Основания: информация, смысл, безопасность

Назначение и статус. Это нулевой, корневой документ Секьюритики. Он вводит минимум понятий, на котором строится всё остальное, в порядке учебника: от первичного неопределяемого к определениям, от определений к аксиомам, от аксиом к первым следствиям и теореме. Каждое собственное понятие вводится только там, где без него нельзя сформулировать следующее утверждение, и сопровождается ответом на вопрос «почему вводится своё, а не берётся готовое». Множества задачи безопасности появляются здесь по необходимости, а не списком. Версия 0.1 — черновик; формулировки подлежат критике и пересмотру.

0. Первичное понятие

Науку строят от неопределяемого. Геометрия не определяет точку, теория множеств — множество; их свойства задаются аксиомами, а не определением. Мы поступаем так же.

Primitive (неопределяемое): различимое состояние. Существуют состояния, которые субъект способен отличить одно от другого. Глубже — в природу различимости, сознания, материи — мы не спускаемся: это граница документа, проведённая сознательно, чтобы основание было рабочим, а не философским трактатом.

Выбор именно различимости как дна — следование Шеннону: его теория связи измеряет информацию через различимость сигналов и сознательно отделяет её от смысла. Мы начинаем там же, но пойдём в сторону, которую Шеннон оставил за скобками, — в сторону смысла, потому что безопасность имеет дело именно с ним.

1. Форма и носитель

Определение 1 (носитель). Носитель — материальный объект, состояния которого различимы.

Определение 2 (форма). Форма — конкретная конфигурация различимых состояний носителя.

Это информация в смысле Шеннона: биты и байты, последовательность сигналов, рисунок намагниченности. Форма воплощена — она не существует без носителя, но одна и та же форма воспроизводима на разных носителях (файл и его копия). Это различение носителя и формы понадобится немедленно: оно — основа того, что копий бывает много, а оригинала может не быть вовсе.

Почему «форма», а не «информация». Слово «информация» в обиходе несёт сразу и сигнал, и смысл; начав с него, мы склеили бы то, что обязаны различать. «Форма» называет ровно один слой — конфигурацию состояний — и молчит о смысле, который вводится отдельно.

→ Так возникает первое множество задачи: R — множество представлений (форм), в которых существует защищаемое.

2. Интерпретатор

Форма сама по себе нема. Последовательность 79012345678 не несёт значения, пока не указано, как её читать: как число, как строку цифр, как телефонный номер. То, что превращает форму в значение, необходимо назвать.

Определение 3 (интерпретатор). Интерпретатор — правило, сопоставляющее форме значение.

Под это единое понятие мы намеренно сводим три объекта, которые в разных дисциплинах называются по-разному, но в задаче безопасности ведут себя одинаково:

• кодировка — правило чтения формы как данных определённого типа (теория информации);
• ключ — правило, без которого шифртекст не раскрывается в открытый текст (криптография; по принципу Керкгоффса вся секретность системы сосредоточена именно в ключе — то есть ключ и есть интерпретатор, отделённый от общеизвестного механизма);
• способ интерпретации знака — в семиотике Морриса это семантический слой, отношение знака к значению.

Почему своё понятие, а не «интерпретант» Пирса. Интерпретант в семиотике — значение, порождаемое в сознании воспринимающего. Наш интерпретатор намеренно абстрагирован от природы носителя правила: им может быть человек, программа или криптографический ключ. Для безопасности безразлично, чем именно раскрывается форма; важно единственное — управляем ли доступ к этому правилу. Поэтому нам нужно понятие об операции раскрытия, а не о ментальном содержании, и существующий термин здесь не подходит.

→ Так возникает множество T — интерпретаторов, контроль над которыми есть контроль над раскрытием форм.

3. Смысл

Определение 4 (смысл). Смысл — значение, которое форма получает при раскрытии её интерпретатором.

Смысл реляционен: он не свойство формы, а результат её соединения с интерпретатором. Отсюда — относительность, отмеченная Колмогоровым: количество и содержание информации в объекте определены лишь относительно метода её извлечения. Та же форма при разных интерпретаторах даёт разный смысл или не даёт никакого.

Полное определение статуса формы в деятельности (один и тот же номер как личный секрет, как персональные данные, как результат расчёта) требует ещё одного понятия — контекста, позиции формы в деятельности субъекта. Контекст в этом документе сознательно не формализуется и вводится позже; здесь фиксируется лишь, что смысл задаётся как минимум интерпретатором, и этого достаточно для определения безопасности ниже.

Семиотическая привязка. В триаде Морриса (синтактика — семантика — прагматика) Определения 3–4 покрывают семантический слой. Прагматический слой — значимость формы для деятельности — относится к будущему понятию контекста. Мы разделяем эти слои сознательно: они защищаются разными средствами.

4. Субъект, цель, действие

Определение 5 (субъект). Субъект — носитель деятельности: нечто, обладающее целями и способное совершать действия, изменяющие состояния носителей.

«Цель» здесь — не психологическая категория, а исходный пункт деятельности в смысле кибернетики и теории деятельности: состояние, к достижению или сохранению которого направлены действия. Субъектом может быть человек, организация, автоматизированная система — природа субъекта, как и природа интерпретатора, для оснований безразлична.

→ Множество C — значимые деятельности и цели субъекта: то, ради чего существует всё остальное.

Определение 6 (действие и полномочие). Действие — изменение состояния носителя субъектом. Полномочие — допустимая пара «субъект × действие над представлением».

