Мы живем в мире мифов и стереотипов, не замечая подчас, что они уже устарели и стали тормозить развитие той или иной деятельности
Вид материала | Документы |
- С определённой отраслью промышленности, той или иной профессией, показать, разнообразие, 34.2kb.
- Использование адаптивной системы обучения, 71.51kb.
- Внастоящее время нельзя назвать область человеческой деятельности, в которой в той, 231.17kb.
- Звучали взрывы. То где-то вдалеке, то совсем рядом. Пулеметные очереди уже стали таким, 1490.54kb.
- Неврозы как помочь ребенку, 284.84kb.
- Шесть мифов о трудоустройстве, 42.58kb.
- Классный час в 9 классе. Тема «Выбор профессии дело серьезное», 123.17kb.
- Г. Пермь ул. Геологов, 7 e-mail: weronika07@mail, 35.97kb.
- «Мифология», 49.48kb.
- Бернард Вербер, 4405.01kb.
2.3.3. Контекстный метод
Контекстный метод в ДОИБ обусловлен принципом полиинтерпретационности, обоснованным в п. 2.2. в качестве герменевтического принципа этой деятельности. Разные контексты, в которых рассматривается то или иное явление в сфере ДОИБ, порождает различные интерпретации последнего. Адекватные представления о функционировании защищаемых объектов могут быть достигнуты только при условии включения знаний о них в различные контексты.
Контекстный метод является выражением принципа несепарабельности, присущего всем гуманитарным явлениям и заключающегося в определяющей роли контекста для смысла любого выражения. Вне контекста этот смысл становится крайне расплывчатым и неопределенным (251, с. 210–213).
Смысл непрерывно меняется в меняющихся контекстах. Ни один контекст, в том числе и первоначальный, не закрепляет окончательно смысла какого-либо высказывания. Всякий смысл бесконечен, поскольку бесконечна история. М.М. Бахтин писал так: «Смыслами я называю ответы на вопросы. То, что ни на какой вопрос не отвечает, лишено для нас смысла... представляется нам бессмысленным, изъятым из диалога... Не может быть «смысла в себе» – он существует только для другого смысла, т. е. существует только вместе с ним. Не может быть единого (одного) смысла. Поэтому не может быть ни первого, ни последнего смысла, он всегда между смыслами, звено в смысловой цепи, которая только одна в своем целом может быть реальной» (48, С. 350).
Суть контекстного метода ДОИБ – включение объектов, фактов и явлений в различные контексты, которые можно разделить на внутренние и внешние. К внутренним, отражающим сущностные аспекты ДОИБ, относятся контекст класса объектов, субъектный, временной, функционально-деятельностный (бизнес-процессный) контексты; к внешним – отраслевой функционально-деятельностный контекст (управленческий, рыночный, научный, образовательный, социокультурный и региональный). Производство и потребление, управление, наука, подготовка кадров – эти основные подсистемы любой отрасли деятельности – существуют и в ДОИБ, а значит лежат в основе многообразия ее контекстов. Названные контексты входят в структуру метода контекстологического анализа объекта защиты специалистом по ЗИ.
Контекст класса объектов – это классификационный контекст. Класс, как известно, – это абстракция множества сущностей реального мира, объединенных общностью структуры и поведения. Специалист по ЗИ, моделируя КСЗИ в процессе ДОИБ, имеет дело с многообразием классов: документов, информационных систем, угроз, уязвимостей, пользователей, правовых средств, организационных средств, программных средств, аппаратных средств, инженерных средств, криптографических средств и др. На эту особенность ДОИБ, называя ее полиморфизмом, обращают специалисты, исследующие объектно-ориентированный подход к моделированию КСЗИ. Понятие полиморфизма трактуется как способность объекта принадлежать более чем одному классу, а потому обосновывается необходимость смотреть на объекты под разными углами зрения, «выделять при построении абстракций разные аспекты сущностей моделируемой предметной области» (114, с. 185).
Несмотря на то, что среди классов объектов присутствует класс пользователей, выделим отдельно в структуре контекстов ДОИБ субъектный контекст.
