Лекции по информационной безопасности.

представить защищаемую ИС и сами защитные средства. В частности, контейнер может определять границы контролируемой

зоны (задавать так называемый "периметр безопасности").

На этом мы завершаем описание основных понятий объектно-ориентированного подхода. Применение объектно-ориентированного подхода к рассмотрению защищаемых систем

Применение объектно-ориентированного подхода к рассмотрению защищаемых систем

Попытаемся применить объектно-ориентированный подход к вопросам информационной безопасности.

Проблема обеспечения информационной безопасности - комплексная, защищать приходится сложные системы, и сами защитные средства тоже сложны, поэтому нам понадобятся все введенные понятия. Начнем с понятия грани.

Фактически три грани уже были введены: это доступность, целостность и конфиденциальность. Их можно рассматривать относительно независимо, и считается, что если все они обеспечены, то обеспечена и ИБ в целом (то есть субъектам информационных отношений не будет нанесен неприемлемый ущерб).

Таким образом, мы структурировали нашу цель. Теперь нужно структурировать средства ее достижения. Введем следующие грани:

·         законодательные меры обеспечения информационной безопасности;

·         административные меры (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);

·         процедурные меры (меры безопасности, ориентированные на людей);

·         программно-технические меры.

В дальнейшей части курса мы поясним подробнее, что понимается под каждой из выделенных граней. Здесь же отметим, что, в принципе, их можно рассматривать и как результат варьирования уровня детализации (по этой причине мы будем употреблять словосочетания "законодательный

уровень", "процедурный уровень" и т.п.). Законы и нормативные акты ориентированы на всех субъектов информационных отношений независимо от их организационной принадлежности (это могут быть как юридические, так и физические лица) в пределах страны (международные конвенции имеют даже более широкую область действия), административные меры - на всех субъектов в пределах организации, процедурные - на отдельных людей (или небольшие категории субъектов), программно-технические - на оборудование и программное обеспечение. При такой трактовке в переходе с уровня на уровень можно усмотреть применение наследования (каждый следующий уровень не отменяет, а дополняет предыдущий), а также полиморфизма (субъекты выступают сразу в нескольких ипостасях - например, как инициаторы административных мер и как обычные пользователи, обязанные этим мерам подчиняться).

Очевидно, для всех выделенных, относительно независимых граней действует принцип инкапсуляции (это и значит, что грани "относительно

независимы"). Более того, эти две совокупности граней можно назвать ортогональными, поскольку для фиксированной