ООП принято расшифровывать как объектно-ориентированное программирование. В данном случае под ООП понимается объектно-ориентированный подход. Этот подход характеризуют:
- Абстрагирование объектов реальной действительности и установка им в соответствие "виртуальных" объектов
- Объекты описываются с помощью некоторых свойств (атрибутов), которые необходимы в рамках решаемой задачи
- Сходные по функционалу объекты формируют классы и подклассы, образую тем самым дерево иерархии классов
- Наличие связей между объектами различных классов
Объектно-ориентированный подход в информационной безопасности прочно утвердился в нашей стране с введением в 1992 году ряда руководящих документов Гостехкомиссии РФ. На примере РД ГТК «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» можно выделить следующие классы:
Класс признаков АС:
- Объект - уровни конфиденциальности (атрибут - один или много);
- Объект - уровни полномочий субъектов доступа АС на доступ к конфиденциальной информации (атрибут - все пользователи имеют доступ к конфиденциальной информации или нет)
- Объект - режим обработки данных в АС (атрибут - одно- или многопользовательский)
Комбинация этих объектов с определенными атрибутами формирует объект из класса АС (1Г, 3Б и т.п.), которым сопоставляется ряд объектов с определенными атрибутами из класса требований по безопасности. Кроме того объекты класса АС сопоставляются с объектами класса категорий обрабатываемой в них информации.
Подобный подход описан в Common Criteria (и, как следствие, ГОСТ 15408 ), только они обладают большей гибкостью в силу того, что профили защиты (наборы объектов из класса требований по безопасности), создаются на основе объектов из класса угроз, а не категорий информации. В РД ГТК, вероятно, предполагалось, что определенной категории информации в соответствие ставится определенный набор угроз, сами же угрозы не описывались. Вернее, не описывались в открытых источниках... РД изначально были написаны для формирования требований безопасности к системам обрабатывающим сведения составляющие государственную тайну, поэтому угрозы для этих систем были от всеобщего обозрения закрыты в таких документах, как "Модель иностранной технической разведки ", например.
В законодательстве по персональным данным мы вновь видим этот подход. Из класса угроз выбираются актуальные, по соответствующим методикам. На основе ряда признаков выбирается объект из классов ИСПДн (или защищенности). И полученному объекту сопоставляются определенные объекты из класса требований.
Также, можно говорить о классе средств защиты информации, которые "закрывают" определенные требования.