О методологии исследования и обеспечения информационной безопасности

Дата: 30.09.2020. Автор: Геннадий Атаманов. Категории: Блоги экспертов по информационной безопасности
О методологии исследования и обеспечения информационной безопасности

10-11 сентября 2020 г. на базе Елецкого государственного университета прошла IV международной научно-практической конференции «Фундаментально-прикладные проблемы безопасности, живучести, надёжности, устойчивости и эффективности систем». Очень хотел выступить, но не судьба: вследствие тотального карантина конференция прошла в дистанционном формате. Сборник статей издан в формате pdf и будет размещён в сети позже. Свою статью представляю читателям здесь и сейчас. 

О МЕТОДОЛОГИИ ИССЛЕДОВАНИЯ И ОБЕСПЕЧЕНИЯ 
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 

Атаманов Г.А., канд. филос. наук, [email protected] 
ФГБОУ ВО «Волгоградский государственный университет», г. Волгоград

Известно, что результат деятельности зависит не только от того, кто действует (то есть субъекта) или на что направлена деятельность (то есть объекта), но и от того, как совершается данный процесс, какие способы, приёмы и средства при этом применяются, то есть от методов. Сочетание субъекта, объекта и метода, их органическое единство, является ключевым условием успеха любой деятельности. Не являются исключением из этого правила и деятельность по исследованию феномена под названием «информационная безопасность», и деятельность по практическому обеспечению информационной безопасности тех или иных объектов.

Как представляется, совершенно очевидно, что в предметной области под названием «информационная безопасность» речь должна была бы вестись именно о двух различных методологиях – методологии исследования феномена информационной безопасности и методологии обеспечения информационной безопасности объекта информационной безопасности. Почему? Прежде всего потому, что у деятельности по исследованию и деятельности по обеспечению – различные объекты (равно, как и субъекты). У деятельности по исследованию информационной безопасности объектом является феномен под названием «информационная безопасность», а у деятельности по обеспечению информационной безопасности объектом (и официальной российской наукой, и российским законодателем) признаны где «личность, общество, государство», а где их интересы. Здесь же важно отметить, что исследование каждого объекта требует применения адекватных ему методов. Исследование предмета с применением несоответствующих ему методов обрекает его на провал или превращает в псевдонауку. Практическая деятельность с применением несоответствующих методов делает её бесполезной и даже вредной. «Теория без практики мертва и бесплодна, практика без теории бесполезна и пагубна», – ещё в 19 веке сказал известный математик Пафнутий Чебышев [1].

Учитывая, что в Российской Федерации главным принципом организации деятельности по обеспечению информационной безопасности (как и любого другого вида безопасности) является законность, между деятельностью по исследованию феномена информационной безопасности и деятельностью по обеспечению информационной безопасности появляется промежуточное звено – деятельность по конституированию способов, норм, правил и даже средств её обеспечения. И здесь возникает необходимость говорить ещё и о методологии законотворческой (нормотворческой) деятельности. Поэтому в сфере информационной безопасности необходимо вести речь не о дихотомии теория-практика, а о триаде – ТЕОРИЯ –> ЗАКОН –> ПРАКТИКА – и, сообразно этому, о трёх различных методологиях.

В российской науке в методологии принято различать 4 уровня – философский, общенаучный, конкретно-научный, технологический. Здесь важно отметить, что основным/базовым/ключевым/фундирующим все остальные является философский. Другими словами, всё здание теории безопасности и информационной безопасности, в частности, должно строиться на философском фундаменте, и чтобы это здание не рухнуло, фундамент этот должен быть прочным. Однако, в реальности этот фундамент не просто зыбкий, его, практически, нет. Российские учёные почти единодушно приняли в качестве методологического основания теории безопасности концепцию «безопасность – состояние защищённости», изложенную в 1992 году в законе «О безопасности», авторство которой приписывают другу Б.Н. Ельцина доктору технических наук, академику РАН Ю.А. Рыжову. И с тех пор российская наука выступает не в роли исследователя объективной реальности, а в роли апологета методологически несостоятельной концепции. Так, практически, во всех из нескольких десятков просмотренных мной из 14771 работ, найденных по результатам поиска на сайте [2] по фразе «методология информационной безопасности» (а, думаю, и во всех представленных там, за исключением одной – диссертации автора данной статьи), в качестве методологического основания принята концепция «безопасность – состояние защищённости». Причём, независимо от вида исследуемой безопасности (коих российские учёные навыдумывали уже более 60).

