3. Унифицированная концепция защиты информации.

За последние более чем 30 лет накоплен большой опыт внедрения вычислительной техники в различные сферы общественной деятельности, причем вычислительная техника уже используется для автоматического и автоматизированного решения задач различных классов: сложных логико-аналитических, информационных, оптимизационных в системах розничного назначения. В ходе всех этих процессов разработаны принципы и методы так называемого системно-концептуального подхода к решению сложных проблем. Основная суть этого подхода сводится к тому, что при изучении и описании проблемы учитываются во взаимной связи все сколько-нибудь значимые элементы, факторы и параметры (системность подхода), а для достижения поставленных целей не просто ищется решение, оптимальное (строго или приближенно) для каких-то конкретных условий, а разрабатывается полная и непротиворечивая совокупность методов, правил и приемов (концепция), позволяющих сравнительно легко генерировать необходимые решения в любых потенциально возможных условиях (концептуальность подхода).

Последовательное применение принципов и методов системно-концептуального подхода к решению целого ряда сложных проблем, в том числе и проблем защиты информации в АСОД, полностью подтвердили высокую их плодотворность. Именно в рамках этого подхода была выработана приведенная в унифицированная концепция защиты информации.

Примечательно то, что успехи в разработке названных концепций были обусловлены прежде всего преодолением стереотипов созданных формальной теорией систем. Это обстоятельство и послужило важнейшим побудительным стимулом к формированию основ неформальной теории систем, основными составными частями которой являются следующие:

1) принципы и методы структурирования как расширение методологии формализации представления структуры и процессов функционирования больших систем;

2) неформальные методы оценивания объектов, процессов, явлений и атрибутов;

3) неформальные методы поиска оптимальных решений.

Лекция 6. Постановка задачи определения требований к защите информации.

План лекции.

1. Математическое определение требований к защите информации.

2. Рекомендации по предъявлению требований к защите информации.

3. Методики определения требований к защите информации.

1. Математическое определение требований к защите информации.

В самом общем виде и на чисто практическом уровне требования к защите могут быть определены как предотвращение угроз информации, по крайней мере тех из них, проявление которых может привести к суще­ственно значимым последствиям. Но поскольку за­щита информации есть случайный процесс (показатели уязвимости носят вероятностный характер), то и требования к защите должны выражаться терминами и понятиями теории вероятностей.

По аналогии с требованиями к надежности технических систем, обоснованным в классической теории систем, требования к защите могут быть сформулированы в виде условия:

где Р₃ - вероятность защищенности информации, а - требуемый уровень защищенности. С требованиями, выраженными в таком виде, можно оперировать с использованием методов классической теории систем при решении задач защиты всех классов: анализа, синтеза и управления.

Однако известно, что решение проблем защиты информации сопряжено с исследованиями и разработкой таких систем и процессов, в которых и конкретные методы, и общая идеология классической теории систем могут быть применены лишь с большими оговорками. Для повышения степени адекватности применяемых моделей реальным процессам необходим перевод от концепции создания инструментальных средств получения необходимых ре­шений на инженерной основе к концепции создания методологического базиса и инструментальных средств для динамического оптимального управления соответствующими процессами.

С учетом данного подхода в самом общем виде и на содержатель­ном уровне требования к защите информации необходимо формировать с учетом специфики решаемых задач.