Почему такая матрица: обоснование и сравнение с аналогами

Зачем этот документ. Матрица 3×3 — центральная конструкция методики, и по собственному правилу портала выбор модели обязан быть обоснован: какие альтернативы существуют, чем они хороши, где начинают искажать реальность и почему выбрана именно эта. Здесь матрица сравнивается с четырьмя главными аналогами — чистой триадой, гексадой Паркера, кубом МакКамбера и RMIAS — по явным критериям. Спойлер честности: матрица не «лучше» аналогов вообще — она лучше для конкретной работы, которую выполняет на портале: выводить инварианты, каналы и проверки. Для других работ (каталогизация мер, аудит) аналоги местами удобнее, и это написано прямо.

1. Критерии сравнения

Модель целей защиты на этом портале должна выполнять конкретную работу, отсюда пять критериев:

1. Различающая сила. Разные клетки модели должны порождать разные каналы нарушения и разные меры. Клетки, дающие одинаковые следствия, — лишние.
2. Разрешение споров практики. Модель обязана разрешать классические неразрешимые споры: шифровальщик (доступность или целостность?), потеря ключа («всё на месте — всё потеряно»), цитата вне контекста, украденный шифрованный ноутбук.
3. Выводимость классики. Хорошая структура не противоречит проверенным моделям, а порождает их как частные случаи.
4. Операционность. Каждая клетка должна превращаться в проверяемый инвариант — иначе модель не стыкуется с двухконтурной проверкой и методом декомпозиции (SEC-FOUND-0002).
5. Экономность. Минимум сущностей, выполняющих работу; всё лишнее — материал для путаницы.

2. Чистая триада: свойства без объекта

Конфиденциальность–целостность–доступность — общий язык отрасли, закреплённый в ISO/IEC 27000 и российской нормативной рамке. Триада отвечает на вопрос «какое свойство нарушено», но молчит о вопросе «свойство чего» — слово «информация» в ней склеивает носитель, форму и смысл (SEC-FOUND-0001). Отсюда два системных отказа. Первый: неразрешимые споры — шифровальщик нарушает целостность одного объекта (формы) и доступность другого (смысла), и пока объекты не различены, обе стороны спора правы и неправы одновременно. Второй: непривязываемость мер — «обеспечить конфиденциальность» не говорит, закрывает ли её TDE (нет, если противник — администратор) или маскирование на экране (да, для одного из каналов).

Вердикт: триада сохранена в матрице целиком — как ось свойств. Отвергнута не триада, а её использование без второй оси.

3. Гексада Паркера: правильные заплатки без порождающего механизма

Дональд Паркер расширил триаду тремя свойствами: владение/контроль (possession), аутентичность (authenticity), полезность (utility). Его мотивация — ровно те случаи, на которых триада ломается: украденный шифрованный ноутбук (конфиденциальность формально цела, но что-то явно утрачено), данные с потерянным ключом (доступны и бесполезны).

Сильная сторона гексады — эмпирическая честность: Паркер документировал реальные дыры триады. Слабая — свойства добавлены списком, без механизма, который объяснял бы, почему их шесть, а не пять или девять, и который порождал бы каналы. Матрица воспроизводит наблюдения Паркера выводом, а не постулатом: владение = утрата на уровнях носителя и формы без утраты на уровне смысла; полезность = доступность смысла; аутентичность = целостность смысла (происхождение и контекст). То, что независимо собранные заплатки практика разложились по клеткам без остатка, — одна из главных проверок матрицы (SEC-FOUND-0003 §4).

Вердикт: гексада — свидетель обвинения против чистой триады и тест для матрицы; как рабочая модель уступает из-за отсутствия порождающего механизма.

4. Куб МакКамбера: ближайший родственник с другой второй осью

Модель Джона МакКамбера (1991) — самый близкий структурный аналог: тоже матрица, 3×3×3 — свойства триады × состояния информации (хранение, передача, обработка) × классы мер (технология, политики и практики, люди). Это зрелая, проверенная временем конструкция, лежащая в основе учебных программ по ИБ.

Решающее различие — во второй оси. Состояния МакКамбера — операционные: где информация находится сейчас. Уровни Секьюритики — онтологические: что именно мы называем информацией. Состояния отвечают на вопрос «где защищать», уровни — «что защищать». Проверка критерием 2 показывает разницу: шифровальщик атакует данные «при хранении» — это верно и бесполезно, спор о доступности/целостности не разрешён; «нарушена целостность формы, утрачена доступность смысла» — спор закрыт и мера названа. Состояния не различают TDE и шифрование на стороне приложения (оба «защищают при хранении») — а это различие на миллионы рублей и один открытый канал.

При этом оси не конкурируют, а совместимы: состояние — естественное измерение внутри декомпозиции каналов (представление × состояние × путь доступа), и для инвентаризации представлений «где данные при передаче и обработке» — обязательный вопрос. Третья ось МакКамбера (классы мер) у Секьюритики тоже есть — но не в модели целей, а в картах мер, где ей место.

Вердикт: лучшая из альтернатив для каталогизации и аудита покрытия; для вывода инвариантов и разрешения споров уступает, потому что её вторая ось различает положение объекта, а не сам объект. Используется внутри метода декомпозиции, не вместо матрицы.

5. RMIAS и «пять столпов»: подтверждение направления

RMIAS (Cherdantseva, Hilton, 2013) — академический синтез: цели безопасности × таксономия информации × меры × жизненный цикл. Показателен её второй блок: таксономия информации включает форму (бумажная, электронная, вербальная!), состояние, местоположение, чувствительность. То, что независимый обзор десятков моделей пришёл к необходимости различать формы существования информации — вплоть до вербальной, то есть смысла в человеке, — подтверждает направление. Отличие: таксономия RMIAS дескриптивна (категории носителей и обстоятельств), а не онтологична (уровни «носитель–форма–смысл»), поэтому она классифицирует, но не порождает инварианты.

«Пять столпов» (триада + аутентичность + неотказуемость) — расширение из военных доктрин ИБ. Обе добавки выводимы: аутентичность — целостность смысла (происхождение), неотказуемость — её юридическая проекция (доказуемость происхождения третьей стороне). Самостоятельных строк не требуют.

Вердикт: оба подхода — независимые свидетельства, что чистой триады недостаточно и что недостаёт именно измерения «что есть информация». Матрица делает тот же ход, но онтологически и с порождающим механизмом.

6. Совместимость с российской нормативной рамкой

Матрица не конфликтует с обязательным языком. Триада — её строки, поэтому любые требования, сформулированные в свойствах, переводятся без потерь. ГОСТ Р 50922 различает защищаемую информацию и её носители (включая физических лиц) — это прямое признание как минимум двух уровней. Семантическое определение ПДн в 152-ФЗ («любая информация, относящаяся к лицу») против формного уровня технических мер подзаконных актов — коллизия, которую матрица не создаёт, а впервые позволяет корректно сформулировать (SEC-FOUND-0001 §5.5).

7. Сводная таблица

8. Чем матрица не является и что её опровергло бы

Матрица — модель целей, не модель угроз (таксономии нарушений вроде STRIDE живут в методе декомпозиции как решётка, SEC-FOUND-0002 §2.3) и не каталог мер (ось МакКамбера «технология–политики–люди» живёт в картах мер). Условия опровержения самой структуры уровней сформулированы в SEC-FOUND-0001 §7 и SEC-FOUND-0003 §6: цель, не раскладываемая по клеткам; клетка, не породившая собственных каналов ни в одной карте; систематическая путаница пользователей при определении уровня. Появление модели, которая разрешает те же споры меньшим числом сущностей, — прямое основание для пересмотра этого документа.

9. История пересмотров