Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Методология защиты информационных ресурсов

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(1)
()
Опубликовано в:
Запись участвует в конкурсе "Лучший автор BISA" (список работ).

По сути, эта статья завершает цикл, в котором представлена разработанная мной теория информационной безопасности. Цикл назывался "Азбука безопасности". Время показало, что то, что мне представлялось "азбукой", для многих оказалось "алгеброй", а то и "высшей математикой". Это при том, что я старался писать как можно проще, сдабривая тексты примерами и метафорами для упрощения восприятия и понимания. Но, как известно, нельзя сложные вещи объяснить простым языком, поэтому иногда приходилось употреблять научные и квазинаучные термины. В этой статье, практически, нет ничего, что было бы непонятно ТЗИшникам, для которых она, собственно, и написана. 

Методология защиты информационных ресурсов

В широком смысле «методология» – это учение об организации деятельности по постановке цели, определению принципов, методов и способов её достижения. Другими словами, методология – это учение о целеполагании и целедостижении.

Методология должна дать нам ответ на два взаимосвязанных и взаимодополняющих друг друга вопроса:

1) какова цель деятельности;

2) каким образом эту цель можно достичь.

Если уж совсем просто, то: разработка методологии деятельности – это поиск ответов на вопросы «зачем?» и «как?».

Зачем защищать информацию?

Зачем защищают человека, предприятие, государство более-менее понятно: чтобы им не был причинён вред в виде деструкции, дисфункции, ухудшении условий жизнедеятельности [[i]]. Какой вред может быть причинён бездушной и бестелесной информации? Информация индифферентна по отношению к причинению ей вреда [подробнее в [ii]]. По-простому: информации глубоко безразлично, кто и что с ней делает. В отличие от человека. Вот человек переживает:

- когда у него пропадает важный документ;

- когда он не может оформить пенсию из-за того, что нерадивый кадровик не сделал в его трудовой книжке соответствующую запись или сделал её неправильно и пенсионный фонд отказывается признать её достоверность;

- когда он не может найти нужную информацию, необходимую ему для принятия жизненно важного решения;

- когда он не в состоянии приватизировать квартиру, потому что его фамилия Ерёменко, а в паспорте стоит Еременко;

- когда его приватная переписка стала достоянием общественности, в результате чего у общественности изменилось к нему отношение с положительного на крайне отрицательное и он потерял и уважение, и доходы и т.д. и т.п.

Получается, что информацию нужно защищать для того, чтобы избавить от неприятностей человека, которые могут случиться в результате какого-либо происшествия с нужной или важной для него информацией.

Защищать информацию ради информации просто глупо.

Поэтому, когда заходит речь о защите информации, всегда надо помнить, что главная цель этой деятельности – защита от возможных неприятностей человека!

Человек – объект безопасности, а информация – объект защиты.

Хотя и здесь не всё так просто. Что является объектом защиты, то есть предметом деятельности? Что подлежит защите?

Что защищать?

Как было написано в предыдущих статьях [см., например, [iii]], выбор объекта во многом определяет содержание деятельности по обеспечению его безопасности (защите). В нашем случае чаще всего в качестве такового называется «информация» и, естественно, при этом говорят о «защите информации». Но что такое информация? Философия постмодерна даже человека трактует как текст. А текст – это информация. Значит человек тоже информация. И уж точно – носитель информации, т.е. информационный объект. Отсюда должно следовать, что «защита информации» подразумевает и защиту человека? По логике должно. По факту это далеко не так. И вообще: там, где есть форма, там есть и информация. Тогда получается, что фраза «защита информации» означает защиту бесконечной сущности?! Понятно, что это несбыточная утопия. Мы даже о конечных сущностях, о которых имеем некоторое представление, так не говорим. Ведь никто не говорит о защите воздуха или воды. Не о конкретном их объёме, а о защите воздуха вообще или воды вообще: «система защиты воздуха» или «система защиты воды».  Мы можем говорить о защите воздуха, которым дышим, от загрязнения отравляющими веществами; о защите воды, которую пьём, от попадания вредных примесей»; «о защите имущества, которым владеем, от пожара или кражи». Мы говорим о «защите информации», но никогда о «защите столбов»[1]. Почему? Потому что все понимают, что термин «защита столбов» - глупость. Сразу возникает куча наводящих вопросов: каких столбов?, где?, когда?, от чего/кого? И т.д. и т.п. Т.е. говорить можно о защите какого-нибудь имеющего конечные размеры конкретного объекта от причинения определённого вида вреда. Но все говорят о «защите информации», не задумываясь о том, что это грубейшая методологическая ошибка – отождествление части и целого: речь ведут о защите информации, а подразумевают только ту её часть, которая отнесена в соответствии с законом к подлежащей защите. И при этом ещё не уточняют, от чего же следует её защищать. В итоге получается, что всей и от всего?!

