Концепция информационной безопасности как система взглядов на цели, способы обеспечения безопасности информации и средства ее защиты должна в общем виде отвечать на три простых вопроса:
Ответы на данные вопросы, а следовательно, и концепции информационной безопасности делятся на два типа — технологические и нормативные.
Технологические КИБ. В технологических КИБ под объектом защиты понимается не абстрактная информация, а комплекс физических, аппаратных, программных и документальных средств, предназначенных для ее сбора, передачи, обработки и хранения. Уже на этапе ее формирования КИБ технологического типа необходимо уже иметь четкое представление о том, как устроена информационная система компании, как распределены аппаратные и программные ресурсы (территориально и по подразделениям компании).
Нормативные КИБ. В нормативных КИБ определяется информация, подлежащая защите и ее ценность, т.е. размеры потерь от ее разрушения или разглашения. Нормативные КИБ учитывают специфику информации, проявляющуюся в том, что она не исчезает при потреблении и не передается полностью при обмене. Иными словами, нормативные КИБ учитывают не только циркуляцию информации внутри компании, но и обмен информацией с внешними организациями.
Вопрос «От чего защищать?» в нормативных КИБ рассматривается с точки зрения доступности информации, ее целостности и конфиденциальности, т.е. для каждого вида защищаемой информации определяются приоритеты и направления ее защиты.
Ответ на вопрос «Как защищать?» в нормативных КИБ состоит в определении места и роли организационных и технических мероприятий в процессе защиты информации, а также в формулировании требований к поставщикам оборудования и услуг защиты информации.
КИБ смешанного типа. Для КИБ обоих типов — технологического и нормативного — справедливо следующее утверждение: достоинства и недостатки одного типа КИБ являются зеркальным отражением недостатков и достоинств другого типа КИБ.
Для максимального использования достоинств обоих типов КИБ при разработке КИБ компании в настоящее время предлагается разрабатывать КИБ так называемого смешанного типа. Такая КИБ представляет собой фактически два документа:
При этом в ПИБ детализация требований к средствам защиты информации доходит до уровня общей функциональности, но не опускается до технических требований к оборудованию. Фактически, ПИБ во многом похожа на технологическую КИБ, но разрабатывается исключительно на основе предварительно разработанной КИБ.
При этом в нормативной части концепции (собственно КИБ) отражаются следующие вопросы:
Вторая часть — ПИБ, разрабатываемая на основе нормативной части концепции, отражает следующие вопросы:
На основе анализа существующих типов КИБ можно сделать следующие выводы: