На зазначені напрями забезпечення інформаційної безпеки відповідного об’єкта захисту впливають такі фактори:
а) фактор рівня досягнень науково-технічного прогресу (переважно в галузі розвитку, удосконалення технічних засобів);
б) технологічний фактор (в окремих джерелах його ще називають алгоритмічний фактор, коли техніка може бути однаковою, а технології її застосування різні; цей фактор ще є визначальним для формування методик як отримання інформації, так і її захисту);
в) соціальний (людський) фактор.
Загальний аналіз проблем організації захисту інформації в автоматизованих системах дозволяє визначити три агреговані організаційні моделі заходів:
1. Організація запобіжних заходів;
2. Організація блокування (протидії) реальних загроз, що реалізуються;
3. Організація подолання наслідків загроз, яких не вдалося запобігти чи блокувати.
Важливим елементом організації інформаційної безпеки – захисту інформації – є поділ заходів на групи щодо протидії. В теорії і практиці майже однозначно виділяють три такі групи:
активні засоби захисту (наприклад, розвідка, дезінформація, зашумлення тощо);
пасивні засоби захисту (встановлення екранів несанкціонованого витоку інформації);
комплекс засобів захисту (органічне поєднання вищевказаних груп).
Звернемо увагу на організаційні заходи при блокування (протидії) несанкціонованого доступу до автоматизованої інформаційної системи та подолання наслідків загроз, яким не вдалося запобігти. Вони можуть бути спрямовані на: документування методів несанкціонованих дій щодо доступу до автоматизованої системи для подальшого їх дослідження; збереження слідів правопорушення; взаємодію, за необхідності із державними правоохоронними органами, щодо виявлення та розкриття правопорушення, в тому числі за виявлення підготовки до злочину і розкриття замаху на злочин; сприяння у притягненні винних до відповідальності (кримінальної, адміністративної, цивільно-правової, дисциплінарної).
Всі організаційні заходи щодо інформаційної безпеки, у тому числі в умовах застосування автоматизованих систем, базуються на знаннях і використанні тих чи інших фізичних явищ, що характеризують відповідні форми подання (виразу) інформації. Дані фізичні явища, зокрема ті, що може використати зловмисник, є достатньо відомими.
Завдання організації інформаційної безпеки щодо захисту інформації в автоматизованих системах визначаються за напрямом, протилежним до загрози безпеці. При реалізації заходів захисту інформації важливим аспектом є визначення і перевірка стану безпеки. В теорії і практиці це знаходить вираз в такій категорії, як “метрологія”. За допомогою метрологічної діяльності з’ясовується рівень розробки і наявність відповідних засобів, норм і методик, що дозволяють оцінити якість функціонування системи захисту інформації, тобто визначити, чи відповідає існуючим нормам система захисту.
Формалізація норм і методів метрології стану інформаційної безпеки об’єкта знаходить вираз у відповідних нормативних актах, що в теорії права називають “юридико-технічними” нормами (технічними стандартами, методичними рекомендаціями тощо).
При застосуванні визначених у них нормативів слід враховувати природну властивість – втрачати з часом актуальність. Це пов’язане з тим, що з розвитком науково-технічного прогресу можуть змінюватися норми і методи контролю захищеності інформації у відповідному середовищі її існування. Практика свідчить, що, як правило, норми і методи контролю мають тенденцію до удосконалення. Попередні нормативи виступають за орієнтири, точки опори для формування нових нормативів. Сам термін “норматив” свідчить про те, що існують фундаментальні межі можливих існуючих фізичних приладів метрології на певному етапі пізнання людством законів природи.
У ході організації, в тому числі створення алгоритмів (методик) захисту інформації технічними засобами, завдання суб’єкта полягає не тільки у нарощуванні існуючих засобів технічного захисту інформації, але й в урахуванні можливих новацій. При цьому переважно повинен реалізовуватися принцип агрегації новацій до існуючої системи захисту. Краще, коли існує можливість інтеграції через новації засобів захисту і вилучення з системи захисту застарілого обладнання. Але при цьому не слід забувати, що старі засоби захисту, що можуть функціонувати автономно в системі захисту, не повинні зніматися з “озброєння” бездумно.
Стосовно організації захисту інформації в автоматизованих системах, то слід враховувати, що хоч в основі автоматизованої системи знаходиться технічний пристрій, який обробляє інформацію, але при його використанні так чи інакше присутній людський фактор. При цьому людина виступає безпосередньо як користувач автоматизованої системи, або опосередковано як розробник такої системи.
