Проектирование системы

Возможны два подхода к построению подсистемы информационной безопасности — продуктовый и проектный.

В рамках продуктового подхода выбирается на­бор средств защиты, анализируются их функции, а на основе анализа функций определяется политика доступа к информационным ресурсам.

Альтернативой такому подходу является первона­чальная проработка политики доступа, на основе которой определяются функции, необходимые для ее реализации, и производится выбор продуктов, обеспечивающих выполнение этих функций.

Продуктовый подход более дешев с точки зрения затрат на проектирование. Кроме того, он часто яв­ляется единственно возможным в условиях дефици­та решений (например, для криптографической за­щиты применяется исключительно такой подход). Проектный подход заведомо более полон, и систе­мы, построенные на его основе, более оптимизиро­ваны и аттестуемы.

Проектный подход предпочтительнее и при создании больших гетерогенных систем, поскольку в отличие от продуктового подхода он не связан изначально с той или иной платформой. Кроме того, он обеспечивает более долговременные решения, поскольку допускает проведение замены продуктов и решений без изменения поли­тики доступа.

Объекты или приложения

С точки зрения проектной архитектуры подсистемы информационной безопасности обычно применяют­ся объектный, прикладной или смешанный подход.

Объектный подход строит защиту информации на основании структуры того или иного объекта (здания, подразделения, предприятия). Применение объектного подхода предполагает использование на­бора универсальных решений для обеспечения ме­ханизмов безопасности, поддерживающих однород­ный набор организационных мер. Классическим примером такого подхода является построение за­щищенных инфраструктур внешнего информаци­онного обмена, локальной сети, системы телеком­муникаций и т.д.

К недостаткам объектного подхода относятся очевидная неполнота его универсальных механизмов, особенно для организаций с большим набором сложно связанных между собой приложе­ний.

Прикладной подход строит механизмы безопас­ности в привязке к конкретному приложению. Пример прикладного подхода — защита подсисте­мы либо отдельных задач автоматизации (бухгалте­рия, кадры и т.д.). При большей полноте защитных мер такого подхода у него имеются и недос­татки, а именно необходимость увязывать различ­ные средства безопасности с целью минимизации затрат на администрирование и эксплуатацию, а также с необходимостью задействовать уже сущест­вующие средства защиты информации для сохра­нения инвестиций. Возможна комбинация двух описанных подхо­дов.

В смешанном подходе информационная сис­тема представляется как совокупность объектов, для каждого из которых определена область ис­пользования универсальных средств реализации механизмов безопасности с применением вне этой области прикладного подхода. Такой подход оказывается более трудоемким на стадии проекти­рования, однако часто дает преимущества в стои­мости внедрения и эксплуатации системы защиты информации.