УДК 355.01: 004.056 М. А. Стюгин () ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ «ПО СУЩЕСТВУ»
advertisement
УДК 355.01: 004.056 ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ «ПО СУЩЕСТВУ» М. А. Стюгин (mk_styugin@mail.ru) В данной работе предмет информационной безопасности рассматривается по целям существования субъектов, на основании чего предмет исследования сводится в область управления активными системами и формируется понятие информационной безопасности. Обзор проблемы Информационная безопасность не имеет точного определения и, что совсем печально, не имеет в литературе единого предмета исследования. Каждым автором термин «информационная безопасность» определяется по своему, вызывая тем самым коллизии в понимании предмета. При этом дефиниции понятий, зачастую берутся с указаниями на различные источники, не согласующиеся между собой, и вследствие этого не пригодные для теоретического основания методологической работы. «Иными словами, значительная часть современных публикаций в области теории безопасности описывает свой предмет бессистемно и на уровне поверхности. Их авторы порой впадают в идеологизаторство, мифотворчество, переходят от объяснения сущего к объяснению должного» [1] - такими словами Г.В.Иващенко подытожил свой обзор публикаций по теоретическим основам информационной безопасности. В данной работе «по существу» проведена попытка очертить контуры предмета информационной безопасности (ИБ). При этом данная оценка не претендует на всецело объективную. Цель работы – попытаться комплексно сформулировать подход к определению состояние (условий) информационной безопасности, которое можно рассматривать как целевое состояние политики ИБ. Под предметом ИБ часто понимается область защиты информации на конфиденциальность, целостность и доступность. Это ошибочная трактовка достаточно распространена в литературе. Предмет информационной безопасности значительно шире, хотя бы из определений в нормативно-правовых документах. Возьмем, например, определение понятия «безопасность» в Доктрине информационной безопасности РФ [2], которое следует из определения в федеральном законе «О безопасности» [3] от 5 марта 1992 года: «Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз» [3]. «Информационная безопасность РФ – состояние защищенности ее национальных интересов в информационной сфере, определяющейся совокупностью сбалансированных интересов личности, общества и государства» [2]. Определять «безопасность» через «защищенность» не совсем корректно, поскольку эти слова синонимы, а поэтому данные определения являются тавтологиями. Безопасность есть некоторое состояние объекта, которое можно определить, выделив соответствующие качественные характеристики. Такие качественные показатели, например, обозначены в определении «безопасность информации» СТР-К, как «состояние защищенности информации, характеризуемое способностью персонала, технических средств и информационных технологий обеспечивать конфиденциальность (т.е. сохранение в тайне от субъектов, не имеющих полномочий на ознакомление с ней), целостность и доступность информации при ее обработке техническими средствами» [4]. Здесь уже раскрыто, что понимается под состоянием защищенности, но это определение не перекрывает полностью область обеспечения информационной безопасности с точки зрения интересов личности, общества и государства в информационной сфере, т.к. они не сводятся только к конфиденциальности, целостности и доступности информации при ее обработке техническими средствами. Сводить предмет исследования ИБ только к целостности, конфиденциальности и доступности информации нельзя, во-первых, из определения в Доктрине а, во-вторых, из необходимости обоснования безопасности информации в целевых функциях более общих систем. Поясним последнюю фразу. Говоря о безопасности вообще и информационной безопасности в частности, мы неявно подразумеваем некую целевую функцию существования объекта или субъекта и безопасность как способность эту функцию реализовать (в случае субъекта – безопасность деятельности). В этом случае состояние системы, характеризующееся способностью объектов и субъектов реализовать свои целевые функции, должно определять состояние ее защищенности. Если мы говорим об активных субъектах, то само понятие «безопасность» связано с существованием у субъекта некоторой свободы для реализации своих интересов. Исследуя данный вопрос, Иващенко Г.