З цього виходить, що на можливість надійності системи захисту інформації в автоматизованих системах впливає два взаємопов’язані фактори: людський та інженерно-технологічний.
В аспекті теорії систем організація захисту інформації в автоматизованих системах передбачає обумовлене виділення внутрішньосистемних і зовнішньосистемних ознак, що утворюють діалектичну гіперсистему організації меж безпеки.
Зазначені елементи основ теорії організації захисту інформації зумовлюють необхідність формування і розвитку окремих теорій інформаційної безпеки, зокрема її складової – теорії організації захисту інформації в автоматизованих системах, у таких аспектах: організаційному; пов’язаному з ним правовому та інженерно-технологічному. Останній поєднує в собі взаємопов’язані технічний (апаратний) та алгоритмічний (програмний) аспекти, що можуть знаходити відображення у відповідних юридико-технічних нормах.
Будь-яка загальна теорія вважається науковою, коли вона має чітко визначені методи пізнання предметної області (галузі, сфери), закономірностей природи (фізики) і суспільства. Таким чином, щоб претендувати на статус науковості, загальна теорія організації інформаційної безпеки повинна мати визначену сукупність методів пізнання її предмета і об’єкта.
Враховуючи міжгалузевий характер теорії організації інформаційної безпеки, в ній поєднуються методи пізнання традиційних фундаментальних наук: соціології та фізики. Це зумовлено безпосереднім предметом теорії – людино - машинними системами, якими є автоматизовані інформаційні системи.
Звичайно, сферою дослідження теорії є практика захисту інформації в автоматизованих системах: її закономірності, принципи, різного рівня проблеми і завдання їх вирішення. Сьогодні формалізація проблем і завдань здійснюється переважно за допомогою методів евристики: формально-евристичним та евристичним методами. Домінуюче положення серед цих методів займає метод експертних оцінок та метод оцінки критичної маси інформації (прикладний системний аналіз). За допомогою цих методів, зокрема, робляться оцінки функціонування систем захисту інформації. Проте, ці методи мають і свої недоліки: наявність людського фактору – суб’єктивізм експерта та потенційне обмеження інформації у формі знань, якими володіє експерт.
Подоланню цих недоліків допомагає когнітологія – наука про знання. Відповідно до положень цієї науки в загальній теорії захисту інформації визначаються за аксіоми когнітологічні положення про рівень і відносність ентропії (невизначеності) системи пізнання (людини, спільноти) та її вплив на формування теоретичних положень, їх відносну істинність на певний момент часу. Відносність істини визначається кількісними і якісними характеристиками множини знань, якими володіє той чи інший суб’єкт відносин, навичками їх застосування, інтелектуальним потенціалом та швидкістю розумових реакцій на певні ситуації. Відносність захисту інформації визначається відносністю знань суб’єкта захисту і відносністю загроз захисту, зокрема знань зловмисника.
У контексті визначення об’єктивності експертної оцінки організації захисту інформації, подолання суб’єктивізму, наприклад при визначенні стану інформаційної безпеки об’єкта, застосовується метод залучення кількох експертів. Але, як справедливо відмічають деякі дослідники, при цьому виникає питання: хто може вважатися висококваліфікованим експертом (кваліфікаційні ознаки експерта) і скільки таких експертів потрібно для істинності висновків, подолання суб’єктивізму? [1]
Наявність людського фактору має провідне значення в теорії організації захисту інформації. Через цей елемент теорія організації захисту інформації як система знань має предметний гіперзв’язок з такими фундаментальними гуманітарними науками, як соціологія та соціальна психологія.
За своєю природою організації захист інформації має комплексний характер, тобто, між окремими її складовими існує певний зв’язок. У межах теорії організації захисту інформації чітко визначився постулат стосовно того, що організація захисту інформації повинна враховувати не тільки складність технічних та технологічних компонентів системи, а й людський фактор, наявність можливих ресурсів, якими володіє суб’єкт захисту. При формуванні конкретної системи технічного захисту повинні враховуватися якісні індивідуально- та соціально-психологічні, моральні, етичні та інші особисті характеристики людей, яких задіяно в системі захисту інформації.
У даному аспекті визначається також напрям теорії щодо оцінки, характеристики зловмисників, які посягають на безпеку інформаційної системи. В цьому аспекті теорія захисту інформації має логічний зв’язок з кримінологією, її складовими вченнями: віктимологією та теорією формування соціально-психологічного портрету зловмисника.