The conceptual scheme of information security in the object protection model

Предлагается концептуальная схема процесса обеспечения информационной безопасности (ОИБ), которая охватывает большинство существующих систем ОИБ. Выделено семь сущностей (компонентов), определяющих процесс ОИБ в типовом объекте защиты: требования по обеспечению информационной безопасности; защищаемая информация; угрозы защищаемой информации; средства и механизмы противодействия угрозам; информационная система, в которой обрабатывается защищаемая информация; условия, способствующие или препятствующие процессу ОИБ; объект защиты. Приведена диаграмма, отображающая взаимосвязи перечисленных сущностей. Раскрыто содержание сущностей «требования…», «информационная система…», «условия…», «объект защиты». Для сущностей «информационная система…», «условия…», «объект защиты» раскрыты механизмы их влияния на процесс ОИБ. Для сущности «требования…» выделено семь классов требований по ОИБ и приведены основные законодательные и нормативные документы, определяющие их содержание. Описаны возможные подходы к измерению и оценке степени выполнения требований. Отмечается, что число элементов во множестве элементарных требований очень велико, поэтому вместо списка множества элементарных требований обычно формируется небольшой набор показателей, называемых обобщенными, которые в целом отражают тенденции по ОИБ в системе. Выделены три группы наиболее значимых обобщенных показателей (вероятностные, временные показатели, показатели издержек). Системы ОИБ, ориентированные на эти показатели, позволяют реализовать более гибкую технологию ОИБ, при которой, в частности, случаи нарушения информационной безопасности, не повлекшие существенного ущерба, могут даже игнорироваться, а основное внимание системы ОИБ будет сосредоточено на предотвращении наиболее опасных попыток нарушения информационной безопасности, которые могут привести к большому ущербу.