О методологии исследования и обеспечения информационной безопасности

10-11 сентября 2020 г. на базе Елецкого государственного университета прошла IV международной научно-практической конференции «Фундаментально-прикладные проблемы безопасности, живучести, надёжности, устойчивости и эффективности систем». Очень хотел выступить, но не судьба: вследствие тотального карантина конференция прошла в дистанционном формате. Сборник статей издан в формате pdf и будет размещён в сети позже. Свою статью представляю читателям здесь и сейчас. 

О МЕТОДОЛОГИИ ИССЛЕДОВАНИЯ И ОБЕСПЕЧЕНИЯ 
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 

Атаманов Г.А., канд. филос. наук, g.a.atamanov@yandex.ru 
ФГБОУ ВО «Волгоградский государственный университет», г. Волгоград

Известно, что результат деятельности зависит не только от того, кто действует (то есть субъекта) или на что направлена деятельность (то есть объекта), но и от того, как совершается данный процесс, какие способы, приёмы и средства при этом применяются, то есть от методов. Сочетание субъекта, объекта и метода, их органическое единство, является ключевым условием успеха любой деятельности. Не являются исключением из этого правила и деятельность по исследованию феномена под названием «информационная безопасность», и деятельность по практическому обеспечению информационной безопасности тех или иных объектов.

Как представляется, совершенно очевидно, что в предметной области под названием «информационная безопасность» речь должна была бы вестись именно о двух различных методологиях – методологии исследования феномена информационной безопасности и методологии обеспечения информационной безопасности объекта информационной безопасности. Почему? Прежде всего потому, что у деятельности по исследованию и деятельности по обеспечению – различные объекты (равно, как и субъекты). У деятельности по исследованию информационной безопасности объектом является феномен под названием «информационная безопасность», а у деятельности по обеспечению информационной безопасности объектом (и официальной российской наукой, и российским законодателем) признаны где «личность, общество, государство», а где их интересы. Здесь же важно отметить, что исследование каждого объекта требует применения адекватных ему методов. Исследование предмета с применением несоответствующих ему методов обрекает его на провал или превращает в псевдонауку. Практическая деятельность с применением несоответствующих методов делает её бесполезной и даже вредной. «Теория без практики мертва и бесплодна, практика без теории бесполезна и пагубна», – ещё в 19 веке сказал известный математик Пафнутий Чебышев [1].

Учитывая, что в Российской Федерации главным принципом организации деятельности по обеспечению информационной безопасности (как и любого другого вида безопасности) является законность, между деятельностью по исследованию феномена информационной безопасности и деятельностью по обеспечению информационной безопасности появляется промежуточное звено – деятельность по конституированию способов, норм, правил и даже средств её обеспечения. И здесь возникает необходимость говорить ещё и о методологии законотворческой (нормотворческой) деятельности. Поэтому в сфере информационной безопасности необходимо вести речь не о дихотомии теория-практика, а о триаде – ТЕОРИЯ –> ЗАКОН –> ПРАКТИКА – и, сообразно этому, о трёх различных методологиях.

В российской науке в методологии принято различать 4 уровня – философский, общенаучный, конкретно-научный, технологический. Здесь важно отметить, что основным/базовым/ключевым/фундирующим все остальные является философский. Другими словами, всё здание теории безопасности и информационной безопасности, в частности, должно строиться на философском фундаменте, и чтобы это здание не рухнуло, фундамент этот должен быть прочным. Однако, в реальности этот фундамент не просто зыбкий, его, практически, нет. Российские учёные почти единодушно приняли в качестве методологического основания теории безопасности концепцию «безопасность – состояние защищённости», изложенную в 1992 году в законе «О безопасности», авторство которой приписывают другу Б.Н. Ельцина доктору технических наук, академику РАН Ю.А. Рыжову. И с тех пор российская наука выступает не в роли исследователя объективной реальности, а в роли апологета методологически несостоятельной концепции. Так, практически, во всех из нескольких десятков просмотренных мной из 14771 работ, найденных по результатам поиска на сайте [2] по фразе «методология информационной безопасности» (а, думаю, и во всех представленных там, за исключением одной – диссертации автора данной статьи), в качестве методологического основания принята концепция «безопасность – состояние защищённости». Причём, независимо от вида исследуемой безопасности (коих российские учёные навыдумывали уже более 60).

О методологической несостоятельности данной концепции я писал во многих своих работах, неоднократно выступал на научных конференциях. Но все их можно охарактеризовать одним выражением – глас вопиющего в пустыне.

А в концепции, изложенной в законе и впоследствии «развитой» в работах российских учёных, несостоятельно, практически, всё. В ней нарушены все законы логики и правила формирования определений. Так «безопасность» не может быть «состоянием защищённости». Защищённость – категория психологии, абстрактное понятие, обозначающее чувство – чувство защищённости. Состояние может быть только у материального объекта и оно характеризуется набором объективных параметров. Например, болезнь, как состояние организма, характеризуется температурой, давлением, частотой пульса, выходящими за пределы нормы. Какие объективные параметры есть у защищённости? А никаких! Тем более, когда речь идёт о защищённости интересов. Неверно обозначены в этой концепции и субъекты, и объекты, и принципы. Более развёрнутое обоснование несостоятельности данной концепции можно прочитать в [3-6]. Здесь же важно отметить, что основные философские разделы проблемы – онтология, гносеология, аксиология – в российской официальной науке вообще никак не раскрыты.

В настоящее время подавляющее большинство российских и теоретиков, и практиков под термином «информационная безопасность» понимают то, что на Западе принято называть «кибербезопасность». Более того, и те, и другие ведут речь об информационной безопасности в автоматизированных системах, что с точки зрения методологии является полнейшим абсурдом. Применительно к автоматизированной (информационной) системе можно говорить только о защите информации (корректнее – информационных ресурсов) обрабатываемой / циркулирующей / содержащейся в этой системе. Подробнее об этом можно прочитать в [7].

Основная масса «научных» работ, посвящённых проблеме информационной безопасности, это – обоснование необходимости разработки того или иного аспекта информационной безопасности. При этом раскрытия самих аспектов в этих работах либо невозможно найти, либо это сделано с грубыми нарушениями требований научной методологии. Зачастую в заголовке статьи/диссертации/монографии заявляется что-то типа «безопасность как философская категория» или «методология исследования проблем безопасности и стабильности», а в тексте работы – ни философии, ни методологии. В подавляющем большинстве работ в качестве метода исследования информационной безопасности, например, заявляется диалектический подход (который предусматривает рассмотрение объекта в развитии и противоречии). По факту же в работе ведётся речь о развитии отношения к феномену (то есть ретроспективный анализ отношения к феномену различных групп людей в различные исторические эпохи), а диалектическая оппозиция безопасности – опасность – вообще не рассматривается и не анализируется. В целом же мне не удалось найти ни одной работы, в которой были бы корректно указаны методы исследования феномена информационной безопасности и также корректно применены. Это же касается и работ, посвящённых методологии обеспечения информационной безопасности. Научных работ, посвящённых методологии нормотворческой деятельности в области информационной безопасности, найти не удалось вовсе.

Основой любой теории, её фундаментом является категориально-понятийный аппарат. Определения понятий, образующие этот аппарат, должны отвечать определенным требованиям, а именно: постоянности, совершенной определённости, всеобщего признания, однозначного языкового выражения. Смею утверждать, что ни одно определение, образующее аппарат теории информационной безопасности, не отвечает этим требованиям.

К сожалению, приходится констатировать, что сегодня в Российской Федерации нет и ни одного нормативного правового акта или нормативно-методического документа в сфере информационной безопасности, написанного с соблюдением методологии научной и нормотворческой деятельности. Примеров методологической несостоятельности нормативных правых актов в области информационной безопасности можно привести огромное множество. Это и конституированное российским законодательством определение понятия «безопасность» как состояния защищённости жизненно важных интересов личности, общества и государства от внутренних и внешних угроз [ГОСТ Р 52551-2006], и не имеющие ничего общего ни с наукой, ни со здравым смыслом перечни интересов, и выбор объектов и субъектов безопасности, и многое-многое другое. Показательны в этом отношении ГОСТы из серии «Информатизация здоровья»: ГОСТ Р 54624-2011, ГОСТ Р 56845-2015, ГОСТ Р ИСО 14199-2016, ГОСТ Р ИСО 13119-2016 и другие (всего – 10), а также приказы ФСТЭК, например, от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и другие. Но апофеоза одиозности нормотворческая деятельность в области информационной безопасности достигла, как представляется, в двух законах – 152-ФЗ «О персональных данных» и 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Анализу этих законов через призму методологии посвящены мои статьи в журналах [8, 9, 10] и блоге [11, 12].

Учитывая полнейшую методологическую несостоятельность двух базовых этапов процесса обеспечения информационной безопасности – научного обоснования и нормативного обеспечения – и исходя из того, что главный принцип обеспечения информационной безопасности в Российской Федерации – законность, можно было бы предположить, что этап практической реализации норм и правил, выработанных на первых этапах, станет самым одиозным. Однако, это не совсем так. Сама жизнь заставляет многие компании, особенно с участием иностранного капитала и иностранных специалистов, осуществлять деятельность по защите своих информационных ресурсов в соответствии с логикой, а не в соответствии с концепциями, разработанными российскими учёными, и нормами, конституированными российским законодательством. Всё больше и больше специалистов используют в своей работе так называемые «лучшие практики», европейские ISO и американские NISTы. Что же касается обеспечения информационно-психологической, информационно-когнитивной или информационно-консциентальной безопасности, то здесь не делается ничего. Эти аспекты информационной безопасности в настоящее время не исследуются и даже не обсуждаются. И если появляются работы отдельных авторов на эти темы, то они не вызывают интереса со стороны российских учёных и не становятся предметом научных дискуссий. Практики, называющие себя информационными безопасниками, а по сути являющиеся кибербезопасниками, вообще далеки от этой проблематики и не испытывают ни потребности, ни желания ею заниматься.

Таким образом, на сегодня в Российской Федерации официальной наукой поддерживается и развивается, а российским законодательством конституируется, ненаучная (эзотерическая) парадигма информационной безопасности. При этом теории, разработанные в соответствии с научной методологией, либо игнорируются, либо испытывают активное противодействие как со стороны научного сообщества, так и со стороны практиков. Что касается практиков, то они и не могут поступать иначе, так как главный принцип обеспечения информационной безопасности в РФ – законность. И до тех пор, пока либо не будет отменена эта норма, либо нормативные документы не будут приведены в соответствие с логикой и здравым смыслом, они вынуждены руководствоваться в своей деятельности далёкими от логики и здравого смысла требованиями.

Если верить Пафнутию Чебышеву (а, с моей точки зрения, он абсолютно прав), то всё, что сегодня делается в Российской Федерации в плане исследования феномена информационной безопасности (за исключением работ автора данной статьи), мертво и бесплодно, в плане обеспечения информационной безопасности – либо бесполезно, либо пагубно, а если учесть, что делается это в соответствии с ложной теорией, то положение следует идентифицировать как катастрофическое.

Возникает вполне резонный вопрос: а есть ли выход из этой ситуации? Конечно, выход есть! И дверь в него открыта. Но, как это у нас сейчас принято, найден он не будет. И несмотря на очевидный кризис в отрасли и теоретики, и практики продолжат «набивать шишки, стучась лбом в стену», плодить горы информационного мусора, тратить деньги и силы на выполнение бесполезных процедур, закупку и установку дорогостоящих, но таких же бесполезных, средств.

 Литература

 1.      SARAEV GROUP [Электронный ресурс]. – Режим доступа: https://touch.otvet.mail.ru/question/35542985 (дата обращения: 08.03.2020). – Загл. с экрана.

2.      Поиск диссертаций и авторефератов | disserCat [Электронный ресурс]. – Режим доступа: https://www.dissercat.com (дата обращения: 14.03.2020). – Загл. с экрана.

3.      Атаманов Г. А. Информационная безопасность в современном российском обществе (социально-философский аспект): дис. …канд. филос. наук: 09.00.11 / Геннадий Альбертович Атаманов; [Волгогр. гос. ун-т]. – Волгоград, 2006. – 168 с.

4.      Атаманов Г.А. Методология безопасности [Электронный ресурс] // Фонд содействия научным исследованиям проблем безопасности «НАУКА-XXI». – 2011. – Режим доступа: http://naukaxxi.ru/materials/302, свободный.

5.      Атаманов Г.А. Азбука безопасности. Методология обеспечения информационной безопасности субъектов информационных отношений // Защита информации. Инсайд. – 2014. – № 5. – С. 8 - 13. – Имеется электронный аналог: http://gatamanov.blogspot.ru/2014/11/blog-post.html.

6.      Атаманов Г.А. Азбука безопасности. Объекты и субъекты безопасности вообще и информационной в частности // Защита информации. Инсайд. – 2013. – № 6. – С. 18-24. – Имеется электронный аналог: https://gatamanov.blogspot.com/2014/07/blog-post_24.html.

7.      Атаманов Г.А. Азбука безопасности. Методология защиты информационных ресурсов // Защита информации. Инсайд. – 2015. – № 2. – С. 8 - 13. – Имеется электронный аналог: http://gatamanov.blogspot.ru/2015/04/blog-post.html.

8.      Атаманов Г.А. Комментарий к Федеральному закону № 152-ФЗ «О персональных данных». Ч.1 // Защита информации. Инсайд. – 2012. – №1. – С. 39-49. – Имеется электронный аналог: https://gatamanov.blogspot.com/2014/05/n-152-1.html.

9.      Атаманов Г.А. Комментарий к Федеральному закону № 152-ФЗ «О персональных данных». Ч.2 // Защита информации. Инсайд. – 2012. – №2. – С.21-27. – Имеется электронный аналог: https://gatamanov.blogspot.com/2014/05/n-152-2.html.

10.   Атаманов Г.А. Комментарий к Федеральному закону № 152-ФЗ «О персональных данных». Ч.3 // Защита информации. Инсайд. – 2012. – №3. – С. 18-27. – Имеется электронный аналог: https://gatamanov.blogspot.com/2014/05/n-152-3.html.

11.   Атаманов Г.А. 187-ФЗ. Осторожно: это может быть опасно для вашей психики! [Электронный ресурс]. – Режим доступа: https://gatamanov.blogspot.com/2018/07/187.html, свободный.

12.   Атаманов Г.А. 187-ФЗ: споры не утихают. [Электронный ресурс]. – Режим доступа: https://gatamanov.blogspot.com/2018/07/187_23.html, свободный.

______________________________________________________________

Библиографическая ссылка: Атаманов Г.А. О методологии исследования и обеспечения информационной безопасности // Фундаментально-прикладные проблемы безопасности, живучести, надёжности, устойчивости и эффективности систем [Текст] : материалы IV Международной научно-практической конференции, г. Елец, 10-11 сент. 2020 г. – ФГБОУВО «Елецкий гос. ун-т». – Елец, 2020. – Секция 2. – С. 11-16.