Возможны два подхода к построению подсистемы информационной безопасности — продуктовый и проектный.
В рамках продуктового подхода выбирается набор средств защиты, анализируются их функции, а на основе анализа функций определяется политика доступа к информационным ресурсам.
Альтернативой такому подходу является первоначальная проработка политики доступа, на основе которой определяются функции, необходимые для ее реализации, и производится выбор продуктов, обеспечивающих выполнение этих функций.
Продуктовый подход более дешев с точки зрения затрат на проектирование. Кроме того, он часто является единственно возможным в условиях дефицита решений (например, для криптографической защиты применяется исключительно такой подход). Проектный подход заведомо более полон, и системы, построенные на его основе, более оптимизированы и аттестуемы.
Проектный подход предпочтительнее и при создании больших гетерогенных систем, поскольку в отличие от продуктового подхода он не связан изначально с той или иной платформой. Кроме того, он обеспечивает более долговременные решения, поскольку допускает проведение замены продуктов и решений без изменения политики доступа.
|
|
Объекты или приложения
С точки зрения проектной архитектуры подсистемы информационной безопасности обычно применяются объектный, прикладной или смешанный подход.
Объектный подход строит защиту информации на основании структуры того или иного объекта (здания, подразделения, предприятия). Применение объектного подхода предполагает использование набора универсальных решений для обеспечения механизмов безопасности, поддерживающих однородный набор организационных мер. Классическим примером такого подхода является построение защищенных инфраструктур внешнего информационного обмена, локальной сети, системы телекоммуникаций и т.д.
К недостаткам объектного подхода относятся очевидная неполнота его универсальных механизмов, особенно для организаций с большим набором сложно связанных между собой приложений.
Прикладной подход строит механизмы безопасности в привязке к конкретному приложению. Пример прикладного подхода — защита подсистемы либо отдельных задач автоматизации (бухгалтерия, кадры и т.д.). При большей полноте защитных мер такого подхода у него имеются и недостатки, а именно необходимость увязывать различные средства безопасности с целью минимизации затрат на администрирование и эксплуатацию, а также с необходимостью задействовать уже существующие средства защиты информации для сохранения инвестиций. Возможна комбинация двух описанных подходов.
В смешанном подходе информационная система представляется как совокупность объектов, для каждого из которых определена область использования универсальных средств реализации механизмов безопасности с применением вне этой области прикладного подхода. Такой подход оказывается более трудоемким на стадии проектирования, однако часто дает преимущества в стоимости внедрения и эксплуатации системы защиты информации.