Несколько лет назад Британский Институт Стандартов (BSI) при поддержке группы коммерческих организаций приступил к разработке стандарта информационной безопасности ВS7799. При разработке стандарта ставилась задача обеспечения государственных и коммерческих организаций инструментом для создания эффективных систем информационной безопасности на основе современных методов менеджмента.

Стандарт ВS7799 - модель системы менеджмента, которая определяет общую организацию, классификацию данных, системы доступа, направления планирования, ответственность сотрудников, использование оценки риска и т. д. в контексте информационной безопасности. В процессе внедрения стандарта создается так называемая система менеджмента информационной безопасности, цель которой - сокращение материальных потерь, связанных с нарушением информационной безопасности. Структура стандарта позволяет выбрать те средства управления, которые имеют отношение к конкретной организации или сфере ответственности внутри организации. Выделяется ряд ключевых элементов управления, представляющиеся авторам фундаментальными:

1. Политика по информационной безопасности.

2. Распределение ответственности за информационную безопасность.

3. Образование и тренинг по информационной безопасности.

4. Отчетность по инцидентам с безопасностью. Защита от вирусов.

6. Обеспечение непрерывности работы.

7. Контроль копирования лицензируемого и программного обеспечения.

8. Защита архивной документации организации.

9. Защита персональных данных.

10. Реализация политики по информационной безопасности.

Видно, что наряду с элементами управления для компьютеров и компьютерных сетей стандарт уделяет большое внимание вопросам разработки политики безопасности, работе с персоналом, обеспечению непрерывности производственного процесса, юридическим требованиям. Безусловно, далеко не все 109 пунктов стандарта применимы в условиях каждой организации, поэтому авторами стандарта выбран подход, при котором стандарт используется как некое "меню", из которого следует выбрать элементы, применимые в данных конкретных условиях. Этот выбор проводится на основе оценки риска и тщательно обосновывается.

Как известно, в математической статистике, риск определяется как произведение возможной потери на вероятность того, что эта потеря произойдет. Под потерями понимаются материальные потери, связанные с нарушением следующих свойств информационного ресурса:

- конфиденциальность - защищенность информации от несанкционированного доступа;

- целостность - защищенность информации от несанкционированного изменения, обеспечение ее точности и полноты;

- доступность - возможность пользоваться информацией, когда потребуется, работоспособность системы.

1. Что может угрожать информационным ресурсам организации (компьютерам, средствам связи, данным и т. д.)?

2. Какова подверженность этим угрозам, то есть что может произойти с тем или иным информационным ресурсом?

3. Если это произойдет, то насколько тяжелыми будут последствия. Каков возможный ущерб?

4. Насколько часто следует ожидать подобных происшествий?

МИД РФ может не пользоваться Британским стандартом, но тогда для эф-фективного обеспечения информационной безопасности вынуждено будет разрабатывать свои собственные стандарты. Это обусловлено тем, что XXI в. стал веком глобального автоматизированного информационного пространства - как следствие перехода от "индустриального" к принципиально новому "постиндустриальному", или "информационному" обществу.

В XXI в. в области информатики прогнозируется реаль-ная перспектива построения в Европе мощного очага многополярного мира в противовес господствующей до сих пор монополярной концепции США. "Американский акцент" в этом процессе должен измениться. В новой ситуации встает вопрос о выработке и развитии европейской идентичности, понимаемой как самостоятельная Большая Европа, включая Россию.

Сильнейшим рычагом выравнивания существующей монополярной ситуации был бы мощный рывок Европы в этой сфере. Эффективность такого рывка зависит прежде всего от создания "системы кровообращения" информационного общества на базе так называемого "Европейского информационного пространства" (ЕИП). Его основу составляют развитые автоматизированные базы данных и компьютерные телекоммуникационные сети государств континента.

Среди глобальных информационных сетей, образующих инфраструктуру современного общества, особое место занимает Интернет.

В 2000 г. число пользователей глобальной сети составляло 377 млн. (на долю США приходилось 50% этой величины). Согласно прогнозам, к 2005 г. системой ИНТЕРНЕТ будет пользоваться один миллиард человек, то есть примерно 15% населения Земли.

