Ақпараттық технологиялардың қауіпсіздігі және аса маңызды объектілерді қорғау
Қ.ЖҰБАНОВ АТЫННДАҒЫ АҚТӨБЕ ӨҢІРЛІК МЕМЛЕКЕТТІК УНИВЕРСИТЕТІ
МӘНЖАЗБА
Тақырыбы: Маңызды объект ұғымы. Аса маңызды объектілердің ақпараттарын қорғауды құқықтық реттеу негіздері
7М06101 - Информатика мамандығының 1курс магистранттары
Жұбатқан Гүлдана
Абдуллина Салтанат
2020г
Кіріспе
Ақпарат қауіпсіздігін қамтамасыз ету мәселесі, оны өңдеу технологиясы, құралдар мен жүйелер, олардың тасымалдаушылары ретінде электрониканың қазіргі түсінігінде пайда болғанға дейін пайда болды. Мәліметтер түріндегі ақпаратты беру оның көзінен шеттетілетін хабарламаға (өңдеуге) алдын ала түрлендірумен байланысты, демек, деструктивті әсерге ұшырауы мүмкін. Мұндай зиянкестің әрекеті де, сондай-ақ басқа да себептер де болуы мүмкін, мысалы, қоршаған ортаның әсері. Желзлдың көмегімен Сцитал коды түрінде шифрланған және біздің дәуірге дейін V ғасырда адресатқа берілетін хабарлама зиянкестер осындай жезлдың көмегімен ұстап қалу және шифрлеу ғана емес еді. Табиғи құбылыстарға немесе қандай да бір басқа себептерге байланысты жезлдің өзі зақымдалуы немесе жоғалуы мүмкін.
Электрониканың, есептеу техникасы құралдарының және телекоммуникация жүйелерінің пайда болуымен, деректерді қорғау, ақпараттық технологиялар, олардың құралдары мен ақпараттандыру жүйелерін іске асыратын мәселелер одан әрі өзекті болды. Ақпараттық қауіпсіздікті қамтамасыз ету мәселелеріндегі рөлді анықтайтын 1980 жылдардың ортасына дейін басым арналар коммутациясымен салыстырмалы төмен жылдамдықты байланыс желілері үшін криптография әдістері негізінде деректердің құпиялылығы мен тұтастығын қамтамасыз ету құралдары ойнады. Өткен ғасырдың соңғы ширегі пакеттік коммуникациялар негізінде деректерді беру технологияларын жасау және белсенді енгізу болып табылады. Мұндай технологияларды дамыту, TCPIP хаттамаларының стегі негізінде Интернет метаселін құру, оны адам қызметінің барлық салаларына белсенді енгізу, бір жағынан одан да өзекті болып, жаңа коммуникациялық технологиялардың көмегімен қолдау көрсетілетін ресурстардың ақпараттық қауіпсіздігі проблемасын шиеленістірді, екінші жағынан оның шешілуін айтарлықтай күрделендірді [1]. Аталған мән-жайларға байланысты Ұлттық қауіпсіздік тұрғысынан үлкен және күрделі ұйымдастырылған, маңызды объектілердің деструктивті ақпараттық әсерлерінен қорғау мәселелері ерекше маңызға ие болады. Әлемдік тәжірибеде мұндай объектілерді өте маңызды деп атауға болады.
Осы жарияланымның басты себебі мен мақсаты автордың осы жолда бар міндеттерге назар аударуы, объективті орын алған, оған белгілі және алдын ала апробациядан өткен, оларды шешу жолдарын белгілеу ниеті болып табылады.
1. Ақпараттық технологиялардың қауіпсіздігі және аса маңызды объектілерді қорғау
Соңғы 25 жылда Қоғамның қазіргі заманғы қажеттіліктеріне жауап беретін технологияларды, ресурстарды қорғау құралдары мен жүйелерін құру және жетілдіру (жаңарту) қарқынынан әлдеқайда озық келеді, олардың көмегімен қолдау көрсетіледі. Киберқылмыс, кибер-соғыс, кибертерроризм сияқты қазіргі заманғы ақпараттық технологияларды пайдалануға негізделген жаңа қауіптердің пайда болуын ескере отырып, соңғы жағдайды толық негіздегі Төтенше жағдайлар қатарына жатқызуға болады. Ол тек ықпал етіп қана қоймай, көбінесе әлемнің жекелеген мемлекеттерінің ұлттық қауіпсіздігінің жай-күйін, трансұлттық деңгейдегі қауіпсіздік мәселелерін айқындайды.
Деструктивті ақпараттық әсерлерден объектінің қауіпсіздігін қамтамасыз етуге бағытталған шаралар мен іс-әрекеттердің дәстүрлі жүйесінің мазмұны бірқатар жағдайларға (факторларға) байланысты. Олардың қатарына мыналар жатады: мақсаты; объектінің және оның қоршаған ортасының қасиеттері; қорғауға жататын активтер; олар ұшырауы мүмкін қауіптер және бұл ретте туындайтын тәуекелдер; әкімшілендіруші ұйымның объектісін активтерді беруге (пайдалануға) қатысы және олардың қауіпсіздігін қамтамасыз ету мақсаттары. Аталған факторларды зерделеу, жүйелеу және формаландыру нәтижесінде бақылаудағы объектінің қауіпсіздігін қамтамасыз ету құралдарына қойылатын талаптар осы бағыттағы практикалық іс-әрекеттер бағдарламасының негізі ретінде қалыптастырылады.
