Исходные понятия теории безопасности и их определения

Федеральное агентство по образованию

Государственное образовательное учреждение

высшего профессионального образования

«Новосибирский государственный технический университет»

Факультет автоматики и вычислительной техники

Кафедра защиты информации

 

 

 

 

 

 

 

Индивидуальное задание

по дисциплине

«Теоретические основы компьютерной безопасности»

на тему:

«Исходные понятия теории безопасности и их определения»

 

 

 

 

 

 

 

Выполнил: Нургазинова Г.А.

Группа: АБ-021

Проверил: Абденов А.Ж.

 

 

 

 

 

 

 

 

 

 

 

 

 

Новосибирск

2012

 

Содержание:

- Понятие и определение

- Понятие  «вызов» и его определение

- Что  такое «угроза»?

- Определение  термина «вред»

- «Риск»  и оценка риска.

 

Понятие и определение.

В современном мире к понятиям «безопасность», «опасность», «угроза» и т.д. существуют несколько определений к каждому понятию. Но приемлемого понятийного аппарата в области исследований темы безопасности не сформулировано. Ведь категориально-понятийный аппарат является не только основой любой теории, ее основой, но и инструментом, с помощью которого проблема исследуется. И в этой индивидуальной работе мы рассмотрим, какие именно определения должны соответствовать понятиям теории безопасности.

Тема безопасности, защиты информации в настоящее время очень популярна. И для того, чтобы достаточно хорошо знать эту тему, нужен «фундамент», т.е. понятия и определения этой темы. Так у специалистов и ученых, изучающие проблемы безопасности, есть свои системы понятийного аппарата и в каждой из них разные определения для одного понятия. Взгляды и терминология в области проблемы безопасности у специалистов различаются иногда почти до противоположных. И по сути все эти системы составлены неправильно. Это обусловлено многими факторами, среди которых наиболее существенными являются, по мнению Атаманова Г.А.:

- низкий  уровень методической и методологической  подготовки исследователей проблемы  безопасности;

- нежелание, неумение, боязнь, конформизм – у всех по-разному – противостоять утвердившейся в российском научном дискурсе и конституированной российским законодательством абсолютно нелепой парадигмы.

Авторы, пишущие на тему безопасность допускают ряд грубых ошибок. Вот некоторые из них:

- при составлении понятий «безопасность» и «опасность» отсутствует диалектическая связь между этими словами;

- в  большинстве случаев безопасность трактуют как «состояние защищенности»;

- слишком  широкое или слишком узкое  толкование понятия «безопасность»  в исследуемой области;

- трактовка  «безопасности вообще» безотносительно  к объекту безопасности и уровню  его структурной сложности;

- отождествление  безопасности с устойчивостью;

- неверный  выбор объектов и субъектов, источников  угроз;

- отсутствие  единого основания при классификации  видов и подвидов безопасности.

Чтобы дать определения конкретным понятиям, для начала надо определиться, что значат сами слова «понятие» и «определение». Понятие – это мысль (система мыслей), обобщающая, выделяющая предметы некоторого класса по определенным общим и в совокупности специфическим для них признакам. Понятие есть результат применения восприятия. Отсюда понятие в его отвлеченности противостоит конкретности восприятия. Понятие суть «сокращения, в которых мы охватываем, сообразно их общим свойством, множество различных чувственно воспринимаемых вещей» (Ф. Энгельс), а также нечувственных объектов, таких как другие понятия. Понятие не только выделяет общее, но и расчленяет предметы, их свойства и отношения, классифицируя последние в соответствии с их различиями. Так понятие «человек» отражает и существенно общее, и отличие любого человека от всего прочего. Понятие обозначается именем – словом (словосочетанием описательного характера), называемым термином, объяснение значения которого (т.е. содержание обозначенного этим термином понятия) называется определением. Для того чтобы понятие сделать знанием, доступным другим субъектам, ему дается имя и объясняют его содержание.

Различают понятие в широком смысле и научные понятия. Первые формально выделяют общее (сходные) признаки предметов и явлений и закрепляют их в словах. Научные понятия отражают существенные и необходимые признаки; а слова и знаки (формулы), их выражающие, являются научными терминами. В понятии выделяют его содержание и объем. Совокупность предметов, обобщенных в понятии, называется объемом понятия, а совокупность существенных признаков, по которым обобщаются и выделяются предметы в понятии, – его содержанием.

Это существенное с точки зрения методологии научного исследования уточнение. Многие исследователи проблемы безопасности пренебрегают этими нюансами либо просто не знают об их существовании. В результате даже в законах появляются разделы типа «Основные понятия, используемые в законе», в то время как и в законодательных летах, и в научных работах мы имеем дело не с понятиями, а с их именами - терминами и их определениями - дефинициями.

Таким образом, задача формирования категориально-понятийного аппарата сводится к номинации понятия, т.е. присвоению ему имени, и уточнению дефиниции, т.е. формулированию его определения. Определение (дефиниция) понятия есть логическая операция, которая раскрывает содержание понятия или устанавливает значение термина. По сути, определение – это инструмент научного анализа проблемы. И чтобы этот инструмент работал правильно, определения должны формироваться по некоторым, научно обусловленным правилам:

1. Определение должно быть соразмерным, т.е. объем определяющего понятия должен быть равен объему определяемого понятия.
2. Определение не должно содержать круга, т.е. определяемое и определяющее понятие не должно определяться одно через другое.
3. Определение не должно содержать отрицательных признаков.
4. Определение должно быть четким, ясным, указывать на известные признаки, не нуждающиеся в определении и не содержащие двусмысленности.

Многие определения не соответствуют этим требованиям и, к сожалению, никто не хочет этого менять, все привыкли к такому неправильному принятию всех определений.

Каждая наука, отрасль знания имеет свой специфический язык. Поэтому дать определение одним и тем же понятиям можно в различных терминах. Например, в терминах диалектики или системного подхода, а можно в терминах синергетики или какой-нибудь другой новомодной теории. Исходя из того, что опасность и безопасность возникают в процессе взаимодействия объектов реальной действительности, наилучшим вариантом, видимо, будет применение методологии и языка системной теории.

Взаимодействие состоит из воздействий, которые можно представить в виде системы, включающей ряд элементов:

- действующий  объект;

- объект, на который действуют;

- средства  и орудия действия;

- способы  использования средств или методы  действия;

- реакция  объекта, на который действуют (результат, действие).

 

 

 

 

Данная модель позволяет наглядно представить ситуации, которые могут возникнуть в процессе взаимодействия объектов, глубже понять их суть и дать им более правильные определения.

 

Понятие «вызов» и его определение.

После этих уточнений рассмотрим несколько понятий, связанные с темой безопасности. С поддержанием безопасности как стабильного, не допускающего  
неконтролируемых изменений, состояния связано понятие «вызов». В области безопасности это понятие чаще используется со словами «угрозы, риски, опасности», которые иногда используются как синонимы. В настоящее время под термином «вызов» понимается совсем другое, совсем не то, что понималось раньше. В теории безопасности этот термин имеет иное определение.

Вызов – совокупность обстоятельств, воспринятое и осознанное субъектом изменение состояния окружающей среды, которое оказывает на него дестабилизирующее воздействие и потому требующее реагировать на них, чтобы обеспечить свою жизнедеятельность.  

В отличие от риска и угрозы вызов — это то, чему невозможно противостоять и сопротивляться. В то время как риск исходит от вашего собственного действия, а угроза таится в намерениях и действиях другого, вызов порождается объективной логикой текущих процессов и изменений, и суть его в том, что он требует ответных социальных изменений. Дестабилизирующий характер вызова определяется изменчивостью самого общества как динамической системы связей и отношений, неравномерностью и сложностью его динамики, взаимной связанностью всех его элементов. Назревшие в одном сегменте перемены в силу ее целесообразности с необходимостью побуждают меняться соответствующим образом и другие ее части. Знаменитый британский социальный мыслитель А. Тойнби пишет: «Вызов побуждает к росту. Ответом на вызов общество решает вставшую перед ним задачу, чем переводит себя в более высокое и более совершенное с точки зрения усложнения структуры состояние».

Вызов, как правило, есть изменения с внешней стороны, т.е. изменения в окружающей среде. Но сегодня в термин «вызов» входит и изменения внутренние, т.е., «зов», исходящий от другого объекта, от предметов и явлений внешней среды, от элементов структуры исходного субъекта.

Вызов  - это «приглашение» к действию. Изменения должны быть восприняты и осознаны субъектом. Если же он не увидел этих изменений, которые произошли, или же увидел, но не понял их значения, не осознал возможные последствия таких изменений для его дальнейшего существования, не придал им должного значения, то это явление нельзя трактовать как вызов.

В энциклопедическом словаре «Безопасность Евразии» это понятие объясняется как  «содержит в себе потенциальную опасность для других…. Представляют собой зачаточную ступень в формировании угрозы». Другими словами, вызов представляет собой явления и процессы, которые в настоящее время не ставят под вопрос безопасность, но если не принять ряд конкретных мер, то в дальнейшем обеспечение безопасности окажется труднодостижимым или даже невозможным. Так, например, активизация исламского экстремизма непосредственно, «здесь и сейчас» не направлены против России, но они создают обстановку, ухудшающую условия обеспечения национальной безопасности относительно отдаленного будущего. Или же, например,  расширение НАТО на Восток – это, конечно, не угроза, а лишь вызов национальной безопасности России, который вполне возможно перевести в категорию риска в случае успешной дипломатической работы по установлению партнерских отношений и трансформации этого военного блока в организацию коллективной безопасности с участием России. То же самое можно сказать и об экономическом и военном усилении Китая: пока это лишь вызов для национальной безопасности, который сегодня не слишком сложно перевести в категорию риска путем укрепления военно-политических и регламентации экономических отношений (включая строгий контроль над миграционными потоками) с этим важнейшим для России партнером.

Вызовы обычно выступают в виде природных и техногенных опасностей. Примерами вызовов в области природной и техногенной безопасности являются опасность падения на Землю крупных тел, нарастающее изменение глобального климата, перспективы создания новых опасных производств, видов оружия и др. Заблаговременное выявление и осознание вызова очень важно, поскольку позволяет заранее принять меры по предотвращению перехода опасности в форму угрозы.

Ряд исследователей не ограничиваются «двоичной» системой опасностей «вызов – угроза». Но на самом деле вызов не всегда сопряжен с опасностью! При адекватной и своевременной реакции на вызов объект может не только сохранить свое прежнее состояние, но и улучшить его, выйти на новый, более высокий уровень развития.

Несмотря на это, вызов продолжают отождествлять с угрозой. Однако это грубая ошибка. Конечно, любая «угроза» является «вызовом», но не каждый «вызов» - «угроза». «Вызов» делается «угрозой» при «обещании», намерении причинить вред, но не только при этом. «Вызов» становится «угрозой» при наличии цели и/или возможности у действующего объекта (субъекта) причинить вред объекту воздействия.

 

Что такое «угроза»?

Угроза – это демонстрация действующим объектом желания и/или возможности причинить вред объекту воздействия.

В Стратегии национальной безопасности Российской Федерации до 2020 г. Приводится следующее определение: «угроза национальной безопасности» - прямая или косвенная возможность нанесения ущерба конституционным правам, свободам, достойному качеству и уровню жизни граждан, суверенитету и территориальной целостности, устойчивому развитию РФ, обороне и безопасности государства».

По ГОСТ Р 51624-00 дается вот такое определение: «угроза безопасности информации» - совокупность условий и факторов, создающих потенциальную или реальную опасность, связанную с утечкой информации или несанкционированным и непреднамеренным воздействием на нее. Но существование угрозы безопасности само по себе не является достаточным условием нарушения безопасности».

Угроза – это явление, и потому всегда предметна, т.е. она может исходить только от предмета, а не объекта. Так как в качестве объекта может выступать и его качество. Поэтому «источником угроз» может быть только предмет, но не тенденции, стремления, желания или потребности. Источники угроз бывают потенциальными антропогенными, техногенными или стихийными.

Для человека, идущего в недопустимой близости от строящегося дома, источником будет не масса, форма или «полет» кирпича, а другой человек, в руках которого в данный момент кирпич находится. При этом параметры элементов системы – высота здания, состояние другого человека, масса, форма, плотность кирпича – определяют вероятность реализации угрозы и размеры причиненного вреда. Кирпич в данном примере выступает средством, а его падение – способом реализации угрозы, но не самой угрозой, как можно было бы предположить, если следовать логике подавляющего большинства научных и научно-популярных работ на тему безопасности.

Если же кирпич находился не в руках человека до падения, а лежал на крыше и пришел в движение под влиянием ветра, то нет смысла №обвинять» ветер в этом и силу тяготения. Источником угрозы и в этом случае будет человек, оставивший кирпич на крыше, а не убравший его туда, где он находился бы, не причиняя никому вреда. Однако возможны ситуации, когда даже кирпич, надежно встроенный в стену, может упасть. Например, в результате землетрясения. То есть источником угроз могут быть не только люди, но и природные явления: землетрясения, пожары, наводнения и т.д.

Угрозы можно классифицировать следующим образом:

- с позиции  онтологии: объектные или субъектные;

- с позиции  гносеологии: явные или скрытые;

- с позиции  аксиологии: существенные или несущественные.

  В качестве примера можно привести российский ГОСТ 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию», основанный на таксономической классификации всех возможных факторов, способных негативно воздействовать на информацию в компьютерных системах. По ГОСТ угрозы делятся на классы, подклассы, группы, подгруппы, виды, подвиды. На рисунке приведена схема классификации угроз/факторов до третьего уровня деления (т.е. до групп факторов).

Любой нарушитель для реализации своих замыслов руководствуется определенной мотивацией и намерениями, владеет совокупностью знаний, умений и навыков (способов) совершения противоправных действий с применением технических средств, имеет в своем распоряжении соответствующие технические средства. Он знает систему защиты информации на объекте или имеет возможность доступа к конкретным информационным ресурсам, сам выбирает время и место предполагаемого нарушения.

Можно рассмотреть еще один пример. Как определено в законе "О безопасности" Российской Федерации, обеспечение безопасности личности, общества и государства связано именно с защитой от угроз. Согласно его положениям, угроза безопасности представляет собой "совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства". Другие степени опасности в законодательном порядке не определены. Российским законом содержание деятельности по обеспечению безопасности определяется реальной или потенциальной угрозой, исходящей от внутренних и внешних источников опасности.

К числу угроз национальной безопасности России можно отнести: 
- территориальные претензии; 
- посягательства на государственное единство и территориальную целостность страны; 
- вмешательство во внутренние дела государства; 
- локальные войны и вооруженные конфликты, прежде всего внутри и в непосредственной близости от границ Российской Федерации; 
- распространение ядерного и других видов оружия массового поражения; 
- качественное и количественное наращивание вооруженных сил другими странами близ      границ Российской Федерации 
- международный терроризм; 
- ущемление экономических интересов государства; 
- посягательства на национальное достояние, в том числе природные богатства страны;  
- массовая дискриминация российских граждан в зарубежных странах;  
- нанесение ущерба экологической системе жизнеобеспечения.

Таким образом, вызов будет представлять собой угрозу при наличии таких факторов:

- цели и/или  возможности у действующего объекта  причинить вред искомому субъекту;

- параметров  воздействия, выводящих субъекта  за пределы гомеостаза, т.е. переводящих  его в состояние, из которого  он не сможет вернуться в  исходное;

- неадекватной  и несвоевременной реакции субъекта  на изменение внешних условий.

Основными характеристиками угрозы являются:

1. Вероятность реализации.
2. Размеры ущерба, который может быть причинен в случае ее реализации.

Нет необходимости защищаться от большинства угроз, т.к. они так и остаются угрозами и никогда не перейдут из «возможной» в «действительную». Если же некоторые из них и будут реализованы, то это уже не угрозы, это уже действия. Единичное действие реализации угрозы имеет свое конкретное название – атака. Процесс из нескольких согласованных по цели и по времени атак называется нападением. Главной целью каждого нападения является причинением вреда объекту воздействия.

Также можно рассмотреть определения понятий уязвимость, ущерб.

Уязвимость – это присуще объекту причины обусловленными особенностями хранения, использования, транспортировки, охраны и защиты ресурсов, приводящие к нарушению безопасности конкретного ресурса.

Не существует идеальной системы чего-либо, в каждой есть уязвимости, т.е. свои недостатки, которые могут нарушить целостность и вызвать неправильную работу. Например, уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых. Некоторые уязвимости известны только теоретически, другие же активно используются.

Ущерб – невыгодные для объекта имущественные последствия, возникшие в результате правонарушения (материальный, физический, моральный).

Помимо идентификации и спецификации угроз важное место имеет оценивание угроз, под которым понимается формирование оценок идентифицированных и специфицированных угроз с точки зрения потерь, ущерба, возможных от реализации (воздействия) соответствующих угроз.

Основными факторами оценки являются возможность реализации угрозы и возможный ущерб от реализации угрозы.

Параметром и шкалой оценки возможности реализации угроз является оценка вероятности их реализации. Природа некоторых этих угроз позволяет вычислять эти вероятности на основе известных соответствующих физических закономерностей (априорный подход), но все же в большинстве случаев построить и обосновать аналитические соотношения для вычисления вероятностей реализации угроз не представляется возможным.

В некоторых случаях возможен апостериорный подход, основанный на накопленной статистике проявления соответствующей угрозы в данной или подобной компьютерной системе. Оценки вероятности реализации угрозы при этом вычисляется методом статистических оценок.

Альтернативой аналитическому и статистическому подходу является метод экспертных оценок.

Суть этого метода заключается в том, что в качестве инструментария оценок (в качестве измерительного прибора) выступают специалисты-эксперты, которые на основе профессионального опыта, глубокого представления многокомпонентной природы оцениваемых объектов, дают эвристические оценки по одному или группе параметров.

 

 

 

 

 Определение термина «вред».

Остался еще один вопрос, что следует понимать под термином «вред»?

Вред – это результат воздействия, выразившийся в наступлении нежелательных и/или неблагоприятных последствий для рассматриваемого объекта.  

Понятие "вред" является более широким, чем понятия "убытки" и "ущерб". 
Это обусловлено, тем, что термин "вред", используется в различных отраслях права. В уголовном праве, уголовно-процессуальном праве, помимо имущественного и морального вреда, употребляется еще термин "физический вред". В работах исследователей по гражданскому праву можно встретить наличие имущественного, организационного, неимущественного, нематериального, морального вреда. Термин "вред" должен употребляться и пониматься в более широком смысле по отношению к таким терминам, как "убытки" и "ущерб".

Невозможно установить ни желания, ни интересы субъектов, в качестве которых рассматриваются «личность», «общество» и «государство». Их можно только декларировать в пропагандистских целях.

А все то, что субъект не желает, всем известно.  Первую очередь – потерять жизнь и здоровье, во вторую – потерять свободу, в третью – ухудшить условия своего существования. Но в настоящую информационную эпоху к возможности потерять свободу как возможности действовать по своей воле добавилась возможность потерять свободу думать так, как должно, в соответствии со своими интересами, направленное на свое прогрессивное развитие. Иными словами, объект управления, совершая деятельностный акт, думает, что действует в своих интересах управляющего ситуацией субъекта.

Для социального субъекта как объект воздействия «неблагоприятное последствие» - это, во-первых, нарушение своей структурной целостности (деструкция), во-вторых, нарушение его функциональной цельности (дисфункция), в-третьих, ухудшение условий существования (развития) объекта.

Теперь можно дать обертывающее определение понятию «вред».

Вред – это результат воздействия, выразившийся в:

- нарушении  структурной  целостности, и/или

- нарушении  функциональной целостности, и/или

- значимом ухудшении  условий существования субъекта, снижении его потенций в достижении  целей, направленных на прогрессивное  развитие.

Вред имеет различный оттенок - экономический, экологический, моральный, социальный и т.д. Но, несмотря на это все, в основе понятия "вреда" лежат экономические факторы. Отсюда вред - понятие экономическое. Его составными частями служат понятия ущерб и убыток.

