понедельник, 3 ноября 2014 г.

Методология обеспечения информационной безопасности

     Проблема обеспечения информационной безопасности стояла перед человеком и человечеством всегда с момента появления человеческого общества. Правда, она не была чётко сформулирована, существовала в неявной форме и даже не имела названия. Такое случается довольно часто: феномен есть, а названия у него нет.

     В далёком 399 г. до н. э. афиняне предъявили Сократу обвинение в том, что «он не чтит богов, которых чтит город, а вводит новые божества, и повинен в том, что развращает юношество» . Если перевести эту ситуацию на современный язык, то получится, примерно, следующее: гражданин, озаботившийся чистотой информационного пространства, обвинил Сократа в том, что его высказывания ведут к искажению (формированию искажённой) картины Мира у юного поколения жителей Афин. Это стоило Сократу жизни. В средние века по приказу папской инквизиции по обвинениям в распространении ереси на кострах сжигали носителей этой самой ереси – книги и людей. Не менее суровая кара во все времена ждала разгласившего тайну или, как сказали бы сейчас, виновника утечки информации. И не какой-то там государственной тайны, а, по современной терминологии, всего лишь коммерческой или ноу-хау. Так, в XVII веке за разглашение иностранцам секретов кузнецкого мастерства в немецком городе Насау виновных подвергали смертной казне. Каменотёсы Страсбурга в XV веке казнили тех, кто раскрывал секреты, «коими они (каменотёсы) могут ловко и быстро работать» [1]. На Руси сплетникам, наветчикам, доносчикам и прочим болтунам заливали в глотку расплавленный свинец или отрезали языки. Сегодня за гораздо более значительные нарушения, максимум, – отключение сайта, закрытие СМИ, временное прекращение трансляции и/или штраф, в крайнем случае – тюрьма (Сноуден, WikiLeaks, Ассанж и др.).
     С доисторических времён для защиты конфиденциальной информации (мест расположения кладов, дипломатической почты, любовных посланий и прочих сообщений ограниченного распространения) широко применялось шифрование и стеганография. Для передачи использовались доверенные каналы связи: дипкурьеры, голуби, тайники и т.д. Для ведения секретных переговоров использовались специально оборудованные кабинеты, которые по современной терминологии принято называть выделенными помещениями.
     Поэтому говорить о том, что проблема обеспечения информационной безопасности – это сверхновая задача, возникшая вместе с новыми информационными технологиями, как минимум – преувеличение, как правило – спекуляция.
     Другое дело, что изобретение и тотальное внедрение новых технических средств обработки, хранения и передачи информации (ТСОХПИ) привело к изменению объёмов и характера работ по обеспечению этой самой информационной безопасности. Микроминиатюризация, приведшая к изобретению и лавинообразному распространению компьютеров, мобильных телефонов, планшетов и прочих гаджетов и виджетов привело к тому, что проблема, бывшая ранее прерогативой довольно узкого круга лиц, стала потребностью каждого современного цивилизованного человека. Но решается данная проблема разными способами. Всё зависит от того, как тот или иной субъект понимает сущность информационной опасности/безопасности и какие преследует при этом цели, а ещё и от того, что предписывают ему (субъекту) т.н. «регуляторы». А как мы уже не раз подчёркивали в предыдущих публикациях цикла «Азбука безопасности», содержащиеся в них требования далеко не всегда согласуются как с наукой, так и со здравым смыслом.
     Здравый же смысл говорит нам о том, что методология обеспечения информационной безопасности должна строиться на базе методологии обеспечения общей безопасности субъекта, так как информационная безопасность – это всего лишь проекция безопасности субъекта на его информационную сферу, информационную инфраструктуру, информационную деятельность.
     А что по этому поводу говорит и думает российская наука и российский законодатель? В вопросе обеспечения безопасности они на удивление единодушны и утверждают, что безопасность есть состояние защищённости и, следовательно, чтобы нечто или некто были в безопасности их необходимо защищать. И, в первую очередь, защищать от несанкционированного доступа: не дай-то бог, кто-то куда-то доступит, увидит, потрогает, и уж совсем скверно, если что-то увидит или услышит. Например, всё те же пресловутые персональные данные.
     Если бы безопасность действительно была состоянием защищённости , то, учитывая, что сейчас в России часто стреляют, взрывают, травят газом, ещё чаще убивают в авто- и авиа- и прочих транспортных катастрофах, все должны были бы ходить в «сферах», бронежилетах и противогазах, ездить на танках или сидеть в бункерах и при этом не есть, не пить и не дышать. Или дышать только через противогаз, пить и есть только через фильтр. Как через фильтр есть, я себе не очень представляю. Полагаю, что и те, кто придумал трактовать безопасность как защищённость, этого себе тоже не представляют. Более того, они об этом, скорее всего, даже и не задумывались. Не о том, как есть через фильтр, а о том, что формулировка «безопасность есть состояние защищённости» с фатальной неизбежностью приведёт к вопросам: что такое «состояние защищённости» и как это состояние обеспечить в обычной повседневной деятельности? А то, что безопасность нужна не только и столько персональным данным, сколько их владельцам, т.е. индивидам-людям-человекам, и не только при совершении какой-то определённой деятельности, а постоянно, видимо, забыли. Причём, забыли напрочь.
    А логика и, опять же, здравый смысл просто кричат нам, что безопасность субъекта может обеспечиваться (и обеспечивается) не только и не столько путём защиты. В предыдущих статьях цикла я уже писал, что дойти до истины можно просто обратившись к народной мудрости. Там почти всё есть, но только в интуитивно постигаемой и афористично излагаемой форме: «лучший метод защиты – нападение», «худой мир лучше хорошей войны», «предотвращённая схватка – выигранная схватка», «умный найдёт выход из сложной (читай – опасной) ситуации, мудрый найдёт возможность в неё не попасть». И таких поговорок, пословиц, максим – море. А есть ещё такая: «Семь раз отмерь, один раз отрежь», - которая может считаться правилом №1 в теории рисков . Так что бери, читай, анализируй, систематизируй и получишь, примерно, следующее.
     Безопасность субъекта может и должна обеспечиваться:
1) снижением рисков;
2) своевременной и адекватной реакцией на угрозы;
3) созданием системы ликвидации возможных негативных последствий.
     Данные направления деятельности по обеспечению безопасности субъектов инвариантны по отношению к виду их деятельности и виду безопасности, которую необходимо обеспечить. Решение задачи обеспечения конкретного вида безопасности каждого конкретного субъекта потребует применения специфических, свойственных только этому виду деятельности и этому субъекту способов и средств.
     На первом месте среди направлений деятельности по обеспечению безопасности стоит «снижение рисков». Напомню: риск есть атрибут деятельностного акта, в результате которого, субъекту, его совершающему, может быть причинён вред. Отсюда следует, что «снижение рисков» обеспечивается совершением действий, за которыми не последуют вообще или последуют, но незначительные, деструктивные воздействия, т.е. вред либо не будет причинён, либо будет причинён в незначительных (не оказывающих серьёзного снижения жизнеспособности и ухудшения жизнедеятельности объекта безопасности), допустимых, с точки зрения оценивающего ситуацию субъекта, размерах.
     Снижение рисков обеспечивается:
- правильной кадровой политикой;
- выявлением и санацией (вплоть до уничтожения) источников опасности;
- заключением с источниками опасности договоров о ненападении;
- уклонением от контактов с источниками опасности.   
     Использование данного метода для обеспечения информационной безопасности антропной системы (социального субъекта) лучше всего продемонстрируют советы и максимы типа:
- никому нельзя верить;
- пользуйтесь доверенными источниками информации;
- верифицируйте поступающую информацию;
- ведите себя так, будто вас снимают на видеокамеру;
- говорите так, будто вашу речь записывают на диктофон;
- не пишите пароли для входа в систему на передней панели монитора;
- учите материальную часть и т.д.
     Другими словами, для снижения рисков нужно не совершать действий, могущих привести к негативным последствиям. Для этого: не доверять свои секреты абы кому, внимательно и скрупулёзно собирать и анализировать информацию об окружающей обстановке, тенденциях её изменения, иметь и уметь применять алгоритмы принятия правильных (с точки зрения наступления возможных деструктивных последствий) решений.
     В качестве наглядного примера следования принципу снижения рисков можно привести американскую юридическую практику, когда при задержании полицейские предупреждают преступников, что всё, сказанное последними, может быть обращено против них же. Промолчишь – обеспечишь себе информационную безопасность. Правда, таким поведением можешь навлечь на себя какую-нибудь другую опасность, ничуть не меньшую. Например, лишиться здоровья (отбитые почки) или вообще жизни (от бутылки шампанского, использованной не по прямому её назначению). Но, как я уже неоднократно писал, обеспечение безопасности есть дело комплексное, творческое и требует знания и учёта многих факторов. А главным и единственным источником рисков (т.е. наиболее существенных и наиболее вероятных опасностей), и главным субъектом безопасности был и остаётся сам субъект. Ему принимать решение, что говорить (писать, отправлять, показывать, смотреть, читать и т.п.), а что нет, ему же и нести за это ответственность.