Жоғарыда аталған қорғау объектісінің ақпараттық қауіпсіздігін қамтамасыз етуге бағытталған шаралар жүйесі, әдетте, қазіргі заманғы математикалық аппаратты пайдалануды, есептеу техникасы мен телекоммуникация құралдарының "жұқа" сәулеттік-технологиялық ерекшеліктерін білуді, бірінші кезекте-Жүйелік бағдарламалау дағдыларының болуын болжайтын бірқатар жоғары технологиялық міндеттерді шешумен байланысты. Оны орындау айтарлықтай ресурс шығынын талап етеді, олар кейде объектінің өзін құруға кететін шығындармен өлшенеді.
Жоғарыда баяндалған мән-жайларды назарға ала отырып, ақпараттандыру объектісінің ақпараттық қауіпсіздігін қамтамасыз ету жүйесін құру туралы шешімді және оның мақсаттарын айқындауды алдын ала (жобалау алдындағы) зерттеулердің нәтижелерін талдау негізінде сарапшылар алқасы қабылдауы тиіс. Мұндай шешім үшін негіз ұлттық ақпараттық-телекоммуникациялық инфрақұрылым (жіптер) объектілерінің мәнділік деңгейлерінің тізбесіндегі (жүйесіндегі) талданатын объектінің санатын анықтау болуы мүмкін. Ақпараттық активтерді деструктивті әсерлерден қорғау объектілері ретінде жіктеудің ең жалпы тәсілдері оларды ашық және қол жетімділігі шектеулі, оның ішінде дербес деректер, қызметтік құпия, құпия және мемлекеттік құпия деп бөлетін құқықтық және нормативтік-регламенттеуші құжаттарды білдіреді. Мысалы, есептеуіш техника құралдарына (СВ), коммуникациялық жабдықтарға, автоматтандырылған жүйелерге (АС) қатысты санаттауға ұқсас тәсілдерді қолдануға болады [5, 6].
Жіп объектілерінің санатын анықтау тәсілдерінде (оларды қорғау жөніндегі талаптар жоспарында) онымен байланысты субъектіге келтірілуі мүмкін залал деңгейі (ауқымы) бастапқы сәт болады. Мұндай субъект ретінде елдегі қоғамдық қатынастардың қандай да бір саласын қолдайтын (материалдық, саяси, рухани, әлеуметтік, ақпараттық) жеке жеке (тұлға) немесе заңды тұлға, Инфрақұрылым элементі бола алады. Ресей Федерациясының Конституциясында жарияланған теңдікті және жеке адамның, қоғам мен мемлекеттің мүдделерінің өзара шарттылығын (үйлесімділігін) назарға ала отырып, мүдделердің осы сатысындағы басымдық жекелеген азаматтар мен жалпы қоғамның мүдделерін өзіне шоғырландыратын ұлттық мүдделерге беріледі.
Ұлттық мүдделердің тізбесінде жалпы ұлттық қауіпсіздік пен мемлекеттің ақпараттық қауіпсіздігі оның құрамдас бөліктерінің бірі ретінде басты рөл атқарады. Ақпараттық қауіпсіздік Доктринасында егжей-тегжейлі және жүйелендірілген оның сипаттамаларының егжей-тегжейлерінде тоқтамай, елдің ақпараттық қауіпсіздігін қолдаудағы басты орын-олардың мақсаты бойынша мемлекет үшін аса маңызды инфрақұрылымдардың жұмыс істеуін қолдайтын автоматтандырылған технологиялық үдерістер болып табылады. Олардың есептеуіш техника мен телекоммуникация құралдарын құрайтын осындай жүйелер жіптің өте маңызды объектілері деп аталады.
Осы жарияланым контекстіндегі аса маңызды объектілер (КВО) қатарына ішінара тозған немесе функционалдығын толық жоғалтқан жағдайда ұлттық қауіпсіздіктің жай-күйіне тікелей және салыстырмалы қысқа уақыт аралығында әсер ете алатын, мысалы, ведомствоаралық өзара іс-қимылды қолдайтын мемлекеттік жүйелердің энергия ресурстарын (Атом және су ресурстарын), қорғаныс жүйелерін, сыни өндірістерді, көлік ағындарын (темір жол, авиациялық), ақпараттық ағындарын және басқа да мемлекеттік жүйелердің ақпараттық ағындарын басқару жатады., оларға ұқсас.
Ақпараттық объектілер ретінде жоғарыда баяндалған пайымдауларды назарға ала отырып
қауіпсіздігі мемлекеттің жоғары басымдығы болып табылатын жіптің КВО қаралады.
