Не хочу доводить до логического завершения название статьи уважаемого и почитаемого мной С. В. Вихорева, а то получится, что эта самая БДУ подобна женщине с пониженной социальной ответственностью.
Хотя сама статья очень даже ответственная и выводит на свет одну из фундаментальных проблем построения систем защиты информации. Таких проблем, конечно, множество. С одной стороны, это говорит о том, что информационная безопасность – живой, развивающийся организм, с другой – мы мастерски обманываем себя и других в вопросах о том, что, как и зачем надо делать. И подводим под этот обман почти научную базу.
Кстати, о научности тезисов. Аплодисменты автору – простая и всеобъемлющая формула
прекрасно иллюстрирует принцип, по которому необходимо классифицировать те самые угрозы, и дедушка Карл Николиус Линней может подсказать принципы классификации на основе таксономии и таксонов.
Но, если уж мы заговорили об основах, давайте и начнём сначала: вспомним о предмете, который мы защищаем.
Итак, информация — результат и отражение в человеческом сознании, многообразие внутреннего и окружающего миров (сведения об окружающих человека предметах, явлений, действия других людей).
То есть предмет защиты находится у нас в голове? Тогда, может, это к психиатру?Или всё-таки во ФСТЭК?
Заглянем с другой стороны – в Энциклопедический словарь под редакцией А. М. Прохорова:
Информация (от латинского informatio — разъяснение, изложение) с середины ХХ века общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом, обмен сигналами в животном и растительном мире, передачу признаков от клетки к клетке, от организма к организму.
Красиво! Но беда в том, что это определение натягивается только на все виды обмена «информацией» и совершенно игнорирует то, о чём говорит предыдущее определение. Мысль о мамонте в соответствии с этим определением становится информацией только в самый момент организации охоты на него при обмене мнениями о процессе охоты.
Идём дальше. Самый главный документ – Федеральный закон ФЗ-149 «Об информации, информационных технологиях и защите информации». Читаем там:
Информация — сведения (сообщения, данные) независимо от формы их представления.
Для практических задач, скорее всего, это определение подходит лучше предыдущих. Используя заложенный в нём подход, можно попробовать построить некоторую сильно упрощённую модель взаимоотношений в информационной сфере (рис. 1).
Рисунок 1. Информационная сфера
Тем не менее даже это определение не даёт исчерпывающего ответа на поставленный вопрос.
В итоге, раз ответа на вопрос о том, что же такое информация, нет, у каждого, прикоснувшегося к этой тематике, есть возможность внести свой вклад в науку. А как это можно делать, показал нам уважаемый автор, надо только определиться с таксонами.
Продолжим.
Так и не получив ответ на почти риторический вопрос, что такое информация, я попробовал посмотреть, а что же такое защита информации? Может, с этим вопросом больше порядка? Обратился к разным первоисточникам – стандартам, методическим рекомендациям и т. д. Нашёл 77 определений, связанных с понятиями «защита информации» и «безопасность информации», сбился со счёта и перестал искать...
Ближе к моим внутренним понятиям оказалось следующее определение:
Информационная безопасность — это состояние защищённости информационных ресурсов Организации, выраженное в способности противостоять или противодействовать случайным или преднамеренным деструктивным воздействиям естественного или искусственного характера на нормальный процесс функционирования автоматизированных систем, способным нанести ущерб владельцам и пользователям информации и поддерживающей инфраструктуре.
Ключевой момент здесь в том, что мы не говорим о защите собственно информации, а говорим о защищённости информационных ресурсов. Попробуем уточнить это определение и вернёмся к нашей модельке.
И что мы видим? Мы защищаем информационные активы – информацию в электронном виде и средства её обработки, в том числе преобразования в тот вид, в котором она становится понятной субъектам этих отношений. А где уверенность в том, что собственно информация и есть то, что мы защищаем, а следовательно, рассматриваемые угрозы именно угрозы информации?
Замечательный пример с сейфом поднимает ещё одну проблему – связки безопасности физической и информационной. Следствие, на мой взгляд, красивое – не бывает информационной безопасности как таковой, её всегда надо увязывать с реальными процессами, тогда и ЗАЩИТА становится не информационная, а защита, в общем случае, бизнеса.
В таком контексте сочетание понятий уязвимости и угрозы, а ещё и меры защиты к ним, становится крайне запутанным и неопределённым.
Ну, и, наконец, вишенка на торт.
Допустим, я офицер безопасности и решаю вполне конкретную задачу – внедрение системы контроля доступа к базам данных. Вполне себе хорошая техническая мера, которая решает массу задач, в том числе контроля несанкционированного доступа к этим самым данным. У системы есть предельные технические возможности, граница которых определяется уровнем деградации основных процессов работы с базами данным. Как мне помогут все эти теоретические изыски в области защиты информации? Не знаю…
Материалы по теме номера – «Банк данных угроз» (BIS Journal №2/41 2021):
Главное – ущерб! BIS-комментарий к статье «Блеск и нищета… БДУ»
Тусклый блеск... «науки в жизнь». Живём с тем не знаем чем… Защищаем то не знаем что…
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных