Принципы и матрица целей: чем удерживается каждая клетка
Зачем этот документ. SEC-FOUND-0001 дал девять целей защиты (триада × три уровня информации). Методика определяет принцип как конститутивный инвариант: поддержание инварианта и есть достижение цели. Пока эти два слоя не связаны, принципы висят в воздухе, а клетки матрицы остаются описаниями без инвариантов. Этот документ заполняет матрицу принципами — и обнаруживает, что девять клеток порождаются всего тремя мета-принципами, по одному на строку триады, плюс отдельным семейством принципов-редукторов. Заодно классические модели Белла-ЛаПадулы и Бибы перестают быть выученными фактами и становятся выводимыми следствиями.
1. Глаголы уровней
У каждого уровня информации — свой характерный способ существования и, соответственно, свой глагол нарушения:
- Носитель — перемещается и деградирует. Его нельзя скопировать (копируется форма на нём); его можно унести, подменить, разрушить.
- Форма — копируется и перезаписывается. Конфигурация состояний воспроизводима на другом носителе и изменяема на этом.
- Смысл — интерпретируется и выводится. Он извлекается интерпретатором из формы — в том числе из форм, которые никто не считал секретными (инференция, агрегация).
Глагол уровня наследуется всем, что строится на этом уровне: каналами (SEC-FOUND-0002) и принципами (ниже). Канал конфиденциальности носителя — про унос; формы — про копирование; смысла — про вывод. Это объясняет, почему меры одного уровня структурно не достают до инварианта другого: они контролируют не тот глагол.
2. Три мета-принципа — по одному на строку триады
2.1. Конфиденциальность = запрет потока вниз
Мета-инвариант: объект защиты не переходит из контролируемого контекста в менее контролируемый. Это обобщённое «не писать вниз» — *-свойство Белла-ЛаПадулы, поднятое со уровня формы до мета-принципа строки. Инстанцирование по глаголам:
| Уровень | Принцип-инстанс | Инвариант |
|---|---|---|
| Носитель | Локализация | Носитель не покидает множества контролируемых зон (учёт, физический периметр, контроль выноса) |
| Форма | Неразмножение («не копировать вниз») | Копии конфигурации существуют только в учтённом множестве; форма не воспроизводится вне его — включая побочные представления: трафик, излучения, остаточные данные |
| Смысл | Контроль потоков и интерпретаторов («не писать вниз») | Смысл не покидает уполномоченные контексты; связь «форма → смысл» для копий вне контура разорвана и удерживается владельцем интерпретатора |
2.2. Целостность = санкционированное происхождение изменений
Мета-инвариант: всякое изменение объекта защиты имеет санкционированный источник и проверяемое происхождение (провенанс). Инстанцирование:
| Уровень | Принцип-инстанс | Инвариант |
|---|---|---|
| Носитель | Непрерывность владения (chain of custody) | Физическое состояние носителя меняется только в санкционированных процессах; цепочка поставок и хранения непрерывна и проверяема |
| Форма | Санкционированная запись («не писать вверх») | Конфигурация изменяется только субъектами и процессами не ниже требуемого уровня доверия — это модель Бибы; механизмы: подписи, контроль путей записи, WORM |
| Смысл | Неотделимость контекста | Интерпретатор (контекст, схема, происхождение) фиксирован и путешествует вместе с формой; изменение смысла возможно только через санкционированные транзакции — линия Кларка-Уилсона |
Дуальность Белла-ЛаПадулы и Бибы, которую в курсах ИБ заучивают как исторический факт («одна модель запрещает писать вниз, другая — вверх»), здесь выводится: это один и тот же приём — контроль направления потока, — применённый к двум разным мета-инвариантам на одном уровне (форма). Когда классика выпадает из структуры как следствие, это сильный довод в пользу структуры.
2.3. Доступность = избыточность с независимостью отказов
Мета-инвариант: для каждого элемента, от которого зависит извлечение смысла, существует резерв, не разделяющий с основным элементом общих причин отказа. Вторая половина формулы — несущая: избыточность без независимости — иллюзия (теория надёжности, отказы по общей причине). Инстанцирование:
| Уровень | Принцип-инстанс | Инвариант |
|---|---|---|
| Носитель | Дублирование инфраструктуры | Оборудование, питание, каналы связи резервированы вне общих точек отказа (площадка, провайдер, стойка) |
| Форма | Независимые копии | Копии конфигурации существуют вне общей причины уничтожения; шифровальщик — общая причина для всех онлайн-копий, поэтому инвариант требует офлайн/immutable-копию — отсюда, а не из фольклора, выводится правило «3-2-1» |
| Смысл | Резервирование интерпретаторов | Ключи депонированы; форматы открыты или существует процесс миграции; критичные знания не заперты в одной голове (bus factor) и не в одном вендоре (lock-in — отказ интерпретатора по коммерческой причине) |
3. Вторая ось: принципы-редукторы
Минимальные привилегии не встают ни в одну клетку — и это не дефект, а открытие второй оси. Каждый мета-инвариант определён на множествах: субъекты S, интерфейсы I, представления, интерпретаторы, зависимости. Принципы-редукторы не конституируют цель — они сжимают множества, на которых конститутивные инварианты приходится удерживать:
- Минимальные привилегии — сжатие S: доступное равно необходимому.
- Минимизация данных — сжатие множества представлений: чего нет, то не утечёт (закон сохранения из SEC-FOUND-0002 §2.2 превращает этот принцип в прямое уменьшение базиса каналов).
- Минимизация интерфейсов (сокращение поверхности) — сжатие I.
- Минимизация интерпретаторов — меньше систем, людей и ключей, способных извлекать смысл.
- Минимизация зависимостей — сжатие графа, на котором удерживается доступность.
Общая формула оси: поддерживать инвариант дешевле и надёжнее на меньшем множестве. Редукторы измеримы (размер множества — число), их эффект на полноту проверки прямой: меньше базис — меньше каналов — короче карта. Конфликтуют редукторы с закономерностями среды (минимизация интерфейсов против удобства → обходные пути), и разрешение конфликта — работа алгоритмов решений, не принципов.
Тест на классификацию любого принципа-кандидата: если его инвариант равен достижению цели — он конститутивный (ищи его клетку); если он уменьшает множество в чужом инварианте — редуктор; если ни то ни другое — это закономерность среды или лозунг.
4. Матрица как генератор карт
Связка слоёв замыкает методику в конвейер:
клетка матрицы → принцип-инстанс → инвариант → отрицание инварианта → каналы (SEC-FOUND-0002) → меры с уровнем действия → двухконтурная проверка по инварианту.
Микропример для недооценённой клетки Д-смысл (доступность смысла). Принцип: резервирование интерпретаторов. Инвариант: «для каждой формы в контуре существует ≥2 независимых работоспособных интерпретатора». Отрицание (полное по построению): интерпретатор один и утрачен (потерян ключ) · интерпретаторы есть, но разделяют общую причину отказа (все ключи в одном KMS; весь смысл — в одном уволившемся инженере) · форма пережила интерпретатор (мёртвый формат). Каналы выведены, не угаданы; меры очевидно адресны: депонирование ключей, документация, миграция форматов, управление знаниями. Организация с идеальными бэкапами (Д-форма) и пустой клеткой Д-смысл — типовой, теперь диагностируемый дефект.
Проверка на классике: шифровальщик = нарушение инварианта Ц-формы (несанкционированная запись), каскадирующее в Д-смысл; страховка — инвариант Д-формы с независимостью от общей причины (офлайн-копия). Украденный шифрованный ноутбук = нарушены локализация (К-носитель) и неразмножение (К-форма), удержан контроль интерпретаторов (К-смысл) — «владение» из гексады Паркера выводится как первые две клетки без третьей.
5. Правило для карт целей
Карта цели защиты обязана указывать клетку (или клетки) матрицы и принцип-инстанс, чей инвариант она удерживает. Cоставные цели разлагаются по клеткам явно: «защитить клиентскую базу» = К-смысл (несущая клетка, SEC-TASK-0001) + Ц-форма + Д-форма + Д-смысл — и у каждой клетки свои каналы и своя проверка. Цель, не раскладываемая по клеткам, не сформулирована.
6. Что опровергло бы документ
- Обнаружение цели защиты, не выразимой ни одной клеткой и ни одной их комбинацией, — сигнал о недостающей строке (свойстве) или уровне.
- Принцип с очевидной практической ценностью, не являющийся ни конститутивным, ни редуктором, ни закономерностью среды, — дефект классификации раздела 3.
- Клетка, чей принцип-инстанс ни в одной реальной карте не породил отличающихся каналов и мер, — кандидат на слияние клеток (тест бесплодности из SEC-FOUND-0001 §7).
7. Источники для разборов в Библиотеке
Полный список с выходными данными — в разделе «Источники» в конце документа. Разборы этих работ стоят в очереди Библиотеки: на русском языке их систематических разборов не существует.
8. История пересмотров
| Версия | Дата | Изменения |
|---|---|---|
| 1.0 | 2026-06-10 | Первая публикация: глаголы уровней, три мета-принципа по строкам триады с инстанцированием 3×3, ось принципов-редукторов, конвейер «клетка → каналы → меры → проверка», правило разложения целей по клеткам. Цикл пересмотра 24 месяца. |
Источники
- Bell D., LaPadula L. Secure Computer Systems: Mathematical Foundations. MITRE, 1973–1976
- Biba K. Integrity Considerations for Secure Computer Systems. MITRE, 1977
- Clark D., Wilson D. A Comparison of Commercial and Military Computer Security Policies. IEEE S&P, 1987
- Saltzer J., Schroeder M. The Protection of Information in Computer Systems. 1975
- NUREG/CR-4780. Procedures for Treating Common Cause Failures. 1988–1989
- Parker D. Fighting Computer Crime. Wiley, 1998