К этому времени Европа должна обогнать США по данному показателю. Ожидаемая сумма прироста доходов на развитие ИНТЕРНЕТ в ближайшие 4 года возрастет до огромной суммы 5 трлн. долл., то есть примерно до одной десятой глобального ВВП (по-рядка 50 трлн. долл.).

К сожалению, Россия заметно отстает в этой области. По экспертным оценкам, число пользователей ИНТЕРНЕТ в нашей стране составляло в 2000 г. скромную величину порядка 4 млн. чел. Приходится констатировать, что годовые бюджетные расходы РФ на информатику пока специально не предусматривались.

Конкретным прообразом "строительства здания" ЕИП могут служить некоторые действующие проблемно-ориентированные информационные сети, например, "Европейская информационная сеть по международным отношениям и региональным исследованиям" (ЕИСМОРИ) и "Международная сеть по проблемам безопасности" (МСБ). 

Одними из основных целей Международной информационной сети по проблемам безопасности (ISN) являются: 

- обеспечение информационной безопасности,

- предотвращение информационных войн и военных конфликтов.

Одним из партнеров ISN является Институт Европы РАН.

Основными компонентами ISN являются:

1. Компьютерные библиотечные фонды, ориентированные на проблемы международных отношений и международной безопасности.

Центр ISN содержит директорию, обеспечивающую доступ в реальном времени к библиотечным сайтам международных организаций, правительственных органов, исследовательских институтов.

2. Система быстрого поиска полнотекстовой служебной информации в виде документов по проблемам безопасности.

В этой системе используются: развитые средства индексирования и программного обеспечения EUROSPIDER, многоязычные те-заурусы и другие средства.

3. Обзоры текущих мировых событий, основанные на выборочных официальных документах, характеризующих политические кризисы и конфликты, международные конференции и совещания.

По этим проблемам регулярно выпускается специали-зированный бюллетень в виде электронной почты.

4. Информация по проблемам образования в области международных отношений и проблем безопасности.

В частности, эта информация включает в себя компьютеризированные массивы Швейцарии по образованию, по проблемам безопасности, распространения вооружений, истории международных отноше-ний и т.д.

5. Помощь в проведении различных форумов по проблемам безопасности.

Этот вид сервиса включает в себя формирование программ и проведение электронных международных конферен-ций (оn-line). Проводятся также свои собственные конференции и электронные форумы по ключевым проблемам международных отношений и проблемам безопасности.

6. Фактическая информация (базы данных): статистика, различные структурные показатели в области международных отношений и проблем безопасности.

Этот вид деятельности осуществляется в сотрудничестве со Стокгольмским исследовательским институтом по проблемам мира SIPRI.

Актуальность разработки представления об информационно-психологической безопасности (ИПБ) как состояния защищенности людей от воздействий, способных изменять психические свойства и индивидуальные психические процессы и состояния людей, стала осознаваться лишь в последние два-три года. Эти воздействия, осознаваемые или неосознаваемые, могут приводить и в действительности приводят к серьезным нарушениям психического и физического здоровья, нарушениям естественных и культурно заданных норм поведения, к росту рискованных социальных и личностных ситуаций, к искажениям представлений человека о мире и о самом себе.

Институтом психологии РАН разработана концепция информационно-психологической безопасности, основу которой составляет понятие негативных информационно-психологических воздействий, а суть ИПБ сводится к защите граждан, отдельных групп и социальных слоев, массовых объединений людей и населения в целом от этих негативных воздействий.

Информационно-психологическая безопасность - это предотвращение опасностей, вызываемых информационными воздействиями или, другими словами, минимизация информационно-психологических факторов риска.

В некоторых случаях вместо понятия "опасность" целесообразно использовать термин "угроза" и тогда рассматривать информационные воздействия как информационно-психологические факторы риска (ИПФР).

Отдельные виды воздействий, обращенные к населению в целом или адресованные конкретным лицам, социальным слоям и группам, политическим партиям и движениям, способны серьезно нарушить нормальное функционирование и жизнедеятельность социальных институтов, государственных струк-тур, общественных организаций, объединений граждан и отдельных лиц. Эти воздействия квалифицируются как негативные, если вызывают психоэмоциональную и социально-психологическую напряженность, искажение нравственных критериев и норм, морально-политическую дезориентацию и, как следствие, неадекватное поведение отдельных лиц, групп и масс людей. Их основные последствия - глубокие трансформации индивидуального, группового и массового сознания, изменения морально-политического и социально-психологического климата в обществе.

Можно предложить подход к конкретизации и структурированию предметной области ИПБ, основанный в большей мере на аналогии с факторами риска, концепция которых успешно применяется при оценках физического и психического здоровья населения в условиях природных и технологических катастроф. Их знание и отслеживание позволяют своевременно принять меры безопасности. Под информационно-психологическими факторами риска (ИПФР) понимаются такие характеристики информации (в некоторых случаях предпочтительнее говорить "информационных воздействий"), которые потенциально опасны для нормальной жизнедеятельности общества по причинам, обусловленным, с одной стороны, психологическими закономерностями продуцирования, передачи и восприятия информации и, с другой стороны, психологическими эффектами, вызываемыми этими воздействиями.

Наиболее значимые типы ИПФР:

1. Ложная информация, поступающая через СМИ; искаженное продуцирование информации должностными лицами, отвечающими за информирование населения;

2. Непроизвольные ошибки или сознательные действия, допускаемые лицами, осуществляющими ввод данных в информационно-управляющие системы.

3. Искажения информации в процессе ее отбора, сжатия и представления при подготовке решений руководителями различных рангов.

4. Недостаточный учет психологического настроя и конкретных условий восприятия телевизионных и радиопередач различными слоями населения.

5. Низкое качество каналов передачи информации, предназначенной для обеспе-чения повседневной жизнедеятельности людей (на транспорте, в сфере социальных услуг и т.д.). Опасность состоит в стрессовом воздействии данного фактора, в формировании недоверия к источникам информации.

Источниками ИПФР являются:

- низкий уровень культурного развития значительной части российского общества;

- недостаточное развитие психологии массовых коммуникаций и нехватка специалистов, занимающихся информированием населения;

- политическая и идеологическая ситуация в стране, допускающая монополизацию информации, умышленное манипулирование общественным мнением, в том числе основанное на использовании психологических закономерностей отдельными лицами или группами.

Признаки информационного поражения надо искать, исходя из того, что информационное воздействие, в первую очередь, действует на систему управления не столько уничтожая, сколько подчиняя себе систему управления пораженного объекта. При этом управление пораженной системой осуществляется с помощью скрытого или явного информационного воздействия на систему как извне, так и изнутри. Цель этого воздействия - целенаправленное изменение поведения системы.

Последствия информационного (негативного) воздействия (поражения):

Перегрузка нервной системы, ведущая к утомлению нервных центров, запредельному торможению, извращению значения раздражителей и, в конечном итоге, к срыву высшей нервной деятельности или неврозу.

В этом случае наблюдается ослабление сопротивляемости организма (например, обострение хронических заболеваний), нарушение нормальных физиологических функций, снижение работоспособности, появление чувства "беспомощности" и внушаемости, связанное с патологическим состо-янием коры головного мозга. При продолжении действия неблагоприятных факторов невротическое состояние углубляется, последовательно проходя уравнительную, парадоксальную, наркотическую и ультрапарадоксальную фазы, характеризующиеся повышением неадекватности реагирования, вплоть до иррадированной агрессии и саморазрушительных акций.

Второй аспект наносимого ущерба - развитие метапатологий как реакции на фрустрацию основных жизненных целей и ценностей, или мета-невроз.

Симптомами метапатологий являются депрессия, ощущение бессмысленности существования, безнадежность, дезинтеграция, негативизм, повышенная склонность к зависимости, отчаяние. Метапатологии становятся следствием разрушения системы ценностей индивида под действием внешнего давления - жизненных трудностей или специально организованных воздействий с целью повышения податливости и последующего "ведения" индивида.

Адекватные меры противодействия информационным воздействиям:

1. Контроль собственных действий и блокировка запрещенных.

2. Уничтожение опасных для человека представлений - корректировка модели мира.

3. Защита собственной информационной модели всеми возможными способами.

Кроме борьбы с негативной информацией, уже проникшей в информационную систему человека, можно попробовать отсекать ее на подступах, например, когда она идет от источника, не заслуживающего доверия. В этих целях необходимо провести предварительную классификацию источников информации (на достоверные и недостоверные).

Анализ последствий информационных поражений и их коррекция может использоваться при работе с персоналом дипломатической службы в условиях чрезвычайных ситуаций. 

Можно сделать ряд выводов и предложений:

- В связи с созданием информационного общества в конце 80-х годов XX в. в мире усилилось внимание к проблемам информационной безопасности.

- В России первоочередной задачей становится задача создания государственной системы информационного мониторинга, которая явилась бы одним из ключевых звеньев анализа состояния информационной среды российского общества.

- Понимая необходимость решения проблем информационной безопасности, в составе Совета Безопасности РФ создана Межведомственная комиссия по информационной безопасности и разработан проект Доктрины информационной безопасности РФ. Однако сам термин "психологическая безопасность" не включен ни в закон "О безопасности", ни в другие нормативные акты.

- Рост влияния информационных факторов в системе обеспечения национальной безопасности России объективно требует эффективного функционирования системы информационно-психологического обеспечения национальной безопасности, которая должна обеспечить защиту психики элиты и населения России от негативных информационно-психологических воздействий.

- Структуры, созданные на основе этой системы, могут взаимодействовать со СМИ с целью создания устойчивой положительной репутации российской дипломатии в глазах мировой общественности, особенно в условиях чрезвычайных ситуаций.

- Стратегия формирования позитивного в отношении России общественного мнения в условиях вооруженного конфликта представляет собой программу действий в информационной среде мирового сообщества и может применяться в дипломатической службе при работе посольств в чрезвычайных ситуациях.

- В нашей стране уже давно сложился комплекс мер по обеспечению готовности посольств к действиям в условиях чрезвычайных ситуаций. Однако в данных рекомендациях не разработана стратегия психологической защиты сотрудников дипслужбы.

- Для реализации данной стратегии необходима разработка федеральной программы "Психологическая безопасность государства".

Данная система должна:

- Обеспечить сбор и обобщение информации по следующим позициям: данные об информационной обстановке в регионах, психическом уровне населения, об основных угрозах психике людей, о степени влияния государственных органов и СМИ на психическое состояние элит, о влиянии чрезвычайных ситуаций на психическое здоровье населения;

- Обеспечить своевременную выдачу информации, выводов и вариантов конструктивных предложений руководству страны;

- Предпринимать превентивные меры, обеспечивающие стабильное развитие информационно-психологической среды российского общества;

- Осуществлять немедленное оперативное вмешательство с целью устранения опасности для эффективного функционирования информационно-психологической среды российского общества.

- Разработка единой государственной методологии решения проблем информационно-психологического обеспечения психологической безопасности личности, общества, государства на федеральном, региональном и местном уровнях.

- Классификация потенциальных и реальных источников негативного информационно-психологического воздействия на психику политической элиты и населения, информационную среду общества, определение способов и средств их блокирования.

- Организация взаимодействия между органами информационно-психологического обеспечения различных министерств, ведомств, которая включает взаимное оперативное информирование, совместную разработку нормативных и методических документов, создание координационных структур для решения различного рода задач.

- Создание системы подготовки и переподготовки специалистов. Проведение научных исследований по проблемам психологической безопасности.

- Осуществление мероприятий по повышению адаптационно-защитных функций, психофизиологических резервов политической элиты и населения России.

- Для разработки средств защиты персонала дипслужбы в условиях чрезвычайных ситуаций предлагается модифицировать вариант стандарта информационной безопасности BS7799 в соответствии со спецификой работы МИД.

- Для работы в системе Интернет персоналу дипслужбы может принести пользу опыт Института Европы, являющегося одним из партнеров сетей "Европейская информационная сеть по международным отношениям и региональным исследованиям" - ЕИСМОРИ и "Международная сеть по проблемам безопасности (МСБ).

- Для предотвращения последствий негативных воздействий на психику персонала дипслужбы в условиях чрезвычайных ситуаций целесообразно воспользоваться концепцией информационно-психологической безопасности, разработанной Институтом психологии РАН. 

^*Продолжение. Начало см. "Обозреватель-Observer". 2003. № 5.