Вопрос 35.1. Постановка задачи определения требований к защите информации

В самом общем виде и на чисто прагматическом уровне требования к защите могут быть определены как предотвращение угроз информации, по крайней мере тех из них, проявление которых может привести к суще­ственно значимым последствиям. Но поскольку, как показано в гл. 3, за­щита информации есть случайный процесс (показатели уязвимости носят вероятностный характер), то и требования к защите должны выражаться терминами и понятиями теории вероятностей.

По аналогии с требованиями к надежности технических систем, обоснованными в классической теории систем, требования к защите мо­гут быть сформулированы в виде условия: , где Р₃ - вероятность защищенности информации, а требуемый уро­вень защищенности. С требованиями, выраженными в таком виде, можно оперировать с использованием методов классической теории систем при решении задач защиты всех классов: анализа, синтеза и управления.

Однако в предыдущих главах уже неоднократно отмечалось, что решение проблем защиты информации сопряжено с исследованиями и разработкой таких систем и процессов, в которых и конкретные методы, и общая идеология классической теории систем могут быть применены лишь с большими оговорками. Для повышения степени адекватности применяемых моделей реальным процессам необходим переход от кон­цепции создания инструментальных средств получения необходимых ре­шений на инженерной основе к концепции создания методологического базиса и инструментальных средств для динамического оптимального управления соответствующими процессами.

С учетом данного подхода в самом общем виде и на содержатель­ном уровне требования к защите информации могут быть сформулирова­ны в следующем виде.

Конкретные требования к защите, обусловленные спецификой ав­томатизированной обработки информации, определяются совокупностью следующих факторов: характером обрабатываемой информации; объемам обрабатываемой информации; продолжительностью пребывания информа­ции в АСОД; структурой АСОД; видом защищаемой информации; техно­логией обработки информации; организацией информационно-вычислительного процесса в АСОД; этапом жизненного цикла А СОД.