Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Источники угроз

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(0)
()
Опубликовано в:
Запись участвует в конкурсе "Лучший автор BISA" (список работ).

В ходе неожиданно возникшей, не очень продуктивной и также неожиданно закончившейся дискуссии вдруг выяснил, что не выложил в открытый доступ одну из ключевых статей теории информационной безопасности. Посвящена она источникам угроз. Не тому, как это трактует российская наука и российское законодательство, а тому, как это должно быть с точки зрения логики и здравого смысла. Исправляю допущенную оплошность. Возможно, кому-то это будет интересно. Возможно, у кого-то появятся вопросы, замечания, предложения по корректировке и мнения, отличные от моих. Как всегда – готов ответить, исправить, обсудить.

Что такое «источник угроз»? Что понимается сегодня под этим термином и что следует понимать? В «ГОСТ Р 50922-2006. Защита информации. Основные термины и определения»  дано такое определение: «источник угрозы безопасности информации: Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации» [[i]]. Отбросив всё лишнее, получим: источник угрозы – причина возникновения угрозы?! Чтобы не называть вещи своими именами (а имена эти, понятно, будут не очень лицеприятными), прибегну в очередной раз к приёму аналогии. Так вот, сказать, что «источник угроз – это причина возникновения угрозы», это то же самое, что сказать, что источник нарзана – это причина возникновения нарзана!? Кому и после этого примера не стала очевидной абсурдность определения «источника угроз безопасности информации»[1], конституированная российским законодательством, пусть либо ещё раз перечитает и поглубже вдумается в написанное выше, либо напишет мне письмо по электронной почте. Я постараюсь придумать другой пример, попроще и понагляднее.

В законе «О безопасности» от 05.03.1992г. № 2446-1 в качестве источников угроз были перечислены: деятельность различных структур и  средств, стремление стран, обострение конкуренции, разработка концепций, критическое состояние промышленности, неразвитость институтов, недостаточное финансирование и т.д. и т.п. Очевидно, что это разносущностные понятия – функции, свойства, состояния, которые никак не могут быть «источниками». К тому же закон этот в 2010 году отменён и заменён новым [[ii]], в котором ничего подобного уже нет. Но и не подобного тоже нет. Можно сказать, что в нём вообще ничего нет, кроме полномочий, статуса и задач должностных лиц и органов государственной власти, т.е. ни определения понятия «безопасность», ни объектов, ни субъектов безопасности, ни источников угроз.

В конце 2013 года Президентом РФ был подписан документ под названием «Основы государственной политики РФ в области международной информационной безопасности на период до 2020 года» [[iii]], в котором в качестве основной угрозы для РФ названо использование информационных и коммуникационных технологий в качестве информационного оружия. Если главная угроза – «использование», то что является, по мнению российского законодателя,  источником угроз? Информационные и коммуникационные технологии? Но технология – это методика, способ применения чего-либо. Может методика или способ быть источником угроз? Или российский законодатель главным источником информационных угроз считает информационные и коммуникационные средства? Или тех, кто эти средства применяет? Ответа на эти вопросы в указанном документе нет.

Давайте попробуем разобраться сами. Для начала зададимся вопросом, что же вообще называют «источником». Словари, например, дают такое определение термина «источник»:

1) место, где что-либо рождается, появляется, начинает своё распространение;

2) небольшой естественный водоём, струя воды, выходящая на поверхность из земли [[iv]].

Получается, что источником  мы называем, например, струю воды, выходящую на поверхность. Но для того, чтобы струя воды вышла на поверхность, необходимо, чтобы под поверхностью был водоём и сложились определённые условия (трещина в скале, расщелина в грунте плюс повышенное давление на воду), позволившие воде из этого водоёма выбраться наружу, стать доступной для нас. Другими словами, в наиболее обобщённом виде это можно представить следующим образом: источником мы называем совокупность материального объекта и условий доступа к нему. Так, например, мы не будем называть источником подземное озеро, если в горе, внутри которой оно находится, нет трещины, через которую вода из этого озера вытекает наружу. Точно так же мы не будем называть источником трещину в скале, если из неё не течёт вода, т.е. если внутри нет никакого озера. Другими словами, чтобы нечто называлось источником чего-то, между этим что-то и условиями доступа к нему должны существовать отношения конъюнкции (логического умножения):  

 

Источник = (объект) & (условия доступа).

 

Поэтому, если нет одного из этих двух компонентов, то нет и источника! Или так: ничто не может называться источником, если нет того, что может течь, и нет того, через что это нечто вытекает.

С источником, вроде бы, разобрались. Теперь обратим свой взор на «угрозы». Советский энциклопедический словарь так определяет это понятие: угроза – высказанное в любой форме намерение нанести физический, материальный или иной вред общественным или личным интересам [[v], с. 1368]. В этом определении можно выделить два обстоятельства:

1) угроза должна быть высказана (шире – проявлена, продемонстрирована);

2) должна выражать намерение причинить объекту вред[2].

