- •Проблемы обеспечения информационной безопасности
- •1.1. Определение и место проблем информационной безопасности в общей совокупности информационных проблем современного общества
- •1.2. Ретроспективный анализ развития подходов к защите информации
- •1.3. Современная постановка задачи защиты информации
- •1.4. Сущность, необходимость, пути и условия перехода к интенсивным способам защиты информации
- •Глава вторая основы теории защиты информации
- •2.1. Особенности и состав научно-методологического базиса решения задач защиты информации
- •2.2. Общеметодологические принципы формирования теории защиты информации
- •2.3. Методологический базис теории защиты информации
- •2.4. Принципы автоформализации профессиональных знаний эксперта-аналитика
- •2.5. Моделирование процессов защиты информации
- •2.6. Основное содержание теории защиты информации
- •Угрозы и оценка уязвимости информации
- •3.1. Понятие угрозы безопасности информации. Ретроспективный анализ подходов к формированию множества угроз
- •3.2. Системная классификация угроз безопасности информации
- •3.3. Методы оценки уязвимости информации
- •3.4. Методы оценки достоверности информационной базы моделей прогнозирования значений показателей уязвимости
- •3.5. Модели оценки ущерба от реализации угроз безопасности информации
- •4.1. Постановка задачи и анализ существующих методик определения требований к защите информации
- •4.3. Определение весов вариантов потенциально возможных условий защиты информации
- •4.4. Методы деления поля значений факторов на типовые классы
- •5.1. Определение, типизация и стандартизация систем защиты информации
- •5.2. Система защиты информации как многокритериальный развивающийся объект
- •6.1. Основные выводы из истории развития теории и практики защиты информации
- •6.2. Перспективы развития теории и практики защиты информации
- •6.3. Проблемы создания и организации работы центров защиты информации
- •6.4. Подготовка кадров в области обеспечения информационной безопасности
- •Государственный образовательный стандарт высшего профессионального образования
- •075400 - Комплексная защита объектов информатизации
- •4. Требования к обязательному минимуму содержания основной образовательной программы подготовки специалиста по защите информации по специальности 075400 - комплексная защита объектов информатизации
- •5. Сроки освоения основной образовательной программы выпускника по специальности 075400 -
- •6. Требования к разработке и условиям реализации основной образовательной программы выпускника по специальности 075400 - комплексная защита объектов информатизации
- •7. Требования к уровню подготовки выпускника по специальности 075400 - комплексная защита объектов информатизации
- •Самойленко си., Давыдов д.А., Золотарев в.В., Третьякова
2.2. Общеметодологические принципы формирования теории защиты информации
Всю совокупность общеметодологических принципов удобно разделить на две группы: общетеоретические и теоретико-прикладные.
Основные принципы общетеоретического характера могут быть сформулированы следующим образом.
Четкая целевая направленность исследований и разработок, причем цели должны быть сформулированы настолько конкретно, чтобы на любом этапе работ можно было предметно оценить степень их достижения. Применительно к теории защиты информации целевой установкой может являться приведенный в предыдущем параграфе перечень составляющих ее компонентов.
Неукоснительное следование главной задаче науки, которая заключается в том, чтобы видимое, лишь выступающее в явлении движение свести к действительному внутреннему движению, которое, как правило, скрыто. Названный принцип ориентирует на поиск научно обоснованных решений изучаемой проблемы, которые в общем случае существенно эффективнее эмпирических. Для рассматриваемых в книге проблем перехода к интенсивным способам защиты информации данное обстоятельство особенно важно, поскольку до настоящего времени пока превалируют эмпирические подходы к их решению.
Упреждающая разработка общих концепций, на базе которых могли бы решаться все частные вопросы. Нетрудно видеть, что данный принцип является дальнейшим развитием предыдущего, его требования заключаются в том, чтобы все получаемые научно обоснованные решения образовывали единую систему. Применительно к защите информации и ее интенсификации такая концепция будет рассмотрена ниже.
Формирование концепций на основе реальных фактов, а не абстрактных умозаключений. Сущность этого принципа очевидна, следуя ему, выше были приведены результаты ретроспективного анализа фактографических данных о развитии подходов к защите информации.
Учет всех существенно значимых связей, относящихся к изучаемой проблеме. Практическая очевидность данного принципа в дополнительной аргументации не нуждается и дает достаточно оснований рассматривать его в качестве одного из основных принципов общетеоретического характера.
Строгий учет диалектики взаимосвязей количественных и качественных изменений. Для рассматриваемых здесь проблем перехода от экстенсивных к интенсивным способам защиты информации данный принцип имеет прямое действие, конкретное содержание которого будет изложено при обосновании следующего принципа.
Своевременное видоизменение постановки изучаемой проблемы или решаемой задачи. Сущность данного принципа заключается в том, что назревшие качественные изменения, подготовленные изменениями количественными в процессе предшествующего развития изучаемого явления (а они в области развития способов и методов защиты информации, как отмечалось выше, налицо), должны быть актуализированы путем видоизменения самой постановки решаемой задачи.
С учетом современного этапа развития теории и практики защиты информации приведенные общетеоретические принципы могут быть интерпретированы так, как представлено в табл. 2.1.
Что касается второй группы принципов, содержащих концентрированно выраженные рекомендации, относящиеся к самому процессу изучения сложных проблем, содержанию и практической реализации результатов изучения, то указанная группа представляется следующими четырьмя принципами.
Таблица 2.1
Интерпретация общеметодологических принципов развития науки применительно к современным проблемам защиты информации
№ п/п |
Формулировки принципов |
Интерпретация |
1 |
Строгая целевая направленность. |
Главная цель - формирование научно- технических предпосылок, необходимых для перехода от экстенсивных способов решения проблем защиты информации к интенсивным, т.е.: дальнейшее развитие основ теории защиты; формирование регулярных методологий анализа степени уязвимости информации, обоснование целесообразного уровня защиты; создание методологии синтеза систем защиты, оптимальных по всей совокупности существенно значимых критериев, и оптимального управления системой в процессе ее функционирования. |
2 |
Неукоснительное следование главной задаче науки - за внешними проявлениями вскрыть внутренние движения. |
Необходимо: подвергнуть тщательной аналитико- синтетической обработке всю совокупность статистических данных, относящихся к защите информации; выявить устойчивые тенденции в эволюционном развитии теории и практики защиты информации; осуществить прогноз наиболее вероятных направлений развития выявленных тенденций. |
3 |
Упреждающая разработка общих концепций |
Уточнение и строгое научное обоснование предложенной унифицированной концепции защиты информации. Формирование на базе кортежа концептуальных решений по защите информации единой методологии создания, организации и обеспечения функционирования систем защиты информации, соответствующих заданным требованиям к защите. |
№ п/п |
Формулировки принципов |
Интерпретация |
4 |
Формирование концепций на основе реальных фактов |
Формирование структуры и содержания информационного кадастра по защите информации. Организация систематического и целенаправленного сбора и накопления всех данных, относящихся к защите информации. Регулярная обработка всех накопленных данных в целях обновления и пополнения информационного кадастра по защите информации. Периодический анализ данных информационного кадастра в целях выявления новых фактов относительно различных аспектов защиты информации |
5 |
Учет всех существенно значимых факторов, влияющих на изучаемую проблему |
Рассмотрение защиты информации как комплексной проблемы в целевом, инструментальном и организационном аспектах. Рассмотрение проблемы комплексной защиты как составляющей части более общей проблемы управления информацией. Рассмотрение проблемы управления информацией как составляющей части глобальной проблемы информатизации современного общества |
6 |
Строгий учет диалектики вза- имосвязейкол чественных качественных изменений в развитии изучаемых явлений |
Необходимо предметно обосновать, что к настоящему времени в развитии проблем защиты Информации произошли (накоплены) такие количественные изменения (масштабы работ, объемы расходуемых ресурсов, арсеналы используемых средств), на основе которых вполне созрела необходимость качественных изменений в подходах к организации и обеспечению защиты в общегосударственном масштабе |
7 |
Своевременное видоизменение постановки задачи |
Интерпретация требований данного принципа заключается в разработке и обосновании необходимости, сущности и содержания перехода от экстенсивных к интенсивным способам решения всех проблем защиты информации |
1. Построение адекватных моделей изучаемых систем и процессов. В общепостановочной части данный принцип общепризнан и понятен. До недавнего времени, пока в центре внимания специалистов были преимущественно технические, т.е. строго формальные системы, не было никаких недоразумений также в плане построения моделей, строго адекватных моделируемым системам и процессам. Однако по мере того, как росла необходимость моделирования систем социально-экономических, подверженных повышенному влиянию случайных и даже трудно предсказуемых факторов, построение адекватных моделей натолкнулось на трудности принципиального характера: методы классической теории систем оказались недостаточно приспособленными для этого. Попытки построения моделей указанных систем с использованием традиционных методов чаще всего приводили к такой трансформации постановки задачи, что в итоге создаваемые модели оказывались неадекватными моделируемым системам. Стало совершенно ясно, что имеющиеся методы моделирования нуждаются в существенном расширении и дополнении.
Унификация разрабатываемых решений. Содержание названного принципа специалистам практически очевидно. Заметим только, что он детализирует в известной мере один из аспектов общеметодологического принципа упреждающей разработки общих концепций, поскольку любое унифицированное решение есть своего рода концепция.
Максимальная структуризация изучаемых систем и разрабатываемых решений. Структуризация может быть определена как процесс формирования такой архитектуры разрабатываемых систем и технологических схем их функционирования, которая наилучшим образом удовлетворяет всей совокупности условий их разработки, эксплуатации и усовершенствования. В более общей постановке структуризация может рассматриваться как одно из направлений расширения научно-методологического базиса классической теории систем.
Радикальная эволюция в реализации разработанных концепций. Результатом изучения сложных проблем, как правило, являются предложения и решения (концепции) по более или менее кардинальному совершенствованию архитектуры соответствующих систем или процессов организации и обеспечения функционирования. Естественно, при этом возникает вопрос о способах практического претворения в жизнь разработанных концепций. Крайними вариантами будут: слева - выбросить (убрать, демонтировать) прежние решения и заново построить систему в строгом соответствии с новыми концепциями, справа - отказаться от новых концепций во имя сохранения прежних решений. В реальной жизни эти крайние варианты если и будут разумными, то лишь в каких-то неординарных ситуациях, в подавляющем же большинстве ситуаций рациональным будет какой-то промежуточный вариант. Для ориентации в подобных ситуациях В.М. Глушков еще в 70-х годах XX века сформулировал принцип так называемой радикальной эволюции, суть которого, как следует из самого названия, сводится к тому, что надо стремиться к радикальным совершенствованиям, но реализовывать их эволюционным путем.
Так в самом общем виде могут быть представлены состав и содержание первой составляющей теории защиты - общеметодологические принципы. Вторая составляющая этой теории - инструментально-методологический базис рассматривается ниже.