Тусклый блеск... «науки в жизнь». Живём с тем не знаем чем… Защищаем то не знаем что…

BIS Journal №2(41)/2021

27 мая, 2021

Тусклый блеск... «науки в жизнь». Живём с тем не знаем чем… Защищаем то не знаем что…

Не хочу доводить до логического завершения название статьи уважаемого и почитаемого мной С. В. Вихорева, а то получится, что эта самая БДУ подобна женщине с пониженной социальной ответственностью.

Хотя сама статья очень даже ответственная и выводит на свет одну из фундаментальных проблем построения систем защиты информации. Таких проблем, конечно, множество. С одной стороны, это говорит о том, что информационная безопасность – живой, развивающийся организм, с другой – мы мастерски обманываем себя и других в вопросах о том, что, как и зачем надо делать. И подводим под этот обман почти научную базу.

Кстати, о научности тезисов. Аплодисменты автору – простая и всеобъемлющая формула

прекрасно иллюстрирует принцип, по которому необходимо классифицировать те самые угрозы, и дедушка Карл Николиус Линней может подсказать принципы классификации на основе таксономии и таксонов.

Но, если уж мы заговорили об основах, давайте и начнём сначала: вспомним о предмете, который мы защищаем.

Итак, информация — результат и отражение в человеческом сознании, многообразие внутреннего и окружающего миров (сведения об окружающих человека предметах, явлений, действия других людей).

То есть предмет защиты находится у нас в голове? Тогда, может, это к психиатру?Или всё-таки во ФСТЭК?

Заглянем с другой стороны – в Энциклопедический словарь под редакцией А. М. Прохорова:

Информация (от латинского informatio — разъяснение, изложение) с середины ХХ века общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом, обмен сигналами в животном и растительном мире, передачу признаков от клетки к клетке, от организма к организму.

Красиво! Но беда в том, что это определение натягивается только на все виды обмена «информацией» и совершенно игнорирует то, о чём говорит предыдущее определение. Мысль о мамонте в соответствии с этим определением становится информацией только в самый момент организации охоты на него при обмене мнениями о процессе охоты.

Идём дальше. Самый главный документ – Федеральный закон ФЗ-149 «Об информации, информационных технологиях и защите информации». Читаем там:

Информация — сведения (сообщения, данные) независимо от формы их представления.

Для практических задач, скорее всего, это определение подходит лучше предыдущих. Используя заложенный в нём подход, можно попробовать построить некоторую сильно упрощённую модель взаимоотношений в информационной сфере (рис. 1).

Рисунок 1. Информационная сфера

 

Тем не менее даже это определение не даёт исчерпывающего ответа на поставленный вопрос.

В итоге, раз ответа на вопрос о том, что же такое информация, нет, у каждого, прикоснувшегося к этой тематике, есть возможность внести свой вклад в науку. А как это можно делать, показал нам уважаемый автор, надо только определиться с таксонами.

Продолжим.

Так и не получив ответ на почти риторический вопрос, что такое информация, я попробовал посмотреть, а что же такое защита информации? Может, с этим вопросом больше порядка? Обратился к разным первоисточникам – стандартам, методическим рекомендациям и т. д. Нашёл 77 определений, связанных с понятиями «защита информации» и «безопасность информации», сбился со счёта и перестал искать...

Ближе к моим внутренним понятиям оказалось следующее определение:

Информационная безопасность — это состояние защищённости информационных ресурсов Организации, выраженное в способности противостоять или противодействовать случайным или преднамеренным деструктивным воздействиям естественного или искусственного характера на нормальный процесс функционирования автоматизированных систем, способным нанести ущерб владельцам и пользователям информации и поддерживающей инфраструктуре.

Ключевой момент здесь в том, что мы не говорим о защите собственно информации, а говорим о защищённости информационных ресурсов. Попробуем уточнить это определение и вернёмся к нашей модельке.

И что мы видим? Мы защищаем информационные активы – информацию в электронном виде и средства её обработки, в том числе преобразования в тот вид, в котором она становится понятной субъектам этих отношений. А где уверенность в том, что собственно информация и есть то, что мы защищаем, а следовательно, рассматриваемые угрозы именно угрозы информации?

Замечательный пример с сейфом поднимает ещё одну проблему – связки безопасности физической и информационной. Следствие, на мой взгляд, красивое – не бывает информационной безопасности как таковой, её всегда надо увязывать с реальными процессами, тогда и ЗАЩИТА становится не информационная, а защита, в общем случае, бизнеса.

В таком контексте сочетание понятий уязвимости и угрозы, а ещё и меры защиты к ним, становится крайне запутанным и неопределённым.

Ну, и, наконец, вишенка на торт.

Допустим, я офицер безопасности и решаю вполне конкретную задачу – внедрение системы контроля доступа к базам данных. Вполне себе хорошая техническая мера, которая решает массу задач, в том числе контроля несанкционированного доступа к этим самым данным. У системы есть предельные технические возможности, граница которых определяется уровнем деградации основных процессов работы с базами данным. Как мне помогут все эти теоретические изыски в области защиты информации? Не знаю…

 

Материалы по теме номера – «Банк данных угроз» (BIS Journal №2/41 2021):

Блеск и нищета… БДУ

Главное – ущерб! BIS-комментарий к статье «Блеск и нищета… БДУ» 

Тусклый блеск... «науки в жизнь». Живём с тем не знаем чем… Защищаем то не знаем что… 

Нищета… знаний о БДУ. Ответ на эссе Вихорева С. В. 

Смотрите также