Как я уже отмечал, сегодня понятие угроза трактуется максимально широко, как проявленные объектом (субъектом) желания или возможности причинить вред объекту воздействия [[vi], с. 18].

На языке логики это звучит так: отношения конъюнкции между объектом и условиями доступа к нему заменены отношениями нестрогой дизъюнкции («и» заменено на «или», т.е. «&» на «v»). Другими словами, источником угроз теперь называется объект или субъект, имеющий возможность или (т.е. не обязательно) желание причинить объекту защиты вред. При этом абсолютно неважно, демонстрирует (высказывает, проявляет) объект или субъект эти желания и возможности или нет. Более того, наши т.н. «регуляторы» к источникам угроз стали причислять именно и только то/тех, что/кто может иметь возможности причинить вред объекту защиты, расширив таким образом объём понятия «источники угроз» до бесконечности. Ведь вред может причинить всё, что угодно. При таком подходе перечень источников угроз ограничивается только фантазией исследователя.

Конечно, не всё и не всегда демонстрирует свои желания и возможности причинить кому-то вред. Желания (да и возможности) могут тщательно скрываться, т.е. быть латентными. Но они пренепременно должны каким-либо образом проявляться, объективироваться. Например, Госдеп США может убеждать весь Мир в том, что никого не слушает и никого и ничего не контролирует. Но реальные дела, информация о которых нет-нет, да и появляется, говорят об обратном. Или наши «оборотни в погонах». Организации, которые они представляют, de iure призваны защищать граждан России от всех возможных напастей, а de facto получается, что они наносят максимально возможный ущерб гражданам и бизнесу, т.е. являются источниками наиболее часто реализуемых и наиболее существенных угроз.

Но бывают и обратные ситуации. То есть, не всякий объект (субъект), демонстрирующий (высказывающий) угрозы следует причислять к «источникам угроз». Как, например, у А.С.Пушкина: «Шалун уж отморозил пальчик. Ему и больно, и смешно, а мать грозит ему в окно». Угроза налицо, источник тоже. Но является ли мать этого шалуна источником реальной угрозы? Сопряжена ли такая угроза с опасностью? Скорее наоборот! Эта угроза – предупреждение, призыв к действию, имеющему своей конечной целью спасти объект воздействия от гораздо больших неприятностей, от настоящей опасности. Или довольно часто можно услышать такую фразу: «Если ты не пропылесосишь (не сделаешь уроки, не отремонтируешь кран и т.д.), я тебя убью!». Или: «Если ты не купишь мне эту шубу (машину, компьютер, телефон и т.д.) я умру (застрелюсь, повешусь, отравлюсь и т.п.). Опять угроза налицо. И источник угрозы в наличии. Но стоит ли источники таких угроз относить к категории «источники угроз»? Думается, что нет.

По перечисленным причинам я считаю, что необходимо различать понятия «источник угроз» и «источник опасности». Источников угроз много. В пределе – весь окружающий мир. Но все ли они в данный момент имеют возможность или желание (а тем более намерение) причинить вред? Конечно же, нет! Угрожают многие, реализовать угрозы, т.е. перейти в атаку (совершить нападение) могут десятки, а хотят причинить вред и делают это только единицы.

Читать далее …


[1] Абсурдность этого определения состоит не только в том, что явление (а угроза есть явление) перепутано с причиной его возникновения, но и в «угрозах безопасности». Угрожают объекту (субъекту), но не его  безопасности. Об этом подробнее можно прочитать в Инсайд. Защита информации, 2012, № 5.

[2] Вред может быть причинён только объекту, но никак не интересам. Нанести вред интересам невозможно! «Вред интересам» - это сленг, идиоматический оборот, «идол рынка» по Ф.Бэкону, а проще говоря, - обыкновенная глупость.


ЛИТЕРАТУРА

[i]. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. – Режим доступа: http://www.rskb48.ru/info/50922-06.pdf (21.02.2010).

[ii]Федеральный закон Российской Федерации от 28 декабря 2010 г. N 390-ФЗ. Режим доступа: http://www.rg.ru/2010/12/29/bezopasnost-dok.html (23.02.2014).

[iii]. Основы государственной политики РФ в области международной информационной безопасности на период до 2020 года [Электронный ресурс] // Сайт Совета Безопасности Российской Федерации. – Режим доступа: http://www.scrf.gov.ru/documents/6/114.html (23.02.2014).

[iv]. Викисловарь [Электронный ресурс]. – Режим доступа:  http://ru.wiktionary.org (27.01.2014).

[v]. Советский энциклопедический словарь. С. 1368.

[vi]. Атаманов Г.А. Азбука безопасности. Исходные понятия теории безопасности и их определения // Защита информации. Инсайд. 2012, № 4, с 16-21.

 

Запись участвует в конкурсе

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.