2. Аса маңызды объектілердің ақпараттық қауіпсіздік деңгейін бағалау әдістемесі
Аса маңызды объектілердің деструктивті ақпараттық әсерлерден қорғалу дәрежесі көбінесе осындай объектілерді басқару процестерін автоматтандыруды қамтамасыз ететін жүйелерді құрайтын ақпараттық-есептеу және телекоммуникациялық құралдардың қорғалу деңгейімен айқындалады. Жоғарыда айтылғандай, мұндай жүйелер жіптің өте маңызды объектілері болып табылады. КВО қорғалу деңгейін бағалау туралы мәселені шешу кезінде олар талдауға жатады.
Классикалық көзқарастар тұрғысынан бақылаудағы объектінің ақпараттық қауіпсіздік деңгейі оның өмірлік циклінің әр түрлі кезеңдерінде пайдаланыла отырып бағалануы мүмкін:
- аналитикалық математикалық модельдер немесе Имитациялық модельдеу арқылы;
- нормативтік құжаттардың, стандарттардың және Ресей ФСТЭК (Федералдық техникалық және экспорттық бақылау қызметі) басшылық құжаттарының ережелері;
- алдын ала әзірленген тестілік сынақтар регламентіне (схемасына) сәйкес жүйелендірілген.
Олардың кепілді қорғалуын дәлелдейтін КВО басқару жүйелерінің математикалық модельдерін әзірлеу осындай жүйелердің ресурстарына қолжетімділікті басқару тетіктерін сипаттаудың қиындықтарына тап болады. Мұндай сипаттаманың қиындықтары, бірінші кезекте, біріншіден, объектіні қорғау құралдары кешенінде пайдаланылатын сәйкестендіру сервистерін (аутентификация, сүзу, қолжетімділікті логикалық шектеу, шифрлеу және басқалар) қоса алғанда, қолжетімділікті басқару механизмдерінің көптүрлілігімен байланысты. Бір талдамалы модель шеңберінде бақылаудағы жүйенің белгіленген ерекшеліктерінің ішінен тіпті базалық ерекшеліктерді есепке алуды және тиімді сипаттауды қамтамасыз ету, әдетте, мүмкін емес. Дегенмен, бұл сенім деңгейі жоғары жүйелерді құрудың ең сенімді тәсілдерінің бірі. Қауіпсіздікті қамтамасыз етудің күрделі ұйымдастырылған жүйесінің жекелеген элементтері үшін осындай модельдерді әзірлеу, бірыңғай үлкен модель шеңберінде олардың өзара іс-қимыл механизмдерін іздеу сөзсіз қызығушылық тудырады.
Жоғарыда аталған қиындықтарға аз дәрежеде Имитациялық модельдеу әдістерін пайдалана отырып, қорғауды талдау тәсілдері ұшырайды. Қазіргі уақытта күрделі желілік құрылымдарға және көппроцессорлық есептеуіш кешендерге қолданылатын модельдерді әзірлеу мен іске асырудың аспаптық құралдарының осындай модельдеудің (мысалы, [8, 9]) бай тәжірибесі жинақталған. Алайда барабар есеп
мұндай сортта пайда болатын Ақпараттық қарсы күрес процестері тек шабуылдардың барабар үлгілеріне, оның ішінде - қызмет көрсетуден бас тартуға есептелген (Destributed denial of Service DDoS) желілік ортаға бөлінген көпагентті, сондай-ақ оларға қарсы әрекет ететін қорғаныс құралдары мен жүйелерінің модельдеріне негізделуі мүмкін. Оларды іске асыру формальды модельдерді құру тұрғысынан күрделі ғана емес, сонымен қатар өте үлкен есептеу ресурстарын талап етеді. Бұл бағыттағы зерттеулер мен нәтижелер үлкен қызығушылық тудырады.
Кез келген мемлекеттің ақпараттық қауіпсіздігін қамтамасыз ету саласындағы практикалық қызметті жетілдіруге ықпал ететін маңызды факторлардың бірі әлемде қалыптасқан және сынақтан өткізілген стандарттар жүйесін және осындай қызметті нормативтік-регламенттейтін құжаттарды тиімді пайдалану болып табылады. Мұндай іс - әрекеттердің маңыздылығын түсінудің дәлелі мамандар ортасында кеңінен талқылау болып табылады, және нәтижесі ретінде-Ресей Федерациясында ақпараттық технологиялар өнімдерін әзірлеу, сүйемелдеу және дамыту кезеңдерінде оларды пайдалану үшін бірқатар халықаралық стандарттарды ұсынымдар ретінде қабылдау. Осы басылымда қарастырылатын пәндік сала контекстінде олардың ең маңыздысы: МЕМСТ Р ИСОМЭК 15408-1, 2, 3-2002 "қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялар қауіпсіздігін бағалау критерийлері; ГОСТ Р ИСОМЭК 13335-1-2006 "ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. 1-бөлім. Ақпараттық және телекоммуникациялық технологиялар Қауіпсіздігі Менеджментінің тұжырымдамасы мен модельдері"; МЕМСТ Р ИСОМЭК 17799-2005 "Ақпараттық технологиялар. Ақпараттық қауіпсіздікті басқарудың тәжірибелік ережелері".
Ресей Федерациясында осындай қызметті реттеуге арналған басқа да ресейлік нормативтік-регламенттеуші құжаттарға бірінші кезекте мыналар жатады::
1) мемлекеттік құпияны құрайтын мәліметтерді техникалық қорғау жөніндегі арнайы талаптар мен ұсынымдар (бет);
2) құпия ақпаратты техникалық қорғау жөніндегі арнайы талаптар мен ұсынымдар (стр-К);
3) МЕМСТ Р 50739-95 "есептеу техникасы құралдары. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Жалпы техникалық талаптар;
4) МЕМСТ Р 50922-96 "ақпаратты қорғау. Негізгі терминдер мен анықтамалар;
5) МЕМСТ Р 51188-98 "ақпаратты қорғау. Бағдарламалық құралдарды компьютерлік вирустардың болуына сынау. Типтік Нұсқаулық;
6) "есептеу техникасы және автоматика құралдарын қорғау тұжырымдамасы" басшылық құжаты-
ақпаратқа рұқсат етілмеген қол жеткізуден;
7) "ақпаратқа рұқсатсыз қол жеткізуден қорғау. Терминдер мен анықтамалар;
8) "есептеу техникасы құралдары. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Ақпаратқа рұқсатсыз қол жеткізуден қорғалу көрсеткіштері;
9) "автоматтандырылған жүйелер. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Автоматтандырылған жүйелерді жіктеу және ақпаратты қорғау бойынша талаптар;
10) "есептеу техникасы құралдары. Желіаралық экрандар. Рұқсатсыз қол жеткізуден қорғау. Ақпаратқа рұқсатсыз қол жеткізуден қорғалу көрсеткіштері;
11) "ақпаратқа рұқсатсыз қол жеткізуден қорғау. 1 бөлім. Ақпаратты қорғау құралдарын бағдарламалық қамтамасыз ету. Декларацияланбаған мүмкіндіктердің болмауын бақылау деңгейі бойынша жіктеу".
МЕМСТ Р ИСОМЭК 17799-2005, МЕМСТ Р ИСОМЭК 13335-1-2006, СТР, СТР-К және осыған ұқсас стандарттар қорғалуға жататын объектілер ресурстарын қауіпсіз пайдалану саясатын қалыптастыруға, олардың қорғалу деңгейін және оларға қарсы деструктивті әсерлерді іске асыру тәуекелдерін бағалауға жалпы көзқарастар береді. Сонымен қатар, бұл стандарттардың ережелері көбінесе сәулет-технологиялық және ұйымдық-әкімшілік позициялардан қарапайым объектілерге бағдарланған. Мұндай объектілердің қауіпсіздігін қамтамасыз ету шараларының тобы оны іске асыруға кешенді тәсілдің әрбір деңгейлерінде осы объектіге қызмет көрсететін бір ұйымның талаптары шеңберінде айқындалуы мүмкін. Шын мәнінде, жіптің КВО, әдетте, объектіге жалпы қатынасы оның жекелеген элементтері мен активтерін пайдалану шарттарына әртүрлі болатын бірнеше өзара іс-қимыл жасайтын ұйымдармен қызмет көрсетіледі. Мұндай қатынастарды үйлестіру, жалпы объект үшін ақпараттық қауіпсіздіктің бірыңғай саясатын қалыптастыру мақсатында жіптің КВО жеке элементтерінің қауіпсіздігін қамтамасыз етуге қойылатын талаптарды біріздендіру-жеке және өте маңызды міндет. Оны шешу тәсілдері жоғарыда аталған құжаттарда көрсетілмеген. Оны шешудің кейбір тәсілдері мен қиын ұйымдастырылған объектінің түрлі кіші жүйелеріндегі ақпараттық активтерге қолжетімділікті логикалық шектеу модельдерін біріктіру механизмдері түріндегі алғашқы нәтижелер [10, 11] ұсынылған.
