Ақпараттық технологиялардың қауіпсіздігі және аса маңызды объектілерді қорғау

Жұмыс түрі: Реферат
Тегін: Антиплагиат
Көлемі: 13 бет
Таңдаулыға:

Қ. ЖҰБАНОВ АТЫННДАҒЫ АҚТӨБЕ ӨҢІРЛІК МЕМЛЕКЕТТІК УНИВЕРСИТЕТІ

МӘНЖАЗБА

Тақырыбы: Маңызды объект ұғымы. Аса маңызды объектілердің ақпараттарын қорғауды құқықтық реттеу негіздері

7М06101 - Информатика мамандығының 1курс магистранттары

Жұбатқан Гүлдана

Абдуллина Салтанат

2020г

Кіріспе

Ақпарат қауіпсіздігін қамтамасыз ету мәселесі, оны өңдеу технологиясы, құралдар мен жүйелер, олардың тасымалдаушылары ретінде электрониканың қазіргі түсінігінде пайда болғанға дейін пайда болды. Мәліметтер түріндегі ақпаратты беру оның көзінен шеттетілетін хабарламаға (өңдеуге) алдын ала түрлендірумен байланысты, демек, деструктивті әсерге ұшырауы мүмкін. Мұндай зиянкестің әрекеті де, сондай-ақ басқа да себептер де болуы мүмкін, мысалы, қоршаған ортаның әсері. Желзлдың көмегімен Сцитал коды түрінде шифрланған және біздің дәуірге дейін V ғасырда адресатқа берілетін хабарлама зиянкестер осындай жезлдың көмегімен ұстап қалу және шифрлеу ғана емес еді. Табиғи құбылыстарға немесе қандай да бір басқа себептерге байланысты жезлдің өзі зақымдалуы немесе жоғалуы мүмкін.

Электрониканың, есептеу техникасы құралдарының және телекоммуникация жүйелерінің пайда болуымен, деректерді қорғау, ақпараттық технологиялар, олардың құралдары мен ақпараттандыру жүйелерін іске асыратын мәселелер одан әрі өзекті болды. Ақпараттық қауіпсіздікті қамтамасыз ету мәселелеріндегі рөлді анықтайтын 1980 жылдардың ортасына дейін басым арналар коммутациясымен салыстырмалы төмен жылдамдықты байланыс желілері үшін криптография әдістері негізінде деректердің құпиялылығы мен тұтастығын қамтамасыз ету құралдары ойнады. Өткен ғасырдың соңғы ширегі пакеттік коммуникациялар негізінде деректерді беру технологияларын жасау және белсенді енгізу болып табылады. Мұндай технологияларды дамыту, TCP/IP хаттамаларының стегі негізінде Интернет метаселін құру, оны адам қызметінің барлық салаларына белсенді енгізу, бір жағынан одан да өзекті болып, жаңа коммуникациялық технологиялардың көмегімен қолдау көрсетілетін ресурстардың ақпараттық қауіпсіздігі проблемасын шиеленістірді, екінші жағынан оның шешілуін айтарлықтай күрделендірді [1] . Аталған мән-жайларға байланысты Ұлттық қауіпсіздік тұрғысынан үлкен және күрделі ұйымдастырылған, маңызды объектілердің деструктивті ақпараттық әсерлерінен қорғау мәселелері ерекше маңызға ие болады. Әлемдік тәжірибеде мұндай объектілерді өте маңызды деп атауға болады.

Осы жарияланымның басты себебі мен мақсаты автордың осы жолда бар міндеттерге назар аударуы, объективті орын алған, оған белгілі және алдын ала апробациядан өткен, оларды шешу жолдарын белгілеу ниеті болып табылады.

1. Ақпараттық технологиялардың қауіпсіздігі және аса маңызды объектілерді қорғау

Соңғы 25 жылда Қоғамның қазіргі заманғы қажеттіліктеріне жауап беретін технологияларды, ресурстарды қорғау құралдары мен жүйелерін құру және жетілдіру (жаңарту) қарқынынан әлдеқайда озық келеді, олардың көмегімен қолдау көрсетіледі. Киберқылмыс, кибер-соғыс, кибертерроризм сияқты қазіргі заманғы ақпараттық технологияларды пайдалануға негізделген жаңа қауіптердің пайда болуын ескере отырып, соңғы жағдайды толық негіздегі Төтенше жағдайлар қатарына жатқызуға болады. Ол тек ықпал етіп қана қоймай, көбінесе әлемнің жекелеген мемлекеттерінің ұлттық қауіпсіздігінің жай-күйін, трансұлттық деңгейдегі қауіпсіздік мәселелерін айқындайды.

Деструктивті ақпараттық әсерлерден объектінің қауіпсіздігін қамтамасыз етуге бағытталған шаралар мен іс-әрекеттердің дәстүрлі жүйесінің мазмұны бірқатар жағдайларға (факторларға) байланысты. Олардың қатарына мыналар жатады: мақсаты; объектінің және оның қоршаған ортасының қасиеттері; қорғауға жататын активтер; олар ұшырауы мүмкін қауіптер және бұл ретте туындайтын тәуекелдер; әкімшілендіруші ұйымның объектісін активтерді беруге (пайдалануға) қатысы және олардың қауіпсіздігін қамтамасыз ету мақсаттары. Аталған факторларды зерделеу, жүйелеу және формаландыру нәтижесінде бақылаудағы объектінің қауіпсіздігін қамтамасыз ету құралдарына қойылатын талаптар осы бағыттағы практикалық іс-әрекеттер бағдарламасының негізі ретінде қалыптастырылады.

Жоғарыда аталған қорғау объектісінің ақпараттық қауіпсіздігін қамтамасыз етуге бағытталған шаралар жүйесі, әдетте, қазіргі заманғы математикалық аппаратты пайдалануды, есептеу техникасы мен телекоммуникация құралдарының "жұқа" сәулеттік-технологиялық ерекшеліктерін білуді, бірінші кезекте-Жүйелік бағдарламалау дағдыларының болуын болжайтын бірқатар жоғары технологиялық міндеттерді шешумен байланысты. Оны орындау айтарлықтай ресурс шығынын талап етеді, олар кейде объектінің өзін құруға кететін шығындармен өлшенеді.

Жоғарыда баяндалған мән-жайларды назарға ала отырып, ақпараттандыру объектісінің ақпараттық қауіпсіздігін қамтамасыз ету жүйесін құру туралы шешімді және оның мақсаттарын айқындауды алдын ала (жобалау алдындағы) зерттеулердің нәтижелерін талдау негізінде сарапшылар алқасы қабылдауы тиіс. Мұндай шешім үшін негіз ұлттық ақпараттық-телекоммуникациялық инфрақұрылым (жіптер) объектілерінің мәнділік деңгейлерінің тізбесіндегі (жүйесіндегі) талданатын объектінің санатын анықтау болуы мүмкін. Ақпараттық активтерді деструктивті әсерлерден қорғау объектілері ретінде жіктеудің ең жалпы тәсілдері оларды ашық және қол жетімділігі шектеулі, оның ішінде дербес деректер, қызметтік құпия, құпия және мемлекеттік құпия деп бөлетін құқықтық және нормативтік-регламенттеуші құжаттарды білдіреді. Мысалы, есептеуіш техника құралдарына (СВ), коммуникациялық жабдықтарға, автоматтандырылған жүйелерге (АС) қатысты санаттауға ұқсас тәсілдерді қолдануға болады [5, 6] .

Жіп объектілерінің санатын анықтау тәсілдерінде (оларды қорғау жөніндегі талаптар жоспарында) онымен байланысты субъектіге келтірілуі мүмкін залал деңгейі (ауқымы) бастапқы сәт болады. Мұндай субъект ретінде елдегі қоғамдық қатынастардың қандай да бір саласын қолдайтын (материалдық, саяси, рухани, әлеуметтік, ақпараттық) жеке жеке (тұлға) немесе заңды тұлға, Инфрақұрылым элементі бола алады. Ресей Федерациясының Конституциясында жарияланған теңдікті және жеке адамның, қоғам мен мемлекеттің мүдделерінің өзара шарттылығын (үйлесімділігін) назарға ала отырып, мүдделердің осы сатысындағы басымдық жекелеген азаматтар мен жалпы қоғамның мүдделерін өзіне шоғырландыратын ұлттық мүдделерге беріледі.

Ұлттық мүдделердің тізбесінде жалпы ұлттық қауіпсіздік пен мемлекеттің ақпараттық қауіпсіздігі оның құрамдас бөліктерінің бірі ретінде басты рөл атқарады. Ақпараттық қауіпсіздік Доктринасында егжей-тегжейлі және жүйелендірілген оның сипаттамаларының егжей-тегжейлерінде тоқтамай, елдің ақпараттық қауіпсіздігін қолдаудағы басты орын-олардың мақсаты бойынша мемлекет үшін аса маңызды инфрақұрылымдардың жұмыс істеуін қолдайтын автоматтандырылған технологиялық үдерістер болып табылады. Олардың есептеуіш техника мен телекоммуникация құралдарын құрайтын осындай жүйелер жіптің өте маңызды объектілері деп аталады.

Осы жарияланым контекстіндегі аса маңызды объектілер (КВО) қатарына ішінара тозған немесе функционалдығын толық жоғалтқан жағдайда ұлттық қауіпсіздіктің жай-күйіне тікелей және салыстырмалы қысқа уақыт аралығында әсер ете алатын, мысалы, ведомствоаралық өзара іс-қимылды қолдайтын мемлекеттік жүйелердің энергия ресурстарын (Атом және су ресурстарын), қорғаныс жүйелерін, сыни өндірістерді, көлік ағындарын (темір жол, авиациялық), ақпараттық ағындарын және басқа да мемлекеттік жүйелердің ақпараттық ағындарын басқару жатады., оларға ұқсас.

Ақпараттық объектілер ретінде жоғарыда баяндалған пайымдауларды назарға ала отырып

қауіпсіздігі мемлекеттің жоғары басымдығы болып табылатын жіптің КВО қаралады.

2. Аса маңызды объектілердің ақпараттық қауіпсіздік деңгейін бағалау әдістемесі

Аса маңызды объектілердің деструктивті ақпараттық әсерлерден қорғалу дәрежесі көбінесе осындай объектілерді басқару процестерін автоматтандыруды қамтамасыз ететін жүйелерді құрайтын ақпараттық-есептеу және телекоммуникациялық құралдардың қорғалу деңгейімен айқындалады. Жоғарыда айтылғандай, мұндай жүйелер жіптің өте маңызды объектілері болып табылады. КВО қорғалу деңгейін бағалау туралы мәселені шешу кезінде олар талдауға жатады.

Классикалық көзқарастар тұрғысынан бақылаудағы объектінің ақпараттық қауіпсіздік деңгейі оның өмірлік циклінің әр түрлі кезеңдерінде пайдаланыла отырып бағалануы мүмкін:

- аналитикалық математикалық модельдер немесе Имитациялық модельдеу арқылы;

- нормативтік құжаттардың, стандарттардың және Ресей ФСТЭК (Федералдық техникалық және экспорттық бақылау қызметі) басшылық құжаттарының ережелері;

- алдын ала әзірленген тестілік сынақтар регламентіне (схемасына) сәйкес жүйелендірілген.

Олардың кепілді қорғалуын дәлелдейтін КВО басқару жүйелерінің математикалық модельдерін әзірлеу осындай жүйелердің ресурстарына қолжетімділікті басқару тетіктерін сипаттаудың қиындықтарына тап болады. Мұндай сипаттаманың қиындықтары, бірінші кезекте, біріншіден, объектіні қорғау құралдары кешенінде пайдаланылатын сәйкестендіру сервистерін (аутентификация, сүзу, қолжетімділікті логикалық шектеу, шифрлеу және басқалар) қоса алғанда, қолжетімділікті басқару механизмдерінің көптүрлілігімен байланысты. Бір талдамалы модель шеңберінде бақылаудағы жүйенің белгіленген ерекшеліктерінің ішінен тіпті базалық ерекшеліктерді есепке алуды және тиімді сипаттауды қамтамасыз ету, әдетте, мүмкін емес. Дегенмен, бұл сенім деңгейі жоғары жүйелерді құрудың ең сенімді тәсілдерінің бірі. Қауіпсіздікті қамтамасыз етудің күрделі ұйымдастырылған жүйесінің жекелеген элементтері үшін осындай модельдерді әзірлеу, бірыңғай үлкен модель шеңберінде олардың өзара іс-қимыл механизмдерін іздеу сөзсіз қызығушылық тудырады.

Жоғарыда аталған қиындықтарға аз дәрежеде Имитациялық модельдеу әдістерін пайдалана отырып, қорғауды талдау тәсілдері ұшырайды. Қазіргі уақытта күрделі желілік құрылымдарға және көппроцессорлық есептеуіш кешендерге қолданылатын модельдерді әзірлеу мен іске асырудың аспаптық құралдарының осындай модельдеудің (мысалы, [8, 9] ) бай тәжірибесі жинақталған. Алайда барабар есеп

мұндай сортта пайда болатын Ақпараттық қарсы күрес процестері тек шабуылдардың барабар үлгілеріне, оның ішінде - қызмет көрсетуден бас тартуға есептелген (Destributed denial of Service DDoS) желілік ортаға бөлінген көпагентті, сондай-ақ оларға қарсы әрекет ететін қорғаныс құралдары мен жүйелерінің модельдеріне негізделуі мүмкін. Оларды іске асыру формальды модельдерді құру тұрғысынан күрделі ғана емес, сонымен қатар өте үлкен есептеу ресурстарын талап етеді. Бұл бағыттағы зерттеулер мен нәтижелер үлкен қызығушылық тудырады.

Кез келген мемлекеттің ақпараттық қауіпсіздігін қамтамасыз ету саласындағы практикалық қызметті жетілдіруге ықпал ететін маңызды факторлардың бірі әлемде қалыптасқан және сынақтан өткізілген стандарттар жүйесін және осындай қызметті нормативтік-регламенттейтін құжаттарды тиімді пайдалану болып табылады. Мұндай іс - әрекеттердің маңыздылығын түсінудің дәлелі мамандар ортасында кеңінен талқылау болып табылады, және нәтижесі ретінде-Ресей Федерациясында ақпараттық технологиялар өнімдерін әзірлеу, сүйемелдеу және дамыту кезеңдерінде оларды пайдалану үшін бірқатар халықаралық стандарттарды ұсынымдар ретінде қабылдау. Осы басылымда қарастырылатын пәндік сала контекстінде олардың ең маңыздысы: МЕМСТ Р ИСО/МЭК 15408-1, 2, 3-2002 "қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялар қауіпсіздігін бағалау критерийлері»; ГОСТ Р ИСО/МЭК 13335-1-2006 "ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. 1-бөлім. Ақпараттық және телекоммуникациялық технологиялар Қауіпсіздігі Менеджментінің тұжырымдамасы мен модельдері"; МЕМСТ Р ИСО/МЭК 17799-2005 "Ақпараттық технологиялар. Ақпараттық қауіпсіздікті басқарудың тәжірибелік ережелері".

Ресей Федерациясында осындай қызметті реттеуге арналған басқа да ресейлік нормативтік-регламенттеуші құжаттарға бірінші кезекте мыналар жатады::

1) мемлекеттік құпияны құрайтын мәліметтерді техникалық қорғау жөніндегі арнайы талаптар мен ұсынымдар (бет) ;

2) құпия ақпаратты техникалық қорғау жөніндегі арнайы талаптар мен ұсынымдар (стр-К) ;

3) МЕМСТ Р 50739-95 "есептеу техникасы құралдары. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Жалпы техникалық талаптар»;

4) МЕМСТ Р 50922-96 "ақпаратты қорғау. Негізгі терминдер мен анықтамалар»;

5) МЕМСТ Р 51188-98 "ақпаратты қорғау. Бағдарламалық құралдарды компьютерлік вирустардың болуына сынау. Типтік Нұсқаулық»;

6) "есептеу техникасы және автоматика құралдарын қорғау тұжырымдамасы" басшылық құжаты-

ақпаратқа рұқсат етілмеген қол жеткізуден»;

7) "ақпаратқа рұқсатсыз қол жеткізуден қорғау. Терминдер мен анықтамалар»;

8) "есептеу техникасы құралдары. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Ақпаратқа рұқсатсыз қол жеткізуден қорғалу көрсеткіштері»;

9) "автоматтандырылған жүйелер. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Автоматтандырылған жүйелерді жіктеу және ақпаратты қорғау бойынша талаптар»;

10) "есептеу техникасы құралдары. Желіаралық экрандар. Рұқсатсыз қол жеткізуден қорғау. Ақпаратқа рұқсатсыз қол жеткізуден қорғалу көрсеткіштері»;

11) "ақпаратқа рұқсатсыз қол жеткізуден қорғау. 1 бөлім. Ақпаратты қорғау құралдарын бағдарламалық қамтамасыз ету. Декларацияланбаған мүмкіндіктердің болмауын бақылау деңгейі бойынша жіктеу".

