Введите обучение на рабочем месте. Используйте для этого тьюторов. Обучение в служебное время поможет уточнить свои представления о том, какого уровня качества необходимо добиваться, а тем, кто проходит обучение, понять, что от них ожидают.

• 7.    Разработайте и введите институт руководителей-инспекторов. Инспектор должен помогать служащим в разрешении их производственных проблем, уметь найти причину ошибки и устранить ее, разработать производственную стратегию, исходя из анализа ошибок в прошлом. Одна из главных задач инспектора – научиться использовать в своей работе результаты опросов компьютерных пользователей.

• 8.    Перестаньте обвинять сотрудников в ошибках системы. Люди не могут работать эффективно, не имея возможности делать свои замечания, а для того, чтобы высказывать свое мнение, они должны чувствовать себя в безопасности.

• 9.    Устраните барьеры между службами отделов. Изучите проблемы всех служб. Поощряйте заинтересованность персонала одной службы делами смежных служб.

• 10.    Откажитесь от выраженных в цифрах целей, лозунгов и плакатов, заклинающих работать людей лучше. Вместо этого демонстрируйте готовность менеджеров содействовать служащим в улучшении качества их работы.

• 11.    Откажитесь от выраженных в цифрах квот для рабочих и выраженных в цифрах целей для менеджеров. Лучше сделать целью устранение ошибок и дефектов и сфокусироваться на способах оказания поддержки служащим, стремящимся улучшить качество своей работы. Важно, чтобы люди четко знали, какую задачу ставит перед собой организация и как их деятельность способствует выполнению этой задачи.

• 12.    Устраните барьеры, мешающие людям гордиться своей работой. Откажитесь от ежегодного рейтинга или системы оценок. Вместо этого введите систему обратной связи, и люди всегда будут знать, что они сделали не так и что необходимо исправить.

• 13.    Введите программу обучения и самосовершенствования для каждого. Люди должны быть уверены, что будут и в дальнейшем иметь работу, и должны знать, какие новые навыки пригодятся им, чтобы ее сохранить.

• 14.    Привлеките каждого работающего в области информационных технологий к разработке стратегии трансформации. Создайте группу в сфере высшего менеджмента, которая ежедневно будет формулировать 13 приоритетных задач, исходя из которых менеджер в области информационной технологии должен создать ударную группу, руководимую экспертом-консультантом [3, с. 68].

Американский гуру качества, физик, статистик Э. Деминг достаточно ясно отвечает на вопрос относительно повышения качества информационных технологий, определяя основные направления концентрации усилий с целью максимизирования результата. С его точки зрения, техническая сторона вопроса заключается на повороте к процессоориентированному подходу обеспечения качества, обязывающего проводить контроль качества и исправления ошибок на каждом этапе разработки программных средств, экономическая сторона решения этой приоритетной задачи сводится к сокращению количества поставщиков. Большое внимание уделено созданию особой психологической атмосферы внутри предприятия: отказа от рейтинговой системы оценок, введения системы обратной связи, устранения барьеров, мешающих людям гордиться результатами своей работы, а также поддержание в них уверенности в завтрашнем дне. Ставка в погоне за качеством информационного продукта сделана на повышение уровня образования, постоянного обучения и самосовершенствования персонала. Специалисты, не приемлющие новшества, и неквалифицированный персонал организации являются объектами особого внимания, с недостатками профессионализма которых идет процесс постоянной борьбы.

«Будущее информационной технологии зависит от способности профессионалов создавать высококачественное программное обеспечение» [4, с. 71], в подтверждение данного высказывания специалисты отмечают, что важное отличие программного обеспечения от других промышленных продуктов заключается в сильном влиянии человеческого фактора на производство программного продукта, так как производство программного продукта интеллектуальная и творческая деятельность [3, с. 188].

Таким образом, качество информационной технологии, образующей каркас системы безопасности, зависит, прежде всего, от профессиональных и личностных характеристик рабочего, как убеждает новая философия: ошибки и недостатки как в компьютерных программах, так и в аппаратных средствах – неизбежный спутник информационной технологии, повышение качества это непрекращающийся процесс, что свидетельствует о необходимости постоянной работы с персоналом организации в целях повышения образовательного уровня, формировании благоприятной психологической атмосферы в коллективе и воспитании определенных морально-этических установок.

