Стосовно організації захисту інформації в автоматизованих системах, то слід враховувати, що хоч в основі автоматизованої системи знаходиться технічний пристрій, який обробляє інформацію, але при його використанні так чи інакше присутній людський фактор. При цьому людина виступає безпосередньо як користувач автоматизованої системи, або опосередковано як розробник такої системи.
З цього виходить, що на можливість надійності системи захисту інформації в автоматизованих системах впливає два взаємопов’язані фактори: людський та інженерно-технологічний.
В аспекті теорії систем організація захисту інформації в автоматизованих системах передбачає обумовлене виділення внутрішньосистемних і зовнішньосистемних ознак, що утворюють діалектичну гіперсистему організації меж безпеки.
Зазначені елементи основ теорії організації захисту інформації зумовлюють необхідність формування і розвитку окремих теорій інформаційної безпеки, зокрема її складової – теорії організації захисту інформації в автоматизованих системах, у таких аспектах: організаційному; пов’язаному з ним правовому та інженерно-технологічному. Останній поєднує в собі взаємопов’язані технічний (апаратний) та алгоритмічний (програмний) аспекти, що можуть знаходити відображення у відповідних юридико-технічних нормах.
Будь-яка загальна теорія вважається науковою, коли вона має чітко визначені методи пізнання предметної області (галузі, сфери), закономірностей природи (фізики) і суспільства. Таким чином, щоб претендувати на статус науковості, загальна теорія організації інформаційної безпеки повинна мати визначену сукупність методів пізнання її предмета і об’єкта.
Враховуючи міжгалузевий характер теорії організації інформаційної безпеки, в ній поєднуються методи пізнання традиційних фундаментальних наук: соціології та фізики. Це зумовлено безпосереднім предметом теорії – людино - машинними системами, якими є автоматизовані інформаційні системи.
Звичайно, сферою дослідження теорії є практика захисту інформації в автоматизованих системах: її закономірності, принципи, різного рівня проблеми і завдання їх вирішення. Сьогодні формалізація проблем і завдань здійснюється переважно за допомогою методів евристики: формально-евристичним та евристичним методами. Домінуюче положення серед цих методів займає метод експертних оцінок та метод оцінки критичної маси інформації (прикладний системний аналіз). За допомогою цих методів, зокрема, робляться оцінки функціонування систем захисту інформації. Проте, ці методи мають і свої недоліки: наявність людського фактору – суб’єктивізм експерта та потенційне обмеження інформації у формі знань, якими володіє експерт.
Подоланню цих недоліків допомагає когнітологія – наука про знання. Відповідно до положень цієї науки в загальній теорії захисту інформації визначаються за аксіоми когнітологічні положення про рівень і відносність ентропії (невизначеності) системи пізнання (людини, спільноти) та її вплив на формування теоретичних положень, їх відносну істинність на певний момент часу. Відносність істини визначається кількісними і якісними характеристиками множини знань, якими володіє той чи інший суб’єкт відносин, навичками їх застосування, інтелектуальним потенціалом та швидкістю розумових реакцій на певні ситуації. Відносність захисту інформації визначається відносністю знань суб’єкта захисту і відносністю загроз захисту, зокрема знань зловмисника.
У контексті визначення об’єктивності експертної оцінки організації захисту інформації, подолання суб’єктивізму, наприклад при визначенні стану інформаційної безпеки об’єкта, застосовується метод залучення кількох експертів. Але, як справедливо відмічають деякі дослідники, при цьому виникає питання: хто може вважатися висококваліфікованим експертом (кваліфікаційні ознаки експерта) і скільки таких експертів потрібно для істинності висновків, подолання суб’єктивізму? [1]
Наявність людського фактору має провідне значення в теорії організації захисту інформації. Через цей елемент теорія організації захисту інформації як система знань має предметний гіперзв’язок з такими фундаментальними гуманітарними науками, як соціологія та соціальна психологія.
За своєю природою організації захист інформації має комплексний характер, тобто, між окремими її складовими існує певний зв’язок. У межах теорії організації захисту інформації чітко визначився постулат стосовно того, що організація захисту інформації повинна враховувати не тільки складність технічних та технологічних компонентів системи, а й людський фактор, наявність можливих ресурсів, якими володіє суб’єкт захисту. При формуванні конкретної системи технічного захисту повинні враховуватися якісні індивідуально- та соціально-психологічні, моральні, етичні та інші особисті характеристики людей, яких задіяно в системі захисту інформації.
У даному аспекті визначається також напрям теорії щодо оцінки, характеристики зловмисників, які посягають на безпеку інформаційної системи. В цьому аспекті теорія захисту інформації має логічний зв’язок з кримінологією, її складовими вченнями: віктимологією та теорією формування соціально-психологічного портрету зловмисника.
Правовий напрям теорії захисту інформації також визначається необхідністю формування правил поведінки, відносин у так званому вертуальному чи кібер просторі. У даному аспекті теорія захисту інформації пов’язана з інформаційним правом та правовою інформатикою. Щодо формування методик виявлення та розкриття злочинів, що вчиняються за допомогою сучасних інформаційних технологій, теорія захисту інформації формує понятійний апарат такої інституції криміналістики, як криміналістична інформатика.
При формуванні системи захисту інформації виникає необхідність застосування методів інтеграції та агрегації складових системи, її підсистем, що стає можливим при адаптації до предметної області теорії алгоритмізації, моделювання, теорії систем.
Як приклад, що демонструє невраховування основних положень теорій організації, можна зазначити деякі нормативно-правові акти органів державної влади з питань інформаційної безпеки та захисту інформації щодо їх форми, назви, відповідності форми і змісту: Закон України “Про Концепцію Національної програми інформатизації”; Положення про технічний захист інформації в Україні (затверджене Постановою Кабінету Міністрів України від 09.09.1994 р. № 632) та ряд інших законодавчих та підзаконних нормативних актів центральних органів виконавчої влади. Зразу ж зазначимо, що важливість цих нормативних актів не принижується; вони, безсумнівно, мають велике значення в системі регулювання суспільних відносин. Ми звертаємо увагу на їх суспільно-когнітивний та праксеологічний аспекти.
Когнітивно-юридичний аналіз зазначених нормативно-правових актів з позицій накопичених наукових знань сьогодення свідчить про те, що в суспільстві вже сформувалося усвідомлення необхідності формування інституції суспільних відносин – інформаційної безпеки (захисту інформації). Але рівень ентропії, який існував на момент прийняття нормативно-правових актів у цій галузі суспільних відносин об’єктивно не дозволив сформувати їх зміст в обсязі, необхідному для практики. До того ж практика розвивалася, апробуючи юридичні норми за стандарти (алгоритми).