[МУЗЫКА] Добрый день, уважаемые слушатели. В предыдущих лекциях мы с вами построили модель угроз безопасности информации и выделили актуальные угрозы безопасности. Сегодня мы с вами перейдем к рассмотрению различных мер обеспечения защиты информации как адекватной реакции на сформулированные угрозы и выбранные из них актуальные угрозы безопасности информации. Наша сегодняшняя лекция будет состоять из следующих разделов: мы поговорим об организации защиты информации (сокращенно ЗИ), затем поговорим об организационных мерах защиты информации, и, в частности, о законодательных, административных и организационно-технических мерах. А также о таком классе мер защиты информации, как программно-технические средства защиты информации, а конкретно об их подвидах — криптографических, стеганографических и методах, средствах технической защиты информации. Первым объектом нашего сегодняшнего разговора станет организация защиты информации. Мы обсудим некие принципиальные моменты построения системы защиты информации в организации. Для чего же, собственно, строится система защиты информации? Каких целей стремятся достичь специалисты по защите информации, предпринимая различные меры и усилия? Прежде всего стремятся снизить вероятность техногенных угроз. Практически любая автоматизированная система, располагающаяся на территории объекта информатизации, подвержена техногенным угрозам, то есть различным сбоям, выходам из строя оборудования, которые неизбежно приводят к нарушению, например, доступности информации в случае, если носитель информации полностью уничтожаются. Либо сбои могут приводить к нарушению целостности, если в информацию вносятся случайные искажения по причине каких-то аппаратных ошибок и программных сбоев. Или наоборот, аппаратных сбоев и программных ошибок. После того как вероятность техногенных угроз снижена, следующей целью, которой желательно достичь, является снижение ущерба от стихийных явлений. Опять же, практически любой объект информатизации им подвержен, даже самая небольшая организация не застрахована от наводнений, пожаров, различных подобного рода явлений, которые могут повлиять на здание, в котором она располагается. Поэтому снижение ущерба от стихийных явлений — еще одна цель, которую желательно достичь. Далее, следующая цель по нарастанию — снижение вероятности угроз, реализуемых по причине халатности или недостаточной квалификации. Опять же, даже если конкретных злоумышленных нарушителей в модели не оказалось, организация, допустим, настолько небольшая, не привлекающая внимание даже конкурентов, что, кроме каких-то случайных лиц, действующих из интереса, никаких других нарушителей нельзя вообразить, все равно остается вероятность угроз, реализуемых по причине халатности или недостаточной квалификации персонала. То есть следующая задача по нарастанию актуальности — это исключение подобного рода угроз. Наконец, доходит очередь до нарушителей, действующих из любопытства или самоутверждения. Опять же, практически в любой организации нельзя исключать их наличие. Ну и, наконец, после того как какие-то минимальные меры защиты, защищающие от таких нецеленаправленных нарушителей реализованы, последним этапом является защита от нарушителей, действующих преднамеренно и целенаправленно, то есть от серьезных угроз и от серьезных нарушителей, которые появляются действительно при построении модели каких-то крупных или важных объектов информатизации, представляющих собой государственные учреждения, крупные коммерческие структуры, различные прибыльные организации, которые могут привлечь внимание конкурентов, и подобных объектов информатизации. Среди различных категорий мер защиты информации мы выделим с вами следующие. Во-первых, организационные меры защиты информации в широком смысле. Это такие меры обеспечения защиты информации, которые представляют собой любые действующие на территории объекта информатизации правила, которые управляют доступом к информации и порядком работы с ней, а также, в совокупности с этими правилами, и меры обеспечения и контроля исполнения таких правил. То есть и пропускной режим, и разграничение доступа пользователей в различные помещения и к информации, и регламент того, как должен предоставляться доступ к информации посетителям или клиентам организации, — все это попадает в эту категорию. Организационные меры защиты информации в ряде источников разделяются на законодательные меры защиты информации, административные меры защиты информации, организационно-технические меры защиты информации, и иногда еще выделяются морально-этические меры защиты информации. Следующий класс, который мы рассмотрим, это криптографические меры защиты информации, также в широком смысле. Под ними будем понимать меры обеспечения защиты информации, представляющие собой преобразование информации, как правило, на основе секретного параметра, так, чтобы использовать эту информацию и получать к ней доступ могло только лицо, которое этим секретом