В. (доцент каф. ИБ МГУ) приходит к выводу, что «совокупность условий существования субъекта, которыми он овладел (постиг, усвоил, создал) в процессе самореализации, и которые он, таким образом, в состоянии контролировать, есть безопасность субъекта, безопасность его деятельности. … При этом под способностью субъекта контролировать те или иные условия собственной деятельности понимается не только и не столько его способность отслеживать динамику условий, осуществлять мониторинг условий, а способность субъекта оказывать на них определяющее влияние, решающее воздействие, осуществлять реальное доминирование, фактическое господство, власть над ним» [1]. С точки зрения информационной безопасности необходимо рассматривать информационный аспект такого доминирования. Очень важным для любого субъекта является получение объективной информации для координации своих действий. Сюда можно отнести статьи 129, 165, 200 УК РФ [5], регулирующие действия в области дезинформации, работу информационноаналитических отделов и служб компаний регулирующие риски экономического, социальнополитического, техногенного и иного характера и пр. Такие меры можно рассматривать как направленные на возможность адекватного выбора действия информационно-управляющей системой (ИУС) относительно информации на входе. Где под ИУС может пониматься отдельный человек, ЛПР, административный аппарат организации и т.д. Здесь необходимо более конкретно очертить те ИУС, которые являются субъектами и объектами ИБ, и определять состояние ИБ уже как условия их существования. Субъект и объект информационной безопасности Такое рассмотрение требует дефиниции понятий «информация», «система» и «информационная система». В законе информация определена, как «сведения (сообщения, данные) независимо от формы их представления» [6]. Здесь мы опять встречаем тавтологию, вследствие чего, данное определение не пригодно для описания информационной системы. В данной работе мы будем использовать кибернетическое понимание информации, физический смысл которой состоит в «изменении параметра наблюдателя, вызванном взаимодействием наблюдателя с объектом» [7] и приводящем к модификации внутренних управляющих структур информационной системы (наблюдателя). Система - единство закономерно расположенных и находящихся во взаимной связи частей. Будем использовать следующую классификацию систем [8]: 1) класс А — системы с неизменным внутренним состоянием; 2) класс В — системы с изменяющимся внутренним состоянием. В свою очередь в классе В можно выделить следующие подклассы: подкласс 1 — системы с неизменным алгоритмом обработки, но с изменяющимися данными (базы данных, отдельные массивы и т.п.), которые используются в процессе обработки входной информации; подкласс 2 — системы с адаптивным алгоритмом обработки, т.е. алгоритм настраивается на условия применения; настройка осуществляется путем либо изменения управляющих коэффициентов, либо автоматического выбора алгоритма из множества равносильных алгоритмов; подкласс 3 — системы с самомодифицирующейся целью и соответственно с полностью самомодифицирующимся алгоритмом, выходящим за пределы множества равносильных алгоритмов. Системы класса B иначе можно назвать информационными системами, т.е. системами, «осуществляющими: получение входных данных; обработку этих данных и/или изменение собственного внутреннего состояния (внутренних связей/ отношений); выдачу результата либо изменение своего внешнего состояния (внешних связей/отношений)» [8]. Все перечисленные действия обозначим как информационные процессы. Говоря об активных системах, мы неявно подразумеваем именно информационные системы класса B.3 как активных субъектов. Такие системы можно рассматривать как субъекты и одновременно как объекты информационной безопасности. Субъекты могут определять состояние безопасности (защищенности) как способность адекватно реализовать свою целевую функцию, но при этом целевая функция не должна рассматриваться как элемент функциональной декомпозиции в составе более общей системы, иначе такой субъект является подчиненным и его состояние можно рассматривать только как удовлетворяющее состоянию безопасности более общей системы. Неподчиненные системы класса B.3 будем называть свободными информационными системами, т.