О методологии исследования и обеспечения информационной безопасности
10-11 сентября 2020
г. на базе Елецкого государственного университета прошла IV международной научно-практической конференции
«Фундаментально-прикладные проблемы безопасности, живучести, надёжности,
устойчивости и эффективности систем». Очень
хотел выступить, но не судьба: вследствие
тотального карантина конференция прошла в дистанционном формате. Сборник
статей издан в формате pdf и будет размещён в сети позже. Свою статью представляю читателям здесь
и сейчас.
О МЕТОДОЛОГИИ ИССЛЕДОВАНИЯ И ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Атаманов Г.А., канд. филос. наук, g.a.atamanov@yandex.ru
ФГБОУ ВО «Волгоградский государственный университет», г. Волгоград
Известно, что результат деятельности
зависит не только от того, кто действует (то есть субъекта) или на что
направлена деятельность (то есть объекта), но и от того, как совершается данный
процесс, какие способы, приёмы и средства при этом применяются, то есть от
методов. Сочетание субъекта, объекта и метода, их органическое единство,
является ключевым условием успеха любой деятельности. Не являются исключением
из этого правила и деятельность по исследованию феномена под названием
«информационная безопасность», и деятельность по практическому обеспечению
информационной безопасности тех или иных объектов.
Как представляется,
совершенно очевидно, что в предметной области под названием «информационная
безопасность» речь должна была бы вестись именно о двух различных методологиях –
методологии исследования феномена информационной безопасности и методологии
обеспечения информационной безопасности объекта информационной безопасности.
Почему? Прежде всего потому, что у деятельности по исследованию и деятельности
по обеспечению – различные объекты (равно, как и субъекты). У деятельности по
исследованию информационной безопасности объектом является феномен под
названием «информационная безопасность», а у деятельности по обеспечению информационной
безопасности объектом (и официальной российской наукой, и российским
законодателем) признаны где «личность, общество, государство», а где их
интересы. Здесь же важно отметить, что исследование каждого объекта требует
применения адекватных ему методов. Исследование предмета с применением
несоответствующих ему методов обрекает его на провал или превращает в
псевдонауку. Практическая деятельность с применением несоответствующих методов
делает её бесполезной и даже вредной. «Теория без практики мертва и бесплодна,
практика без теории бесполезна и пагубна», – ещё в 19 веке сказал известный математик
Пафнутий Чебышев [1].
Учитывая, что в Российской
Федерации главным принципом организации деятельности по обеспечению
информационной безопасности (как и любого другого вида безопасности) является
законность, между деятельностью по исследованию феномена информационной
безопасности и деятельностью по обеспечению информационной безопасности
появляется промежуточное звено – деятельность по конституированию способов,
норм, правил и даже средств её обеспечения. И здесь возникает необходимость
говорить ещё и о методологии законотворческой (нормотворческой) деятельности.
Поэтому в сфере информационной безопасности необходимо вести речь не о
дихотомии теория-практика, а о триаде – ТЕОРИЯ –> ЗАКОН –> ПРАКТИКА – и,
сообразно этому, о трёх различных методологиях.
В российской науке в
методологии принято различать 4 уровня – философский, общенаучный,
конкретно-научный, технологический. Здесь важно отметить, что основным/базовым/ключевым/фундирующим
все остальные является философский. Другими словами, всё здание теории
безопасности и информационной безопасности, в частности, должно строиться на
философском фундаменте, и чтобы это здание не рухнуло, фундамент этот должен
быть прочным. Однако, в реальности этот фундамент не просто зыбкий, его,
практически, нет. Российские учёные почти единодушно приняли в качестве
методологического основания теории безопасности концепцию «безопасность –
состояние защищённости», изложенную в 1992 году в законе «О безопасности», авторство
которой приписывают другу Б.Н. Ельцина доктору технических наук, академику РАН Ю.А.
