Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Методология обеспечения информационной безопасности

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(8)
()
Опубликовано в:

    Вышел очередной номер журнала "Инсайд. Защита информации", в котором напечатана предпоследняя статья рубрики «Азбука безопасности». Посвящена она методологии обеспечения информационной безопасности. Не методологии обеспечения безопасности информации, а именно методологии обеспечения информационной безопасности. С учётом специфики аудитории (читатели журнала и посетители этого сайта, по преимуществу, специалисты по ТЗИ, а не по ИБ) я не стал расписывать содержание блоков модели обеспечения ИБ, которая приведена в статье. И прежде всего потому, что не являюсь специалистом по большинству из них: экономическая разведка, PR, кадровая разведка и пр. По этим и многим другим направлениям обеспечения информационной безопасности есть очень хорошие книги. Свою задачу я видел в том, чтобы ещё раз показать кардинальное различие между «информационной безопасностью» и «безопасностью информации», и, следовательно, методами и способами их обеспечения.

 

Методология обеспечения информационной безопасности субъектов информационных отношений

 

Проблема обеспечения информационной безопасности стояла перед человеком и человечеством всегда с момента появления человеческого общества. Правда, она не была чётко сформулирована, существовала в неявной форме и даже не имела названия. Такое случается довольно часто: феномен есть, а названия у него нет.

 

В далёком 399 г. до н. э. афиняне предъявили Сократу обвинение в том, что «он не чтит богов, которых чтит город, а вводит новые божества, и повинен в том, что развращает юношество». Если перевести эту ситуацию на современный язык, то получится, примерно, следующее: гражданин, озаботившийся чистотой информационного пространства, обвинил Сократа в том, что его высказывания ведут к искажению (формированию искажённой) картины Мира у юного поколения жителей Афин. Это стоило Сократу жизни. В средние века по приказу папской инквизиции по обвинениям в распространении ереси на кострах сжигали носителей этой самой ереси – книги и людей. Не менее суровая кара во все времена ждала разгласившего тайну или, как сказали бы сейчас, виновника утечки информации. И не какой-то там государственной тайны, а, по современной терминологии, всего лишь коммерческой или ноу-хау. Так, в XVII веке за разглашение иностранцам секретов кузнецкого мастерства в немецком городе Насау виновных подвергали смертной казне. Каменотёсы Страсбурга в XV веке казнили тех, кто раскрывал секреты, «коими они (каменотёсы) могут ловко и быстро работать» [1]. На Руси сплетникам, наветчикам, доносчикам и прочим болтунам заливали в глотку расплавленный свинец или отрезали языки. Сегодня за гораздо более значительные нарушения, максимум, – отключение сайта, закрытие СМИ, временное прекращение трансляции и/или штраф, в крайнем случае – тюрьма (Сноуден, WikiLeaks, Ассанж и др.).

С доисторических времён для защиты конфиденциальной информации (мест расположения кладов, дипломатической почты, любовных посланий и прочих сообщений ограниченного распространения) широко применялось шифрование и стеганография. Для передачи использовались доверенные каналы связи: дипкурьеры, голуби, тайники и т.д. Для ведения секретных переговоров использовались специально оборудованные кабинеты, которые по современной терминологии принято называть выделенными помещениями.

Поэтому говорить о том, что проблема обеспечения информационной безопасности – это сверхновая задача, возникшая вместе с новыми информационными технологиями, как минимум – преувеличение, как правило – спекуляция.

Другое дело, что изобретение и тотальное внедрение новых технических средств обработки, хранения и передачи информации (ТСОХПИ) привело к изменению объёмов и характера работ по обеспечению этой самой информационной безопасности. Микроминиатюризация, приведшая к изобретению и лавинообразному распространению компьютеров, мобильных телефонов, планшетов и прочих гаджетов и виджетов привело к тому, что проблема, бывшая ранее прерогативой довольно узкого круга лиц,  стала потребностью каждого современного цивилизованного человека. Но решается данная проблема разными способами. Всё зависит от того, как тот или иной субъект понимает сущность информационной опасности/безопасности и какие преследует при этом цели, а ещё и от того, что предписывают ему (субъекту) т.н. «регуляторы». А как  мы уже не раз подчёркивали в предыдущих публикациях цикла «Азбука безопасности», содержащиеся в них требования далеко не всегда согласуются как с наукой, так и со здравым смыслом.

Здравый же смысл говорит нам о том, что методология обеспечения информационной безопасности должна строиться на базе методологии обеспечения общей безопасности субъекта, так как информационная безопасность – это всего лишь проекция безопасности субъекта на его информационную сферу, информационную инфраструктуру, информационную деятельность.

А что по этому поводу говорит и думает российская наука и российский законодатель? В вопросе обеспечения безопасности они на удивление единодушны и утверждают, что безопасность есть состояние защищённости и, следовательно, чтобы нечто или некто были в безопасности их необходимо защищать. И, в первую очередь, защищать от несанкционированного доступа: не дай-то бог, кто-то куда-то доступит, увидит, потрогает, и уж совсем скверно, если что-то увидит или услышит. Например, всё те же пресловутые персональные данные.

Если бы безопасность действительно была состоянием защищённости, то, учитывая, что сейчас в России часто стреляют, взрывают, травят газом, ещё чаще убивают в авто- и авиа- и прочих транспортных катастрофах, все должны были бы ходить в «сферах», бронежилетах и противогазах, ездить на танках или сидеть в бункерах и при этом не есть, не пить и не дышать. Или дышать только через противогаз, пить и есть только через фильтр. Как через фильтр есть, я себе не очень представляю. Полагаю, что и те, кто придумал трактовать безопасность как защищённость, этого себе тоже не представляют. Более того, они об этом, скорее всего, даже и не задумывались. Не о том, как есть через фильтр, а о том, что формулировка «безопасность есть состояние защищённости» с фатальной неизбежностью приведёт к вопросам: что такое «состояние защищённости» и как это состояние обеспечить в обычной повседневной деятельности? А то, что безопасность нужна не только и столько персональным данным, сколько их владельцам, т.е. индивидам-людям-человекам, и не только при совершении какой-то определённой деятельности, а постоянно, видимо, забыли. Причём, забыли напрочь.

А логика и, опять же, здравый смысл просто кричат нам, что безопасность субъекта может обеспечиваться (и обеспечивается) не только и не столько путём защиты. В предыдущих статьях цикла я уже писал, что дойти до истины можно просто обратившись к народной мудрости. Там почти всё есть, но только в интуитивно постигаемой и афористично излагаемой форме: «лучший метод защиты – нападение», «худой мир лучше хорошей войны», «предотвращённая схватка – выигранная схватка», «умный найдёт выход из сложной (читай – опасной) ситуации, мудрый найдёт возможность в неё не попасть». И таких поговорок, пословиц, максим – море. А есть ещё такая: «Семь раз отмерь, один раз отрежь», - которая может считаться правилом №1 в теории рисков. Так что бери, читай, анализируй, систематизируй и получишь, примерно, следующее.

Безопасность субъекта может и должна обеспечиваться:

  1. снижением рисков;
  2. своевременной и адекватной реакцией на угрозы;
  3. созданием системы ликвидации возможных негативных последствий.

Данные направления деятельности по обеспечению безопасности субъектов инвариантны по отношению к виду их деятельности и виду безопасности, которую необходимо обеспечить. Решение задачи обеспечения конкретного вида безопасности каждого конкретного субъекта потребует применения специфических, свойственных только этому виду деятельности и этому субъекту способов и средств.

 

Читать далее …

Оцените материал:
Total votes: 420
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Свищёва Марина
Задача ИБ субъекта – комплексная, уровни её составляющих могут варьироваться, в зависимости от ситуации, это правда, но при организации СЗИ должен существовать некий базовый уровень, а при дальнейшей эксплуатации, в корреляции с обстановкой, он неизбежно будет корректироваться. И не факт, что ТЗИ будет превалировать! А вот уровень этого «базового уровня» - он каким должен быть то?
Задача не тривиальная и слабо формализуемая, имхо.
И в развитие: современная ИС – приобретает, со временем,  новые свойства имеющие признаки интеллектуализации, а тут как будет меняться картина формирования уровней составляющих безопасность субъекта?
up
19 users have voted.
Аватар пользователя Атаманов Геннадий

Вопрос не простой. Но он больше касается управления системой обеспечения безопасности (по НПА – защищённости). Я же в статье рассматриваю только структуру СОИБ. Управление СОИБ и управление СЗИ – это отдельный и тоже сложный вопрос. Всё в одной статье раскрыть невозможно. И так пришлось сократить, потому многое «осталось за кадром». Да один человек и не в состоянии раскрыть всё. Потому есть предложение: давайте вместе и подумаем, и поработаем над этой темой.
Обеспечение безопасности – это сложный многофакторный процесс и именно поэтому слабо формализуемый. Я считаю, что его вообще нельзя формализовать, поэтому и пишу постоянно, что дело это творческое и что попытки его формализовать, а, тем более, втиснуть в прокрустово ложе НПА – дело безнадёжное. Технологии ОИБ (равно как и ОБИ) для каждого объекта безопасности индивидуальны. Методология - универсальна, а техника и технологии - уникальны. Здесь не может быть однозначного ответа, как и про "базовый уровень", которого вообще быть не может или, вернее, не должно. Вы где-нибудь слышали про "базовый уровень экологической безопасности"? Или "базовый уровень экономической (пожарной, национальной, эпизоотической и т.д. и т.п.) безопасности"? 

up
21 user has voted.
Аватар пользователя Ржавский Константин

Дело в том, что это субъективное мнение, вот например т.н. «продовольственная безопасность субъекта» - базовый уровень её продиктован и очерчен четко (без еды совсем - ну никак!), почему нельзя найти (специалисту в предметной области) такой подход и в других видах безопасности.
Исходя из Ваших слов методология – универсальна, а техника ….., техника бывает и не очень уникальной, особенно сейчас с педалированием идеи многомодульных-многофункциональных конструкций гаджетов доступных каждому, ну а технологии, так это задача времени!
Мне кажется идея многомодульных ИС уже должна содержать некий «базовый уровень» безопасности, а далее для только наращивание уровня в зависимости от поставленной задачи или регулятором, или руководителем.

up
21 user has voted.
Аватар пользователя Атаманов Геннадий

Вы в одном комментарии затронули сразу несколько вопросов, причём непростых. Односложно ответить на них (чтобы втиснуть в рамки одного комментария)  невозможно и я буду отвечать на них по частям.
 
1. Все мнения субъектные (т.е. высказываются конкретным субъектом), но не все субъективные. Это разноуровневые категории и их путают даже профессиональные философы. Гораздо важнее то, что одни - верные (в пределе - истинные), другие - неверные (ложные). "Базовый уровень безопасности" - это не мнение. Это - термин. И этот термин есть абсолютный абсурд, равно как и "базовый набор мер".
2. «Без еды – никак» - это не уровень «обеспечения продовольственной безопасности», а направление деятельности по её обеспечению. Также как обеспечение информацией (достоверной, достаточной и доступной) – первейшая задача обеспечения информационной безопасности. Уровень – это «потребительская корзина», которая есть виртуальный, а, по сути,  «высосанный из пальца» набор продуктов в количествах, не позволяющих подавляющему большинству нормальных людей даже просто выжить. Если все начнут питаться только по этой «корзине», почти все умрут. С «базовым набором мер» всё гораздо хуже, т.к. «меры» - это даже не «продукты» (продукты – это объекты), а нормы (мера - то, чем измеряют). Их даже есть нельзя, мерой можно только мерить. 

up
18 users have voted.
Аватар пользователя Атаманов Геннадий

К.Ржавскому (продолжение):
3. Термин «техника» я употребил в широком смысле слова, как синоним термина «система». Больно уж красиво получалось: методология – универсальна, техника – уникальна. Каюсь, купился. Конечно, и Вы тут абсолютно правы, технические устройства, применяемые для обеспечения безопасности, могут быть типовыми, но их сочетание и технология применения всё-таки должны быть «заточены» под конкретный объект. А если учесть, что нет двух одинаковых объектов (даже близнецы не есть точные копии друг друга), то нет (не должно быть) и двух одинаковых систем обеспечения их безопасности. Получается: методология обеспечения безопасности - универсальна, система обеспечения безопасности конкретного объекта - уникальна. Так конечно правильнее, но длиннее. 
4. У «безопасности» не может быть уровней! Причём, даже по ГОСТовскому определению: «безопасность – состояние защищённости». Какой уровень может быть у состояния? По мне: «безопасность есть ситуация», - ещё хуже – какой уровень может быть у ситуации? Уровень может быть у системы защиты, как, например, у утюгов – класс защиты от поражения электрическим током. Если система обеспечивает защиту от деструктивного воздействия определённой силы (уровня), то ей присваивается определённый класс. Так должно быть – определённый класс защиты от определённого вида воздействия. Всё остальное либо от лукавого (аффилированность, ангажированность и пр.), либо от безграмотности (уровень которой, кстати, растёт катастрофическими темпами), либо от привычки (как у подавляющего большинства практиков).

up
19 users have voted.
Аватар пользователя Ржавский Константин

По п.2 не со всем согласен, потребительская корзина и её наполнение это не то, что я предполагал. Скорее сам факт отсутствия или наличия какой либо еды говорит о том что чтобы жить организм должен питаться, а далее уже идет рацион.
По п.3, «уникальность» это понятие слишком высокого уровня, и что понимать под уникальностью, т.е. выше какого порога система уникальна, а до него типовая или некая унифицированная? Любая система состоит из набора типовых модулей. Их расстановка (последовательность) – ну вряд ли это уникально. Уникально это фактически не повторимо …. Не знаю, но как то так.
По п.4, да конечно уровень относится к СЗИ, да и «базовый уровень» я взял в кавычки подразумевая оное, но оставаясь в рамках контекста.

up
15 users have voted.
Аватар пользователя Атаманов Геннадий

По п.2: И я о том же: чтобы жить, человек в первую очередь должен получать пищу. Информация – «пища духовная». И точно также как любая пища, она должна быть не порченной и не вести к развитию болезней. Для этого её нужно правильно вырастить, правильно обработать и правильно хранить.
И рацион у каждого свой! Нельзя всех грести под одну гребёнку.
«Корзина» - это установленная государством мера, т.е. эталонная норма потребления. Средняя температура по больнице. По сути – перечень необходимых продуктов и их минимальное количество, позволяющее выжить среднестатистическому человеку. Если проецировать на проблему ЗИ, то это перечень средств, позволяющих обеспечить минимальную защиту информационного ресурса.
Но главное не в этом.
Никому, к счастью, пока ещё не пришло в голову заставлять всех питаться строго по перечню и нормам, приведённым в «корзине». О ТЗИ этого не скажешь. Здесь всё должно быть строго по «базовому перечню». Шаг вправо, шаг влево считаются побегом с соответствующими последствиями.
Ведь никто не обосновывает, почему не ест перловку, которая указана в «корзине», а ест гречку или рис. Но каждый обязан обосновать и согласовать то, что для данного случая эти меры не нужны или неприемлемы. Разве это не абсурд? 

up
18 users have voted.
Аватар пользователя Атаманов Геннадий

По п.3: согласен, термин «уникальность» можно трактовать по-разному. Я употребил в смысле «отличный от других», «частный».
Картинка в калейдоскопе тоже состоит из одних и тех же элементов, но всегда неповторима, т.е. уникальна. С СЗИ дела обстоят аналогично: состоять она может из тех же элементов, но в отличном от других сочетании. Я имел в виду именно это: при общей схожести, конкретная ситуация всегда неповторима. 

up
16 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.