→ Множество P — полномочий: допустимых пар субъект×действие. Им предстоит стать центральным объектом, на который покушается противник.

5. Аксиомы

Следующие утверждения принимаются без доказательства — они кладутся в основание, как аксиомы в математике. Их роль — отсечь то, что увело бы науку в сторону, и дать опору первым следствиям.

Аксиома 1 (различимости). Существуют состояния, различимые субъектом. (Без неё нет ни формы, ни информации.)

Аксиома 2 (воплощённости). Смысл существует только через форму на носителе; бестелесного смысла нет. (Отсекает платонизм информации и даёт закон сохранения: защищаемое существует только там, где есть его представление, — основу будущей инвентаризации.)

Аксиома 3 (деятельности). Субъект имеет цели и действует, изменяя состояния. (Без неё нет того, чью безопасность мы обеспечиваем.)

Аксиома 4 (состязательности). Существуют субъекты с несовпадающими целями, способные действовать на одни и те же представления. (Без неё безопасность вырождается в надёжность — см. Следствие 1.)

6. Безопасность

Теперь понятий достаточно, чтобы определить главный термин — и определить его не через «отсутствие угроз» (определение через бесконечное отрицание непригодно для построения) и не через «защиту информации» (информация — средство деятельности, а не её цель).

Определение 7 (безопасность). Безопасность субъекта — сохранение его способности достигать значимых целей в условиях действий других субъектов.

Информация входит в это определение не как самоцель, а по необходимости: цели достигаются действиями над представлениями (Опр. 6), представления раскрываются интерпретаторами (Опр. 3), а значит, противник может лишить субъекта цели, исказив, присвоив или разорвав эту цепочку. Безопасность есть свойство контура «субъект — деятельность», а не свойство данных.

Согласование с нормативным термином. ГОСТ Р 50922 определяет защиту информации через предотвращение нарушений конфиденциальности, целостности и доступности. Наше определение не противоречит ему, а объясняет его: эти три свойства — способы, которыми разрывается цепочка «цель → действие → представление» (см. Теорему). Нормативный термин описывает признаки нарушения; наш — то, что в итоге теряется (управляемость деятельности).

7. Первые следствия

Следствие 1 (различение надёжности и безопасности). Если в Определении 7 источник нарушающих воздействий — случайные отказы, речь идёт о надёжности; если воздействия исходят от субъекта с несовпадающими целями (Аксиома 4) — о безопасности. Различие не в последствиях, а в природе источника: случай против умысла. Случайный отказ не адаптируется к защите; состязательный субъект — адаптируется, и потому безопасность не сводима к надёжности.

Следствие 2 (происхождение остальных множеств). Раз представления связаны между собой (данные перетекают, выводятся одно из другого) — существуют потоки F между представлениями и контекстами. Раз достижение цели опирается на работоспособность представлений и их интерпретаторов — существуют зависимости D, граф «что от чего зависит». Эти множества вводятся здесь по необходимости и подробно раскрываются в документах, опирающихся на настоящий.

8. Инвариант и теорема о трёх свойствах

Определение 8 (инвариант защиты). Инвариант — утверждение вида «заданное свойство сохраняется на заданных множествах из {C, R, T, P, F, D}». Поддержание инварианта есть операциональная форма цели защиты.

Теорема (о размерности целей защиты). Способность субъекта достигать целей через представления теряется ровно тремя несводимыми друг к другу способами:

1. представление (или его смысл) становится доступно тому, чьи цели несовместимы с целями субъекта, — нарушение конфиденциальности;
2. представление изменяется помимо санкции субъекта, и действие опирается на ложное, — нарушение целостности;
3. представление или его интерпретатор перестают быть доступны субъекту, когда нужны, — нарушение доступности.

Обоснование несводимости. Эти три не выводятся одно из другого: форма может быть цела и доступна, но прочитана противником (только конфиденциальность); цела и закрыта, но подменена (только целостность); конфиденциальна и верна, но недостижима (только доступность). Большего числа независимых способов потерять опору деятельности в представлении нет; меньшего — недостаточно, чтобы покрыть три приведённых случая. Это и есть три строки матрицы целей.

Следствие (выводимость матрицы). Поскольку каждое из трёх свойств применяется к представлению, а представление по Определениям 1–4 существует на трёх слоях — носитель, форма, смысл, — пересечение трёх свойств и трёх слоёв даёт девять различимых целей защиты. Матрица 3×3, используемая в прикладных документах Секьюритики, не постулируется, а выводится из настоящих оснований. Подробное раскрытие слоёв — в документе об уровнях информации; обоснование выбора этой модели против альтернатив — в документе о сравнении моделей.

9. Что осталось неопределённым

Честный учебник перечисляет границы своего основания.

• Контекст — позиция формы в деятельности, задающая её статус (секрет / персональные данные / результат). Сознательно не формализован; вероятно, будет введён через отношение к C и P, без овеществления в отдельное множество. До его введения определение смысла (Опр. 4) опирается только на интерпретатор и в этой части неполно.
• Множество наблюдений (обратной связи), на котором держится проверка инвариантов, имеет двойственный статус — оно и часть системы, и инструмент контроля над ней; его место в словаре не зафиксировано.
• «Значимость» цели и различения принята интуитивно; строгий критерий значимости не дан.
• Субъектность принята как primitive уровня Определения 5; вопрос о составных и вложенных субъектах (сотрудник внутри организации) не разобран.

10. История пересмотров