Ещё раз о том, что такое «информационная безопасность»

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(7)
()
Опубликовано в:

Уже который год я пытаюсь объяснить народу, что термин «информационная безопасность» сегодня используется совершенно некорректно и что это не так безобидно, как многие полагают. Одной из причин недопонимания, возможно, является то, что я в своих статьях иногда использую научные термины.

Например, в некоторых своих работах я пишу, что термин «информационная безопасность», конституированный (т.е. узаконенный) российским законодательством, есть идиоматическое выражение или идиома.

Что это значит? 

А это значит, что значение термина «информационная безопасность» нельзя вывести из значений слов, его образующих. Так, слово «информационная» есть прилагательное, образованное от слова «информация», которое российским законодательством трактуется как «сведения (сообщения, данные) независимо от формы их представления»[1]. «Безопасность» согласно закону «О безопасности» 1992-го года (в новой версии и этого уже нет) есть «состояние защищённости жизненно важных интересов личности, общества и государства от внутренних и внешних угроз». Если соединить эти два определения, то получим ….

Попробуйте сами. Я пытался. У меня получается какая-то белиберда.

Возможно, это является следствием того, что сами определения терминов «информация» и «безопасность» не отвечают признаку научности?

Попробуем разобраться.

Итак, согласно российскому законодательству, информация – сведения (сообщения, данные) независимо от формы их представления.

Информация = сведения?

Сведения, согласно словарям, это – часть знаний. Заметьте, не все знания, а только их часть! И отождествлять знания с информацией (мягко скажу) некорректно, а уж с частью знаний – это уже ну «ни в какие ворота». По-научному – недопустимая методологическая ошибка.

 С точки зрения методологии, это, примерно, то же самое, что сказать: человек – это голова (рука, нога) независимо от её формы. А это, в соответствии с тернарной концепции истины, есть не что иное, как ахинея.

Информация = сообщение?

Сообщение, согласно всё тем же словарям, – наименьший элемент языка или форма представления информации! Отождествлять форму представления или наименьший элемент со всей совокупностью элементов и, тем более, со всем множеством элементов, по меньшей мере, безграмотно, по большей – преступление против логики, а значит и науки.

С точки зрения методологии, это даже не «человек – это рука независимо от её формы», а что-то вроде «человек – это мизинец правой руки». Что, по-моему, есть тоже ахинея.

Аналогично обстоят дела и с «информация = данные». Очевидно, что данные – это не вся информация. Опять налицо отождествление части и целого, что является грубейшей методологической ошибкой и недопустимо ни в науке, ни в законе.

Опять аналогия: это, примерно, то же самое, что сказать: человек – это его левая нога независимо от её формы. Что, по-моему, опять есть ахинея.

С «безопасностью» дела обстоят ещё хуже. О том, что безопасность не может трактоваться как состояние защищённости, написаны тонны литературы. Даже если брать словарное определение термина «состояние» (состояние – отвлечённое понятие, обозначающее множество устойчивых значений переменных параметров объекта), получим: безопасность – отвлечённое понятие, обозначающее множество устойчивых значений защищённости жизненно важных интересов … и далее по тексту. А защищённость, в свою очередь, это – состояние надёжной безопасности!?

Здравствуйте, приехали: безопасность – это состояние надёжной безопасности!?

В науке это называется «логический (или порочный) круг». И заметьте, определение здесь даётся даже не через свойства определяемого, а напрямую, не мудрствуя лукаво, через самого себя. Что, опять же, ну «ни в какие ворота»! Это согласно тернарной концепции истины подпадает уже под категорию «бред».

И при всём при этом кто-то умудрился дать, а законодатель конституировать, такое определение понятия «информационная безопасность»:

«Под информационной безопасностью РФ понимается состояние защищённости её национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства»[2].

Вот это и есть то, что называется «идиоматическое выражение» или «идиома», т.е. термин, сработанный по принципу: в огороде бузина, а в Киеве – дядька.

Кстати, из определения, представленного в Доктрине ИБ РФ 2000-го года, следует, что информационная безопасность может быть только на национальном уровне. Ни у предприятия, ни у личности никакой информационной безопасности быть не может! Подставьте в определение, приведённое в законе, эти термины и сами поймёте, что это так.

Профессор Пилипенко В.Ф. – автор и составитель словаря-справочника «Безопасность: теория, парадигма, концепция, культура» – толи где-то нашёл, толи сам придумал такое определение: «Информационная безопасность государства – состояние сохранности информационных ресурсов государства и защищённости законных прав личности и общества в информационной сфере»[3].

Об абсурдности этого определения писать не буду и так всё очевидно.

Важно другое – так или примерно так понимают сегодня информационную безопасность многие и многие специалисты в области защиты информации. Произошло непоправимое – отождествление понятий «безопасность» и «состояние защищённости».

Я никак не могу понять, почему это – колоссальное по своей отрицательной значимости – заблуждение оказалось таким живучим?

Почему понятие «продовольственная безопасность» никто не трактует как «состояние защищённости продовольствия» или как «состояние защищённости личности, общества и государства от внутренних и внешних угроз в продовольственной сфере», как это должно было бы быть, если исходить из логики определения понятия «информационная безопасность», данного в Доктрине информационной безопасности Российской Федерации[4]? Тем более никто не трактует продовольственную безопасность как «состояние защищённости национальных интересов в продовольственной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства».

Почему?

Ответ очевиден и однозначен – потому что это глупость! Не просто какие-то там методологические или стилистические ошибки, а откровенная и очевидная глупость!

Продовольственная безопасность и у нас, и за рубежом трактуется как ситуация, при которой каждому человеку гарантируется физическая и экономическая доступность пищевых продуктов в объемах, необходимых для активного и здорового образа жизни[5].

Почему подходы к трактовке понятия «информационная безопасность» должны быть иными, нежели к трактовке понятия «продовольственная безопасность»? Ведь информация – тоже пища: пища для ума, исходный продукт для принятия решения!

Не будет пищи – человек умрёт! Будет ядовитая пища – человек умрёт. И чтобы не испытывать судьбу, человек принимает меры по обеспечению сохранности некоторых, сделанных им на всякий «пожарный» случай, запасов продуктов. Причём, не везде и не всегда.

С информацией всё обстоит совершенно аналогично: не будет нужной информации, человек примет неверное решение и, в пределе, погибнет. Будет потреблять «ядовитую» информацию, «отравится» ею и опять, в пределе, погибнет. За примерами далеко ходить не надо – сайты с материалами, пропагандирующими суицид, и дети, спрыгнувшие с крыши дома, под влиянием такой пропаганды. А возможен и такой вариант – человек не погибнет физически, а превратится в маньяка, т.е. в крайне опасный для социума элемент. Примеров тому – тьма: от маньяков-убийц и насильников до армий ИГИЛ и Аль-Каиды.

И именно поэтому я утверждал и утверждаю, что:

Информационная безопасность субъекта есть ситуация, при которой ему обеспечивается физический и семантический доступ к информации в объёмах и качестве, необходимых для принятия верных решений, а также ему не причиняется вред путём воздействия на его информационную инфраструктуру, его информационную функцию и значимые для него информационные ресурсы, вследствие чего он сохраняет способность и возможность ставить позитивные социально значимые цели, направленные на прогрессивное развитие своё и социума, обеспечивать условия и сохранять возможности их достижения.

Это самое развернутое определение понятия «информационная безопасность». В целях повседневного употребления его можно свернуть:

Информационная безопасность субъекта есть ситуация, при которой его информационной инфраструктуре, информационной функции и информационным ресурсам не может быть причинён значимый вред.

Здесь важно отметить, что объектом информационной безопасности могут быть только субъекты! К таковым следует отнести: 1) человека (индивида); 2) корпорацию (формальную или неформальную организацию); 3) государство. Рассуждения об информационной безопасности компьютера, информационной сети или какого-нибудь объекта информатизации – признак либо дремучей методологической безграмотности, либо безграничной подлости, либо шизофрении. Об этом более подробно можно прочитать, например, здесь.

Главным субъектом информационной безопасности также является сам субъект!

При этом информационная безопасность обеспечивается:

1) удовлетворением информационных потребностей субъекта;

2) защитой информационной инфраструктуры и информационной функции субъекта от деструктивного воздействия;

3) защитой значимых для субъекта информационных ресурсов от некорректного уничтожения, искажения, некорректного использования.

Обеспечение субъекта информацией является информационной задачей?

Однозначно – ДА!

А что важнее: снабдить субъекта нужной информацией, т.е. удовлетворить его информационную потребность, или скрыть от субъекта информацию, т.е. обеспечить её конфиденциальность?  

Для наглядности давайте рассмотрим такую гипотетическую историю. Представьте, что вы с группой товарищей после напряжённой трудовой недели пошли в поход, а, чтобы за время вашего отсутствия никто не украл только что изобретённое вами ноу-хау, вы взяли флешку с информацией о нём с собой. Шли-шли и заблудились. На небе сплошные облака, звёзд не видно, компас не взяли. Навстречу мужик. Вы к нему с вопросом: как выйти из чащи, а в ответ – молчание: мужик законопослушный и потому блюдёт конфиденциальность, как главное требование российского законодательства. Вы понимаете, что, если он ничего не скажет (не удовлетворит вашу потребность в информации), вам – хана. Вы пытаетесь «раскрутить» мужика. Можно было, конечно, его и попытать, но выяснилось, что его фамилия Сусанин и что он потомок того самого Ивана Сусанина. Стало понятно, что этот метод не прокатит. Пришлось применить другой – психотропы, а проще – стакан водки. Выпил, значит, Сусанин водочки и показал направление, куда вам следует идти. Вы и пошли. И вышли из дебрей … да прямиком в болото. И все утонули. Почему? Потому что информация Сусанина была недостоверной! Вы ему поверили и не удосужились полученную от него информацию верифицировать. Зато все ваши тайны ушли вместе с вами. Ура! Конфиденциальность соблюдена. Информационный ресурс надёжно защищён. Правда, никто об этом уже и не узнает, да это, собственно, уже и не важно.

А теперь несколько вопросов «на засыпку»:

1) создаёт отсутствие нужной для принятия решения информации угрозу субъекту, будь то индивид, организация или государство?

2) эта проблема имеет отношение к информационной опасности / безопасности?

На оба вопроса ответ очевиден и однозначен – ДА!

Ещё вопрос: что важнее – скрывать (т.е. обеспечивать конфиденциальность) или верифицировать (т.е. обеспечивать достоверность) поступающую на вход информационной системы информацию? Для меня ответ опять очевиден: чтобы принять правильное решение, субъекту нужна только достоверная (истинная и актуальная) информация.

Использование непроверенной (а, тем более, специально искажённой) информации – смертельно опасно и в быту, и в бизнесе.

И только после того, как будут удовлетворены потребности субъекта в нужной информации, когда эта информация будет проверена на истинность/ложность, можно подумать о конфиденциальности какой-то части информационного ресурса. По объёму часть эта будет очень даже незначительной по сравнению с общим объёмом информационного ресурса, находящегося в распоряжении субъекта. И конфиденциалить такую информацию нужно по критерию полезность/вредность, причём с учётом интересов всех участников информационной коммуникации одновременно. А это крайне сложный и всегда неоднозначный процесс. Конфиденциальность – оппозиция (диалектическая противоположность) открытости. Открытая информация – доступна всем и всегда, конфиденциальная – доступна ограниченному кругу лиц тогда и там, когда и где это возможно без нанесения ущерба статусу информации (без причинения вреда владельцу информации или третьим лицам). Поэтому триада «конфиденциальность / целостность / доступность» есть либо обман, либо фикция. Но об этом как-нибудь другой раз.

 

Заключение:

1. Объектами информационной безопасности являются субъекты информационных отношений – человек (индивид), организация (формальная или неформальная, иначе – корпорация), государство.

2. Информационная безопасность субъекта есть ситуация, при которой его информационной инфраструктуре, информационной функции и информационным ресурсам не может быть причинён значимый вред.

3. Информационная безопасность субъекта достигается:

1) обеспечением субъекта достоверной и достаточной для принятия правильного решения информацией, и тогда, когда она ему нужна;

2) исключением (снижением вероятности) деструктивного воздействия на информационную инфраструктуру и информационную функцию субъекта;

3) защитой значимых для субъекта информационных ресурсов от уничтожения, искажения, блокирования (затруднения) доступа, некорректного изменения статуса (в т. ч. в результате кражи, утечки и т.п.).

 

Источник: http://gatamanov.blogspot.ru/


[1] Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

[2] Доктрина информационной безопасности Российской Федерации (утв. 09.09. 2000, № Пр-1895).

[3] Безопасность: теория, парадигма, концепция, культура. Словарь-справочник / Автор-сост. профессор В. Ф. Пилипенко. 2-е изд., доп. и перераб. — М.: ПЕР СЭ-Пресс, 2005.

[4] Утверждена Указом Президента РФ от 05.12.2016 № 646.

[5] Об этом более подробно: http://gatamanov.blogspot.ru/2014/04/blog-post_15.html.

Оцените материал:
Total votes: 189
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя riskmn

Здесь мало кто в состоянии среагировать на это((( К сожалению((

Понимаю, что пишу в корзину, жаль много не написать (огрангичения).... но выскжусь.

С большинством согласен (в принципе), но есто тонкости, которых не разделяю.

1. Для меня Иб - не состояние, а процесс....(много писал об этом даже здесь). Не состояние и не ситуация!!!

2.  Пример забавный, и хорошо отражает текущую ситуацию ИБ в РФ.. Но. все решения и шаги - просто глупы - так только дилетанты поступают. В реальной жизни - я (как участнык такого коллектива) просто в такой поход не пойду, что исключает остальной маразм....

3. Ответы на вопросы:

1) создаёт отсутствие нужной для принятия решения информации угрозу субъекту, будь то индивид, организация или государство?

мой ответ - Да, если его ИБ работает плохо или отсутствует. Умная ИБ этого не допускает по факту....

2) эта проблема имеет отношение к информационной опасности / безопасности?

мой ответ - НЕТ, это угроза большего масштаба - угроза бизнесу (как делу всей жизни и основе для благополучия) - а, значит неверной организации БП. Схожи только по названию, но не по сути ИБ.

4. В разделе "Чем достигается ИБ субъекта" изложено за чсет чего, но не чем конкретно.....

Хотя это такие мелочи относительно текущего невежества......

up
8 users have voted.
Аватар пользователя Атаманов Геннадий

Михаил, спасибо за отзыв. Замечания учту. И некоторые пояснения и уточнения.

  1. Для меня ИБ тоже не состояние. Безопасность как состояние есть полная шизофреническая глупость. Просто я разделяю собственно безопасность и трактую её как ситуацию (это конкретная точка процесса), т.к. мы производим оценку множества постоянно меняющихся факторов, но в какой-то конкретный момент (отрезок) времени. А вот обеспечение безопасности – я тоже, как и Вы, трактую как процесс, непрерывный и сложный.
  2. Пример гипотетический и утрированный, придуман специально для наглядности и демонстрации абсурдности триады «конфиденциальность, целостность, доступность».
  3. Отсутствие информации или наличие ложной – угроза и угроза информационная. Другое дело, что на практике её решают другие подразделения, например, информационно-аналитические, экономической разведки, кадровой разведки и прочие (это на крупных предприятиях, на мелких – специально назначенные люди (не обязательно подготовленные), на очень мелких – сами предприниматели). И я согласен с Вами, проблема обеспечения бизнеса информацией не должна входить в обязанности подразделения ИБ, но она входит в общий круг задач по обеспечению информационной безопасности.
  4. Статья и так длинновата для такого формата, поэтому ответы на вопрос «чем?» сделали бы её ещё длиннее и труднее для восприятия. Как-нибудь в другой раз. 
up
9 users have voted.
Аватар пользователя riskmn

Я охотно высказываюсь по темам, которые являются ключевыми в ИБ или ЗИ. Беда в том, что современные "рулевые " по ИБ важности этого всего не догоняют. Это одна из важных засад!

Постулат 1 (системность) - "Как судно назовете - так оно и поплывет";

Постулат 2 (конфликт интересов) - Развивать отрасль ИБ (да и любую другую) и зарабатывать на этом поле бабки любой ценой - еще никому не удавалось;

Постулат 3 (кадровые проблемы) - ИБ высокого класса на любом объекте (особенно коммерческом) невозможно создать если ты не Мастер в этом 10 (высшего) уровня и не делаешь это сам ЛИЧНО. Научить это делать других не получится никогда - думать иначе - это наивные иллюзии!!!

 

 

up
9 users have voted.
Аватар пользователя Атаманов Геннадий

Постулат 1: согласен. Об этом же 4 слайд на https://gatamanov.blogspot.ru/2017/02/blog-post.html.

Постулат 2: так, к сожалению, есть, но, согласен, что так не должно быть.

Постулат 3: я думаю, что серьёзные проблемы можно решать коллегиально. Нужно только такой коллектив создать и умело им управлять. А что касается кадровых проблем, то это бесспорно. Не зря же нынешние времена называют эпохой воинствующей некомпетентности. 

up
8 users have voted.
Аватар пользователя riskmn

Про кадры. Естьгнеожиданный разворот. Какой смысл развивать то направление, в котором нет кадров для такой огромной территории. Надо заниматься тем, что "по руке" и не лезть туда, где у большинства сегодняшних самозванных экспертов нет никаких компетенций.

up
10 users have voted.
Аватар пользователя Атаманов Геннадий

"Лезть не туда" заставляет сама жизнь: есть спецы, нет спецов, а делать всё равно надо. Вот и ставят либо своих, либо тех, кто под руку подвернётся, либо тех, кто щёки лучше других надувает. 

Да и откуда спецу взяться, если учат не тому и не так? Только самоучки. Но таких единицы.

up
6 users have voted.
Аватар пользователя riskmn

"...делать все равно надо." - это и порождает неразбериху и застой в отрасли ИБ!

Спецов достаточно, надо только честно признатьсуществующую кривизну и начать "отмываться" от всяческой грязи.... 

up
5 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.