Нетрудно определить, кто нуждается в разработке средств защиты информации. Это те люди и организации, которым есть что защищать, т. е. практически все подряд. Большинство нуждающихся, разумеется, используют технологии защиты, созданные другими, но в некоторых случаях средства информационной безопасности разрабатываются собственными силами.
За разработку своей защиты имеет смысл браться в трех случаях, когда:
- система защиты разрабатывается как коммерческий проект;
- существующие средства защиты не способны обеспечить необходимую функциональность;
- существующие средства защиты не подходят по соображениям безопасности.
Первый случай, когда защита разрабатывается с целью извлечения прибыли, особого интереса не представляет - это обыкновенный коммерческий проект, в котором обеспечение надежности защиты вполне может не играть никакой роли. Единственная цель разработчика - извлечь максимум прибыли.
Во втором случае пользователю необходимо защищать информацию в некоторых уникальных условиях, для которых ни одна из существующих систем не была предназначена. Подобные ситуации появляются регулярно как прямое следствие развития технологий. Пока не появились компьютеры, не понадобился алгоритм шифрования des. Пока не получили широкое распространение мобильные технологии, не требовалось реализовывать стойкие криптографические алгоритмы на процессорах, используемых в телефонах. Разработка новых технологий в любой области — весьма рискованное занятие, но при защите информации риск увеличивается многократно. Опасности подвергаются не только данные, обрабатываемые в период после обнаружения ошибки противником и до исправления этой ошибки, но и вообще вся информация, защищенная в то время, когда ошибка существовала.
Третий случай занимателен тем, что, несмотря на наличие средств обеспечения безопасности, внешне пригодных для решения поставленных задач, нет никакой уверенности в надежности существующих решений. А если стоимость потери целостности или конфиденци&чьной информации очень велика (что вполне реально, например, для банковских данных и государственных секретов), имеет смысл затратить ресурсы на разработку собственной реализации защиты. Так США однажды потратилось на разработку алгоритма des и rsa теперь чувствует себя спокойно. Ведь достичь рациональной уверенности в том, что средства зашиты, созданные кем-то другим, не содержат случайных или намерено внесенных уязвимостей, очень сложно.