О методологической несостоятельности данной концепции я писал во многих своих работах, неоднократно выступал на научных конференциях. Но все их можно охарактеризовать одним выражением – глас вопиющего в пустыне.

А в концепции, изложенной в законе и впоследствии «развитой» в работах российских учёных, несостоятельно, практически, всё. В ней нарушены все законы логики и правила формирования определений. Так «безопасность» не может быть «состоянием защищённости». Защищённость – категория психологии, абстрактное понятие, обозначающее чувство – чувство защищённости. Состояние может быть только у материального объекта и оно характеризуется набором объективных параметров. Например, болезнь, как состояние организма, характеризуется температурой, давлением, частотой пульса, выходящими за пределы нормы. Какие объективные параметры есть у защищённости? А никаких! Тем более, когда речь идёт о защищённости интересов. Неверно обозначены в этой концепции и субъекты, и объекты, и принципы. Более развёрнутое обоснование несостоятельности данной концепции можно прочитать в [3-6]. Здесь же важно отметить, что основные философские разделы проблемы – онтология, гносеология, аксиология – в российской официальной науке вообще никак не раскрыты.

В настоящее время подавляющее большинство российских и теоретиков, и практиков под термином «информационная безопасность» понимают то, что на Западе принято называть «кибербезопасность». Более того, и те, и другие ведут речь об информационной безопасности в автоматизированных системах, что с точки зрения методологии является полнейшим абсурдом. Применительно к автоматизированной (информационной) системе можно говорить только о защите информации (корректнее – информационных ресурсов) обрабатываемой / циркулирующей / содержащейся в этой системе. Подробнее об этом можно прочитать в [7].

Основная масса «научных» работ, посвящённых проблеме информационной безопасности, это – обоснование необходимости разработки того или иного аспекта информационной безопасности. При этом раскрытия самих аспектов в этих работах либо невозможно найти, либо это сделано с грубыми нарушениями требований научной методологии. Зачастую в заголовке статьи/диссертации/монографии заявляется что-то типа «безопасность как философская категория» или «методология исследования проблем безопасности и стабильности», а в тексте работы – ни философии, ни методологии. В подавляющем большинстве работ в качестве метода исследования информационной безопасности, например, заявляется диалектический подход (который предусматривает рассмотрение объекта в развитии и противоречии). По факту же в работе ведётся речь о развитии отношения к феномену (то есть ретроспективный анализ отношения к феномену различных групп людей в различные исторические эпохи), а диалектическая оппозиция безопасности – опасность – вообще не рассматривается и не анализируется. В целом же мне не удалось найти ни одной работы, в которой были бы корректно указаны методы исследования феномена информационной безопасности и также корректно применены. Это же касается и работ, посвящённых методологии обеспечения информационной безопасности. Научных работ, посвящённых методологии нормотворческой деятельности в области информационной безопасности, найти не удалось вовсе.

Основой любой теории, её фундаментом является категориально-понятийный аппарат. Определения понятий, образующие этот аппарат, должны отвечать определенным требованиям, а именно: постоянности, совершенной определённости, всеобщего признания, однозначного языкового выражения. Смею утверждать, что ни одно определение, образующее аппарат теории информационной безопасности, не отвечает этим требованиям.

К сожалению, приходится констатировать, что сегодня в Российской Федерации нет и ни одного нормативного правового акта или нормативно-методического документа в сфере информационной безопасности, написанного с соблюдением методологии научной и нормотворческой деятельности. Примеров методологической несостоятельности нормативных правых актов в области информационной безопасности можно привести огромное множество. Это и конституированное российским законодательством определение понятия «безопасность» как состояния защищённости жизненно важных интересов личности, общества и государства от внутренних и внешних угроз [ГОСТ Р 52551-2006], и не имеющие ничего общего ни с наукой, ни со здравым смыслом перечни интересов, и выбор объектов и субъектов безопасности, и многое-многое другое. Показательны в этом отношении ГОСТы из серии «Информатизация здоровья»: ГОСТ Р 54624-2011, ГОСТ Р 56845-2015, ГОСТ Р ИСО 14199-2016, ГОСТ Р ИСО 13119-2016 и другие (всего – 10), а также приказы ФСТЭК, например, от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и другие. Но апофеоза одиозности нормотворческая деятельность в области информационной безопасности достигла, как представляется, в двух законах – 152-ФЗ «О персональных данных» и 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Анализу этих законов через призму методологии посвящены мои статьи в журналах [8, 9, 10] и блоге [11, 12].

Учитывая полнейшую методологическую несостоятельность двух базовых этапов процесса обеспечения информационной безопасности – научного обоснования и нормативного обеспечения – и исходя из того, что главный принцип обеспечения информационной безопасности в Российской Федерации – законность, можно было бы предположить, что этап практической реализации норм и правил, выработанных на первых этапах, станет самым одиозным. Однако, это не совсем так. Сама жизнь заставляет многие компании, особенно с участием иностранного капитала и иностранных специалистов, осуществлять деятельность по защите своих информационных ресурсов в соответствии с логикой, а не в соответствии с концепциями, разработанными российскими учёными, и нормами, конституированными российским законодательством. Всё больше и больше специалистов используют в своей работе так называемые «лучшие практики», европейские ISO и американские NISTы. Что же касается обеспечения информационно-психологической, информационно-когнитивной или информационно-консциентальной безопасности, то здесь не делается ничего. Эти аспекты информационной безопасности в настоящее время не исследуются и даже не обсуждаются. И если появляются работы отдельных авторов на эти темы, то они не вызывают интереса со стороны российских учёных и не становятся предметом научных дискуссий. Практики, называющие себя информационными безопасниками, а по сути являющиеся кибербезопасниками, вообще далеки от этой проблематики и не испытывают ни потребности, ни желания ею заниматься.

Таким образом, на сегодня в Российской Федерации официальной наукой поддерживается и развивается, а российским законодательством конституируется, ненаучная (эзотерическая) парадигма информационной безопасности. При этом теории, разработанные в соответствии с научной методологией, либо игнорируются, либо испытывают активное противодействие как со стороны научного сообщества, так и со стороны практиков. Что касается практиков, то они и не могут поступать иначе, так как главный принцип обеспечения информационной безопасности в РФ – законность. И до тех пор, пока либо не будет отменена эта норма, либо нормативные документы не будут приведены в соответствие с логикой и здравым смыслом, они вынуждены руководствоваться в своей деятельности далёкими от логики и здравого смысла требованиями.

Если верить Пафнутию Чебышеву (а, с моей точки зрения, он абсолютно прав), то всё, что сегодня делается в Российской Федерации в плане исследования феномена информационной безопасности (за исключением работ автора данной статьи), мертво и бесплодно, в плане обеспечения информационной безопасности – либо бесполезно, либо пагубно, а если учесть, что делается это в соответствии с ложной теорией, то положение следует идентифицировать как катастрофическое.

Возникает вполне резонный вопрос: а есть ли выход из этой ситуации? Конечно, выход есть! И дверь в него открыта. Но, как это у нас сейчас принято, найден он не будет. И несмотря на очевидный кризис в отрасли и теоретики, и практики продолжат «набивать шишки, стучась лбом в стену», плодить горы информационного мусора, тратить деньги и силы на выполнение бесполезных процедур, закупку и установку дорогостоящих, но таких же бесполезных, средств.

 Литература

 1.      SARAEVGROUP [Электронный ресурс]. – Режим доступа: https://touch.otvet.mail.ru/question/35542985 (дата обращения: 08.03.2020). – Загл. с экрана.

2.      Поиск диссертаций и авторефератов | disserCat [Электронный ресурс]. – Режим доступа: https://www.dissercat.com (дата обращения: 14.03.2020). – Загл. с экрана.

3.      Атаманов Г. А. Информационная безопасность в современном российском обществе (социально-философский аспект): дис. …канд. филос. наук: 09.00.11 / Геннадий Альбертович Атаманов; [Волгогр. гос. ун-т]. – Волгоград, 2006. – 168 с.

4.      Атаманов Г.А. Методология безопасности [Электронный ресурс] // Фонд содействия научным исследованиям проблем безопасности «НАУКА-XXI». – 2011. – Режим доступа: http://naukaxxi.ru/materials/302, свободный.

5.      Атаманов Г.А. Азбука безопасности. Методология обеспечения информационной безопасности субъектов информационных отношений // Защита информации. Инсайд. – 2014. – № 5. – С. 8 — 13. – Имеется электронный аналог: http://gatamanov.blogspot.ru/2014/11/blog-post.html.

6.      Атаманов Г.А. Азбука безопасности. Объекты и субъекты безопасности вообще и информационной в частности // Защита информации. Инсайд. – 2013. – № 6. – С. 18-24. – Имеется электронный аналог: https://gatamanov.blogspot.com/2014/07/blog-post_24.html.

7.      Атаманов Г.А. Азбука безопасности. Методология защиты информационных ресурсов // Защита информации. Инсайд. – 2015. – № 2. – С. 8 — 13. – Имеется электронный аналог: http://gatamanov.blogspot.ru/2015/04/blog-post.html.

8.      Атаманов Г.А. Комментарий к Федеральному закону № 152-ФЗ «О персональных данных». Ч.1 // Защита информации. Инсайд. – 2012. – №1. – С. 39-49. – Имеется электронный аналог: https://gatamanov.blogspot.com/2014/05/n-152-1.html.

9.      Атаманов Г.А. Комментарий к Федеральному закону № 152-ФЗ «О персональных данных». Ч.2 // Защита информации. Инсайд. – 2012. – №2. – С.21-27. – Имеется электронный аналог: https://gatamanov.blogspot.com/2014/05/n-152-2.html.

10.   Атаманов Г.А. Комментарий к Федеральному закону № 152-ФЗ «О персональных данных». Ч.3 // Защита информации. Инсайд. – 2012. – №3. – С. 18-27. – Имеется электронный аналог: https://gatamanov.blogspot.com/2014/05/n-152-3.html.

11.   Атаманов Г.А. 187-ФЗ. Осторожно: это может быть опасно для вашей психики! [Электронный ресурс]. – Режим доступа: https://gatamanov.blogspot.com/2018/07/187.html, свободный.

12.   Атаманов Г.А. 187-ФЗ: споры не утихают. [Электронный ресурс]. – Режим доступа: https://gatamanov.blogspot.com/2018/07/187_23.html, свободный.

______________________________________________________________

Библиографическая ссылка: Атаманов Г.А. О методологии исследования и обеспечения информационной безопасности // Фундаментально-прикладные проблемы безопасности, живучести, надёжности, устойчивости и эффективности систем [Текст] : материалы IV Международной научно-практической конференции, г. Елец, 10-11 сент. 2020 г. – ФГБОУВО «Елецкий гос. ун-т». – Елец, 2020. – Секция 2. – С. 11-16.


Источник — Блог Атаманова Г.А. «АГАСОФИЯ».

Геннадий Атаманов

Об авторе Геннадий Атаманов

Атаманов Геннадий Альбертович, полковник запаса, кандидат философских наук
Читать все записи автора Геннадий Атаманов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *