20 апреля 2015

Информационная война против информационной безопасности

Г.Е. Шепитько
д.т.н., профессор

Лидерство в сфере передовых разработок позволяет Соединённым Штатам устанавливать стандарты в области систем связи и обработки данных и таким образом формировать зависимость иностранных государств от американских программных и аппаратных средств. Тем самым подавляются стимулы к организации другими государствами аналогичных конкурентоспособных разработок. Поэтому попытки США превратить свои национальные стандарты защиты информации в международные вызывают неоднозначную реакцию со стороны представителей других государств. По мнению европейских специалистов, это создаёт американским фирмам-производителям средств защиты информации благоприятные условия для захвата европейского рынка, потенциально расширяет возможности контроля над защищаемой информацией и даёт преимущества американским разведывательным службам. [1, с. 80] Методы информационной войны используются также для внедрения зарубежных стандартов в Россию.

Существуют определённые трудности в части технического перевода стандартов. Поэтому на рассмотрение Комиссии европейских сообществ представлена программа по преодолению языковых различий в единых информационных системах. [1, с. 81]. Задача качественного перевода зарубежных стандартов является также актуальной для России, т.к. переводчики в недостаточной степени разбираются в тематике исходных текстов и допускают упрощённый перевод отдельных терминов. [2, с. 3]

Целью работы является критический анализ содержания некоторых зарубежных стандартов в области информационной безопасности и качества их переводов в России.

Частным примером является правоприменительная практика внедрения российского варианта американского стандарта «Общие критерии» в виде ГОСТа Р ИСО/МЭК 15408 – 2002 г. Это критерии оценки информационных технологий, а не требования к защищённости, и, тем более, не требования к средствам защиты. Здесь начинаются вопросы. Первый – высокая внутренняя неточность и противоречивость критериев, полное отсутствие пороговых значений параметров. Второй – это обоснованность применения критериев к тем или иным объектам информатизации. Третий – достаточен ли уровень защиты, установленный на объекте информатизации? На эти вопросы нельзя ответить на основе «Общих критериев». «Общие критерии» должны дополнять, а не заменять выработанную на сегодняшний момент нормативную отечественную правовую базу. Иначе – опять снижение уровня защищённости наших систем до западного уровня. [3, с. 5]. Отечественная нормативная база должна быть нацелена на обеспечение не фрагментарной, а комплексной замкнутой защиты разнообразных объектов информатизации [4, с. 264].

Как следствие, зарубежные стандарты и документы на их основе не дают ответов на ряд ключевых вопросов. 1. Как создать информационную систему, чтобы она была безопасной на требуемом измеримом, объективно проверяемом уровне? 2. Как практически сформировать режим безопасности и поддерживать его в условиях постоянно меняющегося внешнего окружения и структуры самой системы? 3. Каков реальный уровень безопасности и насколько эффективна система защиты информации? [5, с. 161]

В последние годы на волне увлечения менеджментом появилось множество новых стандартов. Но ISO 27001 – не технический, а прежде всего организационный стандарт, также как и стандарты: ISO 9001, ISO 14001, OHSAS 18001. Основные задачи в создании систем менеджмента ИБ являются в определении: области применения системы, политики информационной безопасности, оценки рисков. Это, прежде всего, организационные задачи.

Предполагается, что персонал несет в себе наибольшую опасность как источник самой крупной потенциальной угрозы – из-за не компетентных или злонамеренных действий или бездействия сотрудников. И основные средства управления для решения этой проблемы – правовые и организационные действия. Поэтому менеджмент информационной безопасности представляют через формулирование и использование политики информационной безопасности, стандартов, процедур и рекомендаций, которые требуют применять в организации повсеместно и всеми лицами, связанными с ней.

Стандарт ISO/IEC 27001 не предлагает какой-либо конкретной методологии по менеджменту риска информационной безопасности. Этот стандарт предназначен для определения в организации только подхода к менеджменту рисков. [10, с. 4] В зарубежных стандартах вместо обоснования требований приводится обычно лозунг «best practik».

Создан миф о существовании сертификации по ISO 27000 или по ISO 27k. На самом деле, требования к сертифицируемой системе менеджмента информационной безопасностью (далее СМИБ), содержатся в одном единственном документе — ISO/IEC 27001:2005. Таким образом, существует сертификация СМИБ на соответствие требованиям ISO/IEC 27001:2005, но никак не требованиям (собственно которые и не определены) всей серии стандартов ISO 27000. [11, с. 3] Но благодаря рекламе, предприятия добровольно отдают деньги за проведение подобной «сертификации».

Решение задачи оценки рисков ИБ также приносит доход благодаря следующим манипуляциям.

Менеджмент риска (risk management) – скоординированная деятельность по руководству и управлению организацией в отношении риска. Математический риск можно определить через произведение вероятности угрозы и размера возможного ущерба. Но в терминологии менеджмента риска английский термин «likelihood» – «возможность» используется в отношении возможности того, что может произойти. Английский термин «likelihood» не имеет прямого эквивалента в некоторых языках, вместо него часто используют термин «probability» – вероятность. Однако, в английском языке термин «probability» обычно интерпретируют в узком смысле, как математический термин. Следовательно, в терминологии менеджмента риска термин «likelihood» используют с тем намерением, что он должен иметь ту же самую широкую интерпретацию, которую термин «probability» имеет во многих языках, кроме английского языка. Тем самым производится замена классического определения объективной вероятности [7, с. 82] с использованием статистики инцидентов на субъективную вероятность, определяемую экспертным путём или на базе социологических опросов. Далее предлагается качественная оценка величины возможных последствий (например, низкий, средний и высокий) и субъективной вероятности возникновения этих последствий с итоговой систематической ошибкой оценки риска на порядок. [6, с. 99] При этом преимущество качественной оценки аргументируется простотой её понимания всем соответствующим персоналом. При необходимости повышения точности оценки рисков потребитель вынужден привлекать стороннего платного консультанта, который возьмёт на себя аналитическую трудоёмкую часть работы по количественной оценке риска.

Известно, что простые модели рассматриваются западными специалистами иногда утилитарно, на недостаточном уровне абстракции, что затрудняет понимание их внутренней сути отечественными специалистами. По этой причине представители «пятой колонны» любят твердить о том, что «для внедрения очередного метода в России необходимо 5-10 лет».

Так, в частности, в области информационной безопасности до сих пор не принят рекламируемый качественный SWOT-анализ. В лучшем случае, правильно проведённый SWOT – это поверхностная инвентаризация тем, которые следовало бы рассмотреть, или вопросов, на которые нужно дать ответ. Это – определённый чек-лист. Не более того. [12, с. 177] Внедрение же модного цикла PDCA, описанного в зарубежном стандарте, влечёт за собой отзыв сертификата или отказ в сертификации в России. [11, с. 3] Представителями «шестой колонны» [13, с. 108] – чиновниками проводится внедрение закона «О персональных данных» без экономического обоснования и количественной оценки соответствующих рисков. При этом «пятая колонна» пытается модернизировать правовое поле Интернета. [14, с. 275]

В заключение рассмотрим странности технического перевода стандартов на примере термина «управление».

Управление – совокупность воздействий субъекта управления на объект управления. Объектом управления могут быть организации, люди, процессы, техника. Обычно полагают, что процесс управления состоит из функций планирования, организации, мотивации и контроля. Эти четыре первичных функции управления объединены связующими процессами коммуникации и принятия решения.

Менеджмент (от англ. management – управление, организация) – это, прежде всего, управление людьми, персоналом. Человек – самый сложный, самый неуправляемый, самый непредсказуемый элемент во всей социо-экономической системе. [6, с. 92]

Поэтому слово management относится, в первую очередь, к административному управлению персоналом, руководству. Управление государством в английском языке характеризуется термином «government». Руководящие указания по управлению – management guidelines, управление разными техническими средствами звучит как «control», «steering», «driving», «piloting». [9, с. 22]

Комплексная система безопасности включает техническую, экономическую и организационную структуру и предназначена для защиты от комплекса внутренних и внешних угроз техногенного, природного и антропогенного характера. Менеджмент безопасности охватывает в основном организационную структуру и внутренние угрозы антропогенного характера.

Поэтому управление и менеджмент далеко не одно и то же. Управление охватывает больше объектов и методов управления, чем менеджмент.

В отечественной литературе рассматривается процесс обеспечения информационной безопасности (ОИБ, как процесс поддержания состояния защищённости активов организации. В отраслевых стандартах и рекомендациях банковской системы РФ в области ИБ вместо термина управление используется понятие ОИБ, в грамотных переводах стандартов ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27004, ISO/IEC 27005, ISO 27799 сохраняется оригинальный термин менеджмент, но без замены на управление.

Тем не менее, в названиях ряда учебных пособий [9] и сайтов [10] появились такие термины, как управление ИБ, управление рисками ИБ, управление инцидентами ИБ, путём подмены ими понятия менеджмент.

