четверг, 8 сентября 2016 г.

Уровень защищённости: что это и как правильно?

           Пересматривал архивы и нашёл в неопубликованном набросок статьи про «уровень защищённости» ещё от 2011 года. По каким причинам не опубликовал, не помню, но, как мне представляется, она и сегодня не потеряла своей актуальности. Статью доработал и представляю её вашему вниманию.

Все знают, что безопасность сегодня на законодательном уровне трактуется как состояние защищённости. Мнения разделяются по поводу объекта: где-то пишут «личности, общества, государства», где-то «жизненно важных интересов личности, общества, государства в такой-то сфере». Кто-то что-то уточняет, кто-то что-то добавляет, но в сухом остатке по закону: безопасность = состояние защищённости.

Вряд ли кто сейчас точно скажет, откуда появилась эта глупость и кто её автор. Единственное, что можно сказать, что появилась она в начале 90-х. В те времена, когда во главе страны стоял не совсем физически и психически здоровый человек, а реально страной, как утверждает пресса (например, здесь), управляли ЦРУшники. Именно тогда «безопасность как состояние защищённости» была конституирована, т.е. определению была придана законная сила. Сделано это было Законом РФ от 5.03.1992 №2446-I «О безопасности».

Если верить нынешней прессе, то ЦРУшников ушли, но при всей абсурдности конституированного тогда подхода и очевидной алогичности определения (о чём написаны сотни научных работ), никто не собирается исправлять эту «ошибку» и очевидную «уязвимость» российского законодательства. Более того, как показывает практика, дело, начатое в 90-х, не только живёт, но и процветает: у защищённости появились уровни.

Про то, что «безопасность» не может трактоваться ни как «состояние», ни, тем более, как «состояние защищённости», неоднократно писал и я (здесь, здесь, здесь и ещё много где). Повторяться не буду. Здесь хочу изложить только несколько соображений по поводу определения понятия «уровень защищённости» и того, могут ли быть у защищённости уровни.

 

В статье 19 152-ФЗ сказано: «Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

Вчитайтесь! В этом определении нарушены все мыслимые и немыслимые законы логики.

Уровень является эталонной величиной некоторого параметра. Если измеряемый параметр достиг определенной величины, говорят о том, что он достиг определенного уровня. Любому мало-мальски грамотному человеку известно, что устанавливать уровни можно только для физических величин. Какую физическую величину имеет универсалия под названием «защищенность»? Каким параметром характеризуется «защищённость»? Как и чем (каким прибором) можно его измерить?

Защищённость – абстрактное понятие из области психологии. Точно такое же, как влюблённость, счастливость, униженность, оскорблённость и прочие им подобные. А также зазаборность, загорность, подземность и прочие несуразицы. Как их и, следовательно, защищённость измерить?

Ответ очевиден: НИКАК!

Для наглядности абсурдности приведенного выше определения понятия «уровень защищённости», воспользуюсь методом аналогии. Если подставить в определение, приведенное в 152-ФЗ, вместо «защищённости», например, «давления», получим: уровень давления – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нормальное давление при накачивании шин.

Теперь, надеюсь, понятно, что определение, приведенное в 152-ФЗ, есть абсурд?

Не понятно причём здесь «при накачивании шин»?

А притом же, причём в 152-ФЗ «при их обработке в информационных системах персональных данных»!

В законе допущена грубейшая логическая ошибка – отождествление части и целого: персональные данные – целое, обрабатываемые в ИСПДн – частное. Поэтому уточнение «при их обработке» есть ещё один образчик абсурдизма, который является следствием абсолютно алогичного определения термина «обработка» (об этом более подробно можно почитать здесь).

Далее обратим свой взор на выражение – «показатель, характеризующий требования».

Это что? Какой показатель может характеризовать требования? Где это видано, чтобы требования характеризовались показателем? Да еще комплексным?!

А может ли быть комплексным уровень?

Напомню: уровень – определённая величина какого-либо физического, измеряемого при помощи приборов, параметра.

Для наглядности алогичности приведенного выше оборота опять воспользуюсь методом аналогии: под уровнем солёности моря понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает необходимое содержание соли в воде при зачерпывании её ведром».

Абсурд?

Однозначно!

Я неоднократно писал в своих статьях, постах и комментариях, но для тех, кто их не читал, напомню ещё раз: с точки зрения логики и «давление», и «море» как объекты исследования тождественны «информации». И метод аналогии здесь очень даже уместен и эффективен.

С этим, надеюсь, тоже всё понятно?

Тогда пойдём дальше: «требования, исполнение которых обеспечивает нейтрализацию определенных угроз»?!

Это как? Выполнил требования – нейтрализовал угрозы? Или они сами нейтрализовались, как только вы выполнили требования?

