[МУЗЫКА] Сегодня мы с вами перейдём к рассмотрению различных мер обеспечения защиты информации как адекватной реакции на сформулированные угрозы и выбранные из них актуальные угрозы безопасности информации. Наша сегодняшняя лекция будет состоять из следующих разделов. Мы поговорим об организации защиты информации, сокращённо ЗИ, затем поговорим об организационных мерах защиты информации и, в частности, о законодательных, административных и организационно‐технических мерах. А также о таком классе мер защиты информации, как программно‐технические средства защиты информации, а конкретно об их подвидах — криптографических, стеганографических и методах и средствах технической защиты информации. Первым объектом нашего сегодняшнего разговора станет организация защиты информации. Мы обсудим некие принципиальные моменты построения системы защиты информации в организации. Для чего же, собственно, строится система защиты информации, каких целей стремятся достичь специалисты по защите информации, предпринимая различные меры и усилия? Прежде всего, стремятся снизить вероятность техногенных угроз. Практически любая автоматизированная система, располагающаяся на территории объекта информатизации, подвержена техногенным угрозам, то есть различным сбоям, выходам из строя оборудования, которые неизбежно приводят к нарушению, например, доступности информации в случае, если носитель информации полностью уничтожается. Либо сбои могут приводить к нарушению целостности, если в информацию вносятся случайные искажения по причине каких‐то аппаратных ошибок и программных сбоев или наоборот — аппаратных сбоев и программных ошибок. После того как вероятность техногенных угроз снижена, следующей целью, которую желательно достичь, является снижение ущерба от стихийных явлений. Опять же, практически любой объект информатизации им подвержен, даже самая небольшая организация не застрахована от наводнений, пожаров, различных подобного рода явлений, которые могут повлиять на здание, в котором она располагается. Поэтому снижение ущерба от стихийных явлений — ещё одна цель, которую желательно достичь. Далее, следующая цель по нарастанию — снижение вероятности угроз, реализуемых по причине халатности или недостаточной квалификации. Опять же, даже если конкретно злоумышленных нарушителей в модели не оказалось (организация, допустим, настолько небольшая и не привлекающая внимание даже конкурентов, что кроме каких‐то случайных лиц, действующих из интересов, других нарушителей нельзя вообразить), всё равно остаётся вероятность угроз, реализуемых по причине халатности или недостаточной квалификации персонала. То есть следующая задача по нарастанию актуальности — это исключение подобного рода угроз. Наконец, доходит очередь до нарушителей, действующих из любопытства или самоутверждения, опять же практически в любой организации нельзя исключать их наличия. Ну и наконец, после того как какие‐то минимальные меры защиты, защищающие от таких, скажем так, нецеленаправленных нарушителей, реализованы, последним этапом является защита от нарушителей, действующих преднамеренно и целенаправленно, то есть уже от серьёзных угроз и от серьёзных нарушителей, которые появляются действительно при построении модели каких‐то крупных или важных объектов информатизации, представляющих собой государственные учреждения, крупные коммерческие структуры, различные прибыльные организации, которые могут привлечь внимание конкурентов и подобных объектов информатизации. Среди различных категорий мер защиты информации мы выделим с вами следующие. Во‐первых, организационные меры защиты информации в широком смысле — это такие меры обеспечения защиты информации, которые представляют собой любые действующие на территории объекта информатизации правила, которые управляют доступом к информации, порядком работы с ней, а также в совокупности с этими правилами и меры обеспечения контроля исполнения таких правил. То есть и пропускной режим, и разграничения доступа пользователей в различные помещения и конформации, и регламент того, как должен предоставляться доступ к информации посетителям или клиентам организации, всё это попадает в эту категорию. Организационные меры защиты информации в ряде источников разделяются на законодательные меры защиты информации, административные меры защиты информации, организационно‐технические меры защиты информации, и иногда ещё выделяются морально‐этические меры защиты информации. Следующий класс, который мы рассмотрим, это криптографические меры защиты информации, также в широком смысле. Под ними будем понимать меры обеспечения защиты информации, представляющие собой преобразование информации, как правило, на основе секретного параметра, так, чтобы использовать эту информацию и получать к ней доступ могло только лицо, которое этим секретом владеет. Криптографические меры защиты информации включают алгоритмы шифрования, функции хэширования и схемы электронной цифровой подписи. Криптографические меры защиты информации, как, впрочем и часть организационных мер защиты информации, будут предметом отдельной лекции в дальнейшем в пределах нашего курса. Следующий класс — это меры технической защиты информации, они также будут основой отдельной лекции, и по ним будет подробный рассказ. Это меры обеспечения защиты информации от несанкционированного доступа с использованием приёмов технической разведки. Заключаются они в защите информации от утечек по техническим каналам утечки информации, и такие каналы основываются на физических основах процессов обработки и передачи информации пользователями и техническими средствами. Такие меры включают, как правило, специальное оснащение объекта информатизации, применение специфических средств защиты от несанкционированного съёма информации. Обычно для повышения их эффективности они применяются в комплексе с организационными мерами защиты информации, не ограничиваясь просто инструктированием пользователей по использованию таких средств защиты технической информации, но и включая также регламент использования пользователями различных объектов информации, проведения переговоров и подобного рода мероприятий. И наконец, последний, четвёртый крупный класс, который мы рассмотрим, это стеганографические меры защиты информации. Это меры обеспечения защиты информации, направленные на сохранение в секрете самого обстоятельства передачи информации или факт её наличия от всех лиц, не являющихся легальными пользователями информации. В ряде источников также выделяется такой обобщённый класс, как программно‐ технические меры защиты информации (в широком смысле). Под ними подразумеваются меры обеспечения защиты информации, заключающиеся в использовании специальных программных, аппаратных и программно‐аппаратных средств, входящих в состав информационной системы. Некий изъян такой классификации, в смысле выделения этого класса, заключается в том, что в него попадают любые по принципу действия средства информационной безопасности без раскрытия того, что же положено в их принцип: это и программная реализация шифрования, и программная реализация стеганографических мер защиты информации и любые иные программные и программно‐аппаратные комплексы, они в этот класс попадают. Тем не менее понятие программно‐технических мер защиты встречается во многих источниках, и мы его тоже рассматриваем. Таким образом, мы получаем две классификации. По принципу действия выделяем четыре больших класса — это организационные меры защиты информации, это любые правила и регламенты, криптографические меры защиты информации (преобразования на основе преобразований ключа), меры технической защиты информации (защиту от утечек по физическим каналам) и стеганографические меры зашиты информации (меры сокрытия самой информации или её передачи). Зачем требуется скрывать факт наличия информации или её передачи, мы уже в сегодняшней лекции этот вопрос затронем. И вторая классификация — это по способам осуществления, то есть по тому, что собой представляют меры защиты информации. Законодательные — то есть оформленные в виде каких‐то актов правительства, морально‐этические меры защиты информации — не являющиеся обязательными сложившиеся своды правил, кодексы поведения, нормативы, просто неписаные нормы, действующие в обществе. Например, в тех или иных учреждениях, в которых клиенты могут озвучивать свои персональные данные, например в банках, хорошим тоном является предлагать клиенту написать на листочке фамилию, имя, отчество для открытия вклада и для написания суммы для внесения на счет. Не очень хорошим, когда посетителя просят проговорить эти данные вслух, например, назвать свой номер телефона. Вот пример морально‐этической меры зашиты информации. Административные меры защиты информации — это различные регламенты и решения, и правила, установленные руководством организации. Организационно‐технические меры защиты информации — это меры защиты информации, предполагающие собственно обеспечение принятых на территории объекта информатизации правил, то есть физическая защита объекта информатизации, контроль доступа на его территорию и сотрудников в различные помещения. И наконец, программно‐технические меры защиты — это любые по принципу действия программные, технические или программно‐ технически и программно‐аппаратные комплексы. Если сопоставлять эти две классификации, получится примерно такая таблица сопоставления: организационные меры защиты информации в широком смысле включают в себя четыре категории из классификации по способам осуществления, зато наоборот, в класс программно‐технических мер защиты информации можно поместить программные или программно‐аппаратные реализации криптографических мер защиты информации, мер технической защиты информации и стеганографические меры защиты информации. [МУЗЫКА]