Исходные понятия теории безопасности и их определения

Если же кирпич находился не в руках человека до падения, а лежал на крыше и пришел в движение под влиянием ветра, то нет смысла №обвинять» ветер в этом и силу тяготения. Источником угрозы и в этом случае будет человек, оставивший кирпич на крыше, а не убравший его туда, где он находился бы, не причиняя никому вреда. Однако возможны ситуации, когда даже кирпич, надежно встроенный в стену, может упасть. Например, в результате землетрясения. То есть источником угроз могут быть не только люди, но и природные явления: землетрясения, пожары, наводнения и т.д.

Угрозы можно классифицировать следующим образом:

- с позиции  онтологии: объектные или субъектные;

- с позиции  гносеологии: явные или скрытые;

- с позиции  аксиологии: существенные или несущественные.

  В качестве примера можно привести российский ГОСТ 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию», основанный на таксономической классификации всех возможных факторов, способных негативно воздействовать на информацию в компьютерных системах. По ГОСТ угрозы делятся на классы, подклассы, группы, подгруппы, виды, подвиды. На рисунке приведена схема классификации угроз/факторов до третьего уровня деления (т.е. до групп факторов).

Любой нарушитель для реализации своих замыслов руководствуется определенной мотивацией и намерениями, владеет совокупностью знаний, умений и навыков (способов) совершения противоправных действий с применением технических средств, имеет в своем распоряжении соответствующие технические средства. Он знает систему защиты информации на объекте или имеет возможность доступа к конкретным информационным ресурсам, сам выбирает время и место предполагаемого нарушения.

Можно рассмотреть еще один пример. Как определено в законе "О безопасности" Российской Федерации, обеспечение безопасности личности, общества и государства связано именно с защитой от угроз. Согласно его положениям, угроза безопасности представляет собой "совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства". Другие степени опасности в законодательном порядке не определены. Российским законом содержание деятельности по обеспечению безопасности определяется реальной или потенциальной угрозой, исходящей от внутренних и внешних источников опасности.

К числу угроз национальной безопасности России можно отнести: 
- территориальные претензии; 
- посягательства на государственное единство и территориальную целостность страны; 
- вмешательство во внутренние дела государства; 
- локальные войны и вооруженные конфликты, прежде всего внутри и в непосредственной близости от границ Российской Федерации; 
- распространение ядерного и других видов оружия массового поражения; 
- качественное и количественное наращивание вооруженных сил другими странами близ      границ Российской Федерации 
- международный терроризм; 
- ущемление экономических интересов государства; 
- посягательства на национальное достояние, в том числе природные богатства страны;  
- массовая дискриминация российских граждан в зарубежных странах;  
- нанесение ущерба экологической системе жизнеобеспечения.

Таким образом, вызов будет представлять собой угрозу при наличии таких факторов:

- цели и/или  возможности у действующего объекта  причинить вред искомому субъекту;

- параметров  воздействия, выводящих субъекта  за пределы гомеостаза, т.е. переводящих  его в состояние, из которого  он не сможет вернуться в  исходное;

- неадекватной  и несвоевременной реакции субъекта  на изменение внешних условий.

Основными характеристиками угрозы являются:

1. Вероятность реализации.
2. Размеры ущерба, который может быть причинен в случае ее реализации.

Нет необходимости защищаться от большинства угроз, т.к. они так и остаются угрозами и никогда не перейдут из «возможной» в «действительную». Если же некоторые из них и будут реализованы, то это уже не угрозы, это уже действия. Единичное действие реализации угрозы имеет свое конкретное название – атака. Процесс из нескольких согласованных по цели и по времени атак называется нападением. Главной целью каждого нападения является причинением вреда объекту воздействия.

Также можно рассмотреть определения понятий уязвимость, ущерб.

Уязвимость – это присуще объекту причины обусловленными особенностями хранения, использования, транспортировки, охраны и защиты ресурсов, приводящие к нарушению безопасности конкретного ресурса.