Но даже если ограничить объект – информацию – только рамками, например, принадлежности субъекту, т.е. говорить о «защите информации ООО «Рога и копыта»», то принципиально ничего не изменится. Ведь «информация ООО «Рога и копыта»» - это не только то, что имеется в официальных документах этого предприятия. Это, в том числе, и знания сотрудников предприятия, их разговоры как в рабочее время (в том числе и не о работе), так и в нерабочее время о работе, это и внешний вид работников, и буклеты о предприятии и выпускаемых товарах. Надпись на заборе завода – тоже информация и тоже принадлежит заводу. Тогда её тоже нужно защищать!?

Поэтому фраза «защита информации ООО «Рога и копыта»», по сути, тоже есть бессмыслица. Чтобы эта фраза приобрела хоть какой-то смысл, нужно указать хотя бы категорию информации, которую нужно защищать, т.е. указать отличительные признаки информации, подлежащей защите.

Я считаю, что таким отличительным признаком, как минимум, может быть принадлежность к ресурсам предприятия. 

Ресурс (от французского ressource — вспомогательное средство) – это или «запас, источник чего-либо, используемый при необходимости», или «средство, возможность для осуществления чего-либо»[iv].

Информация – это и источник (например, нового знания), и средство, дающее возможность осуществления деятельности, и результат деятельности, который может составлять своеобразный запас (архив, библиотека, хранилище, база данных, банк данных).

Правда, здесь мы наталкиваемся на очередную проблему, связанную с толкованием терминов. Словари дают такое определение термину «информационный ресурс» – совокупность отдельных документов, массивов документов, обычно структурированных в базы данных и используемых определённой информационной системой [[v]].

Если исходить из приведенного выше определения, то сотни килограммов бумаг с текстами, цифрами, схемами в сейфах, в шкафах, в столах и на столах и подоконниках – это не информационный ресурс, поскольку:

1) это не документы, т.к. не имеют всех отличительных признаков, чтобы быть отнесенными к категории «документы»;

2) они не используются (непонятно кем и каким образом определённой) информационной системой. 

Операционные системы средств вычислительной техники, прикладное программное обеспечение тоже не являются документами, но однозначно относятся к информационному ресурсу, представляют значительную ценность для их владельцев, иногда – значительную.

Закон РФ от 20.02.1995 № 24 «Об информации, информатизации и защите информации» давал такое определение понятию «информационный ресурс» - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). В этом определении – более широком, нежели предыдущее – опять, почему-то, речь ведётся только о документах и только в информационных системах. При таком подходе всё, что не является документом и не находится в информационной системе, к ресурсу не относится! Но магнитная лента с записью конфиденциального разговора или регистратор с записями с камер видеонаблюдения – не есть документы, но однозначно относятся к информационному ресурсу. А уж разговоры на служебном совещании, ни при каких обстоятельствах, не отнесёшь к документу (да ещё в библиотеке или банке данных), но они однозначно относятся к информационному ресурсу предприятия. А так называемый «лисий хвост» и прочие отходы производства – однозначно не документы и находятся ни в бумажных, ни в электронных информационных системах, но, несомненно, принадлежат к категории «информационный ресурс предприятия» и также могут подлежать защите. Ведь по ним можно получить не просто конфиденциальную, а даже секретную информацию. Так, по цвету «лисьего хвоста» из трубы металлургического завода реально вычислить марку стали, которую там варят, а по составу почвы, взятой с подошвы ботинок рабочего, установить, что на предприятии, где он работает, делают твёрдое ракетное топливо и узнать его состав. И таких примеров можно привести немало.

