Перейти на Sec.Ru
Рейтинг@Mail.ru

20 апреля 2015

Информационная война против информационной безопасности

Г.Е. Шепитько
д.т.н., профессор

 

Лидерство в сфере передовых разработок позволяет Соединённым Штатам устанавливать стандарты в области систем связи и обработки данных и таким образом формировать зависимость иностранных государств от американских программных и аппаратных средств. Тем самым подавляются стимулы к организации другими государствами аналогичных конкурентоспособных разработок. Поэтому попытки США превратить свои национальные стандарты защиты информации в международные вызывают неоднозначную реакцию со стороны представителей других государств. По мнению европейских специалистов, это создаёт американским фирмам-производителям средств защиты информации благоприятные условия для захвата европейского рынка, потенциально расширяет возможности контроля над защищаемой информацией и даёт преимущества американским разведывательным службам. [1, с. 80] Методы информационной войны используются также для внедрения зарубежных стандартов в Россию.

Существуют определённые трудности в части технического перевода стандартов. Поэтому на рассмотрение Комиссии европейских сообществ представлена программа по преодолению языковых различий в единых информационных системах. [1, с. 81]. Задача качественного перевода зарубежных стандартов является также актуальной для России, т.к. переводчики в недостаточной степени разбираются в тематике исходных текстов и допускают упрощённый перевод отдельных терминов. [2, с. 3]

Целью работы является критический анализ содержания некоторых зарубежных стандартов в области информационной безопасности и качества их переводов в России.

Частным примером является правоприменительная практика внедрения российского варианта американского стандарта «Общие критерии» в виде ГОСТа Р ИСО/МЭК 15408 – 2002 г. Это критерии оценки информационных технологий, а не требования к защищённости, и, тем более, не требования к средствам защиты. Здесь начинаются вопросы. Первый – высокая внутренняя неточность и противоречивость критериев, полное отсутствие пороговых значений параметров. Второй – это обоснованность применения критериев к тем или иным объектам информатизации. Третий – достаточен ли уровень защиты, установленный на объекте информатизации? На эти вопросы нельзя ответить на основе «Общих критериев». «Общие критерии» должны дополнять, а не заменять выработанную на сегодняшний момент нормативную отечественную правовую базу. Иначе – опять снижение уровня защищённости наших систем до западного уровня. [3, с. 5]. Отечественная нормативная база должна быть нацелена на обеспечение не фрагментарной, а комплексной замкнутой защиты разнообразных объектов информатизации [4, с. 264].

Как следствие, зарубежные стандарты и документы на их основе не дают ответов на ряд ключевых вопросов. 1. Как создать информационную систему, чтобы она была безопасной на требуемом измеримом, объективно проверяемом уровне? 2. Как практически сформировать режим безопасности и поддерживать его в условиях постоянно меняющегося внешнего окружения и структуры самой системы? 3. Каков реальный уровень безопасности и насколько эффективна система защиты информации? [5, с. 161]

В последние годы на волне увлечения менеджментом появилось множество новых стандартов. Но ISO 27001 – не технический, а прежде всего организационный стандарт, также как и стандарты: ISO 9001, ISO 14001, OHSAS 18001. Основные задачи в создании систем менеджмента ИБ являются в определении: области применения системы, политики информационной безопасности, оценки рисков. Это, прежде всего, организационные задачи.

Предполагается, что персонал несет в себе наибольшую опасность как источник самой крупной потенциальной угрозы – из-за не компетентных или злонамеренных действий или бездействия сотрудников. И основные средства управления для решения этой проблемы – правовые и организационные действия. Поэтому менеджмент информационной безопасности представляют через формулирование и использование политики информационной безопасности, стандартов, процедур и рекомендаций, которые требуют применять в организации повсеместно и всеми лицами, связанными с ней.

Стандарт ISO/IEC 27001 не предлагает какой-либо конкретной методологии по менеджменту риска информационной безопасности. Этот стандарт предназначен для определения в организации только подхода к менеджменту рисков. [10, с. 4] В зарубежных стандартах вместо обоснования требований приводится обычно лозунг «best practik». 

Создан миф о существовании сертификации по ISO 27000 или по ISO 27k. На самом деле, требования к сертифицируемой системе менеджмента информационной безопасностью (далее СМИБ), содержатся в одном единственном документе — ISO/IEC 27001:2005. Таким образом, существует сертификация СМИБ на соответствие требованиям ISO/IEC 27001:2005, но никак не требованиям (собственно которые и не определены) всей серии стандартов ISO 27000. [11, с. 3] Но благодаря рекламе, предприятия добровольно отдают деньги за проведение подобной «сертификации».

