Системний підхід у створенні механізмів захисту інформаційних систем
Поняття системності полягає не просто в створенні відповідних механізмів захисту, а являє собою регулярний процес, що здійснюється на всіх етапах життєвого циклу ІС. При цьому всі засоби, методи і заходи, які використовуються для захисту інформації поєднуються в цілісний механізм - систему захисту.
Вже в перших роботах по захисту інформації були викладені основні постулати, що не втратили своєї актуальності і сьогодні: абсолютний захист створити не можна; система захисту інформації повинний бути комплексною; СЗІ повинна бути такою, що адаптується до умов, які постійно змінюються.
До цих аксіом потрібно додати й інші. По-перше, СЗІ повинна бути саме системою, а не простим, багато в чому випадковим і хаотичним набором деяких технічних засобів і організаційних заходів, як це найчастіше спостерігається на практиці. По-друге, системний підхід до захисту інформації повинен застосовуватися, починаючи з підготовки технічного завдання і закінчуючи оцінкою ефективності і якості СЗІ в процесі її експлуатації.
На жаль, необхідність системного підходу до питань забезпечення безпеки інформаційних технологій поки ще не знаходить належного розуміння в користувачів сучасних ІС.
Сьогодні фахівці із різних областей знань, так чи інакше, змушені займатися питаннями забезпечення інформаційної безпеки. Це обумовлено тим, що в найближчі років сто нам доведеться жити в суспільстві (середовищі) інформаційних технологій, куди перекочують усі соціальні проблеми людства, у тому числі і питання безпеки...
Якщо зібрати усіх фахівців разом, то при наявності в кожного з них величезного досвіду і знань, створити СИСТЕМУ інформаційної безпеки найчастіше так і не вдається. Розмовляючи про ті ж самі речі, фахівці найчастіше не розуміють один одного, оскільки в кожного з них свій підхід, своя модель представлення системи захисту інформації. Такий стан справ зумовлений відсутністю системного підходу, що створив би взаємні зв'язки (відносини) між існуючими поняттями, визначеннями, принципами, способами і механізмами захисту…
Постановка задачі моделювання процесів створення систем захисту інформації
Одинадцять окремо узятих футболістів (навіть дуже гарних) не складають команду доти, поки на основі заданих цілей не буде відпрацьована взаємодія кожного з кожним. Аналогічно СЗІ лише тоді стане СИСТЕМОЮ, коли будуть установлені логічні зв'язки між усіма її складовими.
Як же організувати таку взаємодію? У футболі команди проводять регулярні тренування, визначаючи роль, місце і задачі кожного гравця, а якість ефективності команд оцінюється по грі в матчах, результати яких заносяться в турнірну таблицю. Таким чином, після проведення всіх зустрічей команд (кожної з кожною), можна зробити висновок про рівень майстерності як команди в цілому, так і окремих її гравців. Перемагає той, у кого найбільше чітко організоване взаємодія...
Виражаючи термінами сучасного бізнесу, для вирішення питань взаємодії потрібно перейти від "чисто" технічного на "конкретно" логічний рівень представлення процесів створення і функціонування СИСТЕМ захисту інформації
У "науковій постановці" завдання автора полягає в наданні користувачам допоміжного інструменту "ялинки" - (моделі СЗІ), а задача читача (користувача) - прикрасити цю "ялинку" новорічними іграшками - (своїми знаннями і розв’язками). Навіть якщо "іграшок" поки ще немає, наявність "ялинки" допоможе вибрати і придбати потрібні "прикраси". Кінцевий результат роботи (ступінь краси ялинки) залежить від ваших бажань, здібностей і можливостей. У когось вийде добре, у когось - не зовсім... Але це природний процес розвитку, придбання знань і досвіду.
До речі, оцінити красу ялинки (ефективність системи захисту) дуже проблематично, оскільки в кожного з нас свої вимоги і смаки, про які, як відомо, не сперечаються, особливо з керівництвом.
Таким чином, різноманіття варіантів побудови інформаційних систем породжує необхідність створення різних систем захисту, що враховують індивідуальні особливості кожної з них. У той же час, великий обсяг наявних публікацій навряд чи може сформувати чітке представлення про те, як же приступити до створення системи захисту інформації для конкретної інформаційної системи, з обліком властивих їй особливостей і умов функціонування. Як сказав класик гумору: "...многовид ваших питань породжує многовид наших відповідей..."
Виникає питання: чи можна сформувати такий підхід до створення систем захисту інформації, що об'єднав би в щось єдине зусилля, знання і досвід різних фахівців? При цьому бажано, щоб зазначений підхід був універсальним, простим, зрозумілим і дозволяв би в однаковій степені задовольнити будь-які смаки (вимоги) гурманів інформаційної безпеки?