пятница, 19 января 2018 г.

Ещё раз о том, что такое «информационная безопасность»


Уже который год я пытаюсь объяснить народу, что термин «информационная безопасность» сегодня используется совершенно некорректно и что это не так безобидно, как многие полагают. Одной из причин недопонимания, возможно, является то, что я в своих статьях иногда использую научные термины.

Например, в некоторых своих работах я пишу, что термин «информационная безопасность», конституированный (т.е. узаконенный) российским законодательством, есть идиоматическое выражение или идиома.
Что это значит? 
А это значит, что значение термина «информационная безопасность» нельзя вывести из значений слов, его образующих. Так, слово «информационная» есть прилагательное, образованное от слова «информация», которое российским законодательством трактуется как «сведения (сообщения, данные) независимо от формы их представления»[1]. «Безопасность» согласно закону «О безопасности» 1992-го года (в новой версии и этого уже нет) есть «состояние защищённости жизненно важных интересов личности, общества и государства от внутренних и внешних угроз». Если соединить эти два определения, то получим ….
Попробуйте сами. Я пытался. У меня получается какая-то белиберда.
Возможно, это является следствием того, что сами определения терминов «информация» и «безопасность» не отвечают признаку научности?
Попробуем разобраться.
Итак, согласно российскому законодательству, информация – сведения (сообщения, данные) независимо от формы их представления.
Информация = сведения?
Сведения, согласно словарям, это – часть знаний. Заметьте, не все знания, а только их часть! И отождествлять знания с информацией (мягко скажу) некорректно, а уж с частью знаний – это уже ну «ни в какие ворота». По-научному – недопустимая методологическая ошибка.
 С точки зрения методологии, это, примерно, то же самое, что сказать: человек – это голова (рука, нога) независимо от её формы. А это, в соответствии с тернарной концепцией истины, есть не что иное, как ахинея.
Информация = сообщение?
Сообщение, согласно всё тем же словарям, – наименьший элемент языка или форма представления информации! Отождествлять форму представления или наименьший элемент со всей совокупностью элементов и, тем более, со всем множеством элементов, по меньшей мере, безграмотно, по большей – преступление против логики, а значит и науки.
С точки зрения методологии, это даже не «человек – это рука независимо от её формы», а что-то вроде «человек – это мизинец правой руки». Что, по-моему, есть тоже ахинея.
Аналогично обстоят дела и с «информация = данные». Очевидно, что данные – это не вся информация. Опять налицо отождествление части и целого, что является грубейшей методологической ошибкой и недопустимо ни в науке, ни в законе.
Опять аналогия: это, примерно, то же самое, что сказать: человек – это его левая нога независимо от её формы. Что, по-моему, опять есть ахинея.
С «безопасностью» дела обстоят ещё хуже. О том, что безопасность не может трактоваться как состояние защищённости, написаны тонны литературы. Даже если брать словарное определение термина «состояние» (состояние – отвлечённое понятие, обозначающее множество устойчивых значений переменных параметров объекта), получим: безопасность – отвлечённое понятие, обозначающее множество устойчивых значений защищённости жизненно важных интересов … и далее по тексту. А защищённость, в свою очередь, это – состояние надёжной безопасности!?
Здравствуйте, приехали: безопасность – это состояние надёжной безопасности!?
В науке это называется «логический (или порочный) круг». И заметьте, определение здесь даётся даже не через свойства определяемого, а напрямую, не мудрствуя лукаво, через самого себя. Что, опять же, ну «ни в какие ворота»! Это согласно тернарной концепцией истины подпадает уже под категорию «бред».
И при всём при этом кто-то умудрился дать, а законодатель конституировать, такое определение понятия «информационная безопасность»:
«Под информационной безопасностью РФ понимается состояние защищённости её национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства»[2].
Вот это и есть то, что называется «идиоматическое выражение» или «идиома», т.е. термин, сработанный по принципу: в огороде бузина, а в Киеве – дядька.
Кстати, из определения, представленного в Доктрине ИБ РФ 2000-го года, следует, что информационная безопасность может быть только на национальном уровне. Ни у предприятия, ни у личности никакой информационной безопасности быть не может! Подставьте в определение, приведённое в законе, эти термины и сами поймёте, что это так.
Профессор Пилипенко В.Ф. – автор и составитель словаря-справочника «Безопасность: теория, парадигма, концепция, культура» – толи где-то нашёл, толи сам придумал такое определение: «Информационная безопасность государства – состояние сохранности информационных ресурсов государства и защищённости законных прав личности и общества в информационной сфере»[3].
Об абсурдности этого определения писать не буду и так всё очевидно.
Важно другое – так или примерно так понимают сегодня информационную безопасность многие и многие специалисты в области защиты информации. Произошло непоправимое – отождествление понятий «безопасность» и «состояние защищённости».
Я никак не могу понять, почему это – колоссальное по своей отрицательной значимости – заблуждение оказалось таким живучим?
Почему понятие «продовольственная безопасность» никто не трактует как «состояние защищённости продовольствия» или как «состояние защищённости личности, общества и государства от внутренних и внешних угроз в продовольственной сфере», как это должно было бы быть, если исходить из логики определения понятия «информационная безопасность», данного в Доктрине информационной безопасности Российской Федерации[4]? Тем более никто не трактует продовольственную безопасность как «состояние защищённости национальных интересов в продовольственной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства».
Почему?
Ответ очевиден и однозначен – потому что это глупость! Не просто какие-то там методологические или стилистические ошибки, а откровенная и очевидная глупость!
Продовольственная безопасность и у нас, и за рубежом трактуется как ситуация, при которой каждому человеку гарантируется физическая и экономическая доступность пищевых продуктов в объемах, необходимых для активного и здорового образа жизни[5].
Почему подходы к трактовке понятия «информационная безопасность» должны быть иными, нежели к трактовке понятия «продовольственная безопасность»? Ведь информация – тоже пища: пища для ума, исходный продукт для принятия решения!
Не будет пищи – человек умрёт! Будет ядовитая пища – человек умрёт. И чтобы не испытывать судьбу, человек принимает меры по обеспечению сохранности некоторых, сделанных им на всякий «пожарный» случай, запасов продуктов. Причём, не везде и не всегда.
С информацией всё обстоит совершенно аналогично: не будет нужной информации, человек примет неверное решение и, в пределе, погибнет. Будет потреблять «ядовитую» информацию, «отравится» ею и опять, в пределе, погибнет. За примерами далеко ходить не надо – сайты с материалами, пропагандирующими суицид, и дети, спрыгнувшие с крыши дома, под влиянием такой пропаганды. А возможен и такой вариант – человек не погибнет физически, а превратится в маньяка, т.е. в крайне опасный для социума элемент. Примеров тому – тьма: от маньяков-убийц и насильников до армий ИГИЛ и Аль-Каиды.
И именно поэтому я утверждал и утверждаю, что:
Информационная безопасность субъекта есть ситуация, при которой ему обеспечивается физический и семантический доступ к информации в объёмах и качестве, необходимых для принятия верных решений, а также ему не причиняется вред путём воздействия на его информационную инфраструктуру, его информационную функцию и значимые для него информационные ресурсы, вследствие чего он сохраняет способность и возможность ставить позитивные социально значимые цели, направленные на прогрессивное развитие своё и социума, обеспечивать условия и сохранять возможности их достижения.
Это самое развернутое определение понятия «информационная безопасность». В целях повседневного употребления его можно свернуть:
Информационная безопасность субъекта есть ситуация, при которой его информационной инфраструктуре, информационной функции и информационным ресурсам не может быть причинён значимый вред.
Здесь важно отметить, что объектом информационной безопасности могут быть только субъекты! К таковым следует отнести: 1) человека (индивида); 2) корпорацию (формальную или неформальную организацию); 3) государство. Рассуждения об информационной безопасности компьютера, информационной сети или какого-нибудь объекта информатизации – признак либо дремучей методологической безграмотности, либо безграничной подлости, либо шизофрении. Об этом более подробно можно прочитать, например, здесь.
Главным субъектом информационной безопасности также является сам субъект!
При этом информационная безопасность обеспечивается:
1) удовлетворением информационных потребностей субъекта;
2) защитой информационной инфраструктуры и информационной функции субъекта от деструктивного воздействия;
3) защитой значимых для субъекта информационных ресурсов от некорректного уничтожения, искажения, некорректного использования.
Обеспечение субъекта информацией является информационной задачей?
Однозначно – ДА!
А что важнее: снабдить субъекта нужной информацией, т.е. удовлетворить его информационную потребность, или скрыть от субъекта информацию, т.е. обеспечить её конфиденциальность?  
Для наглядности давайте рассмотрим такую гипотетическую историю. Представьте, что вы с группой товарищей после напряжённой трудовой недели пошли в поход, а, чтобы за время вашего отсутствия никто не украл только что изобретённое вами ноу-хау, вы взяли флешку с информацией о нём с собой. Шли-шли и заблудились. На небе сплошные облака, звёзд не видно, компас не взяли. Навстречу мужик. Вы к нему с вопросом: как выйти из чащи, а в ответ – молчание: мужик законопослушный и потому блюдёт конфиденциальность, как главное требование российского законодательства. Вы понимаете, что, если он ничего не скажет (не удовлетворит вашу потребность в информации), вам – хана. Вы пытаетесь «раскрутить» мужика. Можно было, конечно, его и попытать, но выяснилось, что его фамилия Сусанин и что он потомок того самого Ивана Сусанина. Стало понятно, что этот метод не прокатит. Пришлось применить другой – психотропы, а проще – стакан водки. Выпил, значит, Сусанин водочки и показал направление, куда вам следует идти. Вы и пошли. И вышли из дебрей … да прямиком в болото. И все утонули. Почему? Потому что информация Сусанина была недостоверной! Вы ему поверили и не удосужились полученную от него информацию верифицировать. Зато все ваши тайны ушли вместе с вами. Ура! Конфиденциальность соблюдена. Информационный ресурс надёжно защищён. Правда, никто об этом уже и не узнает, да это, собственно, уже и не важно.
А теперь несколько вопросов «на засыпку»:
1) создаёт отсутствие нужной для принятия решения информации угрозу субъекту, будь то индивид, организация или государство?
2) эта проблема имеет отношение к информационной опасности / безопасности?
На оба вопроса ответ очевиден и однозначен – ДА!
Ещё вопрос: что важнее – скрывать (т.е. обеспечивать конфиденциальность) или верифицировать (т.е. обеспечивать достоверность) поступающую на вход информационной системы информацию? Для меня ответ опять очевиден: чтобы принять правильное решение, субъекту нужна только достоверная (истинная и актуальная) информация.
Использование непроверенной (а, тем более, специально искажённой) информации – смертельно опасно и в быту, и в бизнесе.
И только после того, как будут удовлетворены потребности субъекта в нужной информации, когда эта информация будет проверена на истинность/ложность, можно подумать о конфиденциальности какой-то части информационного ресурса. По объёму часть эта будет очень даже незначительной по сравнению с общим объёмом информационного ресурса, находящегося в распоряжении субъекта. И конфиденциалить такую информацию нужно по критерию полезность/вредность, причём с учётом интересов всех участников информационной коммуникации одновременно. А это крайне сложный и всегда неоднозначный процесс. Конфиденциальность – оппозиция (диалектическая противоположность) открытости. Открытая информация – доступна всем и всегда, конфиденциальная – доступна ограниченному кругу лиц тогда и там, когда и где это возможно без нанесения ущерба статусу информации (без причинения вреда владельцу информации или третьим лицам). Поэтому триада «конфиденциальность / целостность / доступность» есть либо обман, либо фикция. Но об этом как-нибудь другой раз.

Заключение:
1. Объектами информационной безопасности являются субъекты информационных отношений – человек (индивид), организация (формальная или неформальная, иначе – корпорация), государство.
2. Информационная безопасность субъекта есть ситуация, при которой его информационной инфраструктуре, информационной функции и информационным ресурсам не может быть причинён значимый вред.
3. Информационная безопасность субъекта достигается:
1) обеспечением субъекта достоверной и достаточной для принятия правильного решения информацией, и тогда, когда она ему нужна;
2) исключением (снижением вероятности) деструктивного воздействия на информационную инфраструктуру и информационную функцию субъекта;
3) защитой значимых для субъекта информационных ресурсов от уничтожения, искажения, блокирования (затруднения) доступа, некорректного изменения статуса (в т. ч. в результате кражи, утечки и т.п.).





[1] Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
[2] Доктрина информационной безопасности Российской Федерации (утв. 09.09. 2000, № Пр-1895).
[3] Безопасность: теория, парадигма, концепция, культура. Словарь-справочник / Автор-сост. профессор ВФПилипенко. 2-е изд., доп. и перераб. — М.: ПЕР СЭ-Пресс, 2005.
[4] Утверждена Указом Президента РФ от 05.12.2016 № 646.
[5] Об этом более подробно: http://gatamanov.blogspot.ru/2014/04/blog-post_15.html.

Комментариев нет:

Отправить комментарий