     Много лет тому назад, когда я служил в армии, на одном из учебно-методических сборов молодой замполит одного из батальонов Волгоградского гарнизона доложил о том, что по его наблюдениям основная масса драк между солдатами является следствием употребления нецензурной брани и что они с командиром приняли решение запретить в своём подразделении всему личному составу – и солдатам, и офицерам – ругаться матом. Хохот в зале поднялся невероятный. Над ним смеялись все. Но когда через полгода подводили итоги, не смеялся никто – ни одной драки в подразделении. Сработало первое «золотое» правило информационной безопасности - фильтруй контент. И до второго - за контент ответишь – не дошло.
    Правильная кадровая политика подразумевает не только подбор и расстановку кадров, способных принимать оптимальные решения, минимизировать риски, но и обучение и воспитание сотрудников.
     Выявление и санация источников информационной опасности предполагает их поиск как во внешней среде, так и внутри организации. Наибольший вред организации, как известно, причиняют инсайдеры, т.е. специально внедрённые в организацию сотрудники конкурента.
     К методу выявления и санации (вплоть до уничтожения) источников опасности всё-таки чаще прибегают власти. Они создают для этого даже специальные органы, которые призваны следить за содержанием и распространением информации, печатной продукции, музыкальных и сценических произведений, произведений изобразительного искусства, кино и фото произведений, передач радио и телевидения, web-сайтов и порталов, в некоторых случаях также частной переписки, с целью ограничения либо недопущения распространения нежелательной информации . В целом это не очень приятная, часто осуждаемая, но, с моей точки зрения, крайне необходимая работа. Когда государство создаёт организации, следящие за качеством продуктов питания, – все одобряют. Но как только создаётся прецедент контроля за качеством пищи духовной – то есть информации – поднимается невероятный шум. Понятно, что громче всех кричат именно те, кто пичкает население некачественной продукцией. Солидарны с ними и те, кто недоволен тем, как осуществляется такой контроль. Как это делается – отдельный и сложный вопрос, но то, что следить за чистотой информационной сферы, заставляя источники информации снабжать население достоверной, достаточной и доступной информацией, необходимо, я убеждён.
      Третьим методом – заключением с источниками опасности договоров о ненападении – широко пользуются российские политики, подписывая в период предвыборных кампаний различные соглашения и меморандумы о неприменении «чёрного PR», и российские бизнесмены, договариваясь о моратории на информационные войны друг с другом.
     Проще принять превентивные меры и договориться с «информационным киллером», чем потом «отмываться» от той грязи, которую он выплеснет в СМИ. Если, конечно же, возможность договориться ещё остаётся. Если такой возможности уже нет или её вообще не было (противник не оставил никакого шанса), тогда приходится прибегать к более радикальным методам и средствам, т.е. физическому уничтожению источников опасности. Что, например, предполагают делать Соединённые Штаты Америки в отношении источников киберугроз.
     Уклонение от контактов с источниками опасности в информационной сфере реализуется следованием таким советам, как:
- не посещайте сомнительные сайты;
- не открывайте письма электронной почты от неизвестных адресатов;
- не смотрите боевики, ток-шоу и прочие передачи по телевидению;
- не читайте книги современных авторов;
- не посещайте сомнительные мероприятия.
     Хотя универсальных советов здесь нет и быть не может. Перефразируя известную фразу Ярослава Гашека, можно сказать, что хорошо воспитанный человек может читать и смотреть всё. Но я бы посоветовал многим следовать совету Андре Моруа и читать только то, что прошло проверку временем, т.е. классическую литературу. Правда, здесь человека со слабой психикой также поджидают многочисленные опасности – когнитивный диссонанс, отторжение действительности, уход в виртуальную реальность и др.
     Своевременная и адекватная реакция на угрозы предполагает:
- повышение устойчивости субъекта к деструктивным воздействиям (повышением прочности и мощности, выработку и укрепление иммунитета);
- выявление и ранжирование угроз;
- формирование и совершенствование способностей к активному противодействию деструктивным воздействиям;
- применение технических средств защиты от деструктивных воздействий.
     Понятно, что полностью «вычистить» информационное пространство от нежелательной и/или некачественной информации тем более в современных условиях, просто невозможно. Поэтому параллельно с перечисленными методами нужно активно заниматься повышением устойчивости субъектов информационных отношений к деструктивным информационным воздействиям, формированием и укреплением «информационного иммунитета», т.е. критического отношения к получаемой информации, развитием способностей управления своими эмоциями. Знаю случай, когда человек умер от инфаркта, получив известие о том, что его сын, числившийся два года пропавшим без вести, жив. Здесь проявилось такое качество информации, как дуализм, т.е. способность информации одновременно воздействовать и на сознание, и на психику человека. Если бы организм этого человека не был истощён длительным переживанием и если бы он был подготовлен к получению такого сообщения, трагедии не случилось бы. Это, конечно же, экстраординарный случай. Чаще всё происходит несколько иначе: человек узнал некую информацию, не справился со своими эмоциями и совершил преступление: повесился, утопился, убил своего друга (жену, начальника, соседа), впал в депрессию и т.д. Почему? Потому что не был готов к восприятию информации такого рода, не был научен управлять своими эмоциями, возникающими вследствие информационного воздействия.
      Информационный иммунитет во многом зависит от типа психики индивида (холерики, сангвиники, флегматики и меланхолики по-разному реагируют на однотипную информацию) и от его состояния (уставший человек более раздражителен, чем отдохнувший, и иначе реагирует на одно и то же сообщение) . Но и то и другое перекрывается воспитанием. Правильно воспитанный человек правильно реагирует на информационные воздействия, в каком бы состоянии он не находился и каким бы типом психики не обладал. Этого можно добиться и при помощи специальных психотренингов, и при помощи насаждения в обществе специальных установок – категорических императивов. По типу японской пословицы: задача состоит не в том, чтобы победить эмоции, посетившие душу, а в том, чтобы не допустить их в душу.
     Сказать легко, сделать трудно. И потому параллельно с укреплением информационного иммунитета стоит заняться формированием и совершенствованием способностей субъекта информационных отношений к активному противодействию деструктивным информационным воздействиям. О чём здесь идёт речь? Прежде всего, о наборе возможных реакций на информационное воздействие. Например, на фразу «Ты дурак» можно отреагировать так: «Сам дурак» или «От дурака слышу». А можно сразу – левый прямой, правый боковой в голову обидчика. А можно и так: «А докажи!». Или: «Возможно, ты и прав, но давай оставим оскорбления». Если же речь идёт не об индивидах, а о субъектах экономической деятельности – предприятиях, организациях, учреждениях, то при получении сообщения о том, что заместитель директора – инсайдер, его можно сразу же уволить, а можно (и нужно) эту информацию проверить и перепроверить: не «деза» ли это?
      Чтобы избегать деструктивного информационного воздействия нужно уметь отличать полезную (ту, которая выведет субъекта на новый – более высокий – уровень развития) информацию от вредной (той, которая приведёт или может привести к причинению субъекту вреда). Это невероятно сложная и, практически, невыполнимая задача. «Невыполнимая» в том смысле, что решить её раз и навсегда, и на все 100% невозможно. Это процесс. Процесс вероятностный, зависящий от многих параметров, результат которого в значительной степени непредсказуем. «Нам не дано предугадать, как слово наше отзовётся», - совершенно справедливо сказал более ста лет тому назад Ф.И.Тютчев. Но нам также не дано предугадать, как отзовётся и чужое слово в нас. Я уже приводил, но, думаю, не лишне будет напомнить эту замечательную цитату, приписываемую Сократу, ещё раз: «Знания же нельзя унести в сосуде, а поневоле придётся, приняв их в собственную душу и научившись чему-либо, уйти или с ущербом для себя, или с пользой» [4].
      Наконец, мы добрались до применения технических средств защиты от деструктивных воздействий. Технических средств защиты субъектов информационных отношений, т.е. людей, от деструктивных информационно-психологических воздействий не существует. Любой информационный поток, любое сообщение может содержать одновременно и истину, и ложь (амбивалентность информации), полезную и вредную информацию. И отфильтровать, отделить одно от другого в реальном масштабе времени, то есть здесь-и-сейчас, практически невозможно. От деструктивного информационного воздействия на технические средства обработки, хранения и передачи информации (ТСОХПИ) можно защититься при помощи технических же средств. Решение этой задачи возлагается на различные фильтры, сетевые экраны, антивирусы и т.п.
      Создание системы ликвидации негативных для субъекта последствий связано с его безопасностью не напрямую, а косвенно. Такая деятельность призвана обеспечить жизнеспособность защищаемого субъекта не здесь-и-сейчас, а в будущем, когда один этап обеспечения его безопасности уже будет преодолён (одна безопасность будет нарушена ), когда угрозы из категории возможного перейдут в категорию реального, то есть станут атаками, произойдет нападение, после которого наступит следующий – принципиально иной – этап жизнедеятельности субъекта. Яркий пример применения данного метода – работа психологов с пострадавшими в катастрофах.