Анализируя статистику возможных сбоев и нарушений системы безопасности, согласно данным Национального института стандартов и технологий США (NIST), мы пришли к выводу, что лишь 10% случаев приходится на преднамеренные попытки получения несанкционированного доступа через внешние источники, 4% всех возможных нарушений занимают вирусы, 15% относятся к проблемам физической безопасности. Наиболее распространенными источниками нарушений безопасности являются непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационную систему, на их долю приходится 55% случаев, 16% действия обиженных и нечестных сотрудников организации. Уволенные сотрудники, знакомые с порядками в организации, как оказалось, способны весьма эффективно навредить. Виновными в кражах и подлогах в большинстве расследованных случаев оказывались штатные сотрудники организации, отлично знакомые с режимом работы и защитными мерами [5, с.77]. Приведенные статистические данные подсказывают основные направления работы администрации и персонала организации по направлению усилий с целью снижения угроз безопасности. Примеры наиболее распространенных источников нарушений безопасности еще раз доказывают особую роль принятия правовых и морально-этических мер защиты информации в процессе построения системы информационной безопасности.

Законодательные, или правовые, меры защиты информации представляют собой нормативные акты, определяющие правила использования информационных ресурсов в стране, степень ответственности и наказания за их нарушения, тем самым являясь сдерживающим фактором от неправомерного использования информации [1].

Морально-этические меры защиты информационной безопасности складываются из традиционно сложившихся в стране или в обществе норм поведения и правил обращения с информацией. Указанные правила чаще не упомянуты в законодательном своде требований, в то же время следствием их несоблюдения является падение авторитета человека или организации. Морально-этические меры бывают в виде общепризнанных норм чести, патриотизма и т.д., а также в виде оформленных в некий свод предписаний или правил [1].

Данные меры задают правила обращения с информацией и накладывают определенную степень ответственности за их несоблюдение. Обычно на этом уровне работы применяемых мер различают два направления: создание и поддержание в обществе негативного отношения к нарушениям и нарушителям по отношению к информационной безопасности, в том числе и карательного характера. Второе заключается в координации действий, направленных на повышение уровня образованности и информированности общества в области информационной безопасности. Необходимо заметить, что морально-этические и правовые меры противодействия в некотором смысле являются универсальными мерами на всех этапах построения системы защиты. В одних случаях они являются единственными мерами защиты информации от неправомерных действий: злоупотребления служебным положением при работе с информацией, защита открытой информации от незаконного тиражирования и т.д. В других случаях люди просто не совершают противоправных действий не потому, что это технически сложно или невозможно, но потому, что подобные действия выходят за рамки допустимых норм в обществе, они осуждаются и, более того, наказываются.

Юридическая ответственность за правонарушения в информационной сфере на первый взгляд кажется одним из эффективнейших способов регулирования общественных отношений. Но реальность такова, что на правовом уровне вопросы гражданско-правовой ответственности за нарушения информационной безопасности не находят своего отражения, развитие законодательства в данной области отстает от темпов роста технологий и числа преступлений в информационной среде. Кроме того, сложившаяся ситуация в области применения информационных технологий требует согласования нормативно-правовой базы государства с международной практикой. В России это касается, прежде всего, разработки стандартов и сертификационных нормативов согласно международному уровню как в области информационной безопасности, так и в области информационных технологий в целом. Первая причина, почему необходимы усилия в данном направлении, - это требование защищенного взаимодействия с зарубежными партнерами, вторая - приоритетное преобладание на рынке информационных технологий аппаратно-программных средств зарубежного производства.

Следующее пожелание, также основанное на зарубежном опыте, касается координации характера направления разработки и применения законодательных мер. Такая новая область деятельности, как информационная безопасность, требует применения мер скорее не карательного характера, а в первую очередь разъяснительного: в подобной ситуации важно научить оказать помощь, чем запретить и наказать. Сегодня общество должно ясно осознать всю важность проблемы, увидеть и понять возможные пути решения поставленных задач. В связи с этим необходимо скоординировать усилия научного, учебного и производственного плана. От государства в частности и общества в целом требуются интеллектуальные вложения, направленные на формирование морально-этических установок функционирования в информационной среде.

Таким образом, согласно известному утверждению: принципиально невозможно построить абсолютно (идеально) надежную систему защиты информационной безопасности, нельзя считать, что только с помощью физических и технических (аппаратных и программных) средств возможно построить систему защиты безопасности. Поскольку в первую очередь стойкость системы безопасности определяется стойкостью персонала, повышение ее уровня происходит за счет кадровых, законодательных и морально-этических мер. Но даже совершенных законов и грамотной кадровой политики недостаточно для конечного решения проблемы защиты. Потому как даже самый надежный человек способен случайно допустить неумышленное нарушение, кроме того, не существует в практике такого персонала, в отношении которого невозможно предпринять действий, подстрекающих его пойти на нарушение.

В данной ситуации острую актуальность приобретают морально-этические меры, являющиеся первым и последним рубежом в построении системы защиты информационной безопасности. Морально-этические принципы и ответственность каждого, основанные на принятых правилах поведения и подкрепленные мерами законодательного характера, выступают решающим фактором регулирования деятельности человека в процессе обеспечения информационной безопасности.