Рыжову. И с тех пор российская наука выступает не в роли исследователя
объективной реальности, а в роли апологета методологически несостоятельной
концепции. Так, практически, во всех из нескольких десятков просмотренных мной
из 14771 работ, найденных по результатам поиска на сайте [2] по фразе «методология информационной безопасности» (а, думаю, и во всех
представленных там, за исключением одной – диссертации автора данной статьи), в
качестве методологического основания принята концепция «безопасность –
состояние защищённости». Причём, независимо от вида исследуемой безопасности
(коих российские учёные навыдумывали уже более 60).
О методологической
несостоятельности данной концепции я писал во многих своих работах,
неоднократно выступал на научных конференциях. Но все их можно охарактеризовать
одним выражением – глас вопиющего в пустыне.
А в концепции, изложенной в
законе и впоследствии «развитой» в работах российских учёных, несостоятельно,
практически, всё. В ней нарушены все законы логики и правила формирования
определений. Так «безопасность» не может быть «состоянием защищённости». Защищённость
– категория психологии, абстрактное понятие, обозначающее чувство – чувство
защищённости. Состояние может быть только у материального объекта и оно характеризуется
набором объективных параметров. Например, болезнь, как состояние организма,
характеризуется температурой, давлением, частотой пульса, выходящими за пределы
нормы. Какие объективные параметры есть у защищённости? А никаких! Тем более,
когда речь идёт о защищённости интересов. Неверно обозначены в этой концепции и
субъекты, и объекты, и принципы. Более развёрнутое обоснование несостоятельности
данной концепции можно прочитать в [3-6]. Здесь же важно отметить, что основные философские
разделы проблемы – онтология, гносеология, аксиология – в российской
официальной науке вообще никак не раскрыты.
В настоящее время подавляющее
большинство российских и теоретиков, и практиков под термином «информационная
безопасность» понимают то, что на Западе принято называть «кибербезопасность». Более
того, и те, и другие ведут речь об информационной безопасности в
автоматизированных системах, что с точки зрения методологии является полнейшим
абсурдом. Применительно к автоматизированной (информационной) системе можно
говорить только о защите информации (корректнее – информационных ресурсов)
обрабатываемой / циркулирующей / содержащейся в этой системе. Подробнее об этом
можно прочитать в [7].
Основная масса «научных»
работ, посвящённых проблеме информационной безопасности, это – обоснование
необходимости разработки того или иного аспекта информационной безопасности.
При этом раскрытия самих аспектов в этих работах либо невозможно найти, либо
это сделано с грубыми нарушениями требований научной методологии. Зачастую в заголовке
статьи/диссертации/монографии заявляется что-то типа «безопасность как
философская категория» или «методология исследования проблем безопасности и
стабильности», а в тексте работы – ни философии, ни методологии. В подавляющем
большинстве работ в качестве метода исследования информационной безопасности,
например, заявляется диалектический подход (который предусматривает
рассмотрение объекта в развитии и противоречии). По факту же в работе ведётся
речь о развитии отношения к феномену (то есть ретроспективный анализ отношения
к феномену различных групп людей в различные исторические эпохи), а
диалектическая оппозиция безопасности – опасность – вообще не рассматривается и
не анализируется. В целом же мне не удалось найти ни одной работы, в которой
были бы корректно указаны методы исследования феномена информационной
безопасности и также корректно применены. Это же касается и работ, посвящённых
методологии обеспечения информационной безопасности. Научных работ, посвящённых
методологии нормотворческой деятельности в области информационной безопасности,
найти не удалось вовсе.
Основой любой теории, её
фундаментом является категориально-понятийный аппарат. Определения понятий,
образующие этот аппарат, должны отвечать определенным требованиям, а именно:
постоянности, совершенной определённости, всеобщего признания, однозначного
языкового выражения. Смею утверждать, что ни одно определение, образующее
аппарат теории информационной безопасности, не отвечает этим требованиям.
К сожалению, приходится
констатировать, что сегодня в Российской
Федерации нет и ни одного нормативного правового акта или нормативно-методического
документа в сфере информационной безопасности, написанного с соблюдением
методологии научной и нормотворческой деятельности. Примеров методологической несостоятельности нормативных
правых актов в области информационной безопасности можно привести огромное
множество. Это и конституированное российским законодательством определение
понятия «безопасность» как состояния защищённости жизненно важных
интересов личности, общества и государства от внутренних и внешних угроз [ГОСТ
Р 52551-2006], и не имеющие ничего общего ни с наукой, ни со здравым смыслом
перечни интересов, и выбор объектов и субъектов безопасности, и многое-многое
другое. Показательны в этом отношении ГОСТы
из серии «Информатизация здоровья»: ГОСТ Р 54624-2011, ГОСТ Р 56845-2015,
ГОСТ Р ИСО 14199-2016, ГОСТ Р ИСО 13119-2016 и другие (всего – 10), а также
приказы ФСТЭК, например, от 11.02.2013 № 17 «Об утверждении требований о защите
информации, не составляющей государственную тайну, содержащейся в
государственных информационных системах» и другие. Но апофеоза одиозности
нормотворческая деятельность в области информационной безопасности достигла,
как представляется, в двух законах – 152-ФЗ «О персональных данных» и 187-ФЗ «О
безопасности критической информационной инфраструктуры Российской Федерации».
Анализу этих законов через призму методологии посвящены мои статьи в журналах [8, 9, 10] и блоге [11, 12].
Учитывая полнейшую
методологическую несостоятельность двух базовых этапов процесса обеспечения
информационной безопасности – научного обоснования и нормативного обеспечения –
и исходя из того, что главный принцип обеспечения информационной безопасности в
Российской Федерации – законность, можно было бы предположить, что этап
практической реализации норм и правил, выработанных на первых этапах, станет
самым одиозным. Однако, это не совсем так. Сама жизнь заставляет многие
компании, особенно с участием иностранного капитала и иностранных специалистов,
осуществлять деятельность по защите своих информационных ресурсов в
соответствии с логикой, а не в соответствии с концепциями, разработанными
российскими учёными, и нормами, конституированными российским
законодательством. Всё больше и больше специалистов используют в своей работе
так называемые «лучшие практики», европейские ISO и американские NISTы. Что же касается обеспечения информационно-психологической,
информационно-когнитивной или информационно-консциентальной безопасности, то
здесь не делается ничего. Эти аспекты информационной безопасности в настоящее
время не исследуются и даже не обсуждаются. И если появляются работы отдельных
авторов на эти темы, то они не вызывают интереса со стороны российских учёных и
не становятся предметом научных дискуссий. Практики, называющие себя
информационными безопасниками, а по сути являющиеся кибербезопасниками, вообще
далеки от этой проблематики и не испытывают ни потребности, ни желания ею
заниматься.
Таким образом, на сегодня в
Российской Федерации официальной наукой поддерживается и развивается, а
российским законодательством конституируется, ненаучная (эзотерическая)
парадигма информационной безопасности. При этом теории, разработанные в
соответствии с научной методологией, либо игнорируются, либо испытывают
активное противодействие как со стороны научного сообщества, так и со стороны
практиков. Что касается практиков, то они и не могут поступать иначе, так как
главный принцип обеспечения информационной безопасности в РФ – законность. И до
тех пор, пока либо не будет отменена эта норма, либо нормативные документы не
будут приведены в соответствие с логикой и здравым смыслом, они вынуждены
руководствоваться в своей деятельности далёкими от логики и здравого смысла
требованиями.
Если верить Пафнутию Чебышеву
(а, с моей точки зрения, он абсолютно прав), то всё, что сегодня делается в
Российской Федерации в плане исследования феномена информационной безопасности
(за исключением работ автора данной статьи), мертво и бесплодно, в плане обеспечения
информационной безопасности – либо бесполезно, либо пагубно, а если учесть, что
делается это в соответствии с ложной теорией, то положение следует
идентифицировать как катастрофическое.
