Общепринятая методика создания программных и программно-аппаратных средств защиты информации включает следующие этапы:
1) детализация предметной области (определение типа защиты);
2) определение условий эксплуатации системы защиты;
3) выделение основных компонентов системы защиты;
4) определение свойств компонентов (качественных и количественных).
Результатом осуществления приведенной выше методики в частности является сформулированная политика безопасности.
Структура (последовательность шагов) синтеза системы защиты может быть описана следующим образом.
1) Исходя из архитектуры и назначения системы выделяют ее элементы, обладающие общими признаками:
- распределенностью;
- особенностями аппаратного компонента;
- особенностями программного компонента.
2) Формулируют (уточняют) политику безопасности.
3) Формулируют требования к защитным механизмам, определяют технологию управления безопасностью, создают (уточняют) структуры данных.
4) Реализуют процедуры управления.
5) Этап опытной эксплуатации системы безопасности. Определение "запаса" по ресурсам реализации и оценка достигнутого уровня защиты.
При создании систем защиты данных руководствуются следующими особенностями данных технических систем:
- Система защиты обменивается информацией с внешней средой;
- Элементная база имеет ограниченную надежность;
- Вычислительная техника имеет ограниченные ресурсы по быстродействию;
- Взаимодействие программных компонентов (в т.ч. благодаря наличию ОС) не всегда приводит к ожидаемым результатам;
- Система хранится на материальном носителе и может быть уничтожена или повреждена (искажена);
- В системе всегда имеются неконтролируемые каналы утечки информации (или существует вероятность их появления);
- Систему разрабатывает и эксплуатирует человек, который допускает ошибки.