Я просмотрел большой объем информационных ресурсов в Интернете, несколько словарей и ГОСТов и не нашел ни одного более-менее логичного определения понятия «информационный ресурс». Сам я давно пользуюсь своим собственным глоссарием, в котором информационный ресурс – это совокупность информационных объектов, находящихся в распоряжении субъекта.

                                                                                        N

ИР = Σ ИОn      (1), где

                                                                                        n=1

ИР – информационный ресурс;

ИО – информационный объект.

Информационный объект – это двуединство материального носителя информации (МНИ) и самой информации (И).

 

ИО = МНИ & И     (2).

 

Информационный ресурс – это не только документы и массивы документов в информационных системах. Это и разговоры на производственную тему, и отходы производства, и карты, схемы, чертежи, служебные записки, «четрертушки» с резолюциями и т.д. и т.п. В то же время никому не придёт в голову подвести под определение «информационный ресурс предприятия» «трёп» сотрудников в курилке или частные разговоры по служебному телефону. Но разговор в кафе на производственную тему вполне под него подпадает. Таким образом, я считаю, что корректно говорить не о «защите информации», а о «защите информационного ресурса» того или иного субъекта.

Многообразие субъектов[2] и создаваемых ими и/или находящихся в их распоряжении информационных ресурсов порождает необходимость создания и различных систем защиты, учитывающих особенности структуры самих субъектов, рода их деятельности, созданных ими информационных объектов и информационных потоков. Но методология защиты инвариантна к этим особенностям, она – универсальна, как и принципы, на которых она должна строиться.

Читать далее …


[1]. «Столб» и «информация» с точки зрения гносеологии, т.е. как объекты познания, тождественны. 

[2] В качестве субъекта может выступать: на микроуровне – индивид; на макроуровне – организация, предприятие, учреждение (коротко – корпорация); на мегауровне – государство.



[i]. Атаманов Г.А. Методология безопасности [Электронный ресурс] / Фонд содействия научным исследованиям проблем безопасности «Наука-XXI». – 2011. – Режим доступа: http//naukaxxi.ru/materials/302/.

[ii]. Атаманов Г.А. Чему угрожают: информации или её безопасности? // Защита информации. Инсайд. 2010, № 6, с. 20-28.

[iii]. Атаманов Г.А. Азбука безопасности. Исходные понятия теории безопасности и их определения // Защита информации. Инсайд. 2012, № 4, с. 16-21.

[iv]. Викисловарь. – Режим доступа: http://ru.wiktionary.org/wiki/%F0%E5%F1%F3%F0%F1 (28.08.2014).

[v]. Словари на Академике. - Режим доступа: http://official.academic.ru/ (27.08.2014).

 

Запись участвует в конкурсе

Оцените материал:
Total votes: 625
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

Евгению Родыгину:
Евгений, эта меодология пока ещё не классическая, но я надеюсь, что она таковой станет. Во всяком случае, она этого достойна. :))
Речь в статье идёт не о моделях, а именно о методологии, на основании которой можно выстроить правильную модель.
Что касается моделей, то понятно, что универсальную модель построить невозможно. Об этом и последний абзац той части текста, который представлен в данном посте (см. выше). Модель, какой бы она ни была замечательной, всегда беднее реальной действительности. Каждая система уникальна, уникальна каждая ситуация и потому модель СЗИР каждого кокретного предприятия тоже должна быть уникальной. Эффективная модель - результат работы грамотного специалиста. Другими словами, построить эффективную модель может только грамотный специалист, вооружённый правильной методологией. Методология, которую я разработал, - правильная. Воспользовавшись ею можно построть эффективную модель СЗИР любой организации (предприятия, учреждения).

up
28 users have voted.

Рассылка BISA

Подпишитесь на новости информационной безопасности и актуальные статьи экспертов

Ищите нас также:
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.