е. такие системы, функциональные характеристики которых нельзя представить в виде функциональной декомпозиции других систем. Конфликт по какому-либо объекту можно рассматривать только в ракурсе свободных информационных систем. Поясним все вышесказанное, взяв в качестве примера коммерческую организацию. Целевой функцией организации является получение прибыли, которая определяется руководством (свободной информационной системой B.3) и задает состояние безопасности всей организации как способность получить максимальную прибыль. Это состояние в частности определяет информационную безопасность организации в соответствии с которым вырабатываются диспозиции поведения подчиненных субъектов B.3. В соответствии с состоянием систем B.3 формируются требования к системам B.2 – традиционным и автоматизированным системам обработки информации и т.д. до систем класса A – инженерных конструкций, подсистем доступа на объект и пр. Т.е. требования безопасности формируются как последовательная функциональная декомпозиция со спуском от систем B.3 к системам класса A (рис 1.а). Теперь представим себе ситуацию, что один из сотрудников имеет свои интересы к объектам организации, например, он хочет продать какую-то коммерческую информацию другой фирме. Тогда его функциональные характеристики в организации уже нельзя рассмотреть как функциональную декомпозицию организации в целом. В результате он становится свободной информационной системой, которая имеет на множестве всех состояний систем A-B.2 свои интересы отличные от проекта руководства (рис 2.б). Такое отношение между двумя свободными информационными системами будем рассматривать как конфликт. Здесь нас будут интересовать только информационная составляющая конфликтов. Таким образом, субъектом информационной безопасности является свободная информационная система класса B.3; объектом информационной безопасности – информационные процессы систем класса B.1-B.3. Информационная безопасность свободных информационных систем Безопасность была обозначена нами как условия существования деятельности субъекта и состояние самого субъекта, позволяющие ему реализовать свою целевую функцию. Для свободной информационной системы, которая априорно имеет некое целевое состояние, безопасность можно свести к двум аспектам: A. Функциональная способность подсистем класса A-B.3 реализовать целевой режим функционирования конечной системы. B. Способность свободной информационной системы выработать рациональные решения по информации на входе. Сюда входят как способность выработки оптимального алгоритма перевода информации в управляющие воздействия, так и обеспечения необходимых условий получения достаточной информации. Эти два аспекта существенно различают планирование информационной безопасности по преднамеренным и естественным угрозам, т.е. в случае отсутствия или присутствия конфликта. Для начала рассмотрим планирование системы безопасности по случайным угрозам, т.е. не подразумевающие под собой конфликта двух свободных информационных систем (рис.2). Рис.2. Планирование защищенной системы по непреднамеренным угрозам У субъекта защиты изначально есть некая цель, на основании которой с учетом параметров среды (I) формируется доктрина (Д). На основании информации об обстановке I и доктрины лицо, принимающее решение (ЛПР – субъект безопасности) формирует целевой режим функционирования системы (ЦРФ). Кроме этого ЛПР необходимо прогнозировать динамику среды как пассивной среды: пассивной, т.к. в условиях отсутствия конфликта мы исключаем из рассмотрения свободные информационные системы, которые можно рассматривать как активные элементы. Способность ЛПР найти оптимальный ЦРФ, удовлетворяющий конечной цели, а так же спрогнозировать вероятные угрозы, характеризует информационную безопасность субъекта по пункту B. На основании прогноза выявляются возможные отклонения функциональных характеристик подсистем от целевого режима функционирования и вырабатываются управляющие воздействия на каждую из подсистем (UB.3 … UA). Если такие управляющие воздействия можно осуществить, то система информационно безопасна в соответствии с пунктом A. Если безопасность по пункту A субъект всегда может оценить, выделив для этого необходимые критерии и измерив уровень их достижения, то безопасность по пункту B требует для своей оценки некоторого эвристического анализа и всегда в той или иной степени удовлетворяет требуемым условиям. Для примера возьмем в качестве свободной информационной системы хозяйствующего субъекта, целью которого является получение максимального экономического дохода. Здесь нас будет интересовать только информационная составляющая технологических процессов с учетом, что необходимые технологические процессы уже выработаны как ЦРФ по ключевым направлениям деятельности хозяйствующего субъекта (ХС). Получением информации и формированием информационного массива (I) занимается информационно-аналитический отдел [9]. В качестве доктрины используются технологические схемы, выработанные по другим направлениям деятельности ХС, а так же алгоритмы прогнозирования техногенных рисков (например, [10]) и методическое обеспечение защиты информации. Причинноследственные связи и пр. данные могут быть использованы для модификации доктрины – «модификация цели посредством передачи картины плацдарма» [11]. В соответствии с технологическими процессами в доктрине формируются требования к целостности и доступности информации (конфиденциальность здесь не учитываем, т.к. нет конфликтующей структуры). На основании этого производим функциональную декомпозицию до систем класса A и смотрим возможное отклонение от требований по результатам прогноза техногенных рисков. Если отклонение не выходят за рамки требуемых, то состояние систем является информационно безопасным. Рис.3. Планирование защищенной системы по преднамеренным угрозам. Рассмотрим теперь ситуацию конфликта двух свободных информационных систем (рис.3). Здесь появляется субъект (ЛПР2), имеющий свою цель и доктрину и на основании их выстраивающий целевой режим функционирования систем класса B.3-A, определяя тем самым отношение предпочтения на множестве их состояний, не соответствующую нашей. Таковую ситуацию назовем субъективным конфликтом1. Отличие в предсказании возможных угроз является прогнозирование динамики среды как активной, а не пассивной системы, т.к. в этом случае мы рассматриваем наличие целенаправленного изменения параметров системы, которые сами могут изменяться с учетом прогнозирования поведения защищающегося субъекта и на основании этого вырабатывать решения. Возможность осуществить такой прогноз является одной из составляющих информационной безопасности по пункту B. Второй составляющей является (в случае присутствия объективного конфликта по цели) возможность обеспечить условия невозможности принятия адекватных ситуации решений контрагентом для реализации состояния систем по предпочтениям несоответствующих нашим. В результате само управление безопасностью необходимо рассматривать как управление активной системой, активным элементом которой является ЛПР контрагента (рис.4). Рис.4. Управление контрагентом как активной системой. Таким образом, управление безопасностью можно рассмотреть как управление контрагентом по нескольким параметрам. Посредством управления параметрами среды субъект осуществляет: 1. Институциональное управление контрагентом (UV), т.е. регулирование множества возможных действий контрагента, путем ограничения его технических или физических возможностей. Такой подход определяет классический метод построения систем безопасности как физического ограничения возможностей нарушителя произвести деструктивные воздействия на систему. 2. Информационное (рефлексивное) управление (UI) – управление информацией, которую использует контрагент при принятии решений. В нашем случае его условно можно разбить на мотивационное управление2 (UI1), активный прогноз (UI2) и информационное регулирование (UI3). Субъективный, т.к. определяется по несоответствию ЦРФ субъектов; объективный конфликт можно рассматривать только по несоответствию целей. Если по целям есть конфликт, то по ЦРФ его может и не быть в силу неверного отображения параметров среды или неверно выработанной доктрины. Может быть и наоборот – субъективный конфликт есть в ситуации отсутствия объективного. 2 В классической парадигме информационное и мотивационное управление разделяются. Но в описанной здесь постановке задачи доктрину можно изменить только путем сообщения субъекту какой-либо информации, а поэтому можно определить мотивационное управление как подкласс информационного. 