Дискілерді қорғау əдістері

Жұмыс түрі: Материал
Тегін: Антиплагиат
Көлемі: 430 бет
Таңдаулыға:

ҚАЗАҚСТАН РЕСПУБЛИКАСЫ БІЛІМ ЖƏНЕ ҒЫЛЫМ МИНИСТРЛІГІ

Қ. С. Аяжанов, А. С. Есенова

АҚПАРАТТЫҚ ҚАУІПСІЗДІК ЖƏНЕ АҚПАРАТТЫ ҚОРҒАУ

ОҚУЛЫҚ

Қазақстан Республикасы Білім жəне ғылым министрлігі бекіткен

Алматы, 2011

ƏОЖ 659. 2(075)

КБЖ 73 я 7

A 99

Пікір жазғандар:

экономика ғылымдарының докторы, профессор С . Байзақов ; педагогика ғылымдарының докторы, профессор М. Серік; педагогика ғылымдарының кандидаты, доцент М. М. Көккөз.

A 99

Аяжанов Қ. С., Есенова А. С.

Ақпараттық қауіпсіздік жəне ақпаратты қорғау : Оқулық.

Алматы: ЖШС РПБК «Дəуір», 2011. - 376 бет.

ISBN 978-601-217-249-2

Оқулықта ақпараттық жүйелердегі ақпаратты қорғау жүйелерін құру- дың теориялық негіздері жəне практикалық қолдануы қарастырылған. Ақпа- раттық жүйелерді жобалау мен пайдалануға қажет деректерді қорғауды жүзеге асыру принциптері, əдістері жəне құралдары сондай-ақ ақпаратты қорғау бойынша практикалық дағдыларды игеру зерделенген.

Оқулық оқыту жүйесінің кредиттік технологиясына негізделіп жазылып, əрбір тақырыбы дəрістерден, теориялық материалды тереңдете меңгеруі- не бағытталған компьютерде орындайтын тəжірибелік жұмыстардан, білім деңгейін бағалауға арналған бақылау сұрақтарынан, тақырып бойынша тест тапсырмаларынан тұрады.

Оқулық жоғары оқу орындарының ақпараттық жүйелер мамандығының студенттері мен оқытушыларына, сонымен қатар ақпараттық технологияға қызығушылық танытқан көпшілік қауымға арналған.

ISBN 978-601-217-249-2

ƏОЖ 659. 2(075)

КБЖ 73 я 7

© Қ. С. Аяжанов, А. С. Есенова., 2011

© ҚР Жоғары оқу орындарының қауымдастығы, 2011

КІРІСПЕ

Мəліметтерді өңдеудің автоматтандырылған жүйесін кеңінен пайдалану басталғанға дейін ақпараттардың қауіпсіздігіне ерек- ше түрде физикалық жəне əкімшілік шаралармен қол жеткізілді. Компьютерлердің пайда болуымен мəліметтердің файлдары мен бағдарламалық құралдарды қорғаудың автоматты құралдарын қолданудың қажеттілігі анық бола түсті. Қорғаудың автоматты құралдарын дамытудың кейінгі кезеңі мəліметтерді өңдеу мен компьютерлік желілердің бөлінген жүйелерінің жүзеге асуына байланысты жəне ондағы желілік қауіпсіздік құралдары бірінші кезекте желілер бойынша берілетін мəліметтерді қорғау үшін пайдаланылады.

Ақпараттық технологиялар саласындағы мемлекеттердің бір- бірімен қарама-қарсы күресі, қылмыстық құрылымдардың ақпа- раттық ресурстарды заңға қайшы пайдалануға ұмтылуы, ақпа- раттық аядағы азаматтардың құқықтарын қамтамасыз ету қажет- тілігі, көптеген кездейсоқ қауіп-қатерлердің болуы, қоғамды ақпа- раттандырудың материалдық негізі болып саналатын, ақпараттық жүйелердегі (АЖ) ақпараттардың қорғалуын қамтамасыз етудің өткір қажеттілігін туғызады.