Применительно к природной среде причиненный вред может быть представлен в виде реальных и предполагаемых потерь для нее. Такие потери выражаются в форме ущерба - реальные потери в природной среде (уничтожение лесных массивов, животного мира, истощение вод, снижение плодородия почв и т.п.) и убытков - расходы на восстановление нарушенного состояния природной среды, неполученные доходы, экологические потери.

Вред здоровью проявляется в потерях физиологического, экономического, морального, генетического характера. Вред материальным ценностям направлен на ущемление имущественных интересов собственника - имущества. Это не только государство, но и кооперативные, общественные, частные предприятия и организации. Он может быть в виде потерь урожая сельскохозяйственных структур, гибели сельскохозяйственных животных, уничтожения многолетних насаждений, неполученных доходов.

Сформулировав определение этого понятия, можно сказать, что «вред» не может быть абсолютным. То, что для одного объекта будет расценено как вред, для другого может оказаться благом. Все зависит от свойств системы, присущих ей целей и ценностей, а также критерий оценок. В социальной системе не может быть другого критерия кроме приоритета блага субъекта более высокого структурного уровня. Если интересы отдельного элемента ставятся выше интересов системы как единого целого, система рано или поздно погибнет. Например, защита персональных данных субъекта, скрывающегося от правосудия, для него – благо, для общества и государства – вред.

  Что же такое «благо»?

В обобщенном смысле блага – это определенная совокупность средств, которые позволяют удовлетворить потребности определенного субъекта. В данной рассматриваемой теме «благо» является антонимом понятию «вред». Так же, как и понятие «вред», понятие «благо» не может быть абсолютным.

Существуют различные классификации благ. Блага разделяют на:

1. Внешние и внутренние, а последние - на телесные и душевные.

2. Материальные и духовные, а среди  последних выделяют абсолютное Благо (Бог) и субъективные Блага, т.е. добро, красота, радость и т.д. 
3. Телесные (здоровье, сила), внешние (богатство, честь, слава) и душевные (острота ума, нравственная добродетель).

Блага разделяют по: 
- натуральным характеристикам - продукты и услуги; 
- степени удаленности от конечного потребления - на потребительские блага и ресурсы; 
- длительности использования - на кратковременные и долговременные; 
- характеру потребления - на частные и общественные.

Получается, что выбор объекта, безопасность которого анализируется, полностью определяет содержание всей последующей работы -  мониторинга угроз, прогноза возможных последствий их реализации, разработки и внедрения системы обеспечения безопасности объекта и ликвидации возможных негативных последствий. Не существует безопасность вообще. Может быть только безопасность чего-либо или кого-либо!

Если в качестве объекта безопасности выступает человек (индивид, субъект, социальный актор), то наибольшую опасность для него представляет он сам. Ведь наибольший вред субъекту может быть причинен именно вследствие его собственных действий. Любые действия субъекта приводят к изменению его связей и отношений с окружающими его объектами (внешней средой), что может привести и к ухудшению условий его существования, снижению его потенций в достижении цели или даже к его деструкции или дисфункции. Именно это и принято называть «риском».

 

«Риск» и оценка риска.

«Риск» есть атрибут деятельностного акта, в результате которого субъекту, его совершающему, может быть причинен вред.

Слово риск обозначает возможную опасность либо действие наугад в надежде на удачный исход.

В настоящее время в большинстве случаев под риском понимается возможная опасность потерь, связанных со спецификой тех или иных явлений природы и видов деятельности человеческого общества.

Существование риска обусловлена наличием неопределенности результата деятельности, невозможностью однозначного предсказания конечного результата. Рисковать – значит совершать действие, которое может привести к причинению вреда действующему.

Существует немало определений риска,  в которых он не «привязывается» только к активности субъекта. При таком взгляде риск проявляется не только в результате действий самого субъекта, но и в негативном развитии ситуации или наступлении случайных нежелательных событий. Аргументация здесь основана на том, что риск включает множество других понятий, ключевыми из которых являются опасность и ущерб, которые, в свою очередь, включают совокупность дополнительных понятий и сопутствующих им определений. Риск – это возможность получить ущерб, а опасность – способность причинить ущерб. Поэтому когда говорят о риске, то обычно подразумевают гипотетическую возможность получения ущерба, т.е. реализацию опасности.