Субъектный контекст ДОИБ – это контекст различных субъектов – участников ДОИБ. Структура субъектного контекстологического анализа включает в себя всех субъектов информационных отношений, пользователей информационной системы, субъектов-источников потенциальных угроз, реальных нарушителей, специалистов по ЗИ и др. Так, например, согласно нормативным документам по ЗИ, в систему документационного обеспечения ЗИ в организации входят инструкции пользователей, модели нарушителей, рабочие инструкции по отдельным процессам ЗИ для специалистов по ЗИ и др. Нельзя создать КСЗИ без учета контекстов деятельности различных субъектов. Причем, специфическими субъектами в этой структуре являются потенциальные и реальные нарушители.
Результатом субъектного контекстологического анализа объектов защиты является решение практических проблем их информационной безопасности на конкретном предприятии на основе интеграции всех субъектов, имеющих отношение к данным объектам.
Временной контекст ДОИБ – это контекст прошлого, настоящего и будущего. Временной контекст играет определяющую роль на уровне реализации процесса ДОИБ при оценке актуальности угроз защищаемой информации и уязвимостей информационной системы и системы ее защиты, при моделировании угроз и уязвимостей, при осуществлении мониторинга информационной безопасности. Так, согласно «Методике определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (М., 2008), под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация в будущем конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях. Вводятся четыре вербальных градации этого показателя: маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся); низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации); средняя вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны; высокая вероятность – объективные предпосылки для реализации угрозы существуют, а меры по обеспечению безопасности ПДн не приняты. Временной контекст ДОИБ предполагает внедрение на предприятии традиционной или автоматизированной системы мониторинга защиты информации, а также информационно-аналитической системы с прогностическим функционалом. Очевидно, что специалист по защите информации при принятии решений в настоящем должен уметь «путешествовать во времени»: от анализа инциндентов безопасности в прошлом – к определению вероятности реализации угроз в будущем, а также владеть навыками прогностического анализа, иметь хорошо развитую интуицию.
Результатом временного контекстологического анализа объектов защиты является решение практических проблем их информационной безопасности на конкретном предприятии на основе интеграции информации о них на разных временных отрезках времени.
Функционально-деятельностный (бизнес-процессный) контекст ДОИБ – это контекст всех функциональных видов деятельности (бизнес-процессов) организации: производства, управления, инвестиционно-финансовой деятельности, информационно-рекламной деятельности, кадрового менеджмента и др. Фунционально-деятельностный (бизнес-процессный) контекст – это контекст, который выражает и утверждает интегрирующий, полифункциональный характер ДОИБ в организации. Полифункциональность ДОИБ обусловлена специфическим, инфраструктурным характером информации. Суть этого контекста заключается в том, что ДОИБ пронизывает все функциональные виды деятельности организации и все виды ее безопасности. ДОИБ – условие обеспечения экономической, финансовой, инвестиционной, информационной, кадровой безопасности организации в процессе ее производственной, управленческой маркетинговой, рекламной и др. видов ее деятельности. ДОИБ интегрирует в себе все названные функции организации. Для реализации ДОИБ требуется ее включение во все вышеперечисленные контексты: в контекст деятельности по обеспечению экономической, финансовой, кадровой и др. видов безопасности. Названные функции органически связаны друг с другом, неотделимы одна от другой, взаимодополняют и взаимообусловливают друг друга. Бизнес-процессный контекст объектов защиты предполагает, что к ДОИБ должны привлекаться представители различных структурных подразделений предприятия: отделов защиты информации, экономической безопасности, кадровой службы или управления персоналом, стратегического развития, службы безопасности, бухгалтерии, службы делопроизводства и др. Подготовка к ДОИБ должна включать подготовку к этой деятельности не только самих специалистов по ЗИ, но и менеджеров, бухгалтеров, технологов, секретарей-референтов, коммерческих агентов и т. д. Специалист по ЗИ как главный субъект ДОИБ в рамках предприятия должен координировать деятельность всех подразделений по обеспечению ИБ, соединять в одном лице преподавателя, ученого, консультанта по практическим проблемам ИБ.
В процессе ДОИБ должна обеспечиваться и поликонтекстность безопасности информационных технологий. Так, в РД «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий Часть 1. Введение и общая модель» (М., 2002) в разделе 4.1.2. «Контекст безопасности информационных технологий» указывается, что в случае включения продукта ИТ в состав различных систем ИТ, или такое включение предполагается, то «экономически целесообразна отдельная оценка аспектов безопасности подобного продукта и создание каталога оцененных продуктов. Результаты подобной оценки следует выражать таким образом, чтобы имелась возможность использовать продукт в различных системах ИТ без излишнего повторения работ по экспертизе его безопасности» (216).
Результатом функционально-деятельностного контекстологического анализа объектов защиты является решение практических проблем их ИБ на конкретном предприятии на основе интеграции всех функциональных видов деятельности организации.
Полифункциональность ДОИБ в организации обусловливается также ее включением в функционально-деятельностный контекст отрасли информационной безопасности как в Российской Федерации, так и в ее субъектах, а также в зарубежных странах. Этот отраслевой контекст является внешним по отношению к ДОИБ. Управление отраслью ИБ, производство продуктов и услуг в сфере ИБ, наука об ИБ, подготовка кадров для сферы ИБ, – вот отраслевые функциональные виды деятельности, вне контекста которых специалист по ЗИ не может осуществлять свою деятельность. Следовательно, можно выделить управленческий, научно-технологический, образовательный, социокультурный и региональный контексты ДОИБ.
Управленческий контекст ДОИБ – это контекст существующей системы управления информационной безопасностью в России. Управленческий контекст предполагает взаимодействие специалиста по ЗИ с органами – субъектами системы обеспечения информационной безопасности (органами законодательной, исполнительной, судебной властей). ИБ – одна из редких отраслей, деятельность в которой находится под самым жестким контролем регуляторов: ФСБ, ФСТЭК, Роскомнадзора и др. Все основные виды деятельности в сфере ИБ – это лицензируемые виды деятельности. Специалист по ЗИ должен не только видеть себя и свою деятельность элементом единой системы обеспечения ИБ России, но и работать в строгом соответствии с системой нормативных документов в области информационной безопасности (международных, национальных нормативных актов, руководящих документов, СТРК). Заметим при этом, что все сказанное относится не только к защите государственной тайны, но и всех других видов информации ограниченного доступа. Важнейший аспект деятельности специалиста по ЗИ - необходимость видеть свою ДОИБ в контексте государственной политики информационной безопасности России. Подробнее институциональные основы отрасли ИБ – управленческий контекст ДОИБ – мы рассмотрели в п. 1.2.
Научно-технологический контекст ДОИБ – это контекст существующей системы научных знаний об ИБ. Научный контекст играет определяющую роль для смысла любой информации, функционирующей в процессе ДОИБ, а также свидетельствует о высокой наукоемкости последней.
Научный контекст ДОИБ предполагает, что ее субъект должен заниматься научными исследованиями и видеть процесс защиты информации в контексте развития теории ИБ и методологии ЗИ. В соответствии с названным методом роль высококвалифицированного специалиста по ЗИ резко повышается, ибо метод передается от человека к человеку. Это может быть достигнуто только путем вовлечения специалиста по ЗИ в самостоятельную исследовательскую работу. Метод научного контекста требует от специалиста по ЗИ развития творческих способностей. Кроме того, процесс его реализации предполагает ориентацию на повышение научно-творческого потенциала специалиста. Научный контекст требует от специалиста по ИБ, получившего специальное образование, видеть свои знания в общей системе наличных научных знаний, видеть свою профессиональную деятельность в проблемно-научном контексте, уметь находить, формулировать и решать научные проблемы, связанные с проблемами информационной безопасности, с помощью научно-обоснованных технологий, уметь находить многовариантные решения творческих задач, связанных с безопасностью объектов. Уровень знаний, умений, а также творческих способностей специалистов по ИБ должен быть настолько высок, чтобы лучшие их представители могли пополнить ряды ученых, развивающих теорию ИБ в России. Этот факт является наиболее ярким показателем уровня качества ДОИБ.
Научно-технологический контекст утверждает в ДОИБ органическое единство теории и практики ИБ. Наиболее частым изменениям подвержены программно-аппаратные и технические средства защиты информации, классификации информационных угроз, методы оценки информационных рисков, специфические технологии защиты отдельных объектов, в различных отраслях деятельности и т. д. Специалист по ЗИ должен осуществлять мониторинг отраслевого научного знания в сфере ИБ, анализ новых технологий обеспечения ИБ, новых организационных, программно-аппаратных и технических средств защиты информации, предлагаемых на российском и региональных рынках. Императив научно-технологического контекста ДОИБ согласуется с наблюдающейся сегодня эволюцией от традиционного принципа научности к принципу постнеклассической научности, в основе которого лежит органическая связь теории и практики. Это обосновано в одной из наших публикаций (32).