Решение задачи оценки рисков ИБ также приносит доход благодаря следующим манипуляциям.

Менеджмент риска (risk management) – скоординированная деятельность по руководству и управлению организацией в отношении риска. Математический риск можно определить через произведение вероятности угрозы и размера возможного ущерба. Но в терминологии менеджмента риска английский термин «likelihood» – «возможность»  используется в отношении возможности того, что может произойти. Английский термин «likelihood» не имеет прямого эквивалента в некоторых языках, вместо него часто используют термин «probability» – вероятность. Однако, в английском языке термин «probability» обычно интерпретируют в узком смысле, как математический термин. Следовательно, в терминологии менеджмента риска термин «likelihood» используют с тем намерением, что он должен иметь ту же самую широкую интерпретацию, которую термин «probability» имеет во многих языках, кроме английского языка. Тем самым производится замена классического определения объективной вероятности [7, с. 82] с использованием статистики инцидентов на субъективную вероятность, определяемую экспертным путём или на базе социологических опросов. Далее предлагается качественная оценка величины возможных последствий (например, низкий, средний и высокий) и субъективной вероятности возникновения этих последствий с итоговой систематической ошибкой оценки риска на порядок. [6, с. 99] При этом преимущество качественной оценки аргументируется простотой её понимания всем соответствующим персоналом. При необходимости повышения точности оценки рисков потребитель вынужден привлекать стороннего платного консультанта, который возьмёт на себя аналитическую трудоёмкую часть работы по количественной оценке риска.

Известно, что простые модели рассматриваются западными специалистами иногда утилитарно, на недостаточном уровне абстракции, что затрудняет понимание их внутренней сути отечественными специалистами. По этой причине представители «пятой колонны» любят твердить о том, что «для внедрения очередного метода в России необходимо 5-10 лет».

Так, в частности, в области информационной безопасности до сих пор не принят рекламируемый качественный SWOT-анализ. В лучшем случае, правильно проведённый SWOT – это поверхностная инвентаризация тем, которые следовало бы рассмотреть, или вопросов, на которые нужно дать ответ. Это – определённый чек-лист. Не более того. [12, с. 177] Внедрение же модного цикла PDCA, описанного в зарубежном стандарте, влечёт за собой отзыв сертификата или отказ в сертификации в России. [11, с. 3] Представителями «шестой колонны» [13, с. 108] – чиновниками проводится внедрение закона «О персональных данных» без экономического обоснования и количественной оценки соответствующих рисков. При этом «пятая колонна» пытается модернизировать правовое поле Интернета. [14, с. 275]  

В заключение рассмотрим странности технического перевода стандартов на примере термина «управление».

Управление – совокупность воздействий субъекта управления на объект управления. Объектом управления могут быть организации, люди, процессы, техника. Обычно полагают, что процесс управления состоит из функций планирования, организации, мотивации и контроля. Эти четыре первичных функции управления объединены связующими процессами коммуникации и принятия решения.

Менеджмент (от англ. management – управление, организация) – это, прежде всего, управление людьми, персоналом. Человек – самый сложный, самый неуправляемый, самый непредсказуемый элемент во всей социо-экономической системе. [6, с. 92]

Поэтому слово management относится, в первую очередь, к административному управлению персоналом, руководству. Управление государством в английском языке характеризуется термином «government». Руководящие указания по управлению – management guidelines, управление разными техническими средствами звучит как «control», «steering», «driving», «piloting». [9, с. 22]

Комплексная система безопасности включает техническую, экономическую и организационную структуру и предназначена для защиты от комплекса внутренних и внешних угроз техногенного, природного и антропогенного характера. Менеджмент безопасности охватывает в основном организационную структуру и внутренние угрозы антропогенного характера.

Поэтому управление и менеджмент далеко не одно и то же. Управление охватывает больше объектов и методов управления, чем менеджмент.

В отечественной литературе рассматривается процесс обеспечения информационной безопасности (ОИБ, как процесс поддержания состояния защищённости активов организации. В отраслевых стандартах и рекомендациях банковской системы РФ в области ИБ вместо термина управление используется понятие ОИБ, в грамотных переводах стандартов ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27004, ISO/IEC 27005, ISO 27799 сохраняется оригинальный термин менеджмент, но без замены на управление.

Тем не менее, в названиях ряда учебных пособий [9] и сайтов [10] появились такие термины, как управление ИБ, управление рисками ИБ, управление инцидентами ИБ, путём подмены ими понятия менеджмент.

В области пожарной безопасности для краткости встречается запись «Управление ЧС» вместо «Управление силами и средствами в условиях чрезвычайной ситуации в регионе». Это вызывает возмущение редакторов научных изданий: «Принципиально неверными являются записи об управлении безопасностью, эффективностью, надёжностью и другими качественными или количественными характеристиками, поскольку управлять (изменять состояние) можно только материальными субстанциями – объектами управления (техникой, процессами, учреждениями), а изменения характеристик – это цели управления. В сфере безопасности управляют не безопасностью, а системами безопасности с целью обеспечения заданной степени той или иной безопасности (пожарной, радиационной, комплексной, физической)». [8, с. 3]

Таким образом, в работе показано, что внешнее информационное воздействие на уровне зарубежных стандартов путём внедрения терминов management и likelihood может ограничить исследование полного перечня объектов и методов защиты, нивелировать тем самым реализацию комплексного подхода к созданию систем информационной безопасности. Внутреннее информационное воздействие осуществляется некомпетентными техническими переводчиками и авторами популярных изданий путём внедрения термина управление для подмены объектов управления. Тем самым затеняется ведущая роль специалистов по информационной безопасности путём преувеличения значимости работы менеджеров.

Полученные результаты могут быть использованы для иллюстрации методов и средств ведения информационной войны с рекламным лозунгом «best practik» в области информационной безопасности.

Вывод. В области информационной безопасности учитываются обычно угрозы обществу в виде информационных негативных воздействий. Однако уделяется мало внимания защите самой информационной безопасности, её методологической и нормативной базы от зарубежных манипуляций и действий внутренней «пятой колонны» и «шестой колонны».

 

Литература

  1. Аверченков В.И. Системы защиты информации в ведущих зарубежных странах: учебное пособие. – Брянск: БГТУ, 2007. –  225 с.
  2. Грабовский В.Н. Блеск и нищета технического перевода в России. Портал .langinfo.ru от 05.03.2015. [Электронный ресурс]. URL: http://www.langinfo.ru/stati-dlja-perevodchika/blesk-i-nischeta-tehnicheskogo-perevoda-.html
  3. Шепитько Г.Е. Теория информационной безопасности и методология защиты информации: учебно-методическое пособие. – М.: РГСУ, 2012. – 128 с.
  4. Мельников В.В. Защита информации в компьютерных системах. – М.: Финансы и статистика; Электроинформ, 1997. – 368 с.
  5. Шепитько Г.Е Обеспечение безопасности расчётов в системах электронной коммерции: учебное пособие. – М.: РГСУ, 2012. – 188 с.
  6. Шепитько Г.Е. Основы информационной безопасности: учебное пособие. – М.: ВШЭ, 2014. – 112 с.
  7. Шепитько Г.Е. Вероятность как частота//Малая российская энциклопедия прогностики/Под ред. ак. РАО И.В. Бестужева-Лада. – М.: ИЭС, 2007. – С. 82 – 83.
  8. Блудчий Н.П., Буцынская Т.А. О технологиях публикации докладов на конференциях по проблемам безопасности. Портал Narod.ru от 16.02.2015. [Электронный ресурс]. URL:  http://www.agps-2006.narod.ru/konf/2012/sb-2012/sec-1-12/38-01-12.pdf
  9. Курило А.П., Милославская Н.Г., Сенаторов М.Ю. и др. Основы управления информационной безопасностью: учебное пособие. – М.: ГК Телеком, 2012. – 244 с.
  10. Сайт ISO27000.ru Искусство управления информационной безопасностью от 21.02. 2015. [Электронный ресурс]. URL:  http://www.iso27000.ru/standarty/iso-27000-mezhdunarodnye-standarty-upravleniya-informacionnoi-bezopasnostyu-1/iso-27000-mezhdunarodnye-standarty-upravleniya-informacionnoi-bezopasnostyu
  11. Шмидт О.Ю. Мифы об ISO 27000 от 27.10.2012.  Сайт  Хабрахард [Электронный ресурс]. URL: http://habrahabr.ru/sandbox/50535/
  12. Гудков Ю.И., Шепитько Г.Е., Прокофьев М.Н. SWOT-анализ с позиций информационной безопасности/Современные проблемы и задачи обеспечения информационной безопасности: труды НПК «СИБ – 2014». – М.: МФЮА, 2014. – С. 176 – 180.
  13. Шепитько Г.Е. Правовые аспекты ведения информационной войны с «пятой колонной» /Актуальные проблемы современного законодательства. Сб. статей. – М.: МФЮА, 2014. – С. 106 – 110.
  14. Шепитько Г.Е., Седякин В.П. Информационная война на правовом фронте Интернет/Экономические аспекты развития российской индустрии в условиях глобализации-2014. Материалы Международной НПК. – М.: Университет машиностроения, 2014. С. 273 – 275.
Просмотров: 2324

