Секьюритика

Секьюритика — эффективная безопасность

Идея проекта. Версия 2.0 — после введения слоя принципов как конститутивных инвариантов.

Проблема

Безопасность в индустрии построена от каталога: стандарты, приказы и вендоры предлагают перечни мер, а вопрос «зачем» пристёгивается задним числом. Цели формулируются как лозунги («защитить конфиденциальность»), которые невозможно ни проверить, ни опровергнуть. Принципы считаются «водой» — словами для предисловий. Эффективность мер принимается на веру или на маркетинг. Результат закономерен: меры ради мер — бюджет потрачен, аудит пройден, утечка идёт через канал, который никто не рассматривал, и никто не может сказать, достигнута ли цель, потому что цель не была определена.

Замысел

Секьюритика строит безопасность в обратном порядке — как контур управления, а не как каталог:

Цель защиты → Принципы → Закономерности среды → Алгоритмы решений → Меры → Проверка по цели.

Цель защиты — то, что должно оставаться под контролем субъекта, чтобы его значимая деятельность продолжалась. Не «недопустимое событие», не свойство из триады, а позитивно сформулированный предмет контроля: «содержимое клиентской базы читают только эти роли и только через эти интерфейсы».

Принцип — конкретный инструмент достижения стратегической цели: проверяемый инвариант, поддержание которого и есть достижение цели в рамках заявленной модели. «Не писать вниз» не помогает конфиденциальности — отсутствие потоков данных из защищённого контекста в менее защищённый и есть конфиденциальность, выраженная так, что нарушение можно указать пальцем. Избыточность с независимостью отказов и есть доступность и целостность. Минимальные привилегии («доступное равно необходимому») и есть ограничение масштаба компрометации. Принцип переводит цель из лозунга в инвариант — и тем самым перестаёт быть «водой»: это самый недооценённый слой в ИБ, и его реабилитация — одно из ключевых отличий проекта. У каждого принципа объявлена его модель; там, где инвариант соблюдён, а цель не достигнута, найдена граница модели — и это фиксируется честно (фото экрана не нарушает «не писать вниз»: аналоговый канал лежит вне модели потоков).

Закономерности среды — эмпирические факты о поведении людей и противников, с которыми любая защита обязана считаться: неудобный легитимный канал проигрывает удобному обходному; опубликованная мера меняет поведение атакующего; издержки соблюдения несёт пользователь, а выгоду — организация. Это не принципы и не пожелания — это ограничения, как инерция помещения для терморегулятора, и у каждой закономерности есть уровень доказанности.

Алгоритмы принятия решений — законы управления: как удерживать инвариант принципа в реальной среде с её закономерностями и в реальном контексте с его ресурсами. Жанровый образец — клинические рекомендации: явные развилки, уровень доказательности на каждой ветке, честные выходы «за границей применимости». Алгоритм отвечает практику на вопрос, с которым тот пришёл: «что выбрать и что делать первым».

Меры — исполнительные механизмы. У каждой — карта: проверяемое утверждение об эффективности, доказательная база по шкале A–D (от контролируемых полевых исследований до заявлений вендоров), границы применимости, известные обходы, условие опровержения и срок годности. Мера не существует сама по себе — она держит конкретный канал в конкретной цели защиты.

Проверка — двухконтурная обратная связь по инварианту. Инвариант — утверждение обо всех путях, включая неизвестные, поэтому напрямую он не наблюдаем: наблюдаемы только попытки его нарушить и состоявшиеся нарушения. Отсюда два контура. Упреждающий: попытки нарушения через каждый канал модели — единица проверки не «механизм присутствует», а «нарушение через этот канал не удалось» (красная команда против базы, а не аудит наличия PAM). Его метрика — «сколько каналов закрыто фактически» — суррогатная: её достоверность равна полноте модели каналов. Результирующий: обнаружение состоявшихся нарушений независимо от модели — канарейки в данных, watermarking выгрузок, мониторинг внешних площадок. Его метрика конечная: «нарушений инварианта не обнаружено» (с оговоркой о чувствительности обнаружения). Руководителю нужны обе; нарушение, пойманное вторым контуром при «всех закрытых каналах» первого, — не парадокс, а команда на пересмотр модели. Подмена конечной метрики суррогатной — та же болезнь «наличия мер», этажом выше.

Проверяемая полнота вместо тревоги «всё ли учли»

Перечень угроз не замыкается — полнота существует только относительно модели, и Секьюритика делает её проверяемой: разбиения, полные по построению (отрицание инварианта, логические трихотомии), базисы на законах сохранения (утечь может только существующее представление данных), фиксированные таксономии, применяемые механически, анализ структуры управления (STPA-Sec). Неполнота самой модели страхуется структурно: обязательный «остаточный канал — неизвестный», закрываемый канало-независимым обнаружением, и правило фальсификации — каждый инцидент либо чинит меру, либо чинит модель.

Продукты портала

  1. Карты целей защиты — вход для руководителя: цель → принцип-инвариант → каналы → структура мер (несущие, предпосылки, компенсирующие) → условия целостности → проверка по цели. Плюс шаблон одностраничного отчёта руководству.
  2. Карты принципов — инвариант, модель и её границы, цели, которые принцип операционализирует, режимы отказа, происхождение и доказательная база.
  3. Карты закономерностей — эмпирика среды с уровнями доказанности и следствиями для проектирования защиты.
  4. Алгоритмы решений — решающие процедуры для типовых выборов практика, с доказательностью на ветках.
  5. Карты мер — справочный слой: утверждение, доказательства A–D, обходы, фальсифицируемость, история пересмотров.
  6. Маршруты внедрения — последовательности первых шагов по уровню ресурсов («один айтишник без бюджета» / «бюджет есть, ИБ-штата нет» / «есть ИБ-функция») и отраслевые профили карт целей (медицина, банки, …) — перевод каналов на язык отрасли.
  7. Фундамент — разборы первоисточников, отсутствующих на русском (Saltzer–Schroeder, Белла-ЛаПадула, HRU, Adams & Sasse, Herley, STAMP/STPA-Sec), сравнение моделей безопасности, критика практик — включая расхождения доказательной базы с нормативными требованиями.

Обязательства проекта

Где данных нет — написано «данных нет». Где мера не работает — написано «не работает». Где модель неполна — указано, что страхует неполноту. Каждое утверждение имеет уровень доказанности, условие опровержения и срок годности; история пересмотров публична. Секьюритика — не энциклопедия, не библиотека, не каталог решений и не комплаенс-конструктор.

Формула

Секьюритика — эффективная безопасность: от цели защиты через принципы-инварианты к алгоритмам решений и мерам с доказанной — или честно непроверенной — эффективностью.

Короткая версия для первого экрана:

Безопасность как контур управления: что сохраняем, какой инвариант это выражает, чем его удерживаем, как проверяем, что удержали.