Результатом научно-технологического контекстологического анализа является решение практических проблем ИБ на конкретном объекте на основе научно-обоснованных, инновационных технологий. Подробно технологизационную составляющую отрасли ИБ – научно-технологический контекст ДОИБ – мы рассмотрели в п. 1.2.
Образовательный контекст ДОИБ – это контекст непрерывной профессионализации ДОИБ. По сравнению с другими отраслями, сфера информационной безопасности наиболее консервативна в отношении формальных требований к уровню образования субъектов ДОИБ и стажу их работы, а также к непрерывному повышению их квалификации. Это – лицензионные требования к субъектам ДОИБ, закрепленные нормативными документами. Поэтому специалист по ЗИ должен знать существующую систему подготовки, переподготовки и повышения квалификации кадров в области защиты информации, всех лицензиатов-участников образовательного рынка в области защиты информации и т. д. Все образовательные программы по защите информации должны лицензироваться. Самообразование в отрасли ИБ, в отличие от других отраслей, может только дополнять институциональные формы обучения.
Подробно профессионализацию в отрасли ИБ – образовательный контекст ДОИБ – мы рассмотрели в п. 1.2.
Социокультурный контекст ДОИБ – это контекст системы социокультурной ситуации, социализации в сфере ИБ. Органическое единство когнитивного и аксиологического подходов к пониманию в процессе ДОИБ, обоснованное в рамках разговора о специфике понимающих методов гуманитарного познания, свидетельствует о ярко выраженной культуроемкости этой деятельности. Понимание – это постижение смыслов текстов культуры, оно включает субъектов понимания в диалог смыслов. Как утверждает Д.А. Леонтьев, «смысл как категория постнеклассической науки несет в себе противоречивые «бинарные оппозиции», соединяя объективность познания с субъективностью познающего субъекта, внутреннее бытие смыслов в психологических формах и их реализацию в социально-культурных формах жизнедеятельности в конкретно-исторических условиях, имеющую результатом вполне реальные культурные «продукты» (146).
Социокультурный контекст ДОИБ предполагает формирование и повышение культуры информационной безопасности сотрудников организации, а также их интеллектуальной культуры, информационной культуры, культуры, духовной культуры, культуры общения и поведения, экономической культуры, политической и художественной культуры, способствующих адекватному восприятию окружающей действительности и оценке угроз собственной информационной безопасности. Кроме того, в процессе ДОИБ необходим учет особенностей социально-политической ситуации в регионе, расклада политических сил, отражающегося на интересах конкурентов, партнеров по бизнесу и др. Эта информация может стать источников выявления реальных или потенциальных угроз защищаемой информации. Названные технологии хорошо развиты сегодня в конкурентной разведке (49).
Результатом социокультурного контекстологического анализа объектов защиты является решение практических проблем их информационной безопасности в конкретной организации на основе сложившихся на конкретном этапе развития общества культурных норм и ценностей в сфере информационной безопасности. КСЗИ должна отражать социокультурное многообразие, транслировать культурные ценности сферы информационной безопасности. К ним относятся: не нарушать прав и свобод гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров и почтовых отправлений; не пытаться осуществлять несанкционированный доступ к защищаемой информации, уважать традиции патриотизма и руководствоваться ими и др. (114, с. 91–98). Подробно социокультурную составляющую отрасли ИБ – социокультурный контекст ДОИБ – мы рассмотрели в п. 1.2.
Региональный контекст ДОИБ – это контекст конкретной региональной системы информационной безопасности. Он занимает особое место в системе контекстов ДОИБ. Факты, явления, события обретают иной смысл, если рассматриваются в региональном контексте. Специалисты по ЗИ должны знать региональный срез своей деятельности, региональный рынок защиты информации, его участников, услуги по защите информации, программные и технические средства защиты информации, конкурентов, религиозные и другие деструктивные организации на территории региона, которые оказывают негативные информационные воздействия на информационную среду. Специалист, которому предстоит решать проблемы обеспечения ИБ не в абстрактной, а в конкретной региональной среде, должен владеть механизмами адаптации в последней.