Қазіргі іскерлік əлемде материалдық активтердің ақпараттық активтерге қарай миграциялану үдерісі жүріп жатыр. Ұйымдар- дың дамуына қарай оның ақпараттық жүйесі де күрделене түсуде жəне нарықтағы бəсекелестіктің үнемі өзгермелі жағдайларында бизнесті жүргізудің ең жоғары тиімділігін қамтамасыз ету оның негізгі міндеттері болып саналады.

Ақпаратты тауар ретінде қарастыра отырып, тұтастай ал- ғанда, ақпараттарға нұқсан келтіру материалдық шығындарға ұшыратады деп айтуға болады. Мысалы, бірегей өнім жасаудың технологиялық сырын ашу осыған ұқсас өнімнің пайда болуына əкеледі, бірақ, оны өзге өндіруші өндіреді жəне соның салдары-

нан, технологиялардың иесі, мүмкін автор нарықтың бір бөлігін жоғалтады жəне т. б. Екіншіден, ақпарат басқару субъектісі бо- лып саналады жəне оны өзгерту басқару объектісінде апаттық зардаптарға əкелуі мүмкін.

Осындай жағдайларда ақпараттарды оған рұқсат етілмеген қатынаудан қорғауға маңызды орын берілуі тиіс.

Мемлекетаралық ақпараттық қарсы тұрушылық күрестің өт- кірлігін қорғаныс аясынан байқауға болады жəне ақпараттық соғыстар оның жоғарғы формасы болып саналады. Осындай соғыстардың элементтері Таяу Шығыста жəне Балқандағы жер- гілікті соғыс қақтығыстарында осыған дейін орын алып үлгер- ді. Мəселен, НАТО əскерлері, ақпараттық қарудың көмегімен Ирактың əуеге қарсы қорғаныс жүйесін істен шығара алды. Са- рапшылардың болжауынша, альянс əскері, Француз фирмасынан Ирак сатып алған жəне əуе қорғанысы күштерінің автоматты басқару жүйесінде (АБЖ) пайдаланылған принтерлерге уақы- тылы енгізілген, бағдарламалық салымшыны пайдаланған.

Американың «Йорктаун» зымыран крейсері, Windows NT

(Government Computer News, шілде 1998) платформасында жұмыс істеген, бағдарламалық қамтамасыз етумен көптеген про- блемалардың болуынан еріксіз қайтып оралуына тура келді. Əс- кери техниканың құнын төмендету мақсатымен коммерциялық бағдарламалық қамтамасыз етуді барынша кеңінен пайдалану бойынша АҚШ əскери-теңіз флоты (ВМФ) бағдарламасының жа- нама əсері (эффектісі) осындай болды.

2005 жылдың сəуірінде Пентагон, интернетте жəне өзге электрондық желілерде қарсыластың белсенділігін басып та- стау оның міндетіне кіретін топ құрды. Осы топты ең жаңа жаб- дықтармен жəне бағдарламалық қамтамасыз етумен жабдықтау бағдарламасына миллиондаған долларлар жұмсау жоспарлану- да. Əскери хакерлік топ құру жөніндегі жобаны жүзеге асыру ту- ралы Қарулы күштер жөніндегі сенат Комитетінің отырысында ресми хабарланған болатын. Бұл туралы АҚШ Қорғаныс минис- трлігінің Стратегиялық командованиесінің өкілдері мəлімдеді. Олардың сөздері бойынша, Қарулы күштердің жаңа элементі желілік əскери қимылдардың құрылымдық компоненттерінің Біріккен командованиесі (Joint Functional Component Command

for Network Warfare - JFCCNW) деп аталады. JFCCNW міндетіне əскери қимылдар уақытында дұшпанның компьютерлік желіле- ріне бұзып кіру ғана емес, сонымен бірге, сондай-ақ Қорғаныс министрлігінің бүкіл америкалық желілерін қорғау кіреді. Мем- лекеттік желілерді, əсіресе, қорғаныс желілерін қорғаудың қа- жеттілігі көптен бері пісіп-жетілген болатын. Wired News де- ректері бойынша, Пентагон желілері ғана өткен жылы 75 реттен аса шабуылдарға ұшырады.