МЕМСТ Р ИСО/МЭК 17799-2005, МЕМСТ Р ИСО/МЭК 13335-1-2006, СТР, СТР-К және осыған ұқсас стандарттар қорғалуға жататын объектілер ресурстарын қауіпсіз пайдалану саясатын қалыптастыруға, олардың қорғалу деңгейін және оларға қарсы деструктивті әсерлерді іске асыру тәуекелдерін бағалауға жалпы көзқарастар береді. Сонымен қатар, бұл стандарттардың ережелері көбінесе сәулет-технологиялық және ұйымдық-әкімшілік позициялардан қарапайым объектілерге бағдарланған. Мұндай объектілердің қауіпсіздігін қамтамасыз ету шараларының тобы оны іске асыруға кешенді тәсілдің әрбір деңгейлерінде осы объектіге қызмет көрсететін бір ұйымның талаптары шеңберінде айқындалуы мүмкін. Шын мәнінде, жіптің КВО, әдетте, объектіге жалпы қатынасы оның жекелеген элементтері мен активтерін пайдалану шарттарына әртүрлі болатын бірнеше өзара іс-қимыл жасайтын ұйымдармен қызмет көрсетіледі. Мұндай қатынастарды үйлестіру, жалпы объект үшін ақпараттық қауіпсіздіктің бірыңғай саясатын қалыптастыру мақсатында жіптің КВО жеке элементтерінің қауіпсіздігін қамтамасыз етуге қойылатын талаптарды біріздендіру-жеке және өте маңызды міндет. Оны шешу тәсілдері жоғарыда аталған құжаттарда көрсетілмеген. Оны шешудің кейбір тәсілдері мен қиын ұйымдастырылған объектінің түрлі кіші жүйелеріндегі ақпараттық активтерге қолжетімділікті логикалық шектеу модельдерін біріктіру механизмдері түріндегі алғашқы нәтижелер [10, 11] ұсынылған.

МЕМСТ Р ИСО / МЭК 15408-2002 стандарты ақпараттық технологиялардың қауіпсіздігіне қойылатын талаптардың жүйеленген каталогын сипаттайды. Оның ережелері тәртібін анықтайды және әдістемелік-

әзірлеу, сүйемелдеу және дамыту сатыларында Талаптарды беру кезінде, өнімдер мен ақпараттық технологиялар жүйелерін олардың қауіпсіздігі тұрғысынан бағалау және сертификаттау барысында пайдалану бойынша ұсынымдар. Бұл нормативтік құжат 2002 жылы қабылданды. Ол әлемнің әртүрлі елдерінде бұрын әзірленетін, мақсаты бойынша ұқсас басқа да бірқатар құжаттарда тұтастай баяндалған талаптарды қамтиды. Осы құжаттың бірінші бөлігінде мұндай жүйелерді сипаттау және бағалау үшін пайдаланылатын негізгі ұғымдар (функционалдық талаптар және сенім талаптары, қорғау бейіні, қауіпсіздік бойынша тапсырма және басқалар) анықталған. Бұдан басқа, осы бөлікте бағалау объектісі деп аталатын, олардың құралдары мен жүйелерін іске асыратын ақпараттық технологиялардың қауіпсіздігін бағалау жөніндегі негізгі әдістемелік ережелер келтірілген. Құжаттың екінші бөлігі бағалау объектісіне қойылатын функционалдық қауіпсіздік талаптарының жүйеленген жиынтығын қамтиды. Үшінші бөлім осындай объектінің қауіпсіздігіне деген сенімділік талаптарын сипаттауды және оған деген сенімнің бағалау деңгейлерін сипаттауды қамтиды. Сенім талаптары өнімдердің өмірлік циклінің немесе ақпараттық технологиялар жүйелерінің барлық кезеңдерінде қабылдануы тиіс шараларды қамтиды. Белгіленген контексте өте маңызды объектілерді басқарудың автоматтандырылған жүйелерінің құрамына кіретін негізгі элементтер үшін қызмет ету қауіпсіздігінің типтік қатерлерін және талаптарын анықтау үшін МЕМСТ Р ИСО/ МЭК 15408-2002 стандартының ережелерін пайдалану орынды болып табылады. Мұндай элементтер ретінде, мысалы, жұмыс станциялары, жергілікті есептеу желісін ұйымдастыруға арналған жабдықтар, қорғалған арналарды ұйымдастыруға арналған аппараттық-бағдарламалық құралдар, желіаралық экрандар, қолданбалы бағдарламалық қамтамасыз ету және т. б. қарастырылуы мүмкін. Мұндай қойылымда есепті шешу жөніндегі ұсыныстар мысалдармен ұсынылған және көрсетілген [12] . Сонымен қатар, осы шотқа бар, оның ішінде жоғарыда аталған стандарттар бірқатар позициялар бойынша функционалдылық тұрғысынан күрделі және сәулет-технологиялық жоспарда қорғауға жататын объектілерде өтетін технологиялық процестерді автоматтандыру және басқару жүйелеріне қойылатын қазіргі заманғы талаптарды қанағаттандырмайды, оның ішінде аса маңызды болып табылатындар. МЕМСТ Р ИСО/ МЭК 15408-2002 стандарттарында, Ресей ФСТЭК басшылық құжаттарында сияқты ақпараттық активтердің құпиялылығы мен тұтастығын қамтамасыз ету тұрғысынан ақпараттық қауіпсіздікті қамтамасыз ету, бағдарламалық қамтамасыз етуді декларацияланбаған мүмкіндіктерден қорғау және ақпаратты қорғаудың белгілі бір бағдарламалық-техникалық құралдарына (мысалы, желіаралық экрандарға) қойылатын талаптар тұрғысынан мәселелері қарастырылады. Алайда, келтірілген Тізбемен автоматтандырылған жүйелердің, оның ішінде аса маңызды объектілерді басқару жүйелерінің жұмыс істеу қауіпсіздігіне төнетін қауіптердің қазіргі заманғы ақпараттық технологияларын пайдалана отырып, әлеуетті қолданыстағы, техникалық іске асырылатын барлық тізімі таусылмайтынын атап өткен жөн. Қазіргі уақытта бар болуы автоматтандырылған жүйенің қорғалу жағдайына елеулі әсер ететін өзге сипаттағы қауіп-қатерлердің сыныптарын назарға алу қажет. Мұндай қауіптердің қатарына келесілерді жатқызуға болады:

- қызмет көрсетуден бас тартуға бөлінген шабуылдарды жүргізу қаупі;

- сәйкестендіру және аутентификация кіші жүйелерінде белсенді пайдаланылатын криптографиялық Алгоритмдер тұрақтылығының бұзылу қаупі;

- бағдарламалық қамтамасыз ету жұмысы кезінде басқа табиғаттың осалдықтары мен құпия емес мүмкіндіктерін іске асыру қаупі;

-пайдаланушының желілік қосымшалармен, мысалы, таратылған деректер базаларымен, веб-браузерлермен жұмыс істеу кезінде құпиялылықты бұзу қаупі.

Жоғарыда көрсетілген нормативтік құжаттарда бағдарламалық қамтамасыз етуді ішінара верификациялауды, оның ішінде формальды әдістерді пайдалана отырып жүргізу қажеттілігі атап өтіледі. Осы талаптарды іске асыру жоғарыда келтірілген қауіптердің бір бөлігін жоюға мүмкіндік береді, алайда оларды іс жүзінде іске асыру мәселелері қозғамайды. Сонымен қатар, бағдарламалық жасақтаманы формальды модельдерді пайдалана отырып верификациялауға негізделген, осыған байланысты туындайтын кейбір міндеттерді шешуге арналған [13-15] . Бұл бағыттағы зерттеулер жіптің КВО бағдарламалық қамтамасыз етуін әзірлеу және енгізу кезінде маңызды мәнге ие.