Требования выполняет субъект защиты, а угрозы исходят от субъектов угроз и опасных объектов. Субъект защиты поставил антивирус, все вирусописатели испугались и перестали писать вирусы?!

Для лучшего понимания опять аналогия: есть требование производить обслуживание электроустановок в резиновых перчатках. И что: электрик надел перчатки и … угроза удара электрическим током нейтрализовалась?

Глупость? Очевидная!

Угрозу нельзя нейтрализовать!

Угроза – это обещание и/или возможность причинить вред объекту защиты. Как можно нейтрализовать обещание или возможность? Как можно нейтрализовать угрозу удара электрическим током? Пока есть электрический ток, будет и угроза удара электрическим током.

Угрозу можно игнорировать, можно на неё отреагировать, можно пренебречь, можно избежать, но нейтрализовать – невозможно.

Можно снизить вероятность реализации угрозы, например, избежав контакта с источником угроз, или нейтрализовав источник угроз! Обесточил шину и полез в электрошкаф. Но обесточил – не значит нейтрализовал угрозу. Угроза всё равно осталась: шёл мимо олух царя небесного, включил рубильник и … реализовал угрозу.  

Поэтому совершенно очевидно, что исполнение требований не может обеспечивать нейтрализацию угроз, даже если это требование уничтожить источник угроз! Если уничтожить/блокировать/изолировать/избежать источник угроз, вероятность реализации угрозы снизится, но сама угроза как была, так и останется.

Надел каску – снизил вероятность получения травмы, но возможность падения кирпича или любого другого стройматериала осталась, а значит и осталась угроза. Угроза получения травмы! Потому что падение кирпича, несанкционированный доступ, компьютерный вирус и т.д. – это не угрозы. Это – способы и средства реализации угроз. А угроза – возможность получить травму или какую-нибудь другую неприятность (об этом более подробно можно прочитать здесь и здесь).

А что значит в приведенном выше определении слово «определенных»?

 «Определенные» (по Ожегову значит «твёрдо установленные») угрозы подлежат нейтрализации, а другие – неопределенные – нет?! Кто должен делать угрозы определёнными? Регуляторы? Но регуляторы сами не понимают, что такое угрозы и какие угрозы «угрожают» конкретному субъекту или объекту. Как они могут сделать определённым то, чего сами не знают? Если у них «агрегирование данных» – угроза, о чём можно говорить? Кроме этого знать все угрозы и, следовательно, сделать их определёнными – невозможно.

В общем, как в русской пословице: куда не кинь – всё клин.

В моей тернарной концепции истины определения, подобные приведённому в начале поста, относятся даже не категории ахинея или абсурд, это – бред, т.е. знание, полученное в результате неадекватного восприятия, неверного осмысления и некорректного изложения.

 

А как было бы правильно?

 

А по правильному, нужно было не вводить эзотерическое понятие «уровень защищённости», а использовать уже давно апробированное – «класс защиты», т.е. классифицировать системы защиты в зависимости от степени их надёжности. Именно классифицировать, т.е. присваивать определённые классы, по аналогии с классами защиты утюгов и прочих электроприборов.

Вернее, нужно классифицировать даже не системы защиты, а информационные системы по признаку надёжности реализованных в них систем защиты.

Вот класс защиты может быть комплексным показателем, т.е. показателем наличия комплекса определённый свойств. Другими словами, предметы, принадлежащие к одному классу, обладают одинаковым набором свойств, например, выдерживают атаки определённой мощности, осуществлённые определённым способом. Как броники, или электроизоляция.

Классов защиты может быть и 3, и 5, и 10. Над этим нужно думать. Мало – плохо, много – тоже плохо. Нужно найти оптимум. Мне думается, что классов защиты информационных систем должно быть не более 5. Отличаться они должны: первые три – по набору средств защиты (чем выше класс, тем больше средств (направлений) защиты), 4-5-й от 3-го – уровнем надёжности средств защиты (чем выше класс – тем «круче» средства защиты должны быть применены).

 Кроме этого целесообразно каждый класс разбить на три подкласса – «а», «б», «в» – в зависимости от степени легитимности применяемых средств защиты.

Например, так:

подкласс «в» – система защиты с использованием штатных средств операционных систем;

подкласс «б» – система защиты с использованием специальных, но не обязательно сертифицированных средств;

подкласс «а» – система защиты с использованием только сертифицированных средств.

 

Это если коротко и без детализации. При наличии интереса к этому подходу со стороны регуляторов и законодателя можно было бы обсудить детали на специализированных площадках, а после соответствующей доработки – конституировать. По-моему, самое время.
 

Комментариев нет:

Отправить комментарий