Возникает вполне резонный
вопрос: а есть ли выход из этой ситуации? Конечно, выход есть! И дверь в него
открыта. Но, как это у нас сейчас принято, найден он не будет. И несмотря на
очевидный кризис в отрасли и теоретики, и практики продолжат «набивать шишки, стучась
лбом в стену», плодить горы информационного мусора, тратить деньги и силы на
выполнение бесполезных процедур, закупку и установку дорогостоящих, но таких же
бесполезных, средств.
SARAEV
GROUP [Электронный
ресурс]. – Режим доступа: https://touch.otvet.mail.ru/question/35542985 (дата
обращения: 08.03.2020). – Загл. с экрана.
2.
Поиск диссертаций
и авторефератов | disserCat [Электронный ресурс]. – Режим доступа: https://www.dissercat.com
(дата обращения: 14.03.2020). – Загл. с экрана.
3.
Атаманов Г. А.
Информационная безопасность в современном российском обществе
(социально-философский аспект): дис. …канд. филос. наук: 09.00.11 / Геннадий
Альбертович Атаманов; [Волгогр. гос. ун-т]. – Волгоград, 2006. – 168 с.
4.
Атаманов Г.А.
Методология безопасности [Электронный ресурс] // Фонд содействия научным
исследованиям проблем безопасности «НАУКА-XXI». – 2011. – Режим доступа:
http://naukaxxi.ru/materials/302, свободный.
5.
Атаманов Г.А.
Азбука безопасности. Методология обеспечения информационной безопасности
субъектов информационных отношений // Защита информации. Инсайд. –
2014. – № 5. – С. 8 — 13. – Имеется электронный аналог:
http://gatamanov.blogspot.ru/2014/11/blog-post.html.
6.
Атаманов Г.А.
Азбука безопасности. Объекты и субъекты безопасности вообще и информационной в
частности // Защита информации. Инсайд. – 2013. – № 6. – С. 18-24. – Имеется
электронный аналог: https://gatamanov.blogspot.com/2014/07/blog-post_24.html.
7.
Атаманов Г.А.
Азбука безопасности. Методология защиты информационных ресурсов // Защита
информации. Инсайд. – 2015. – № 2. – С. 8 — 13. – Имеется электронный аналог:
http://gatamanov.blogspot.ru/2015/04/blog-post.html.
8.
Атаманов Г.А.
Комментарий к Федеральному закону № 152-ФЗ «О персональных данных». Ч.1 //
Защита информации. Инсайд. – 2012. – №1. – С. 39-49. – Имеется электронный
аналог: https://gatamanov.blogspot.com/2014/05/n-152-1.html.
9.
Атаманов Г.А.
Комментарий к Федеральному закону № 152-ФЗ «О персональных данных». Ч.2 //
Защита информации. Инсайд. – 2012. – №2. – С.21-27. – Имеется электронный
аналог: https://gatamanov.blogspot.com/2014/05/n-152-2.html.
10.
Атаманов Г.А.
Комментарий к Федеральному закону № 152-ФЗ «О персональных данных». Ч.3 //
Защита информации. Инсайд. – 2012. – №3. – С. 18-27. – Имеется электронный
аналог: https://gatamanov.blogspot.com/2014/05/n-152-3.html.
11.
Атаманов Г.А. 187-ФЗ.
Осторожно: это может быть опасно для вашей психики! [Электронный ресурс]. – Режим доступа: https://gatamanov.blogspot.com/2018/07/187.html,
свободный.
12.
Атаманов Г.А. 187-ФЗ:
споры не утихают. [Электронный ресурс]. – Режим доступа: https://gatamanov.blogspot.com/2018/07/187_23.html, свободный.
______________________________________________________________
Библиографическая ссылка: Атаманов Г.А. О методологии исследования и обеспечения информационной безопасности // Фундаментально-прикладные проблемы безопасности, живучести, надёжности, устойчивости и эффективности систем [Текст] : материалы IV Международной научно-практической конференции, г. Елец, 10-11 сент. 2020 г. – ФГБОУВО «Елецкий гос. ун-т». – Елец, 2020. – Секция 2. – С. 11-16.
Источник — Блог Атаманова Г.А. «АГАСОФИЯ».