Деректердің құпиялылығы мен тұтастығына қауіп-қатерлерді іске асыруды болдырмауға бағытталған әдістер мен құралдар ерекше назар аударуға тұрарлық. Үлкен және, әдетте, КВО гетерогенді желілік ортасында бөлінген Ақпараттық активтерді қорғау жоспарында, пайдалану деректерді берудің қазіргі заманғы желілерін қамтамасыз ететін жылдамдықтарда тиімді жұмыс істеуге қабілетті сенімді криптографиялық хаттамалар жасауға мүмкіндік беретін тетіктерді, модельдерді және алгоритмдерді әзірлеу аса маңызды болып табылады.

ГОСТ Р ИСО/МЭК 15408-2002 [16-18] және ФСТЭК РФ басшылық құжаттарында ұсынылатын тәсілдер талданатын объектінің мақсаты саласына, қорғауға жататын активтердің сипатына, объектіге ілесіп жүретін ұйым тарапынан оларға қауіп-қатер мен қарым-қатынасқа, сондай-ақ қоршаған ортаның бірқатар басқа да элементтеріне қауіпсіздік мақсаттары мен оларға қол жеткізуді қамтамасыз ететін құралдарға қойылатын талаптарды орнатуға мүмкіндік береді. Осылайша, РФ ФСТЭК және МЕМСТ Р ИСО/ МЭК 15408 басшылық құжаттарының алдындағы басқа құжаттарда қолданылған тәсілдермен салыстырғанда, ақпараттық технологиялардың, құралдар мен жүйелердің қауіпсіздігін бағалауды белгілеу кезінде әмбебаптылықтың жоғары деңгейі сақталады. Алайда, осы құндылықпен қатар бағалаудың ақпараттылығы бір мезгілде төмендегенін атап өткен жөн, өйткені есептер немесе орта жағдайлардың кейбір өзгеруі кезінде бағалау нәтижелері қатаң түсінікте қолданушылықты жоғалтады. Функционалды жағынан және сәулет-технологиялық жағынан күрделі Автоматтандыру және объектілерде өтетін технологиялық процестерді басқару жүйелерін, оның ішінде аса маңызды болып табылатындарды талдау осы жүйелерді үлгі бұйымдар ретінде емес, перманентті өзгеретін жағдайларда жұмыс істейтін кешен ретінде қарастыру керектігін көрсетеді. Мұндай жүйеде компоненттердің құрылымы мен жиынтығы оның өмірлік циклі бойында өзгеруі мүмкін. Жоғарыда айтылғандарға байланысты: аталған факторларды ескеретін модельдер мен алгоритмдерді әзірлеу; олардың негізінде күрделі ұйымдастырылған объектінің жай-күйін деструктивті ақпараттық әсерлерден қорғалуы тұрғысынан талдау рәсімдерін автоматтандыру құралдарын құру.

Жүйенің қорғалуы оның компоненттерінің қауіпсіздігін қамтамасыз ету механизмдерінің қасиеттеріне ғана емес, олардың арасындағы өзара іс-қимылды қолдайтын құралдар мен оларды біріктіру тәсілдеріне де аз дәрежеде байланысты. Аталған жағдайларға байланысты, жүйенің жекелеген компоненттеріне қойылатын қауіпсіздік талаптарын әзірлеу бойынша "мета-талаптарды" беретін неғұрлым жоғары деңгейдегі кейбір модельді құру қажет. Мұндай компоненттерді зерттеу барысында " автоматтандырылған жүйелер. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Автоматтандырылған жүйелерді жіктеу және ақпаратты қорғау бойынша талаптар " [5] . Мұндай компоненттер осы құжат ережелерінің әрекет ету аясына кіреді, бұл үлкен жүйенің құрылымдық элементтері бойынша бөлінген қорғаныс құралдарының біркелкі Күшін алуға мүмкіндік береді. Мұндай тәсіл күрделі бөлінген ақпараттық-телекоммуникациялық кешендерге тән ерекшеліктерді ескереді. Сонымен қатар, ол ресейлік және халықаралық стандарттардың оң жақтарын пайдалануға мүмкіндік береді.

Ақпараттық технологиялар қауіпсіздігінің стандарттары мен нормативтік-регламенттеуші базасына қатысты жоғарыда баяндалған пайымдауларды назарға ала отырып, оларды жіптің КВО-ға қолдану тұрғысынан, осыдан туындайтын міндеттерді шешудің жоғары маңыздылығын тағы да атап өткен жөн.

... жалғасы

Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.