1 Мотивационное управление в активных системах подразумевает управление целевой функцией субъекта, на которую он ориентируется, совершая действия [12]. Поскольку в нашем случае цель необходимо считать неизменной, будем рассматривать мотивационное управление как изменение алгоритмов принятия решений (доктрины) противника посредством передачи некой информации (I). Активный прогноз есть целенаправленное сообщение о будущих значениях параметров [13], которые субъект использует для прогнозирования динамики среды. Информационное регулирование подразумевает прямое влияние на образ контрагента о текущих параметрах среды [14]. Информационное управление есть возможность влияния на рациональность принятие решения контрагента с учетом, что он рационализирует свое решение, пользуясь неверными представлениями об обстановке. Т.е. информационная безопасность субъекта по пункту B в конфликте достигается в условиях информационной небезопасности контрагента. Условия, позволяющие субъекту регулировать ЦРФ контрагента, назовем условиями информационного превосходства субъекта. Как крайний случай можно рассматривать возможность субъекта перевести ЦРФ контрагента в состояние отсутствия диссонанса с ЦРФ субъекта, т.е. полное устранение субъективного конфликта, тем самым, устранив свободную информационную систему из конфликта сделав ее функциональную характеристику как элемент функциональной декомпозиции своих подсистем. В результате информационную безопасность можно определить как условия информационного превосходства свободной информационной системы (субъекта безопасности) в конфликте, позволяющие ему определить целевой режим функционирования адекватный поставленный цели и реализовать его путем модификации состояния подсистем. Проблема состоит в том, что субъект конфликта не может определить находится ли он в состоянии информационного превосходства. Эта проблема была впервые обозначена С.П.Расторгуевым в [8] как проблема алгоритмической неразрешимости начала информационного противоборства, в результате чего в дальнейшем [15] он не смог определить критерии, посредством которых можно было бы определить информационную безопасность субъекта. Данное здесь определение информационной безопасности также не выводит таких критериев, т.к. не определяет критериев информационного превосходства. Таким образом, здесь удалось комплексно рассмотреть проблему информационной безопасности в целях существования субъектов, а так же управления ей путем сведения к управляющим воздействиям в активных системах. По результатам такой оценки можно только обозначить необходимость дальнейшего исследования информационной безопасности с приведением предметной области исследования к процессам информационного обмена в активных системах. Библиографический список 1. Иващенко, Г.В. Доктрина информационной безопасности и методические проблемы теории безопасности // Г.В.Иващенко. Материалы круглого стола «Глобальная информатизация и социально-гуманитарные проблемы человека, культуры, общества», МГУ, октябрь 2000 г. с. 48-63. 2. Доктрина информационной безопасности Российской Федерации, N Пр-1895. 9 сентября 2000 г. 3. Федеральный закон «О безопасности», 5 марта 1992 года, №2446-1. 4. Специальные требования и рекомендации по технической защите конфиденциальной информации. – Москва, 2001. 5. Уголовный кодекс РФ, 13.06.1996 №63-ФЗ (в ред. от 28.12.2004). 6. Федеральный закон «Об информации, информационных технологиях и защите информации», 27 июля 2006 года, №149-ФЗ. – 26 с. 7. Шаповалов, В.И. Энтропийный мир / В. И. Шаповалов. Волгоград: «Перемена», 1995. – 217 с. 8. Расторгуев, С.П. Информационная война / С. П. Расторгуев. М.: Радио и связь, 1999. – 416 с. 9. Доронин, А.И. Разведывательное и контрразведывательное обеспечение деятельности финансово-хозяйственной деятельности предприятия / А.И. Доронин. Тула: «Гриф и К», 2000. – 116 с. 10. Бузинов, А.А. Модель и методы прогнозирование угроз информационной безопасности объектов на основе цикличной динамики природной среды / А.А. Бузинов. Диссертация на соиск. учен. степ. канд. техн. наук. СПб., 2004. – 182 с. 11. Лефевр, В.А. Алгебра конфликта / В.А. Лефевр, Г.Л. Смолян. Изд. 2-е, стереотипное. М.: КомКнига, 2007. – 72 с. 12. Бурков, В.Н. Теория активных систем: состояние и перспективы / В.Н. Бурков, Д.А. Новиков. М.: СИНТЕГ, 1999. – 128 с. 13. Новиков, Д.А. Активный прогноз / Д.А. Новиков, А.Г. Чхартишвили. М.: ИПУ РАН, 2002. – 101 с. 14. Чхартишвили, А.Г. Теоретико-игровые модели информационного управления / А.Г. Чхартишвили. М.: ЗАО «ПМСОФТ», 2004. – 227 с. 15. Расторгуев, С.П. Информационная война: Проблемы и модели: Экзистенциальная математика / С.П. Расторгуев. М.: Гелиос, 2006. – 240 с.