Ұйымдар, жекелеген азаматтар деңгейінде, ақпараттық қарсы тұру мəселесі де өткір тұр. Адам қызметінің бүкіл аяларына ко- мпьютерлерді жаппай енгізумен, электрондық түрде сақталатын ақпараттар көлемі мыңдаған есе өсті. Бүгінгі күні, қағаз кітаптан көшірме жасағанға немесе қайта жазуға қарағанда, жарты минут ішінде сканирлеу жəне өнімдер шығару жоспарынаң түратын бар файлы бар дискетті алып кету, анағұрлым оңай. Ал, компьютер- лік желілердің пайда болуымен тіпті компьютерге физикалық қолжетімділіктің болмауы, ақпараттардың сақталуына кепілдік болуын жойды деп айтуға болады.

Материалдық пайдалар алу үшін компьютерлік техноло- гиялардың үстінен бақылау жасауға қылмыстық элементтердің көптеген əрекеттері осы айтқандарымызды растайды. Халықа- ралық қылмыстық топтың ағылшын фирмаларын бопсалауы оқиғасын мысал ретінде келтіру жеткілікті болады. 1993-1996 жылдары қылмыскерлер 40 миллионнан аса фунт стерлингтер алды. Бопсалаушылар өздерінің мүмкіндіктерін көрсеткеннен кейін, бүкіл мəмілелерді тоқтату немесе фирмалардың ең жаңа əзірлемелеріне кіру мүмкіндігін алуды тоқтату үшін, оның құр- бандарының біржолғы рет 13 миллионға дейін фунт стерлинг- тер төлеулеріне тура келді. Ақшалар офшорлық аймақтарда ор- наласқан банктерге аударылды, ал қылмыскерлер сол жерлерден ақшаны санаулы минуттарда алып үлгерді.

2001 жылдың ақпанында Commerce One компаниясының екі бұрынғы қызметкері, əкімшінің паролін пайдаланып, шетелдік тапсырыс беруші үшін аса ірі (бірнеше миллиондаған долларға) жобаны құрайтын файлдарды серверден жойып жіберді. Олардың бақытына қарай, жобаның резервтік көшірмесі бар болып шықты. 2002 жылдың тамызында қылмыскерлер сотталды.

Бір студент, оның бөлмелес көршісі олардың ортақ жүйелік шығуын пайдаланып, өзінің құрбысының атынан стипендиядан бас тарту туралы электрондық хат жөнелтуден, Мичиган уни- верситетінде 18 мың доллар стипендиясын жоғалтты.

Ақпараттық қауіпсіздікпен (АҚ) байланысты, мəселенама- ларды талдау кезінде, ақпараттық қауіпсіздік ақпараттық тех- нологиялардың - жоғары қарқынымен дамушы салалардың құ- рамды бөлігінен тұратын қауіпсіздіктің аталған аспектісінің өзіндік ерекшелігін ескеру қажет. Бұл жерде қазіргі деңгейдегі жекелеген шешімдер (заңдар, оқу курстары, бағдарламалық-тех- никалық бұйым) ғана емес, сонымен қатар, техникалық ілгерілеу қарқынында өмір сүруге мүмкіндік беретін, жаңа идеалар берудің тетіктері маңызды болып саналады.

Өкінішке қарай, құрылым жасаудың заманауи технологияла- ры, қателіктерден тұрмайтын, күрделі ақпараттық жəне бағдар- ламалық құралдарға мүмкіндік бермейді жəне бұл ақпараттық қауіпсіздікті (АҚ) қамтамасыз ету құралдарын шапшаң дамытуға оң ықпал етпейді. Сенімді емес компоненттерді қатыстыра оты- рып, сенімді жүйелерді (ақпараттық қауіпсіздікті) құрылымдауға тура келетініне принципті түрде сүйену керек. Принципті түрде алғанда, бұл мүмкін, бірақ, белгілі бір архитектуралық принцип- тер мен ақпараттық жүйелердің (АЖ) өмірлік циклінің бүкіл ба- рысында қорғаушылық жай-күйін бақылауды қажет етеді.

Осылай, ақпараттардың қауіпсіздігін қамтамасыз ететін жү- йелер аса күрделі болып саналатындығы жəне проблемаларды сипаттау кезінде, сол сияқты оны шешу кезінде арнайы тəсіл- демелерді қажет ететіні анық бола түседі.

Сондай-ақ сенімді ақпараттар алуға, заңды қызметті жүзеге асыру мүдделерінде оны пайдалануға, сондай-ақ жеке бастың қауіпсіздігін қамтамасыз ететін ақпараттарды қорғауға азамат- тардың конституциялық құқығын қамтамасыз ету маңызды бо- лып саналады.

Бүкіл деңгейлерде ақпараттық қауіпсіздікті қамтамасыз ету проблемасы, егер, əзірлеуден қайта іске жаратуға дейін компь- ютерлік жүйелердің бүкіл өмірлік циклін жəне ақпараттарды жинау, сақтау, өңдеу жəне берудің бүкіл технологиялық тізбегін қамтитын ақпараттарды қорғаудың кешенді жұмысы құрылса

жəне жұмыс істесе, сол жағдайда ғана ойдағыдай шешілуі мүмкін. Қорғаудың осындай жүйесін құру мен жұмыс істеуін ұйымдастыру мəселелері осы оқу құралында қарастырылады. Ол оқырмандардың бойында, компьютерлік желілердегі ақпа- раттарды қорғау проблемасына тұтас, жүйелі көзқарас қалыптас- тыруға мүмкіндік беруі тиіс.

Ақпараттық қауіпсіздік ұлттық, салалық, корпоративтік неме- се дербес болсын, қандай деңгейде қарастырса да, ықпалдастық қауіпсіздіктің аса маңызды аспектілерінің бірі болып саналады.

Аталған объектінің ақпараттық қауіпсіздігін қамтамасыз ету жүйесін (СОИБ) құру қандай да бір болмасын объектінің ақпа- раттық қауіпсіздігін іске асыру мақсаты болып саналады.

МЕМСТ 350922-96-ға сəйкес, ақпараттарды қорғау - бұл қор- ғалатын ақпаратты рұқсат етілмеген жəне алдын ала ниет етпеген əрекеттерден қорғау, қорғалатын ақпараттардың сыртқа шығып кетуінің алдын алуға бағытталған қызмет.

Кəсіпорындарда немесе мемлекеттік мекемелерде ақпараттық қорларды жан-жақты қорғау мақсатында ақпараттық қауіпсіздіктің кешенді жүйесі құрылады.

Ақпараттық қауіпсіздік жүйесі жеке жəне тапсырыс беруші бизнесінің өзіндік ерекшелігіне негізделген болуы тиіс. Сон- дықтан ақпараттарды қорғау жүйесін құру нұсқалары өте көп жəне толықтай ықтимал жəне олар типтік шешімдер тізіміне кір- меуі тиіс. Ақпараттарды қорғау саласындағы өнімдер мен қыз- мет көрсетулер соның негізінде, ірі корпорациялар үшін шағын бизнестен ауқымды желілерге дейін шешу үшін, байланыс опе- раторлары үшін, əртүрлі салалардағы жəне қызмет түрлерін- дегі кəсіпорындар үшін шешетін кез келген күрделіліктегі ақпа- раттардың қорғалуын қамтамасыз етудің икемді жəне көлемді жүйесін құруға мүмкіндік береді.

1-тақырып. АҚПАРАТТЫ ЕНГІЗУ, ШЫҒАРУ, БЕРУ, ӨҢДЕУ ЖƏНЕ САҚТАУ АҚПАРАТТЫҚ ҮДЕРІСТЕРІН ЖҮЗЕГЕ АСЫРУ КЕЗІНДЕ АҚПАРАТТЫ ҚОРҒАУ

Дəрістің мəн-мəтіні

Мақсаты: Қорғау объектілерінің, əртүрлі ақпарат тасымал- дағыштарда қорғау элементтерінің жіктелуін, дискілерді қорғау əдістерін зерделеу

Дəріс жоспары

Қорғау нысандарын сыныптау
Ақпаратты қорғауға бағытталған шаралар
Дискілерді қорғау əдістері. Қорғаудың қарапайым тетіктері. Жетілдірілген жəне күрделі қорғау тетіктері
Windows амалдық жүйесі қауіпсіздік жүйесінің жұмыс істеуі

Негізгі түсініктер: Қорғау нысандары, ақпарат тасымалда- ғыштары, қорғау тетіктері, қауіпсіздік жүйесі

Тақырыптың мазмұны: Ақпараттық жүйенің қауіпсіздігі - бұл компьютерлік жүйеде қалыпты қызмет істеуді немесе аза- маттардың, кəсіпорындардың жəне мемлекеттің ақпаратты ие- лену құқығын бұзатын оқиғаларды, əрекеттерді болдырмауға ба- ғытталған ұйымдастыру жəне техникалық шаралар жүйесі болып табылады.

Қауіпсіздік жүйесі мыналардан қорғауға тиіс:

Табиғи қауіптер( дауыл, су тасқыны, өрт, жай түсу жəне т. б. ), бұлар не компьютерлік жүйенің физикалық зақымдануына, не ақпараттың жойылуына немесе бұрмалануына ( мысалы, элек- тромагниттік сəулелердің себебінен) əкеліп соғады.
Ақпараттық жүйеге қауіптің екінші түрітехникалық қам- тамасыздандырудың болады. Оған электрмен қоректену мəселелерін, компьютерлік аппаратура жұ- мысындағы ақауларды, жұмыс істеп тұрған техникадағы сəуленің бақылау аумағы шегінен шығып кетуін, оның байланыс арналары арқылы таралуын жатқызуға болады.
Ақырында, ақпараттық жүйелергеадамдарқауіп төндіреді. Бұл операторлар мен əкімшілердің байқамай қате жіберуі, осының нəтижесінде ақпараттың жоғалуы немесе жүйе жұмысында кіді- рістің болуы, сонымен қатар зиян келтіру үшін қасақана əрекет жасауы болуы мүмкін.

Ақпараттық жүйе немесе деректерді өңдеудің автоматтан- дырылған жүйесі (АСОД) (ДӨАЖ) ақпараттық қауіпсіздікті қамтамасыз ету объектісі болып саналады. Автоматтандырыл- ған жүйелерде ақпараттарды қорғауға арналған жұмыстарда, соң- ғы уақыттарға дейін, жиі түрде АЖ (ақпараттық жүйе) термині- мен алмастырылатын, ДӨАЖ (АСОД) термині қолданылып келді. Сонда, бұл термин ретінде нені түсінеміз?

Ақпараттық жүйе - бұл ақпаратты автоматтандырылған түр- де жинау, сақтау, өңдеу, беру жəне алуға арналған аппараттық жəне бағдарламалық құралдар, сондай-ақ жүйенің жұмысына қатысатын персонал кіретін кешен. Кейбір уақытта АЖ орнына

«компьютерлік жүйе» термині қолданылады, бұл АЖ-ның ағыл- шын тіліндегі аналогы болып саналады (ағылшынша «compute» - есептеу) .

«Ақпарат» терминімен қатар АЖ-ға жиі түрде «деректер» терминін пайдаланады. Жəне - «ақпараттық қорлар (ресустар) » ұғымы пайдаланылады. ҚР «Ақпараттандыру туралы» заңына сəйкес ақпараттық жүйелердегі (кітапханалардағы, мұрағаттар- дағы, қорлардағы, деректер банктеріндегі жəне өзге ақпараттық жүйелердегі) жекелеген құжаттар мен құжаттардың жекелеген массивтері ақпараттық қорлар (ресурстар) болып түсіндіріледі.

АЖ ұғымы өте кең жəне ол:

ЭЕМ бүкіл сыныптары мен тағайындалуларын;
есептеу кешендері мен жүйелерін;
есептеу желілерін (жергілікті, өңірлік жəне ауқымды) қам- тиды.

Жүйелердің осындай кең диапозоны екі себеп бойынша бір ұғымға біріктіріледі: біріншіден, бүкіл осы жүйелер үшін ақпараттарды қорғаудың негізгі проблемалары ортақ; екінші- ден, неғұрлым ұсақ жүйелер неғұрлым ірі жүйелердің элемент- тері болып саналады. Егер қандай да бір жүйелердегі ақпарат-

тарды қорғаудың өзіндік ерекшелігі болса, онда олар бөлек қа- растырылады.

Ақпарат, АЖ-ны қорғау заты болып саналады. Электрондық жəне электрондық-механикалық құрылғылар (ішкі жүйелер), сондай-ақ машиналық тасымалдаушылар ақпараттық жүйеде ақпараттардың өмір сүруінің материалдық негізі болып сана- лады. Енгізу құрылғысының немесе деректерді беру жүйесінің (ДБЖ) көмегімен ақпарат АЖ-ге түседі. Жүйеде ақпарат əртүрлі деңгейлердегі есте сақтайтын құрылғыларда сақталады про- цессорлармен (ПЦ) түрлендіріледі (өңделеді) жəне шығару құ- рылғысының немесе деректерді беру жүйесінің көмегімен жүйе- ден шығарылады. Қағаз, магниттік таспалар, əртүрлі дискілер машиналық тасымалдаушылар ретінде пайдаланылады. Бұрын- дары ақпараттардың машиналық тасымалдаушылары ретінде қағаз перфокарталар жəне перфотаспалар, магниттік барабандар жəне карталар пайдаланылған болатын. Ақпараттарды маши- налық тасымалдаушылар типтерінің көпшілігі алмалы-салмалы болып саналады, яғни құрылғыдан алынуы жəне құрылғыдан бөлек пайдаланылуы немесе сақталуы (таспалар, дискілер, қағаз) мүмкін.

Осылай, АЖ-де ақпараттарды қорғау (ақпараттардың қауіп- сіздігін қамтамасыз ету) үшін, құрылғыны (ішкі жүйелерді) жəне машиналық тасымалдаушыларды оған рұқсатсыз тиісуден қорғау қажет.

Бірақ, ақпараттарды қорғау көзқарасы тұрғысынан АЖ-ны осы тұрғыдан қарастыру толық болып саналмайды. Есептеу жүйелері адам-машиналық жүйелері сыныбына (тобына) жата- ды. Осындай жүйелерді мамандар (қызмет көрсететін персонал) пайдаланушылар мүдделері үшін қолданады. Əрі, соңғы жылда- ры пайдаланушылар жүйеге аса тікелей түрде қатынайды. Кейбір АЖ-де (мысалы, БЭЕМ) пайдаланушылар қызмет көрсететін персоналдың функцияларын орындайды. Қызмет көрсететін пер- сонал мен пайдаланушылар сондай-ақ ақпарат тасымалдаушылар болып саналады. Сондықтан рұқсатсыз əрекеттерден құрылғылар немесе тасымалдаушылар ғана емес, сондай-ақ қызмет көрсететін персонал жəне пайдаланушылар да қорғалуы қажет.

АЖ-дегі ақпараттарды қорғау проблемаларын шешу кезінде,

сондай-ақ жүйедегі адам факторының қарама-қайшылығын еске- ру қажет. Қызмет көрсететін персонал мен пайдаланушылар объекті, сол сияқты ақпаратқа рұқсатсыз əсер ету көзі де болуы мүмкін.

«Қорғау объектісі» немесе «объект» ұғымы жиі түрде не- ғұрлым кең мағынада түсіндіріледі. Шоғырландырылған АЖ немесе бөлінген жүйелер элементтері үшін «объект» ұғымына ақпараттық қорлар (ресурстар), ақпараттық, бағдарламалық құ- ралдар, қызмет көрсететін персонал, пайдаланушылар ғана емес, сонымен қатар тұрғынжай, ғимарат жəне тіпті, ғимараттың төңі- регіндегі аумақ та кіреді.

«Ақпараттар қауіпсіздігі» жəне «қорғалған есептеу жүйелері» ұғымы ақпараттарды қорғау теориясының негізгі ұғымдарының бірі болып саналады. «АЖ-дегі ақпараттар қауіпсіздігі (қорға- лушылығы) - бұл, мүмкін қауіп-қатерлерден ақпаратты қажетті деңгейде қорғау қамтамасыз етілетін, есептеу жүйелерінің бүкіл құраушысының осындай жай-күйі. Ақпараттар қауіпсіздігі қам- тамасыз етілетін есептеу жүйелері, қорғалған деп аталады.

АЖ-дегі ақпараттар қауіпсіздігі (ақпараттық қауіпсіздік) мемлекеттің, салалардың, ведомстволардың, мемлекеттік ұйым- дардың немесе жеке фирмалардың қауіпсіздігін қамтамасыз ету- дің негізгі бағыттарының бірі болып саналады.

Қабылданған қауіпсіздік саясатына сəйкес АЖ-дегі ақпарат- тардың қорғалушылығын қамтамасыз ететін, құқықтық норма- лардың, ұйымдық іс-шаралардың, техникалық, бағдарламалық жəне криптографиялық құралдардың бірыңғай кешені АЖ-дегі ақпараттарды қорғаудың ішкі жүйесі болып түсіндіріледі.

Меншік иесі, əртүрлі қауіп-қатерлерден қорғалуы тиіс, ақ- параттар құндылықтарының жиынын анықтайды. Қауіп-қа- терлер, құндылықтарды қорғау жүйелеріндегі əртүрлі осал тұс- тарды жəне ақпараттардың сыртқа шығып кету арналарын пайда- ланып, қарсыластар немесе оппоненттер жүзеге асыратын, ша- буылдар түрінде іске асырылады. Ақпараттық құндылықтарды ашу (құпиялылығын жою), оларды авторларынсыз түрлендіру (тұтастығын жою) немесе осы құндылықтарға қатынауды ав- торсыз жоғалту (қолжетімділікті жоғалту), қауіпсіздікті негізгі бұзушылықтар болып саналады.

Ақпараттық құндылықтардың меншік иелері қорғалатын қор- лардың (ресурстардың) осал тұстарын (ақпараттың шығып кету арналарын) жəне нақты төңірегінде орын алуы мүмкін, ықтимал шабуылдарды (осы шабуылдарды жүзеге асыру қауіп-қатерлері) талдайды. Осындай талдаудың нəтижесінде ақпараттық құнды- лықтардың аталған жиыны үшін тəуекелдер анықталады. Осын- дай талдау, қауіпсіздік саясатында айқындалған жəне қауіпсіздік тетіктерінің жəне сервистерінің көмегімен қамтамасыз етілетін қарсы шараларды таңдауды анықтайды. Қауіпсіздік тетіктері мен сервистерін қолданғаннан кейін де, жекелеген осал тұстар сақ- талуы мүмкін екенін ескеру қажет. Қауіпсіздік саясаты , олар пайдаланылатын, қорғалатын құндылықтар мен оның шеңберіне парапар, қауіпсіздік тетіктері мен сервистерінің келісімді жиын- тығын анықтайды.

1 - суретте ілгеріде қарастырылған ақпараттық қауіпсіздік ұғымдарының өзара байланысы көрсетілген.

Төмендегідей анықтама береміз: осалдық - соны пайдаланып шабуыл жасалуы мүмкін, жүйедегі əлсіз тұс.

Ақпараттың сыртқа шығып кету арнасы - хабарлағыш жəне ақпараттар беру ортасының жиынтығы.

Тəуекел - нақты шабуыл нақты осал тұсты пайдаланып жү- зеге асырылатындығы туралы ықтималдық.

Ақыр соңында, əрбір ұйым ол үшін рауалы тəуекел деңгейі туралы шешім қабылдауы тиіс. Бұл шешім ұйымда қабылданған қауіпсіздік саясатында көрініс табуы қажет.

Қауіпсіздік саясаты - ақпараттық құндылықтар ұйымдарда жəне ақпараттық жүйелер арасында қалай өңделетінін, қорға- латынын жəне таралатынын анықтайтын ереже, нұсқаулар жəне тəжірибелік дағдылар; қауіпсіздік сервистерін беру үшін крите- рийлер жиыны.

Қауіп-қатер - ақпараттық жүйенің қауіпсіздігін бұзатын əлеуетті мүмкін əрекет.

... жалғасы

Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.