МЕМСТ Р ИСО МЭК 15408-2002 стандарты ақпараттық технологиялардың қауіпсіздігіне қойылатын талаптардың жүйеленген каталогын сипаттайды. Оның ережелері тәртібін анықтайды және әдістемелік-
әзірлеу, сүйемелдеу және дамыту сатыларында Талаптарды беру кезінде, өнімдер мен ақпараттық технологиялар жүйелерін олардың қауіпсіздігі тұрғысынан бағалау және сертификаттау барысында пайдалану бойынша ұсынымдар. Бұл нормативтік құжат 2002 жылы қабылданды. Ол әлемнің әртүрлі елдерінде бұрын әзірленетін, мақсаты бойынша ұқсас басқа да бірқатар құжаттарда тұтастай баяндалған талаптарды қамтиды. Осы құжаттың бірінші бөлігінде мұндай жүйелерді сипаттау және бағалау үшін пайдаланылатын негізгі ұғымдар (функционалдық талаптар және сенім талаптары, қорғау бейіні, қауіпсіздік бойынша тапсырма және басқалар) ... жалғасы
МӘНЖАЗБА
Тақырыбы: Маңызды объект ұғымы. Аса маңызды объектілердің ақпараттарын қорғауды құқықтық реттеу негіздері
7М06101 - Информатика мамандығының 1курс магистранттары
Жұбатқан Гүлдана
Абдуллина Салтанат
2020г
Кіріспе
Ақпарат қауіпсіздігін қамтамасыз ету мәселесі, оны өңдеу технологиясы, құралдар мен жүйелер, олардың тасымалдаушылары ретінде электрониканың қазіргі түсінігінде пайда болғанға дейін пайда болды. Мәліметтер түріндегі ақпаратты беру оның көзінен шеттетілетін хабарламаға (өңдеуге) алдын ала түрлендірумен байланысты, демек, деструктивті әсерге ұшырауы мүмкін. Мұндай зиянкестің әрекеті де, сондай-ақ басқа да себептер де болуы мүмкін, мысалы, қоршаған ортаның әсері. Желзлдың көмегімен Сцитал коды түрінде шифрланған және біздің дәуірге дейін V ғасырда адресатқа берілетін хабарлама зиянкестер осындай жезлдың көмегімен ұстап қалу және шифрлеу ғана емес еді. Табиғи құбылыстарға немесе қандай да бір басқа себептерге байланысты жезлдің өзі зақымдалуы немесе жоғалуы мүмкін.
Электрониканың, есептеу техникасы құралдарының және телекоммуникация жүйелерінің пайда болуымен, деректерді қорғау, ақпараттық технологиялар, олардың құралдары мен ақпараттандыру жүйелерін іске асыратын мәселелер одан әрі өзекті болды. Ақпараттық қауіпсіздікті қамтамасыз ету мәселелеріндегі рөлді анықтайтын 1980 жылдардың ортасына дейін басым арналар коммутациясымен салыстырмалы төмен жылдамдықты байланыс желілері үшін криптография әдістері негізінде деректердің құпиялылығы мен тұтастығын қамтамасыз ету құралдары ойнады. Өткен ғасырдың соңғы ширегі пакеттік коммуникациялар негізінде деректерді беру технологияларын жасау және белсенді енгізу болып табылады. Мұндай технологияларды дамыту, TCPIP хаттамаларының стегі негізінде Интернет метаселін құру, оны адам қызметінің барлық салаларына белсенді енгізу, бір жағынан одан да өзекті болып, жаңа коммуникациялық технологиялардың көмегімен қолдау көрсетілетін ресурстардың ақпараттық қауіпсіздігі проблемасын шиеленістірді, екінші жағынан оның шешілуін айтарлықтай күрделендірді [1]. Аталған мән-жайларға байланысты Ұлттық қауіпсіздік тұрғысынан үлкен және күрделі ұйымдастырылған, маңызды объектілердің деструктивті ақпараттық әсерлерінен қорғау мәселелері ерекше маңызға ие болады. Әлемдік тәжірибеде мұндай объектілерді өте маңызды деп атауға болады.
Осы жарияланымның басты себебі мен мақсаты автордың осы жолда бар міндеттерге назар аударуы, объективті орын алған, оған белгілі және алдын ала апробациядан өткен, оларды шешу жолдарын белгілеу ниеті болып табылады.
1. Ақпараттық технологиялардың қауіпсіздігі және аса маңызды объектілерді қорғау
Соңғы 25 жылда Қоғамның қазіргі заманғы қажеттіліктеріне жауап беретін технологияларды, ресурстарды қорғау құралдары мен жүйелерін құру және жетілдіру (жаңарту) қарқынынан әлдеқайда озық келеді, олардың көмегімен қолдау көрсетіледі. Киберқылмыс, кибер-соғыс, кибертерроризм сияқты қазіргі заманғы ақпараттық технологияларды пайдалануға негізделген жаңа қауіптердің пайда болуын ескере отырып, соңғы жағдайды толық негіздегі Төтенше жағдайлар қатарына жатқызуға болады. Ол тек ықпал етіп қана қоймай, көбінесе әлемнің жекелеген мемлекеттерінің ұлттық қауіпсіздігінің жай-күйін, трансұлттық деңгейдегі қауіпсіздік мәселелерін айқындайды.
Деструктивті ақпараттық әсерлерден объектінің қауіпсіздігін қамтамасыз етуге бағытталған шаралар мен іс-әрекеттердің дәстүрлі жүйесінің мазмұны бірқатар жағдайларға (факторларға) байланысты. Олардың қатарына мыналар жатады: мақсаты; объектінің және оның қоршаған ортасының қасиеттері; қорғауға жататын активтер; олар ұшырауы мүмкін қауіптер және бұл ретте туындайтын тәуекелдер; әкімшілендіруші ұйымның объектісін активтерді беруге (пайдалануға) қатысы және олардың қауіпсіздігін қамтамасыз ету мақсаттары. Аталған факторларды зерделеу, жүйелеу және формаландыру нәтижесінде бақылаудағы объектінің қауіпсіздігін қамтамасыз ету құралдарына қойылатын талаптар осы бағыттағы практикалық іс-әрекеттер бағдарламасының негізі ретінде қалыптастырылады.
Жоғарыда аталған қорғау объектісінің ақпараттық қауіпсіздігін қамтамасыз етуге бағытталған шаралар жүйесі, әдетте, қазіргі заманғы математикалық аппаратты пайдалануды, есептеу техникасы мен телекоммуникация құралдарының "жұқа" сәулеттік-технологиялық ерекшеліктерін білуді, бірінші кезекте-Жүйелік бағдарламалау дағдыларының болуын болжайтын бірқатар жоғары технологиялық міндеттерді шешумен байланысты. Оны орындау айтарлықтай ресурс шығынын талап етеді, олар кейде объектінің өзін құруға кететін шығындармен өлшенеді.
Жоғарыда баяндалған мән-жайларды назарға ала отырып, ақпараттандыру объектісінің ақпараттық қауіпсіздігін қамтамасыз ету жүйесін құру туралы шешімді және оның мақсаттарын айқындауды алдын ала (жобалау алдындағы) зерттеулердің нәтижелерін талдау негізінде сарапшылар алқасы қабылдауы тиіс. Мұндай шешім үшін негіз ұлттық ақпараттық-телекоммуникациялық инфрақұрылым (жіптер) объектілерінің мәнділік деңгейлерінің тізбесіндегі (жүйесіндегі) талданатын объектінің санатын анықтау болуы мүмкін. Ақпараттық активтерді деструктивті әсерлерден қорғау объектілері ретінде жіктеудің ең жалпы тәсілдері оларды ашық және қол жетімділігі шектеулі, оның ішінде дербес деректер, қызметтік құпия, құпия және мемлекеттік құпия деп бөлетін құқықтық және нормативтік-регламенттеуші құжаттарды білдіреді. Мысалы, есептеуіш техника құралдарына (СВ), коммуникациялық жабдықтарға, автоматтандырылған жүйелерге (АС) қатысты санаттауға ұқсас тәсілдерді қолдануға болады [5, 6].
Жіп объектілерінің санатын анықтау тәсілдерінде (оларды қорғау жөніндегі талаптар жоспарында) онымен байланысты субъектіге келтірілуі мүмкін залал деңгейі (ауқымы) бастапқы сәт болады. Мұндай субъект ретінде елдегі қоғамдық қатынастардың қандай да бір саласын қолдайтын (материалдық, саяси, рухани, әлеуметтік, ақпараттық) жеке жеке (тұлға) немесе заңды тұлға, Инфрақұрылым элементі бола алады. Ресей Федерациясының Конституциясында жарияланған теңдікті және жеке адамның, қоғам мен мемлекеттің мүдделерінің өзара шарттылығын (үйлесімділігін) назарға ала отырып, мүдделердің осы сатысындағы басымдық жекелеген азаматтар мен жалпы қоғамның мүдделерін өзіне шоғырландыратын ұлттық мүдделерге беріледі.
Ұлттық мүдделердің тізбесінде жалпы ұлттық қауіпсіздік пен мемлекеттің ақпараттық қауіпсіздігі оның құрамдас бөліктерінің бірі ретінде басты рөл атқарады. Ақпараттық қауіпсіздік Доктринасында егжей-тегжейлі және жүйелендірілген оның сипаттамаларының егжей-тегжейлерінде тоқтамай, елдің ақпараттық қауіпсіздігін қолдаудағы басты орын-олардың мақсаты бойынша мемлекет үшін аса маңызды инфрақұрылымдардың жұмыс істеуін қолдайтын автоматтандырылған технологиялық үдерістер болып табылады. Олардың есептеуіш техника мен телекоммуникация құралдарын құрайтын осындай жүйелер жіптің өте маңызды объектілері деп аталады.
Осы жарияланым контекстіндегі аса маңызды объектілер (КВО) қатарына ішінара тозған немесе функционалдығын толық жоғалтқан жағдайда ұлттық қауіпсіздіктің жай-күйіне тікелей және салыстырмалы қысқа уақыт аралығында әсер ете алатын, мысалы, ведомствоаралық өзара іс-қимылды қолдайтын мемлекеттік жүйелердің энергия ресурстарын (Атом және су ресурстарын), қорғаныс жүйелерін, сыни өндірістерді, көлік ағындарын (темір жол, авиациялық), ақпараттық ағындарын және басқа да мемлекеттік жүйелердің ақпараттық ағындарын басқару жатады., оларға ұқсас.
Ақпараттық объектілер ретінде жоғарыда баяндалған пайымдауларды назарға ала отырып
қауіпсіздігі мемлекеттің жоғары басымдығы болып табылатын жіптің КВО қаралады.
2. Аса маңызды объектілердің ақпараттық қауіпсіздік деңгейін бағалау әдістемесі
Аса маңызды объектілердің деструктивті ақпараттық әсерлерден қорғалу дәрежесі көбінесе осындай объектілерді басқару процестерін автоматтандыруды қамтамасыз ететін жүйелерді құрайтын ақпараттық-есептеу және телекоммуникациялық құралдардың қорғалу деңгейімен айқындалады. Жоғарыда айтылғандай, мұндай жүйелер жіптің өте маңызды объектілері болып табылады. КВО қорғалу деңгейін бағалау туралы мәселені шешу кезінде олар талдауға жатады.