В области пожарной безопасности для краткости встречается запись «Управление ЧС» вместо «Управление силами и средствами в условиях чрезвычайной ситуации в регионе». Это вызывает возмущение редакторов научных изданий: «Принципиально неверными являются записи об управлении безопасностью, эффективностью, надёжностью и другими качественными или количественными характеристиками, поскольку управлять (изменять состояние) можно только материальными субстанциями – объектами управления (техникой, процессами, учреждениями), а изменения характеристик – это цели управления. В сфере безопасности управляют не безопасностью, а системами безопасности с целью обеспечения заданной степени той или иной безопасности (пожарной, радиационной, комплексной, физической)». [8, с. 3]

Таким образом, в работе показано, что внешнее информационное воздействие на уровне зарубежных стандартов путём внедрения терминов management и likelihood может ограничить исследование полного перечня объектов и методов защиты, нивелировать тем самым реализацию комплексного подхода к созданию систем информационной безопасности. Внутреннее информационное воздействие осуществляется некомпетентными техническими переводчиками и авторами популярных изданий путём внедрения термина управление для подмены объектов управления. Тем самым затеняется ведущая роль специалистов по информационной безопасности путём преувеличения значимости работы менеджеров.

Полученные результаты могут быть использованы для иллюстрации методов и средств ведения информационной войны с рекламным лозунгом «best practik» в области информационной безопасности.

Вывод. В области информационной безопасности учитываются обычно угрозы обществу в виде информационных негативных воздействий. Однако уделяется мало внимания защите самой информационной безопасности, её методологической и нормативной базы от зарубежных манипуляций и действий внутренней «пятой колонны» и «шестой колонны».

Литература

Аверченков В.И. Системы защиты информации в ведущих зарубежных странах: учебное пособие. – Брянск: БГТУ, 2007. – 225 с.
Грабовский В.Н. Блеск и нищета технического перевода в России. Портал .langinfo.ru от 05.03.2015. [Электронный ресурс]. URL: http://www.langinfo.ru/stati-dlja-perevodchika/blesk-i-nischeta-tehnicheskogo-perevoda-.html
Шепитько Г.Е. Теория информационной безопасности и методология защиты информации: учебно-методическое пособие. – М.: РГСУ, 2012. – 128 с.
Мельников В.В. Защита информации в компьютерных системах. – М.: Финансы и статистика; Электроинформ, 1997. – 368 с.
Шепитько Г.Е Обеспечение безопасности расчётов в системах электронной коммерции: учебное пособие. – М.: РГСУ, 2012. – 188 с.
Шепитько Г.Е. Основы информационной безопасности: учебное пособие. – М.: ВШЭ, 2014. – 112 с.
Шепитько Г.Е. Вероятность как частота//Малая российская энциклопедия прогностики/Под ред. ак. РАО И.В. Бестужева-Лада. – М.: ИЭС, 2007. – С. 82 – 83.
Блудчий Н.П., Буцынская Т.А. О технологиях публикации докладов на конференциях по проблемам безопасности. Портал Narod.ru от 16.02.2015. [Электронный ресурс]. URL: http://www.agps-2006.narod.ru/konf/2012/sb-2012/sec-1-12/38-01-12.pdf
Курило А.П., Милославская Н.Г., Сенаторов М.Ю. и др. Основы управления информационной безопасностью: учебное пособие. – М.: ГК Телеком, 2012. – 244 с.
Сайт ISO27000.ru Искусство управления информационной безопасностью от 21.02. 2015. [Электронный ресурс]. URL: http://www.iso27000.ru/standarty/iso-27000-mezhdunarodnye-standarty-upravleniya-informacionnoi-bezopasnostyu-1/iso-27000-mezhdunarodnye-standarty-upravleniya-informacionnoi-bezopasnostyu
Шмидт О.Ю. Мифы об ISO 27000 от 27.10.2012. Сайт Хабрахард [Электронный ресурс]. URL: http://habrahabr.ru/sandbox/50535/
Гудков Ю.И., Шепитько Г.Е., Прокофьев М.Н. SWOT-анализ с позиций информационной безопасности/Современные проблемы и задачи обеспечения информационной безопасности: труды НПК «СИБ – 2014». – М.: МФЮА, 2014. – С. 176 – 180.
Шепитько Г.Е. Правовые аспекты ведения информационной войны с «пятой колонной» /Актуальные проблемы современного законодательства. Сб. статей. – М.: МФЮА, 2014. – С. 106 – 110.
Шепитько Г.Е., Седякин В.П. Информационная война на правовом фронте Интернет/Экономические аспекты развития российской индустрии в условиях глобализации-2014. Материалы Международной НПК. – М.: Университет машиностроения, 2014. С. 273 – 275.