     К сожалению, как я неоднократно указывал в своих статьях и выступлениях, сущность феномена информационной опасности/безопасности понимается в России однозначно неправильно. И поэтому говорить о какой бы то ни было информационной безопасности сегодня не приходится. Её нет и не может быть при сохранении ныне действующей парадигмы и построенного на её базе законодательства. Говорить об информационной безопасности можно будет только тогда, когда будет обеспечено решение всего комплекса задач, входящих в состав этого понятия. В силу того, что в России сегодня «информационная безопасность» понимается исключительно как «безопасность информации», а сама «безопасность» конституируется исключительно как «состояние защищённости», предприятия, организации, учреждения вынуждены заниматься выстраиванием никому не нужных, малоэффективных, но очень затратных систем, называемых «системами информационной безопасности», но на самом деле являющихся «системами защиты информации».
     Напомню, что безопасность следует понимать как ситуацию, при которой объекту безопасности не может быть причинён вред в виде его деструкции, дисфункции, ухудшения условий существования.
      Информационная безопасность не является исключением. Специфика информационной безопасности состоит в том, что здесь речь ведётся о возможности причинении вреда посредством информационного воздействия или посредством воздействия на информационную инфраструктуру объекта безопасности, в качестве которого выступает социальный субъект.
      Как я уже неоднократно писал, обеспечение информационной безопасности любого субъекта представляет собой совокупность взаимосвязанных, но операционально различных задач:
1) удовлетворение потребностей в информации;
2) защита от деструктивных информационных воздействий;
3) обеспечение безопасности собственных информационных ресурсов.
     Удовлетворение потребностей в информации – первейшая и важнейшая задача в деле обеспечения существования любого субъекта. Не будет информации – не будет и субъекта! А субъекта социального или экономической деятельности (СЭД) – тем более. Именно поэтому Э.Тоффлер писал, что «фирмы сосут данные, подобно гигантскому вакуумному насосу, обрабатывают их и распространяют все более и более сложными путями» [7, с. 385]. Корпорации (по Тоффлеру – фирмы) добывают информацию не только законными – экономическая разведка – но и незаконными – промышленный шпионаж – методами. При этом им нужна не любая информация, а только та, которая обеспечит принятие правильных решений. Для этого она должна отвечать т.н. принципу «3Д», т.е. быть достоверной, доступной и достаточной .
      Защита от деструктивных информационных воздействий как самостоятельное и необходимое направление обеспечения информационной безопасности в нашей стране пока не осознана и, практически, не поставлена. За рубежом же есть специалисты по устранению негативных последствий информационного воздействия, так называемые «спин-докторы» [8, с. 105]. Спин-доктор (от англ. to spin — вкручивать, втюхивать, впаривать) – это организатор пропагандистской кампании, направленной на снижение роли негативной информации. В его задачи входит манипулирование общественным мнением. Спин-доктор – это тот, кто сумеет изменить восприятие события, подать реальность в нужном ключе, создать информацию о событии в заданном тоне. Спин-доктор формирует информационный поток и таким образом определяет сознание потребителя.
      Третья задача – защита информационных ресурсов – относится у нас к категории наиболее разработанных как в научном, так и в практическом аспектах. Однако и здесь дела обстоят не лучшим образом. Навязываемые «регуляторами» методики организации систем защиты информации носят спекулятивный характер, ориентированы на законодательные акты и нормативные документы, которые не учитывают специфики деятельности субъектов, не коррелированы с угрозами и размерами возможного вреда в случае их реализации. Вследствие этого предприятия, организации, учреждения вынуждены выбрасывать баснословные суммы на проведение абсолютно бесполезных работ, не повышающих общий уровень ни информационной безопасности, ни безопасности информационных ресурсов. В результате под благовидным предлогом повышения информационной безопасности, социальным субъектам наносится значительный материальный ущерб.
      На рисунке в качестве примера приведена разработанная мной модель системы обеспечения информационной безопасности субъекта информационных отношений (СИО). Эта модель универсальна. Она не зависит от вида деятельности субъекта, его структуры, масштабов или формы собственности. Убрав из неё все лишние (с его точки зрения проводящего анализ специалиста) элементы, можно построить свою, адаптированную к конкретным условиям, уникальную, присущую только данному субъекту, модель.

Рис. 1. Модель системы обеспечения информационной безопасности субъекта
           информационных отношений.

     Очевидно, что решение задачи обеспечения информационной безопасности любого субъекта целесообразно осуществлять комплексно. При этом каждый из представленных в модели видов деятельности должен осуществляться специально для этого подготовленными специалистами, на крупных предприятиях – специально сформированными подразделениями из специально подготовленных для этого сотрудников по каждому направлению деятельности, а вот отдельно взятым индивидом – самостоятельно, как правило, без какой-либо специальной подготовки и все сразу. Получается не у всех. И при существующем положении вещей ситуация будет только ухудшаться.

Литература
1. Климов В. Промышленный шпионаж как основа информационных войн [Электронный ресурс]. – Режим доступа: http://www.fact.ru/www/arhiv7s7.htm (29.11.2013).
2. Атаманов Г.А. Азбука безопасности. Исходные понятия теории безопасности и их определения // Защита информации. Инсайд. 2012, № 4, с. 20.
3. Атаманов Г.А. О свойствах информации, обуславливающих существование феномена информационной опасности // Защита информации. Инсайд. 2010, № 4, с. 18-21.
4. Платон. Протагор. Цит.по Бурьяк А. Национальная безопасность (отрывки) [Электронный ресурс]. - Режим доступа: http://bouriac.narod.ru/ (25.05.2014).
5. Атаманов Г.А. Информационная безопасность: сущность и содержание // Бизнес и безопасность в России. 2007. № 47, с. 104-109.
6. Атаманов Г.А. Азбука безопасности. Информационная безопасность: содержание понятия и его определение // Защита информации. Инсайд. 2013, № 3, с. 8 - 13.
7. Тоффлер Э. Третья волна : пер. с англ. / Э. Тоффлер. - М. : ООО «Издательство АСТ», 2002. -776 с.
8. Почепцов Г.Г. Информационные войны. - М. : «Рефл-бук», К. : «Ваклер», 2000. – 576 с.

Библиографическая ссылка: Атаманов Г.А. Азбука безопасности. Методология обеспечения информационной безопасности субъектов информационных отношений / Г.А. Атаманов // Защита информации. Инсайд. – 2014. – № 5. – С. 8 - 13.

2 комментария:

  1. Геннадий Альбертович, приветствую!

    Уточните пожалуйста,
    1. Как деятельность в модели СОИБ взаимосвязана с вышеупомянутой деятельностью по обеспечению ИБ: снижением рисков; своевременной и адекватной реакцией на угрозы; созданием системы ликвидации возможных негативных последствий?
    2. Как модель взаимосвязана с типологией социальной информации по признаку конфиденциальности. Какой например в ней место занимает управление доступом к КИ?

    ОтветитьУдалить
  2. Согласно предлагаемому мной подходу к типологии информации по признаку конфиденциальности, в компании (организации) весь информационный ресурс (ИР) должен быть поделён на две категории по признаку прав собственности:
    1) корпоративный информационный ресурс;
    2) государственный информационный ресурс.
    Третьего вида ресурсов – индивидуального (персонального) – в организации быть не может. Если индивид передал компании некую информацию, то это уже не персональный информационный ресурс, а корпоративный (так будет и в том случае, если даже некий ресурс был у индивида украден).
    Каждый из этих ресурсов далее делится на подвиды по признаку конфиденциальности на:
    1) государственную тайну (ГТ);
    2) государственный ИР регламентированного доступа (ГИРРД);
    3) общедоступный государственный ИР (ОДГИР),
    и
    4) корпоративную тайну (КТ);
    5) корпоративный ИР регламентированного доступа (КИРРД);
    6) общедоступный корпоративный ИР (ОДКИР).

    СЗИ должна строиться с учётом требований собственника ИР. Государственная тайна и государственный ИР должны защищаться так, как этого требует уполномоченный государством орган власти (который, с моей точки зрения, должен быть один). Правда, и платить за эту защиту должно государство. В противном случае получается не просто алогичность, а полнейший абсурд: я присваиваю себе твой ИР и обязываю тебя же за твои деньги его защищать. И более того, платить за эту тайну ты будешь тому, кого я тебе предпишу (кому дам лицензию). Абсурд? – Однозначно!
    Логично было бы предоставить право компаниям (организациям) защищать свои ИР так, как они хотят и/или могут. При этом государство должно установить степень ответственности компаний за факты причинения вреда юридическим или физическим лицам в результате непринятия должных мер по защите ИР. Мер, соответствующих размеру причинённого вреда.
    Общедоступный государственный и общедоступный корпоративный ИР нужно защищать от некорректного уничтожения, искажения, блокирования доступа.
    ИР регламентированного доступа дополнительно к предыдущему нужно защищать от НСД и некорректного разглашения (НКР).
    Самое сложное здесь – составление перечней КТ и КИРРД. Лучше их вообще не составлять (неблагодарное это дело), а защищать всё, что не подпадает под ОДКИР, как КТ.

    ОтветитьУдалить