Классикалық көзқарастар тұрғысынан бақылаудағы объектінің ақпараттық қауіпсіздік деңгейі оның өмірлік циклінің әр түрлі кезеңдерінде пайдаланыла отырып бағалануы мүмкін:
- аналитикалық математикалық модельдер немесе Имитациялық модельдеу арқылы;
- нормативтік құжаттардың, стандарттардың және Ресей ФСТЭК (Федералдық техникалық және экспорттық бақылау қызметі) басшылық құжаттарының ережелері;
- алдын ала әзірленген тестілік сынақтар регламентіне (схемасына) сәйкес жүйелендірілген.
Олардың кепілді қорғалуын дәлелдейтін КВО басқару жүйелерінің математикалық модельдерін әзірлеу осындай жүйелердің ресурстарына қолжетімділікті басқару тетіктерін сипаттаудың қиындықтарына тап болады. Мұндай сипаттаманың қиындықтары, бірінші кезекте, біріншіден, объектіні қорғау құралдары кешенінде пайдаланылатын сәйкестендіру сервистерін (аутентификация, сүзу, қолжетімділікті логикалық шектеу, шифрлеу және басқалар) қоса алғанда, қолжетімділікті басқару механизмдерінің көптүрлілігімен байланысты. Бір талдамалы модель шеңберінде бақылаудағы жүйенің белгіленген ерекшеліктерінің ішінен тіпті базалық ерекшеліктерді есепке алуды және тиімді сипаттауды қамтамасыз ету, әдетте, мүмкін емес. Дегенмен, бұл сенім деңгейі жоғары жүйелерді құрудың ең сенімді тәсілдерінің бірі. Қауіпсіздікті қамтамасыз етудің күрделі ұйымдастырылған жүйесінің жекелеген элементтері үшін осындай модельдерді әзірлеу, бірыңғай үлкен модель шеңберінде олардың өзара іс-қимыл механизмдерін іздеу сөзсіз қызығушылық тудырады.
Жоғарыда аталған қиындықтарға аз дәрежеде Имитациялық модельдеу әдістерін пайдалана отырып, қорғауды талдау тәсілдері ұшырайды. Қазіргі уақытта күрделі желілік құрылымдарға және көппроцессорлық есептеуіш кешендерге қолданылатын модельдерді әзірлеу мен іске асырудың аспаптық құралдарының осындай модельдеудің (мысалы, [8, 9]) бай тәжірибесі жинақталған. Алайда барабар есеп
мұндай сортта пайда болатын Ақпараттық қарсы күрес процестері тек шабуылдардың барабар үлгілеріне, оның ішінде - қызмет көрсетуден бас тартуға есептелген (Destributed denial of Service DDoS) желілік ортаға бөлінген көпагентті, сондай-ақ оларға қарсы әрекет ететін қорғаныс құралдары мен жүйелерінің модельдеріне негізделуі мүмкін. Оларды іске асыру формальды модельдерді құру тұрғысынан күрделі ғана емес, сонымен қатар өте үлкен есептеу ресурстарын талап етеді. Бұл бағыттағы зерттеулер мен нәтижелер үлкен қызығушылық тудырады.
Кез келген мемлекеттің ақпараттық қауіпсіздігін қамтамасыз ету саласындағы практикалық қызметті жетілдіруге ықпал ететін маңызды факторлардың бірі әлемде қалыптасқан және сынақтан өткізілген стандарттар жүйесін және осындай қызметті нормативтік-регламенттейтін құжаттарды тиімді пайдалану болып табылады. Мұндай іс - әрекеттердің маңыздылығын түсінудің дәлелі мамандар ортасында кеңінен талқылау болып табылады, және нәтижесі ретінде-Ресей Федерациясында ақпараттық технологиялар өнімдерін әзірлеу, сүйемелдеу және дамыту кезеңдерінде оларды пайдалану үшін бірқатар халықаралық стандарттарды ұсынымдар ретінде қабылдау. Осы басылымда қарастырылатын пәндік сала контекстінде олардың ең маңыздысы: МЕМСТ Р ИСОМЭК 15408-1, 2, 3-2002 "қауіпсіздікті қамтамасыз ету әдістері мен құралдары. Ақпараттық технологиялар қауіпсіздігін бағалау критерийлері; ГОСТ Р ИСОМЭК 13335-1-2006 "ақпараттық технология. Қауіпсіздікті қамтамасыз ету әдістері мен құралдары. 1-бөлім. Ақпараттық және телекоммуникациялық технологиялар Қауіпсіздігі Менеджментінің тұжырымдамасы мен модельдері"; МЕМСТ Р ИСОМЭК 17799-2005 "Ақпараттық технологиялар. Ақпараттық қауіпсіздікті басқарудың тәжірибелік ережелері".
Ресей Федерациясында осындай қызметті реттеуге арналған басқа да ресейлік нормативтік-регламенттеуші құжаттарға бірінші кезекте мыналар жатады::
1) мемлекеттік құпияны құрайтын мәліметтерді техникалық қорғау жөніндегі арнайы талаптар мен ұсынымдар (бет);
2) құпия ақпаратты техникалық қорғау жөніндегі арнайы талаптар мен ұсынымдар (стр-К);
3) МЕМСТ Р 50739-95 "есептеу техникасы құралдары. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Жалпы техникалық талаптар;
4) МЕМСТ Р 50922-96 "ақпаратты қорғау. Негізгі терминдер мен анықтамалар;
5) МЕМСТ Р 51188-98 "ақпаратты қорғау. Бағдарламалық құралдарды компьютерлік вирустардың болуына сынау. Типтік Нұсқаулық;
6) "есептеу техникасы және автоматика құралдарын қорғау тұжырымдамасы" басшылық құжаты-
ақпаратқа рұқсат етілмеген қол жеткізуден;
7) "ақпаратқа рұқсатсыз қол жеткізуден қорғау. Терминдер мен анықтамалар;
8) "есептеу техникасы құралдары. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Ақпаратқа рұқсатсыз қол жеткізуден қорғалу көрсеткіштері;
9) "автоматтандырылған жүйелер. Ақпаратқа рұқсатсыз қол жеткізуден қорғау. Автоматтандырылған жүйелерді жіктеу және ақпаратты қорғау бойынша талаптар;
10) "есептеу техникасы құралдары. Желіаралық экрандар. Рұқсатсыз қол жеткізуден қорғау. Ақпаратқа рұқсатсыз қол жеткізуден қорғалу көрсеткіштері;
11) "ақпаратқа рұқсатсыз қол жеткізуден қорғау. 1 бөлім. Ақпаратты қорғау құралдарын бағдарламалық қамтамасыз ету. Декларацияланбаған мүмкіндіктердің болмауын бақылау деңгейі бойынша жіктеу".
МЕМСТ Р ИСОМЭК 17799-2005, МЕМСТ Р ИСОМЭК 13335-1-2006, СТР, СТР-К және осыған ұқсас стандарттар қорғалуға жататын объектілер ресурстарын қауіпсіз пайдалану саясатын қалыптастыруға, олардың қорғалу деңгейін және оларға қарсы деструктивті әсерлерді іске асыру тәуекелдерін бағалауға жалпы көзқарастар береді. Сонымен қатар, бұл стандарттардың ережелері көбінесе сәулет-технологиялық және ұйымдық-әкімшілік позициялардан қарапайым объектілерге бағдарланған. Мұндай объектілердің қауіпсіздігін қамтамасыз ету шараларының тобы оны іске асыруға кешенді тәсілдің әрбір деңгейлерінде осы объектіге қызмет көрсететін бір ұйымның талаптары шеңберінде айқындалуы мүмкін. Шын мәнінде, жіптің КВО, әдетте, объектіге жалпы қатынасы оның жекелеген элементтері мен активтерін пайдалану шарттарына әртүрлі болатын бірнеше өзара іс-қимыл жасайтын ұйымдармен қызмет көрсетіледі. Мұндай қатынастарды үйлестіру, жалпы объект үшін ақпараттық қауіпсіздіктің бірыңғай саясатын қалыптастыру мақсатында жіптің КВО жеке элементтерінің қауіпсіздігін қамтамасыз етуге қойылатын талаптарды біріздендіру-жеке және өте маңызды міндет. Оны шешу тәсілдері жоғарыда аталған құжаттарда көрсетілмеген. Оны шешудің кейбір тәсілдері мен қиын ұйымдастырылған объектінің түрлі кіші жүйелеріндегі ақпараттық активтерге қолжетімділікті логикалық шектеу модельдерін біріктіру механизмдері түріндегі алғашқы нәтижелер [10, 11] ұсынылған.
МЕМСТ Р ИСО МЭК 15408-2002 стандарты ақпараттық технологиялардың қауіпсіздігіне қойылатын талаптардың жүйеленген каталогын сипаттайды. Оның ережелері тәртібін анықтайды және әдістемелік-
әзірлеу, сүйемелдеу және дамыту сатыларында Талаптарды беру кезінде, өнімдер мен ақпараттық технологиялар жүйелерін олардың қауіпсіздігі тұрғысынан бағалау және сертификаттау барысында пайдалану бойынша ұсынымдар. Бұл нормативтік құжат 2002 жылы қабылданды. Ол әлемнің әртүрлі елдерінде бұрын әзірленетін, мақсаты бойынша ұқсас басқа да бірқатар құжаттарда тұтастай баяндалған талаптарды қамтиды. Осы құжаттың бірінші бөлігінде мұндай жүйелерді сипаттау және бағалау үшін пайдаланылатын негізгі ұғымдар (функционалдық талаптар және сенім талаптары, қорғау бейіні, қауіпсіздік бойынша тапсырма және басқалар) ... жалғасы
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz