Методология обеспечения информационной безопасности

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(8)
()
Опубликовано в:

    Вышел очередной номер журнала "Инсайд. Защита информации", в котором напечатана предпоследняя статья рубрики «Азбука безопасности». Посвящена она методологии обеспечения информационной безопасности. Не методологии обеспечения безопасности информации, а именно методологии обеспечения информационной безопасности. С учётом специфики аудитории (читатели журнала и посетители этого сайта, по преимуществу, специалисты по ТЗИ, а не по ИБ) я не стал расписывать содержание блоков модели обеспечения ИБ, которая приведена в статье. И прежде всего потому, что не являюсь специалистом по большинству из них: экономическая разведка, PR, кадровая разведка и пр. По этим и многим другим направлениям обеспечения информационной безопасности есть очень хорошие книги. Свою задачу я видел в том, чтобы ещё раз показать кардинальное различие между «информационной безопасностью» и «безопасностью информации», и, следовательно, методами и способами их обеспечения.

 

Методология обеспечения информационной безопасности субъектов информационных отношений

 

Проблема обеспечения информационной безопасности стояла перед человеком и человечеством всегда с момента появления человеческого общества. Правда, она не была чётко сформулирована, существовала в неявной форме и даже не имела названия. Такое случается довольно часто: феномен есть, а названия у него нет.

 

В далёком 399 г. до н. э. афиняне предъявили Сократу обвинение в том, что «он не чтит богов, которых чтит город, а вводит новые божества, и повинен в том, что развращает юношество». Если перевести эту ситуацию на современный язык, то получится, примерно, следующее: гражданин, озаботившийся чистотой информационного пространства, обвинил Сократа в том, что его высказывания ведут к искажению (формированию искажённой) картины Мира у юного поколения жителей Афин. Это стоило Сократу жизни. В средние века по приказу папской инквизиции по обвинениям в распространении ереси на кострах сжигали носителей этой самой ереси – книги и людей. Не менее суровая кара во все времена ждала разгласившего тайну или, как сказали бы сейчас, виновника утечки информации. И не какой-то там государственной тайны, а, по современной терминологии, всего лишь коммерческой или ноу-хау. Так, в XVII веке за разглашение иностранцам секретов кузнецкого мастерства в немецком городе Насау виновных подвергали смертной казне. Каменотёсы Страсбурга в XV веке казнили тех, кто раскрывал секреты, «коими они (каменотёсы) могут ловко и быстро работать» [1]. На Руси сплетникам, наветчикам, доносчикам и прочим болтунам заливали в глотку расплавленный свинец или отрезали языки. Сегодня за гораздо более значительные нарушения, максимум, – отключение сайта, закрытие СМИ, временное прекращение трансляции и/или штраф, в крайнем случае – тюрьма (Сноуден, WikiLeaks, Ассанж и др.).

С доисторических времён для защиты конфиденциальной информации (мест расположения кладов, дипломатической почты, любовных посланий и прочих сообщений ограниченного распространения) широко применялось шифрование и стеганография. Для передачи использовались доверенные каналы связи: дипкурьеры, голуби, тайники и т.д. Для ведения секретных переговоров использовались специально оборудованные кабинеты, которые по современной терминологии принято называть выделенными помещениями.

Поэтому говорить о том, что проблема обеспечения информационной безопасности – это сверхновая задача, возникшая вместе с новыми информационными технологиями, как минимум – преувеличение, как правило – спекуляция.

Другое дело, что изобретение и тотальное внедрение новых технических средств обработки, хранения и передачи информации (ТСОХПИ) привело к изменению объёмов и характера работ по обеспечению этой самой информационной безопасности. Микроминиатюризация, приведшая к изобретению и лавинообразному распространению компьютеров, мобильных телефонов, планшетов и прочих гаджетов и виджетов привело к тому, что проблема, бывшая ранее прерогативой довольно узкого круга лиц,  стала потребностью каждого современного цивилизованного человека. Но решается данная проблема разными способами. Всё зависит от того, как тот или иной субъект понимает сущность информационной опасности/безопасности и какие преследует при этом цели, а ещё и от того, что предписывают ему (субъекту) т.н. «регуляторы». А как  мы уже не раз подчёркивали в предыдущих публикациях цикла «Азбука безопасности», содержащиеся в них требования далеко не всегда согласуются как с наукой, так и со здравым смыслом.

Здравый же смысл говорит нам о том, что методология обеспечения информационной безопасности должна строиться на базе методологии обеспечения общей безопасности субъекта, так как информационная безопасность – это всего лишь проекция безопасности субъекта на его информационную сферу, информационную инфраструктуру, информационную деятельность.

А что по этому поводу говорит и думает российская наука и российский законодатель? В вопросе обеспечения безопасности они на удивление единодушны и утверждают, что безопасность есть состояние защищённости и, следовательно, чтобы нечто или некто были в безопасности их необходимо защищать. И, в первую очередь, защищать от несанкционированного доступа: не дай-то бог, кто-то куда-то доступит, увидит, потрогает, и уж совсем скверно, если что-то увидит или услышит. Например, всё те же пресловутые персональные данные.

Если бы безопасность действительно была состоянием защищённости, то, учитывая, что сейчас в России часто стреляют, взрывают, травят газом, ещё чаще убивают в авто- и авиа- и прочих транспортных катастрофах, все должны были бы ходить в «сферах», бронежилетах и противогазах, ездить на танках или сидеть в бункерах и при этом не есть, не пить и не дышать. Или дышать только через противогаз, пить и есть только через фильтр. Как через фильтр есть, я себе не очень представляю. Полагаю, что и те, кто придумал трактовать безопасность как защищённость, этого себе тоже не представляют. Более того, они об этом, скорее всего, даже и не задумывались. Не о том, как есть через фильтр, а о том, что формулировка «безопасность есть состояние защищённости» с фатальной неизбежностью приведёт к вопросам: что такое «состояние защищённости» и как это состояние обеспечить в обычной повседневной деятельности? А то, что безопасность нужна не только и столько персональным данным, сколько их владельцам, т.е. индивидам-людям-человекам, и не только при совершении какой-то определённой деятельности, а постоянно, видимо, забыли. Причём, забыли напрочь.

А логика и, опять же, здравый смысл просто кричат нам, что безопасность субъекта может обеспечиваться (и обеспечивается) не только и не столько путём защиты. В предыдущих статьях цикла я уже писал, что дойти до истины можно просто обратившись к народной мудрости. Там почти всё есть, но только в интуитивно постигаемой и афористично излагаемой форме: «лучший метод защиты – нападение», «худой мир лучше хорошей войны», «предотвращённая схватка – выигранная схватка», «умный найдёт выход из сложной (читай – опасной) ситуации, мудрый найдёт возможность в неё не попасть». И таких поговорок, пословиц, максим – море. А есть ещё такая: «Семь раз отмерь, один раз отрежь», - которая может считаться правилом №1 в теории рисков. Так что бери, читай, анализируй, систематизируй и получишь, примерно, следующее.

Безопасность субъекта может и должна обеспечиваться:

  1. снижением рисков;
  2. своевременной и адекватной реакцией на угрозы;
  3. созданием системы ликвидации возможных негативных последствий.

Данные направления деятельности по обеспечению безопасности субъектов инвариантны по отношению к виду их деятельности и виду безопасности, которую необходимо обеспечить. Решение задачи обеспечения конкретного вида безопасности каждого конкретного субъекта потребует применения специфических, свойственных только этому виду деятельности и этому субъекту способов и средств.

 

Читать далее …

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.