Почему матрица 3×3: обоснование и сравнение с альтернативами
Зачем этот документ. Система целей защиты — фундамент, на котором стоит всё остальное: карты целей, принципы, каналы, меры. Выбор такого фундамента нельзя постулировать — его надо обосновать и сравнить с альтернативами, иначе портал, требующий доказательности от каждой меры, сам начнётся с акта веры. Здесь сформулированы критерии выбора, по ним разобраны основные альтернативы, и честно указано, чего матрица не решает.
1. Критерии выбора системы целей
Система целей защиты должна удовлетворять пяти требованиям:
- Выводимость. Элементы системы следуют из определения объекта защиты, а не постулируются списком, который всегда можно продолжить.
- Разрешающая способность. Система разрешает классические споры, неразрешимые без неё: шифровальщик — целостность или доступность; «всё на месте, всё потеряно» при утрате ключа; цитата вне контекста.
- Порождающая сила. Каждый элемент порождает собственные, отличимые от соседних каналы нарушения и меры. Элемент, не порождающий ничего своего, — лишний.
- Минимальность. Известные расширения и «дополнительные свойства» выводятся из системы, а не требуют доклейки.
- Совместимость. Результаты переводимы на язык нормативной базы (152-ФЗ, приказы ФСТЭК, ISO 27000), где закреплена триада, — иначе карты непригодны в реальном документообороте.
2. Что выбрано и откуда оно взялось
Матрица Секьюритики = строки (конфиденциальность, целостность, доступность) × столбцы (носитель, форма, смысл).
Столбцы выведены из трёх научных подходов к определению информации: философского (свойство носителя), математического по Шеннону (форма) и семиотического (смысл) — SEC-FOUND-0001. Это не произвольная ось: три уровня независимо воспроизводятся у Уивера (технический/семантический уровни проблем связи), у Морриса (синтактика/семантика/прагматика), у Флориди (данные/осмысленные данные). Конвергенция независимых традиций — главный аргумент выводимости.
Строки приняты как конвенция — и это сказано честно. У триады нет первоисточника и нет доказательной базы: она сложилась к концу 1980-х из практики (конфиденциальность — из военных моделей 70-х, целостность — из коммерческих задач, доступность — позже) и закрепилась стандартами. Её статус по шкале портала — C: полувековой консенсус без вывода. Матрица не утверждает, что триада доказана, — она делает с триадой две вещи: придаёт каждой строке проверяемый смысл через мета-принцип (запрет потока вниз / санкционированное происхождение изменений / избыточность с независимостью отказов — SEC-FOUND-0003) и проверяет строки на порождающую силу по клеткам. Если однажды обнаружится цель, не выразимая строками, — это триггер пересмотра (раздел 5), а не катастрофа.
3. Альтернативы
3.1. Чистая триада (CIA без уровней)
Базовая модель стандартов и нормативки. Сильна как общий язык; совместимость — идеальная. Проваливает критерий 2: именно внутри чистой триады десятилетиями живут неразрешимые споры («шифровальщик — это Ц или Д?»), потому что слово «информация» в ней означает три объекта сразу. Проваливает и критерий 3 в половине случаев: «доступность» без уровней не различает мёртвый сервер, удалённый файл и потерянный ключ — а это три разных набора мер. Матрица — это триада, доведённая до различающей способности, а не её замена: строки сохранены, совместимость не потеряна.
3.2. Гексада Паркера (+ владение/контроль, подлинность, полезность)
Самая известная попытка починить триаду — добавлением свойств, которых «не хватает». Диагноз Паркера верен, лечение — эмпирическая доклейка без порождающего правила: почему шесть, а не семь? Проверка матрицей показывает, что все три добавки выводятся как клетки и их комбинации: владение = утрата К-носителя и К-формы при сохранении К-смысла (украденный шифрованный ноутбук); подлинность = целостность смысла (зафиксированное происхождение и контекст); полезность = доступность смысла (форма цела, интерпретировать нечем). Гексада — сильное косвенное подтверждение матрицы: практик ещё в 1998 году эмпирически нащупал ровно те дыры триады, которые закрываются осью уровней. По критерию 4 гексада проигрывает: её элементы — заплатки, у матрицы они — следствия. Тот же вывод для «пяти столпов» (триада + аутентичность + неотказуемость): неотказуемость = целостность смысла с доказуемым авторством.
3.3. Куб МакКамбера (1991): триада × состояния × классы мер
Ближайший родственник и единственная популярная матричная альтернатива: триада × состояния информации (хранение, передача, обработка) × классы мер (технологии, политики, люди). Принципиальное отличие осей: состояния отвечают на вопрос «где сейчас находится форма», уровни — «что такое информация». Поэтому куб не решает ни одного спора из критерия 2 — шифровальщик одинаково неразрешим во всех трёх состояниях, аналоговая дыра не видна, потому что смысл как объект в кубе отсутствует. При этом ось состояний не конкурирует с уровнями, а дополняет их — на другом этаже методики: при декомпозиции каналов (SEC-FOUND-0002) состояния работают как часть базиса «представление × путь». Третья ось куба (классы мер) — вовсе не ось целей, а классификация исполнительных механизмов. Итог: куб — полезный инструмент, разложенный у нас по правильным слоям, а не система целей.
3.4. STRIDE
Шесть классов нарушений (подмена, фальсификация, отказ от авторства, раскрытие, отказ в обслуживании, повышение привилегий). Это не система целей, а таксономия нарушений для моделирования — слой декомпозиции, не слой целей: STRIDE сам определяется через нарушаемые свойства (S → аутентичность, T → целостность…). В методике ему отведено родное место — фиксированная таксономия из SEC-FOUND-0002 §2.3, прикладываемая к элементам модели. Выбирать между STRIDE и матрицей — категориальная ошибка: они стоят на разных этажах.
3.5. Риск-модели и «безопасность как управление рисками»
Риск-менеджмент отвечает на вопрос «что делать в первую очередь при ограниченных ресурсах», а не «что такое цель защиты». Он предполагает, что цели уже определены, — и потому не альтернатива матрице, а потребитель её результатов: приоритизировать можно клетки, каналы, меры. Известные слабости риск-подхода (неизвестные вероятности, качественные матрицы рисков с их методологическими дефектами) — предмет отдельного материала раздела «Критика практик».
Сводно по критериям
| Модель | Выводимость | Разрешающая способность | Порождающая сила | Минимальность | Совместимость |
|---|---|---|---|---|---|
| Триада | нет (конвенция) | нет | частично | да | да |
| Гексада Паркера | нет (эмпирические заплатки) | частично | частично | нет | частично |
| Куб МакКамбера | частично (состояния очевидны) | нет | да, но про «где», не про «что» | да | да |
| STRIDE | другой слой | другой слой | другой слой | — | — |
| Риск-модели | другой слой | другой слой | другой слой | — | — |
| Матрица 3×3 | столбцы — да; строки — конвенция, честно объявленная | да (шифровальщик, ключ, контекст, «владение») | да (каждая клетка — свои каналы и меры; SEC-TASK-0001 как первая проверка) | да (гексада и «столпы» выводятся) | да (строки = триада) |
4. Чего матрица не решает
Честные границы, чтобы матрицу не превращали в универсальный ответ:
- Не приоритизирует. Девять целей не ранжированы; «что первым при двух действиях в квартал» — работа маршрутов внедрения и риск-слоя.
- Не заменяет декомпозицию. Клетка даёт инвариант; полнота каналов достигается методом SEC-FOUND-0002, а не созерцанием клетки.
- Прагматика за бортом. Ценность информации и действия на её основе (третий уровень Морриса) отнесены к слою целей субъекта, не к уровням информации, — рабочая позиция, объявленная кандидатом на пересмотр в SEC-FOUND-0001 §7.
- Строки не доказаны. См. раздел 2: триада — конвенция уровня C. Матрица повышает её проверяемость, но не её доказанность.
5. Что опровергло бы этот выбор
- Цель защиты из реальной практики, не выразимая ни одной клеткой и ни одной их комбинацией.
- Клетка, ни в одной карте не породившая собственных каналов и мер (тест бесплодности — SEC-FOUND-0001 §7).
- Альтернативная система, разрешающая те же споры с меньшим числом элементов или с выводимыми строками.
6. Источники для разборов в Библиотеке
McCumber, «Information Systems Security: A Comprehensive Model» (1991) · Parker, «Fighting Computer Crime» (1998) · Kohnfelder, Garg, «The Threats to Our Products» (1999, STRIDE) · история триады: Anderson Report (1972), Bell–LaPadula (1973), Biba (1977), ISO/IEC 27000 (определения) · Weaver (1949), Morris (1938), Floridi (2010) — по столбцам см. SEC-FOUND-0001.
7. История пересмотров
| Версия | Дата | Изменения |
|---|---|---|
| 1.0 | 2026-06-10 | Первая публикация: критерии выбора, обоснование строк и столбцов, сравнение с триадой, гексадой, кубом МакКамбера, STRIDE и риск-моделями, границы применимости. |