Объектно-ориентированный подход к информационной безопасности

Объектно-ориентированный подход является основой современной технологии программирования, испытанным методом борьбы со сложностью систем. Представляется естественным и необходимым, стремление распространить этот подход и на системы информационной безопасности. Сложны не только аппаратно-программные системы, которые необходимо защищать, но и сами средства безопасности.

Сложная система информационной безопасности на верхнем уровне должна состоять из небольшого числа относительно независимых компонентов. Относительная независимость понимается как минимизация числа связей между компонентами. Затем декомпозиции подвергаются выделенные на верхнем уровне компоненты, и так далее вниз до заданного уровня детализации. В результате система оказывается представленной в виде иерархии с несколькими уровнями абстракции. Объектно-ориентированный подход использует объектную декомпозицию, то есть поведение системы описывается в терминах взаимодействия объектов.

Весьма распространенной конкретизацией объектно-ориентированного подхода являются компонентные объектные среды. Здесь используется два важных понятия: компонент и контейнер. Компонент можно определить как многократно используемый объект, допускающий обработку в графическом инструментальном окружении и сохранение в долговременной памяти. Контейнеры могут включать в себя множество компонентов и выступать в роли компонентов других контейнеров.

Компонентные объектные среды обладают всеми достоинствами, присущими объектно-ориентированному подходу:

  • инкапсуляция объектных компонентов скрывает сложность реализации, делая видимым только предоставляемый вовне интерфейс;
  • наследование позволяет развивать созданные ранее компоненты, не нарушая целостность объектной оболочки;
  • полиморфизм дает возможность группировать объекты, характеристики которых с некоторой точки зрения можно считать сходными.

Применяя объектно-ориентированный подход к вопросам информационной безопасности, можно ввести понятие грани. Фактически три грани уже были введены: это доступность, целостность и конфиденциальность. Их можно рассматривать относительно независимо, и считается, что если все они обеспечены, то обеспечена и ИБ в целом (то есть субъектам информационных отношений не будет нанесен неприемлемый ущерб). Таким образом цель структурирована. Средства достижения цели можно структурировать по следующим граням:

  • законодательные меры обеспечения информационной безопасности;
  • административные меры (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
  • процедурные меры (меры безопасности, ориентированные на людей);
  • программно-технические меры.

Законы и нормативные акты ориентированы на всех субъектов информационных отношений независимо от их организационной принадлежности (это могут быть как юридические, так и физические лица) в пределах страны (международные конвенции имеют даже более широкую область действия).

Административные меры ориентированы на всех субъектов в пределах организации, процедурные меры – на отдельных людей (или небольшие категории субъектов), программно-технические меры – на оборудование и программное обеспечение.

При такой трактовке в переходе с уровня на уровень осуществляется наследование (каждый следующий уровень не отменяет, а дополняет предыдущий), полиморфизм (субъекты выступают сразу в нескольких ролях - например, как инициаторы административных мер и как обычные пользователи, обязанные этим мерам подчиняться) и инкапсуляция (для фиксированной грани в одной совокупности (например, доступности) грани в другой совокупности должны пробегать все множество возможных значений от законодательных, административных, процедурных до программно-технических мер).

Наши рекомендации