Анализ требований к защите информации. Структурирование информации по категориям.
В самом общем смысле требования к защите могут быть определены как предотвращение угроз информации, по крайней мере, тех из них, проявление которых может привести к существенно значимым последствиям. Проблема определения требований к защите информации имеет комплексный характер и может рассматриваться как в организационном, так и техническом аспектах. Причем в условиях автоматизированной обработки информации существует большое количество каналов несанкционированного доступа к информационным ресурсам, которые не могут быть перекрыты без применения специфических технических и программно-аппаратных средств. Это серьезно повышает удельный вес технических аспектов и приводит к необходимости определения требований к системам защиты.
Наиболее приемлемым в создавшихся условиях является подход, основанный на выделении некоторого количества типовых систем защиты, рекомендуемых для использования в тех или иных конкретных условиях, то есть подход, базирующийся на создании и использовании системы стандартов в области защиты информации.
Основу такой системы, действующей в настоящее время в Российской Федерации, составляют руководящие документы, разработанные Гостехкомиссией России в 90-х годах и дополненные впоследствии рядом нормативных актов. Эти документы были созданы в результате исследований и практической деятельности в данной области министерств оборонных отраслей промышленности и министерства обороны, и, с учетом “Критериев оценки доверенных компьютерных систем” министерства обороны США, которые больше известны под названием “Оранжевая книга”, и вместе с Европейскими и Канадскими критериями легли в основу “Общих критериев” (стандарта ISO 15408-99 “Критерии оценки безопасности информационных технологий”).