владеет. Криптографические меры защиты информации включают алгоритмы шифрования, функции хэширования и схемы электронно-цифровой подписи. Криптографические меры защиты информации, как, впрочем, и часть организационных мер защиты информации, будут предметом отдельной лекции в дальнейшем в пределах нашего курса. Следующий класс — это меры технической защиты информации. Они также будут основой отдельной лекции, и по ним будет подробный рассказ. Это меры обеспечения защиты информации от несанкционированного доступа с использованием приемов технической разведки. Заключаются они в защите информации от утечек по техническим каналам утечки информации, и такие каналы основываются на физических основах процессов обработки и передачи информации пользователями и техническими средствами. Такие меры включают, как правило, специальное оснащение объекта информатизации, применение специальных технических средств защиты от несанкционированного съема информации. Обычно для повышения их эффективности они применяются в комплексе с организационными мерами защиты информации, не ограничиваясь просто инструктированием пользователей по использованию таких средств технической защиты информации, но и включая также регламент использования пользователями различных объектов информации, проведение переговоров и подобного рода мероприятий. И, наконец, последний, четвертый крупный класс, который мы рассмотрим — это стеганографические меры защиты информации. Это меры обеспечения защиты информации, направленные на сохранение в секрете самого обстоятельства передачи информации или факта ее наличия от всех лиц, не являющихся легальными пользователями информации. В ряде источников также выделяется такой обобщенный класс, как программно-технические меры защиты информации в широком смысле. Под ними подразумеваются меры обеспечения защиты информации, заключающиеся в использовании специальных программных, аппаратных и программно-аппаратных средств, входящих в состав информационной системы. Некий изъян такой классификации, в смысле выделения этого класса, заключается в том, что в него попадают любые по принципу действия средства информационной безопасности без раскрытия того, что же положено в их принцип. Это и программная реализация шифрования, и программная реализация стеганографических мер защиты информации, и любые иные программные и программно-аппаратные комплексы, они в этот класс попадают. Тем не менее, понятия программно-технических мер защиты встречается во многих источниках, и мы его тоже рассматриваем. Таким образом, мы получаем две классификации. По принципу действия выделяем четыре больших класса. Это организационные меры защиты информации — это любые правила и регламенты. Криптографические методы защиты информации — преобразование на основе ключа. Меры технической защиты информации — защита от утечек по физическим каналам. Стеганографические меры защиты информации — меры сокрытия самой информации или факта ее передачи. Зачем требуется скрывать факт наличия информации или ее передачи, мы уже в сегодняшней лекции этот вопрос затронем. И вторая классификация — это по способам осуществления, то есть по тому, что собой представляют меры защиты информации. Законодательные, то есть оформленные в виде каких-то актов правительства. Морально-этические меры защиты информации, не являющиеся обязательными сложившиеся своды правил, кодексы поведения, нормативы, просто неписанные нормы, действующие, в обществе. Например, в тех или иных учреждениях, в которых клиенты могут озвучивать свои персональные данные, например, в банках, хорошим тоном является предлагать клиенту написать на листочке фамилию, имя, отчество для открытия вклада и для написания суммы для внесения на счет. Не очень хорошим — когда посетителя просят проговорить эти данные вслух, например, назвать номер телефона. Вот пример морально-этической меры защиты информации. Административные меры защиты информации — это различные регламенты и решения, правила, установленные руководством организации. Организационно-технические меры защиты информации — это меры защиты информации, предполагающие, собственно, обеспечение принятых на территории объекта информатизации правил, то есть физическая защита объекта информатизации, контроль доступа сотрудников на его территорию и в различные помещения. И, наконец, программно-технические меры защиты — это любые по принципу действия программные, технические или программно-технические и программно-аппаратные комплексы. Если сопоставлять эти две классификации, получится примерно такая таблица сопоставления. Организационные меры защиты информации в широком смысле включают в себя четыре категории из классификации по способам осуществления, зато, наоборот, в класс программно-технических мер защиты информации можно поместить программные или программно-аппаратные реализации криптографических мер защиты информации, мер технической защиты информации и стеганографические меры защиты информации. [МУЗЫКА]
