Объекты Защиты Информации
К вопросу о классификации объектов защиты информации
С. В. Конявская
Актуальной на сегодняшний день методологической проблемой является обоснование эффективности (и шире — целесообразности) применения тех или иных решений защиты информации в тех или иных конкретных системах. Поскольку в значительной мере это вопрос бизнеса, то за счет многообразия применяемых технологий и инфраструктур дроблением объектов защиты сегодня удается мотивировать применение в любой системе любого набора средств защиты информации. Это перегружает системы, делает их плохо управляемыми и ненадежными (растет количество возможных точек отказа, функции многократно дублируются, что ведет к неизбежным ошибкам настроек и возникновению конфликтов). В каждом конкретном случае можно доказывать, что нужно защищать - ключи или справочники сертификатов и что лучше — отражать атаки виртуальных машин на виртуальные машины или обеспечивать невозможность осуществления такой атаки, однако это всякий раз будут точечные выводы, не меняющие основного подхода: выделить новую сущность и предложить новое решение для ее защиты. Этот подход требует в качестве необходимого условия неясности предмета, позволяющей предельно «усложнять» задачи, повышая тем самым стоимость их решения.
Альтернативой представляется методологический прием — возведение каждого явления, предполагаемого к защите, к классификации объектов защиты информации.
В области защиты информации классифицируют, как правило, следующее:
- собственно информацию (по огромному количеству критериев, и классификации в основном получаются не сводимыми одна к другой);
- объекты информатизации (также довольно много актуальных и авторитетных на сегодняшний день классификаций, различающихся, впрочем, в меньшей степени, чем классификации информации как таковой);
- объекты защиты информации (как правило, приводятся в виде факультативных по отношению к первым двум видам классификаций и редко кладутся в основу дальнейших построений, являясь просто видом справочного материала).
Почему из перечисленных возможностей именно классификацию объектов защиты представляется целесообразным положить в основу методологии определения оптимального подхода к решению прикладных задач - вполне очевидно: именно это и есть целевая функция данной классификации.