ООП в ИБ

Государственная тайна Управление безопасностью Персональные данные
ООП в ИБ
ООП принято расшифровывать как объектно-ориентированное программирование. В данном случае под ООП понимается объектно-ориентированный подход. Этот подход характеризуют:
  • Абстрагирование объектов реальной действительности и установка им в соответствие "виртуальных" объектов
  • Объекты описываются с помощью некоторых свойств (атрибутов), которые необходимы в рамках решаемой задачи
  • Сходные по функционалу объекты формируют классы и подклассы, образую тем самым дерево иерархии классов
  • Наличие связей между объектами различных классов
name='more'>
Объектно-ориентированный подход в информационной безопасности прочно утвердился в нашей стране с введением в 1992 году ряда руководящих документов Гостехкомиссии РФ. На примере РД ГТК  «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» можно выделить следующие классы:
Класс признаков АС:
  • Объект - уровни конфиденциальности (атрибут - один или много); 
  • Объект - уровни полномочий субъектов доступа АС на доступ к конфиденциальной информации (атрибут - все пользователи имеют доступ к конфиденциальной информации или нет)
  • Объект - режим обработки данных в АС (атрибут - одно- или многопользовательский)
Комбинация этих объектов с определенными атрибутами формирует объект из класса АС (1Г, 3Б и т.п.), которым сопоставляется ряд объектов с определенными атрибутами из класса требований по безопасности. Кроме того объекты класса АС сопоставляются с объектами класса категорий обрабатываемой в них информации.

Подобный подход описан в Common Criteria (и, как следствие, ГОСТ 15408 ), только они обладают большей гибкостью в силу того, что профили защиты (наборы объектов из класса требований по безопасности), создаются на основе объектов из класса угроз, а не категорий информации. В РД ГТК, вероятно, предполагалось, что определенной категории информации в соответствие ставится определенный набор угроз, сами же угрозы не описывались. Вернее, не описывались в открытых источниках... РД изначально были написаны для формирования требований безопасности к системам обрабатывающим сведения составляющие государственную тайну, поэтому угрозы для этих систем были от всеобщего обозрения закрыты в таких документах, как "Модель иностранной технической разведки ", например.

В законодательстве по персональным данным мы вновь видим этот подход. Из класса угроз выбираются актуальные, по соответствующим методикам. На основе ряда признаков выбирается объект из классов ИСПДн (или защищенности). И полученному объекту сопоставляются определенные объекты из класса требований.

Также, можно говорить о классе средств защиты информации, которые "закрывают" определенные требования. 
Государственная тайна Управление безопасностью Персональные данные
Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!
article-title

Игорь Агурьянов