Мнения экспертов

Тема правильности перевода и применимости в наших условиях зарубежных стандартов, в частности “Общих критериев», очень актуальна. От себя, как от бывшего преподавателя курса ИБ в вузе, хочу отметить, что «Общие критерии» достаточно тяжелы в освоении студентами и трактуются неоднозначно, как и написал автор статьи. Переводчики с английского языка не всегда адекватно переводят стандарты и другие нормативные документы. Проблема актуальна. Правда, в статье в основном дана теоретическая оценка сложившейся ситуации, без практических примеров из опыта специалистов по ИБ. Также, прочитав в названии термин «Информационная война», ожидалось обсуждение совсем другой тематики, а не применимости в РФ зарубежных стандартов.

Автором поднята довольно обширная и серьёзная тема – вопрос применение гармонизированных стандартов, практик, критериев в сфере информационной безопасности. Статья, вне всякого сомнения, является интересной и актуальной, тема раскрыта полностью. Для качественного перевода технических специализированных текстов, недостаточно быть хорошим переводчиком, лингвистом, надо обладать высокой квалификацией в той области, в которой производится перевод.

Статья уважаемого автора почему-то не вдохновляет… . Начнем с самого названия. Название броское, но в чем суть? Неужели автор всерьез предполагает, что одна из целей внедрения американских стандартов в области связи и обработки данных в остальном мире – ослабление наших позиций в области информационной безопасности?

На самом деле США просто бесспорный лидер в области информационных технологий, а все остальное-это следствие.

Качество переводов , участие каких-то « пятых» и «шестых» колонн-это вообще-то настолько надуманные проблемы, что просто смешно об этом говорить! А хакеры, а китайские и южно-корейские кибервойска (это реальность, а не мифические проблемы со стандартами)?! Безопасность наших информационных систем должна быть обеспечена для всех возможных угроз как техническими , так и организационными средствами. Жесткая информационная война, конечно, ведется по всем фронтам, но, наверное, не стоит отвлекаться - есть смысл сосредоточиться на реальных угрозах!

  • Крюков А.Н.Крюков А.Н.
    Рязанское высшее воздушно-десантное командное училище им. В.Ф.Маргелова
    преподаватель

Блестящий обзор современного состояния нормативной базы по информационной безопасности, написанный гуру в этой области, ценен сам по себе не нуждается в отзывах  экспертов для его публикации. Отечественный опыт защиты информации,  изложенный в требованиях руководящих документов ограниченного распространения, значительно старше «лучших практик» и актуален для серьёзных организаций до сих пор. Высокозатратные разночтения порождаются попытками его пересмотра чиновниками на основе заимствований и механического переноса в другие области регулирования для повышения собственной значимости. Этой же цели служит терминологическая неопределённость, поверхностный механический плохо отредактированный перевод зарубежных источников и отсутствие утверждённых открытых однозначно измеряемых параметров.

Статья написана автором самостоятельно, со ссылками на электронные ресурсы и собственные работы, языком, доступным для начинающих, и полностью раскрывает заявленную тему. Эксперт надеется на её обсуждение и продолжение в нормативных документах

Ваши комментарии:

Для того, чтобы оставлять коментарии, Вам нужно авторизоваться на Sec.Ru. Если У Вас еще нет аккаунта, пройдите процедуру регистрации.


Информация

  • Снимай крутую видеорекламу - выкладывай на Sec.Ru!

    Рекламный ролик - один из самых эффективных способов донесения информации. И он отлично подходит для рекламирования любой продукции, в т.ч. и продукции рынка систем безопасности.
    Поэтому редакция Портала решила составить свой рейтинг лучших рекламных видеороликов. Все они разные и все чем-то покоряют: красотой, задумкой, стилем съемки, посылом, необычным финалом.
    Некоторые из них язык не повернется назвать иначе как шедевром короткого метра. Смотрим, наслаждаемся, делаем заметки, учимся творить рекламу правильно.
    Если Вы хотите выложить видеоролик о своей продукции на Sec.Ru, пишите о своем желании на adv@sec.ru!

    Картинка: Jpg, 100x150, 16,47 Кбайт

    Мотор!

Отраслевые СМИ

Все права защищены 2002 – 2017
Rambler's Top100 �������@Mail.ru