Не существует идеальной системы чего-либо, в каждой есть уязвимости, т.е. свои недостатки, которые могут нарушить целостность и вызвать неправильную работу. Например, уязвимость может быть результатом ошибок программирования, недостатков, допущенных при проектировании системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых. Некоторые уязвимости известны только теоретически, другие же активно используются.

Ущерб – невыгодные для объекта имущественные последствия, возникшие в результате правонарушения (материальный, физический, моральный).

Помимо идентификации и спецификации угроз важное место имеет оценивание угроз, под которым понимается формирование оценок идентифицированных и специфицированных угроз с точки зрения потерь, ущерба, возможных от реализации (воздействия) соответствующих угроз.

Основными факторами оценки являются возможность реализации угрозы и возможный ущерб от реализации угрозы.

Параметром и шкалой оценки возможности реализации угроз является оценка вероятности их реализации. Природа некоторых этих угроз позволяет вычислять эти вероятности на основе известных соответствующих физических закономерностей (априорный подход), но все же в большинстве случаев построить и обосновать аналитические соотношения для вычисления вероятностей реализации угроз не представляется возможным.

В некоторых случаях возможен апостериорный подход, основанный на накопленной статистике проявления соответствующей угрозы в данной или подобной компьютерной системе. Оценки вероятности реализации угрозы при этом вычисляется методом статистических оценок.

Альтернативой аналитическому и статистическому подходу является метод экспертных оценок.

Суть этого метода заключается в том, что в качестве инструментария оценок (в качестве измерительного прибора) выступают специалисты-эксперты, которые на основе профессионального опыта, глубокого представления многокомпонентной природы оцениваемых объектов, дают эвристические оценки по одному или группе параметров.

 

 

 

 

 Определение термина «вред».

Остался еще один вопрос, что следует понимать под термином «вред»?

Вред – это результат воздействия, выразившийся в наступлении нежелательных и/или неблагоприятных последствий для рассматриваемого объекта.  

Понятие "вред" является более широким, чем понятия "убытки" и "ущерб". 
Это обусловлено, тем, что термин "вред", используется в различных отраслях права. В уголовном праве, уголовно-процессуальном праве, помимо имущественного и морального вреда, употребляется еще термин "физический вред". В работах исследователей по гражданскому праву можно встретить наличие имущественного, организационного, неимущественного, нематериального, морального вреда. Термин "вред" должен употребляться и пониматься в более широком смысле по отношению к таким терминам, как "убытки" и "ущерб".

Невозможно установить ни желания, ни интересы субъектов, в качестве которых рассматриваются «личность», «общество» и «государство». Их можно только декларировать в пропагандистских целях.

А все то, что субъект не желает, всем известно.  Первую очередь – потерять жизнь и здоровье, во вторую – потерять свободу, в третью – ухудшить условия своего существования. Но в настоящую информационную эпоху к возможности потерять свободу как возможности действовать по своей воле добавилась возможность потерять свободу думать так, как должно, в соответствии со своими интересами, направленное на свое прогрессивное развитие. Иными словами, объект управления, совершая деятельностный акт, думает, что действует в своих интересах управляющего ситуацией субъекта.

Для социального субъекта как объект воздействия «неблагоприятное последствие» - это, во-первых, нарушение своей структурной целостности (деструкция), во-вторых, нарушение его функциональной цельности (дисфункция), в-третьих, ухудшение условий существования (развития) объекта.

Теперь можно дать обертывающее определение понятию «вред».

Вред – это результат воздействия, выразившийся в:

- нарушении  структурной  целостности, и/или

- нарушении  функциональной целостности, и/или

- значимом ухудшении  условий существования субъекта, снижении его потенций в достижении  целей, направленных на прогрессивное  развитие.

Вред имеет различный оттенок - экономический, экологический, моральный, социальный и т.д. Но, несмотря на это все, в основе понятия "вреда" лежат экономические факторы. Отсюда вред - понятие экономическое. Его составными частями служат понятия ущерб и убыток.

Применительно к природной среде причиненный вред может быть представлен в виде реальных и предполагаемых потерь для нее. Такие потери выражаются в форме ущерба - реальные потери в природной среде (уничтожение лесных массивов, животного мира, истощение вод, снижение плодородия почв и т.п.) и убытков - расходы на восстановление нарушенного состояния природной среды, неполученные доходы, экологические потери.

Вред здоровью проявляется в потерях физиологического, экономического, морального, генетического характера. Вред материальным ценностям направлен на ущемление имущественных интересов собственника - имущества. Это не только государство, но и кооперативные, общественные, частные предприятия и организации. Он может быть в виде потерь урожая сельскохозяйственных структур, гибели сельскохозяйственных животных, уничтожения многолетних насаждений, неполученных доходов.

Сформулировав определение этого понятия, можно сказать, что «вред» не может быть абсолютным. То, что для одного объекта будет расценено как вред, для другого может оказаться благом. Все зависит от свойств системы, присущих ей целей и ценностей, а также критерий оценок. В социальной системе не может быть другого критерия кроме приоритета блага субъекта более высокого структурного уровня. Если интересы отдельного элемента ставятся выше интересов системы как единого целого, система рано или поздно погибнет. Например, защита персональных данных субъекта, скрывающегося от правосудия, для него – благо, для общества и государства – вред.

  Что же такое «благо»?

В обобщенном смысле блага – это определенная совокупность средств, которые позволяют удовлетворить потребности определенного субъекта. В данной рассматриваемой теме «благо» является антонимом понятию «вред». Так же, как и понятие «вред», понятие «благо» не может быть абсолютным.

Существуют различные классификации благ. Блага разделяют на:

1. Внешние и внутренние, а последние - на телесные и душевные.

2. Материальные и духовные, а среди  последних выделяют абсолютное Благо (Бог) и субъективные Блага, т.е. добро, красота, радость и т.д. 
3. Телесные (здоровье, сила), внешние (богатство, честь, слава) и душевные (острота ума, нравственная добродетель).

Блага разделяют по: 
- натуральным характеристикам - продукты и услуги; 
- степени удаленности от конечного потребления - на потребительские блага и ресурсы; 
- длительности использования - на кратковременные и долговременные; 
- характеру потребления - на частные и общественные.

Получается, что выбор объекта, безопасность которого анализируется, полностью определяет содержание всей последующей работы -  мониторинга угроз, прогноза возможных последствий их реализации, разработки и внедрения системы обеспечения безопасности объекта и ликвидации возможных негативных последствий. Не существует безопасность вообще. Может быть только безопасность чего-либо или кого-либо!

Если в качестве объекта безопасности выступает человек (индивид, субъект, социальный актор), то наибольшую опасность для него представляет он сам. Ведь наибольший вред субъекту может быть причинен именно вследствие его собственных действий. Любые действия субъекта приводят к изменению его связей и отношений с окружающими его объектами (внешней средой), что может привести и к ухудшению условий его существования, снижению его потенций в достижении цели или даже к его деструкции или дисфункции. Именно это и принято называть «риском».

 

«Риск» и оценка риска.

«Риск» есть атрибут деятельностного акта, в результате которого субъекту, его совершающему, может быть причинен вред.

Слово риск обозначает возможную опасность либо действие наугад в надежде на удачный исход.

В настоящее время в большинстве случаев под риском понимается возможная опасность потерь, связанных со спецификой тех или иных явлений природы и видов деятельности человеческого общества.

Существование риска обусловлена наличием неопределенности результата деятельности, невозможностью однозначного предсказания конечного результата. Рисковать – значит совершать действие, которое может привести к причинению вреда действующему.

Существует немало определений риска,  в которых он не «привязывается» только к активности субъекта. При таком взгляде риск проявляется не только в результате действий самого субъекта, но и в негативном развитии ситуации или наступлении случайных нежелательных событий. Аргументация здесь основана на том, что риск включает множество других понятий, ключевыми из которых являются опасность и ущерб, которые, в свою очередь, включают совокупность дополнительных понятий и сопутствующих им определений. Риск – это возможность получить ущерб, а опасность – способность причинить ущерб. Поэтому когда говорят о риске, то обычно подразумевают гипотетическую возможность получения ущерба, т.е. реализацию опасности.