Региональный контекст формируется с помощью региональных систем ИБ. Так, А.А. Кононов разработал трехуровневую структуру управления обеспечением кибербезопасности национально-критических инфраструктур (НКИ): инфраструктуры государственного управления, финансовой, банковской, транспортной, энергетической, ресурсной, коммунального и продуктового обеспечения, инфраструктуры корпораций национального и транснационального масштаба. В нее входят три уровня: центральный, региональный и объектовый. Лишь типизация объектов и моделей угроз НКИ осуществляются на центральном уровне, все остальные восемь задач не могут быть решены без участия регионального структурного уровня, имеющего ярко выраженные специфические особенности (125).
С сожалением приходится констатировать, что в регионах, как правило, отсутствуют такие системы. Органы государственной власти и муниципального управления, хозяйствующие субъекты рынков защиты информации, образовательные учреждения, ведущие подготовку специалистов по ИБ, действуют автономно, без учета региональных потребностей. Это диктует необходимость формирования в каждом регионе региональной политики обеспечения ИБ, о чем шла шла речь в п. 1.2. Проблемами проектирования региональных систем ИБ сегодня активно занимаются многие субъекты федерации. Так, сегодня успешно функционируют региональные системы ИБ в Московской, Воронежской и других областях (142 и др.).
Региональная система ИБ представляет собой совокупность взаимодействующих учреждений и организаций различных форм, типов и видов, а также органов управления ИБ в регионе. Направлениями региональной политики ИБ должны быть:
- обеспечение финансирования и материально-технического снабжения учреждений, осуществляющих подготовку специалистов для сферы ИБ, рациональное использование бюджетных средств;
- формирование на территории региона единого информационно-безопасного пространства, устранение межведомственных барьеров для решения вопросов о повышении уровня ИБ региона, повышения эффективности системы ИБ;
- организация системы мониторинга ИБ региона и выявления потребностей сферы ИБ регионе, формирование регионального рынка защиты информации;
- развитие межрегиональных и международных связей, способствующих решению проблем ИБ региона.
Как никогда, сегодня остра необходимость глубже изучать региональный передовой опыт в сфере обеспечения ИБ, учитывающий условия и потребности регионов. Однако это очень сложно, так как далеко не все торопятся раскрывать собственные секреты, в том числе – секреты собственной безопасности. Дело в том, что сфера безопасности весьма специфична, ибо является «областью привилегированной лжи». В книге «Лингвистика лжи» X. Вайнрих писал: «Существует привилегированная область литературной лжи. Любовь, война, морское путешествие и охота имеют свой язык – как и все опасные занятия, поскольку это важно для их успеха» (61). Сфера информационной безопасности – это передовой фронт информационных войн современности, а значит – привилегированная область лжи, она обладает специфическим языком и технологиями достижения оптимальных результатов.
Региональный контекст проявляется как мониторинг состояния ИБ в регионе, регионального законодательства, регионального рынка ИБ, его новых участников, продуктов и услуг и т. д. В связи с этим остро встает проблема разработки критериев оценки и показателей состояния информационной безопасности в регионе. После их определения необходима разработка паспортов информационной безопасности российских регионов подобно существующим паспортам их информатизации. Подробнее об этом мы писали в нашей статье (33, 114 и др.)
Результатом регионального контекстологического анализа объектов защиты является решение практических проблем их информационной безопасности в конкретной организации с учетом специфики региональной системы информационной безопасности. КСЗИ должна иметь высокую степень адаптивности в региональной среде, а специалист по ЗИ – уметь адекватно оценивать информацию регионального характера в процессе построения КСЗИ, видеть место собственных защищаемых объектов в системе защищаемых объектов региона, быть способным к научно-творческому решению проблем обеспечения ИБ региона в целом.
Таким образом, контекстный метод ДОИБ предполагает контекстологический анализ объектов защиты информации. В структуру этого анализа входят внутренние (класса объектов, субъектный, временной, функционально-деятельностный) и внешние (управленческий, научно-технологический, образовательный, социокультурный, региональный) контексты. В результате всех видов контекстологического анализа объектов защиты информации выделяются их «внетекстовые» связи (между субъектами, временными отрезками, видами функциональной деятельности организации и т. д.) и влияние на них организационно-институциональных (управленческих), научно-технологических, образовательных, социокультурных и региональных факторов, следствием чего может быть изменение смысла информации об этих объектах, угрозах им.