Ақпаратты қорғау құралдары

Жұмыс түрі: Дипломдық жұмыс
Тегін: Антиплагиат
Көлемі: 50 бет
Таңдаулыға:

Қазақстан Республикасының Білім және Ғылым министрлігі

Л. Н. Гумилев атындағы Еуразия ұлттық университеті

Тұрсын Дамир Бейбитұлы

Кибершабуылдар жағдайында ақпараттық жүйелердің тұрақтылығын арттыру жолдары

ДИПЛОМДЫҚ ЖҰМЫС

5В100200 - «Ақпараттық қауіпсіздік жүйелері» мамандығы

Нұр-Сұлтан 2022

Қазақстан Республикасының Білім және Ғылым министрлігі

Л. Н. Гумилев атындағы Еуразия ұлттық университеті

«Қорғауға жіберілді»

Кафедра меңгерушісі

к. ф. -м. н., Phd, доцент

Д. Ж. Сатыбалдина

ДИПЛОМДЫҚ ЖҰМЫС

Тақырыбы: « Кибершабуылдар жағдайында ақпараттық жүйелердің тұрақтылығын арттыру жолдары»

5В100200 - «Ақпараттық қауіпсіздік жүйелері» мамандығы

Орындаған: Тұрсын Д. Б.

Ғылыми жетекшісі: Ахметова Ж. Ж.

Нұр-Сұлтан 2022

Мазмұны

Кіріспе

1 Ақпараттық жүйелердің тұрақтылығы

1. 1 Ақпараттық жүйелердің тұрақтылығы ұғымы

1. 2 Кибершабуылдар түрлері

2. Кибершабуыл жасау себептері

2. 1 Ақ инцендентерге назар аудару

2. 2 Инциденттерге әрекет ету жөніндегі нұсқаулық және құралдар

3. Ақпараттық жүйелердің тұрақтылығын арттыру тәсілдері

3. 1 Қорғаныс жүйесін "Қара" және "Ақ" жәшік әдісі бойынша тестілеу.

3. 2 SIEM (Security Information and Event Management) жүйелері

3. 3 DLP (Data Loss Prevention) жүйесі

3. 4 Ақ оқиғасына жауап беру мысалы

Қорытынды

Қолданылған әдебиеттер

ПРИЛОЖЕНИЕ

Кіріспе

Ақпараттық жүйелердің қауіпсіздігі Ақпараттық жүйелер басшыларының алдында тұрған негізгі мәселелердің бірі болып қала береді. Дәстүрлі алаңдаушылық компьютерлерге және қоймаларға күштеп кіруден бастап өрт, жер сілкінісі, су тасқыны және дауылдың жойылуына дейін. Жақында Ақпараттық жүйелер мен деректерді кездейсоқ немесе қасақана рұқсатсыз кіруден, ашудан, өзгертуден немесе жоюдан қорғауға баса назар аударылды. Бұл оқиғалардың салдары сапаның нашарлауынан немесе клиенттерге қызмет көрсетудің бұзылуынан корпоративтік сәтсіздікке дейін болуы мүмкін. Ақпараттың негізгі қауіпсіздігі, олардың деректері үшін шексіз қауіп-қатердің алдын алу үшін олардың әдістері осы Қағидаларға сәйкес келетіндігін бағалау қажет.

Көптеген шешімдерді қауіпсіздік жүйелері үшін тәуекелдерді жоюға тырысатын бірнеше компания өз ұйымында ақпараттық қауіпсіздік тіректерін бекіту арқылы қолданады, өйткені біздің сандық ғасырда ақпаратқа ие адам билікке ие.

Инцидент туындаған кезде ақ жауапты қызметкерлерден инциденттен болатын залалды барынша азайтуға және зиянкестерді қылмыстық қудалау үшін дәлелдер жинауға мүмкіндік беретін жылдам және нақты қадамдар талап етіледі. Осы қадамдарды қатесіз орындау үшін АҚ сарапшылары жасаған АҚ инциденттеріне әрекет ету жөніндегі нұсқаулықтың болуы қажет. Егер АҚ-ға жауапты бөлімшелердің қызметкерлері туындаған инцидентке қалай әрекет ету керектігін және тергеу жүргізу үшін қажетті деректерді жедел жинауды қалай қамтамасыз етуді білмесе, шабуыл жасаған ұйым айтарлықтай шығындарға ұшырайды. АҚ инциденттеріне әрекет етудегі қателер шабуылдаушының шабуыл мақсаттарына жетуіне әкеледі және оған АЖ-да өзінің болуының іздерін жоюға мүмкіндік береді.

ДОБАВИТЬ ЦЕЛЬ И ЗАДАЧИ ДИПЛОМНОЙ РАБОТЫ

«Л. Н. Гумилев атындағы Еуразия ұлттық университеті» КеАҚ

Ақпараттық технологиялар факультеті

Ақпараттық қауіпсіздік кафедрасы

Ақпараттық қауіпсіздік жүйелері білім беру бағдарламасы

Бекітемін

Ақпараттық қауіпсіздік

кафедрасының меңгерушісі

ф. -м. ғ. к., профессор

Сатыбалдина Д. Ж.

« 16 » 01 20 22 ж.

Дипломдық жұмысты (жобаны) орындауға ТАПСЫРМА

Студент ФИО, 4 курс, АҚЖ-45, Ақпараттық қауіпсіздік жүйелері білім беру бағдарламасы, күндізгі оқу бөлімі

Дипломдық жұмыстың (жобаның) :Кибершабуылдар жағдайында ақпараттық жүйелердің тұрақтылығын арттыру жолдары

№ 47-п ректордың бұйрығымен бекітілген « 14 » 01 20 22 ж.

Білім алушының аяқталған жұмысты тапсыру мерзімі «17»052022 г.
Жұмысқа қажетті бастапқы деректер (заңдар, әдебиет көздері, зертханалық және өндірістік мәліметтер)
Дипломдық жұмыста (жобада) жасалатын тақырыптар тізімі

-Ақпараттық жүйелердің тұрақтылығы

-Кибершабуыл жасау себептері

-Ақпараттық жүйелердің тұрақтылығын арттыру тәсілдері

-Қорытынды

Графикалық материалдар тізбесі (сызбалар, кестелер, диаграммалар және т. б. ) 21 сурет
Ұсынылатын негізгі әдебиеттер тізімі

1. Ермаков А. А. Основы надежности информационных систем: учебное пособие. - Иркутск: ИрГУПС, 2006. - 151с.

2. Г. В. Ващенко, Б. С. Добронец Надежность информационных систем:

Лабораторный практикум, 2008. - 104 с.

3. Монахов, Ю. М.

4. Функциональная устойчивость информационных систем. В 3 ч. Ч. 1. Надежность программного обеспечения : учеб. пособие / Ю. М. Монахов ; Владим. гос. ун-т. - Владимир : Издво Владим. гос. ун-та, 2011. - 60 с.

Жұмыс бойынша кеңестер (оларға қатысты жұмыс бөлімдерін көрсете отырып)

Бөлімнің (тараудың) нөмірі, атауы

Ғылыми жетекші, консультант

Тапсырманы алу мерзімі

Тапсырма берілді (қолы)

Тапсырма қабылданды (қолы)

Бөлімнің (тараудың) нөмірі, атауы: Кіріспе

Ғылыми жетекші, консультант:

Тапсырманы алу мерзімі: 16. 01. 2022

Тапсырма берілді (қолы):

Тапсырма қабылданды (қолы):

Бөлімнің (тараудың) нөмірі, атауы: Негізгі бөлім

Ғылыми жетекші, консультант:

Тапсырманы алу мерзімі: 14. 02. 2022

Тапсырма берілді (қолы):

Тапсырма қабылданды (қолы):

Бөлімнің (тараудың) нөмірі, атауы: Практикалық бөлім

Ғылыми жетекші, консультант:

Тапсырманы алу мерзімі: 21. 01. 2022

Тапсырма берілді (қолы):

Тапсырма қабылданды (қолы):

Бөлімнің (тараудың) нөмірі, атауы: Қорытынды

Ғылыми жетекші, консультант:

Тапсырманы алу мерзімі: 20. 03. 2022

Тапсырма берілді (қолы):

Тапсырма қабылданды (қолы):

Бөлімнің (тараудың) нөмірі, атауы: Қолданылған әдебиеттер тізімі

Ғылыми жетекші, консультант:

Тапсырманы алу мерзімі: 26. 03. 2022

Тапсырма берілді (қолы):

Тапсырма қабылданды (қолы):

Бөлімнің (тараудың) нөмірі, атауы: Нормабақылау

Ғылыми жетекші, консультант: Токкулиева А. К.

Тапсырманы алу мерзімі: 14. 05. 2022

Тапсырма берілді (қолы):

Тапсырма қабылданды (қолы):

Дипломдық жұмысты (жобаны) орындау кестесі

№

Жұмыс кезеңдері

Жұмыс кезеңдерін орындау мерзімдері

Ескерту

№:

1

Жұмыс кезеңдері:

Дипломдық жұмыстың (жобаның) тақырыбын бекіту

Жұмыс кезеңдерін орындау мерзімдері: 14. 01. 2022

Ескерту:

№:

2

Жұмыс кезеңдері:

Дипломдық жұмысты (жобаны) дайындау үшін материалдар жинау

Жұмыс кезеңдерін орындау мерзімдері: 16. 01. 2022

Ескерту:

№:

3

Жұмыс кезеңдері:

Дипломдық жұмыстың (жобаның) теориялық бөлігін дайындау (1-бөлім)

Жұмыс кезеңдерін орындау мерзімдері: 16. 02. 2022

Ескерту:

Практикаға кеткенге дейін

№:

4

Жұмыс кезеңдері:

Дипломдық жұмыстың (жобаның) талдамалық бөлігін (2-3-бөлімдер) дайындау

Жұмыс кезеңдерін орындау мерзімдері: 27. 02. 2022

Ескерту:

Практика кезінде

№:

5

Жұмыс кезеңдері:

Дипломдық жұмыстың (жобаның) толық мәтінінің жоба нұсқасын аяқтау

Жұмыс кезеңдерін орындау мерзімдері: 21. 03. 2022

Ескерту:

Практика аяқталғаннан кейінгі бірінші аптада

№:

6

Жұмыс кезеңдері:

Алдын ала қорғауға дипломдық жұмысты (жобаны) ұсыну

Жұмыс кезеңдерін орындау мерзімдері: 13. 04. 2022

Ескерту:

Шолу дәрістері

(консультациялар) кезінде

№:

7

Жұмыс кезеңдері:

Дипломдық жұмысты (жобаны) ұсыну рецензияға

Жұмыс кезеңдерін орындау мерзімдері: 14. 05. 2022

Ескерту:

№:

8

Жұмыс кезеңдері:

Ғылыми жетекшінің пікірімен және рецензиясымен дипломдық жұмыстың (жобаның) түпкілікті нұсқасын ұсыну

Жұмыс кезеңдерін орындау мерзімдері: 25. 05. 2022

Ескерту:

№:

9

Жұмыс кезеңдері:

Дипломдық жұмысты қорғау (жобаның)

Жұмыс кезеңдерін орындау мерзімдері: 13. 06. 2022

Ескерту:

МАК кестесіне сәйкес

Тапсырманың берілген күні « 16 » 01 2022 ж.

Ғылыми жетекші

қолы, Т. А. Ә., ғылыми атағы, лауазымы

Тапсырманы қабылдады: студент

қолы Т. А. Ә.

Ақпараттық жүйелердің тұрақтылығы

Ақпараттық жүйенің тұрақтылығы

Ақпараттық жүйенің тұрақтылығы деп бастапқы бағдарламалардың қателері, қызметкерлер мен пайдаланушылардың дұрыс емес әрекеттері, бағдарламалық жасақтаманың анықталмаған қателері, жабдықтың істен шығуы және істен шығуы сияқты тұрақсыздық факторларының әсерінен Шығыс реакцияларын спецификацияда белгіленген төзімділік шегінде сақтай отырып, қажетті ақпаратты түрлендіруді жүзеге асыру қасиеті түсініледі. Әдеттегідей, әдеттегі жүйе үшін 99, 5% - ға тең сенімділік жеткілікті (әдетте артық компоненттері бар серверлік жүйелер), ал оның бір жылдағы жұмыс уақыты шамамен 43 сағатты құрауы мүмкін. Ақпараттық жүйелердің жоғары әзірлік деңгейі үшін 99, 9 % (кластерлік жүйелер, бірақ апаттарға орнықтылық функцияларынсыз) көрсеткіші қажет, бұл жылына 8 сағаттық тоқтап тұруға сәйкес келеді. Сонымен, апатқа төзімді жүйелер үшін өнімділік көрсеткіші 99, % құрайды (жылына 32 секундтан аспайды) .

Ақпараттық қауіпсіздікті анықтау

Ақпараттық қауіпсіздік стратегиясын жасамас бұрын, қорғаудың белгілі бір әдістері мен әдістерін қолдануға мүмкіндік беретін тұжырымдаманың негізгі анықтамасын қабылдау қажет.

Саланың тәжірибешілері ақпараттық қауіпсіздік деп ақпаратпен байланысты процестердің табиғи және жасанды сипаттағы қасақана немесе байқаусызда болатын әсерлерге тұтастығы мен тұрақтылығын қамтамасыз ететін ақпараттың, оның тасымалдаушыларының және инфрақұрылымының тұрақты қауіпсіздігін түсінуді ұсынады. Әсер ету ақпараттық қатынастар субъектілеріне зиян келтіруі мүмкін АҚ қатерлері түрінде жіктеледі.

Осылайша, ақпаратты қорғау деп нақты немесе болжамды АҚ-қатерлердің алдын алуға, сондай-ақ инциденттердің салдарын жоюға бағытталған құқықтық, әкімшілік, ұйымдастырушылық және техникалық шаралар кешені түсініледі. Ақпаратты қорғау процесінің үздіксіздігі ақпараттық циклдің барлық кезеңдерінде: ақпаратты жинау, сақтау, өңдеу, пайдалану және беру процесінде қауіптермен күресуге кепілдік беруі керек.

Бұл мағынада ақпараттық қауіпсіздік жүйенің жұмыс қабілеттілігінің сипаттамаларының біріне айналады. Уақыттың әр сәтінде жүйе қауіпсіздіктің өлшенетін деңгейіне ие болуы керек және жүйенің қауіпсіздігі жүйенің өмір сүру кезеңіндегі барлық уақыт кезеңдерінде жүзеге асырылатын үздіксіз процесс болуы керек.

АҚ жүйесі

Компания-заңды тұлға үшін ақпараттық қауіпсіздік жүйесі негізгі ұғымдардың үш тобын қамтиды: тұтастық, қол жетімділік және құпиялылық. Әрқайсысының астында көптеген сипаттамалары бар ұғымдар жасырылған.

Тұтастық дегеніміз-дерекқорлардың, басқа ақпараттық массивтердің кездейсоқ немесе қасақана жойылуына, рұқсатсыз өзгерістер енгізуге тұрақтылығы. Тұтастық ұғымын келесідей қарастыруға болады:

статикалық , белгілі бір техникалық тапсырма бойынша құрылған және пайдаланушыларға қажетті конфигурацияда және дәйектілікте негізгі қызмет үшін қажетті ақпарат көлемін қамтитын ақпараттық объектілердің өзгермейтіндігімен, түпнұсқалығымен көрінеді;

динамикалық , күрделі әрекеттердің немесе транзакциялардың дұрыс орындалуын білдіреді, ақпараттың қауіпсіздігіне зиян тигізбейді.

Динамикалық тұтастықты бақылау үшін арнайы техникалық құралдар қолданылады, олар ақпарат ағынын талдайды, мысалы, қаржылық және ұрлық, қайталану, қайта бағыттау, хабарлама тәртібін өзгерту жағдайларын анықтайды. Негізгі сипаттама ретінде тұтастық кіріс немесе қол жетімді ақпарат негізінде әрекет ету туралы шешім қабылданған кезде қажет. Командалардың орналасу тәртібін немесе әрекеттер тізбегін бұзу технологиялық процестерді, бағдарламалық кодтарды сипаттау жағдайында және басқа да ұқсас жағдайларда үлкен зиян келтіруі мүмкін.

Қол жетімділік - бұл уәкілетті субъектілерге олар үшін қызығушылық тудыратын деректерге қол жеткізуге немесе осы мәліметтермен алмасуға мүмкіндік беретін қасиет. Субъектілерді заңдастырудың немесе авторизациялаудың негізгі талабы әр түрлі қол жетімділік деңгейлерін құруға мүмкіндік береді. Жүйенің ақпарат беруден бас тартуы кез-келген ұйым немесе пайдаланушылар тобы үшін проблемаға айналады. Мысал ретінде жүйелік іркіліс жағдайында мемлекеттік қызметтер сайттарының қолжетімсіздігін келтіруге болады, бұл көптеген пайдаланушыларды қажетті қызметтерді немесе мәліметтерді алу мүмкіндігінен айырады.

Конфиденциалдық дегеніміз - ақпараттың пайдаланушыларға қол жетімді болу қасиеті: бастапқыда рұқсат етілген субъектілер мен процестер. Көптеген компаниялар мен ұйымдар құпиялылықты АҚ-ның негізгі элементі ретінде қабылдайды, бірақ іс жүзінде оны толығымен жүзеге асыру қиын. Ақпараттың ағып кету арналары туралы барлық деректер АҚ тұжырымдамаларының авторларына қол жетімді емес және көптеген техникалық қорғау құралдарын, соның ішінде криптографиялық құралдарды еркін сатып алуға болмайды, кейбір жағдайларда айналым шектеулі.

АҚ - ның тең қасиеттері пайдаланушылар үшін әр түрлі мәнге ие, сондықтан деректерді қорғау тұжырымдамаларын жасауда екі экстремалды санат бар. Мемлекеттік құпиямен байланысты компаниялар немесе ұйымдар үшін құпиялылық, мемлекеттік қызметтер немесе білім беру мекемелері үшін ең маңызды параметр - қолжетімділік негізгі параметр болып табылады.

АҚ тұжырымдамаларындағы қорғау объектілері

Тақырыптардағы айырмашылық қорғаныс объектілеріндегі айырмашылықтарды тудырады. Қорғау объектілерінің негізгі топтары:

барлық түрдегі ақпараттық ресурстар (ресурс деп материалдық объект түсініледі: қатқыл диск, өзге тасымалдаушы, оны сәйкестендіруге және субъектілердің белгілі бір тобына жатқызуға көмектесетін деректері мен деректемелері бар құжат) ;
азаматтардың, ұйымдардың және мемлекеттің ақпаратқа қол жеткізу құқығы, оны заң шеңберінде алу мүмкіндігі; қол жеткізу тек Нормативтік-құқықтық актілермен ғана шектелуі мүмкін, адам құқықтарын бұзатын кез келген кедергілерді ұйымдастыруға жол берілмейді;
деректерді құру, пайдалану және тарату жүйесі (жүйелер мен технологиялар, мұрағаттар, кітапханалар, нормативтік құжаттар) ;
қоғамдық сананы қалыптастыру жүйесі (БАҚ, интернет-ресурстар, Әлеуметтік институттар, білім беру мекемелері) .

Әрбір объект ақ қауіп-қатерінен және қоғамдық тәртіпке қарсы қорғау шараларының ерекше жүйесін көздейді. Әрбір жағдайда ақпараттық қауіпсіздікті қамтамасыз ету объектінің ерекшелігін ескеретін жүйелік тәсілге негізделуі тиіс.

Ақпаратты қорғау құралдары

Ақ-қорғау тұжырымдамаларын әзірлеу мақсатында ақпаратты қорғау құралдары әдетте нормативтік (бейресми) және техникалық (ресми) болып бөлінеді.

Бейресми қорғаныс құралдары - бұл құжаттар, ережелер, іс - шаралар, ресми-бұл арнайы техникалық құралдар мен бағдарламалық жасақтама. Шектеу АҚ-жүйелерін құру кезінде жауапкершілік аймақтарын бөлуге көмектеседі: қорғанысты жалпы басқарумен әкімшілік персонал нормативтік әдістерді, ал IT-мамандар тиісінше техникалық тәсілдерді іске асырады.

Ақпараттық қауіпсіздік негіздері ақпаратты пайдалану бөлігінде ғана емес, сонымен бірге оны қорғаумен жұмыс жасау бөлігінде де өкілеттіктерді бөлуді қамтиды. Өкілеттіктердің мұндай бөлінуі бақылаудың бірнеше деңгейлерін қажет етеді.

Ресми қорғаныс құралдары

АҚ-қорғаудың техникалық құралдарының кең ауқымы мыналарды қамтиды:

Физикалық қорғаныс құралдары . Бұл механикалық, электрлік, электронды механизмдер, олар ақпараттық жүйелерге тәуелсіз жұмыс істейді және оларға қол жеткізуге кедергі келтіреді. Құлыптар, соның ішінде электронды, экрандар, перделер тұрақсыздандыратын факторлардың жүйелермен байланысына кедергі келтіруге арналған. Топ қауіпсіздік жүйелерінің құралдарымен, мысалы, ақпаратты алудың техникалық құралдары, Ендірілген құрылғылар орналасқан аймақта электромагниттік сәулелену деңгейінің қозғалысын немесе артуын анықтайтын бейнекамералармен, бейнетіркегіштермен, датчиктермен толықтырылады.

Аппараттық қорғау құралдары . Бұл электрлік, электронды, оптикалық, лазерлік және ақпараттық және телекоммуникациялық жүйелерге енетін басқа құрылғылар. Аппараттық құралдарды ақпараттық жүйелерге енгізер алдында олардың үйлесімділігіне көз жеткізу қажет.

Бағдарламалық құралдар - бұл АҚ-ны қамтамасыз етумен байланысты жеке және кешенді міндеттерді шешуге арналған қарапайым және жүйелі, кешенді бағдарламалар. DLP жүйелері мен SIEM жүйелері күрделі шешімдердің мысалы болып табылады: біріншісі ақпараттың ағып кетуіне, қайта форматталуына және ақпараттық ағындарды қайта бағыттауға жол бермейді, екіншісі ақпараттық қауіпсіздік саласындағы оқиғалардан қорғауды қамтамасыз етеді. Бағдарламалық жасақтама аппараттық құрылғылардың қуатын талап етеді және орнату кезінде қосымша резервтерді қамтамасыз ету қажет.

Ақпараттық қауіпсіздіктің спецификалық құралдарына дискідегі ақпаратты шифрлауға және сыртқы байланыс арналары арқылы қайта бағыттауға мүмкіндік беретін әртүрлі криптографиялық Алгоритмдер жатады. Ақпаратты түрлендіру корпоративтік ақпараттық жүйелерде жұмыс істейтін бағдарламалық және аппараттық әдістердің көмегімен жүзеге асырылуы мүмкін.

Ақпараттың қауіпсіздігіне кепілдік беретін барлық құралдар ақпараттың құндылығын алдын ала бағалағаннан және оны қорғауға жұмсалған ресурстардың құнымен салыстырғаннан кейін жиынтықта пайдаланылуға тиіс. Сондықтан қаражатты пайдалану туралы ұсыныстар жүйелерді әзірлеу кезеңінде тұжырымдалуы керек, ал бекіту бюджетті бекітуге жауап беретін басқару деңгейінде жасалуы керек.

Қауіпсіздікті қамтамасыз ету мақсатында барлық қазіргі заманғы әзірлемелерге, бағдарламалық және аппараттық қорғау құралдарына, қатерлерге мониторинг жүргізу және санкцияланбаған қол жеткізуден қорғаудың меншікті жүйелеріне уақтылы өзгерістер енгізу қажет. Тек қатерлерге реакцияның барабарлығы мен жеделдігі компания жұмысындағы құпиялылықтың жоғары деңгейіне қол жеткізуге көмектеседі.

Бейресми қорғаныс құралдары

Бейресми қорғаныс құралдары Нормативтік, әкімшілік және моральдық-этикалық болып бөлінеді. Қорғаудың бірінші деңгейінде ұйым қызметіндегі процесс ретінде ақпараттық қауіпсіздікті реттейтін нормативтік құралдар бар.

Нормативтік құралдар

Ақпараттық қауіпсіздікті қамтамасыз ету құралдарының бұл санаты ұйым деңгейінде жұмыс істейтін заңнамалық актілермен және нормативтік-өкімдік құжаттармен ұсынылған.

Әлемдік практикада нормативтік құралдарды әзірлеу кезінде ISO/IEC 27000 негізіндегі ақ қорғау стандарттарына бағдарланады. Стандартты екі ұйым құрды:

ISO-халықаралық деңгейде танылған өндіріс және басқару процестерінің сапасын сертификаттау әдістемелерінің көпшілігін әзірлейтін және бекітетін стандарттау жөніндегі халықаралық комиссия;

IEC-АҚ жүйелері, оны қамтамасыз ету құралдары мен әдістері туралы өз түсінігін стандартқа енгізген халықаралық энергетикалық комиссия

ISO/IEC 27000-2016 қазіргі нұсқасы АҚ енгізу үшін қажетті дайын стандарттар мен сыналған әдістерді ұсынады. Әдістеме авторларының пікірінше, ақпараттық қауіпсіздіктің негізі әзірлеуден кейінгі бақылауға дейінгі барлық кезеңдерді жүйелі және дәйекті жүзеге асыру болып табылады.

Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі стандарттарға сәйкестігін растайтын сертификат алу үшін барлық ұсынылған әдістемелерді толық көлемде енгізу қажет. Егер сертификат алудың қажеті болмаса, ISO/IEC 27000-2002 немесе ұсынымдық сипаты бар ресейлік ГОСТ-тан бастап Стандарттың кез келген бұрынғы нұсқаларын қабылдауға рұқсат етіледі.

Стандартты зерделеу қорытындысы бойынша ақпарат қауіпсіздігіне қатысты екі құжат әзірленеді. Негізгі, бірақ аз формальды-ұйымның ақпараттық жүйелері үшін АҚ жүйесін енгізу шаралары мен әдістерін анықтайтын кәсіпорынның АҚ тұжырымдамасы. Компанияның барлық қызметкерлері орындауға міндетті екінші құжат - Директорлар кеңесі немесе атқарушы орган деңгейінде бекітілген Ақпараттық қауіпсіздік туралы ереже.

Компания деңгейіндегі ережеден басқа коммерциялық құпияны құрайтын мәліметтердің тізбесі, құпия деректерді жария еткені үшін жауапкершілікті бекітетін еңбек шарттарына қосымшалар, өзге де стандарттар мен әдістемелер әзірленуге тиіс. Ішкі нормалар мен қағидалар іске асыру тетіктері мен жауапкершілік шараларын қамтуға тиіс. Көбінесе шаралар тәртіптік сипатта болады, ал бұзушы коммерциялық құпия режимін бұзудан кейін жұмыстан босатуға дейін елеулі Санкциялар қолданылатынына дайын болуы керек.

Ұйымдастырушылық және әкімшілік шаралар

Ақ қорғау жөніндегі әкімшілік қызмет шеңберінде қауіпсіздік қызметтерінің қызметкерлері үшін шығармашылық мүмкіндіктер ашылады. Бұл келіссөздер бөлмелері мен басшылықтың кабинеттерін тыңдаудан қорғауға және Ақпаратқа қол жеткізудің әртүрлі деңгейлерін орнатуға мүмкіндік беретін сәулет-жоспарлау шешімдері. Компанияның қызметін ISO/IEC 27000 стандарттары бойынша сертификаттау, жекелеген аппараттық-бағдарламалық кешендерді сертификаттау, субъектілер мен объектілерді қауіпсіздіктің қажетті талаптарына сәйкестігіне аттестаттау, қорғалған ақпарат массивтерімен жұмыс істеу үшін қажетті лицензиялар алу маңызды ұйымдастырушылық шаралар болады.

Қызметкерлердің қызметін реттеу тұрғысынан Интернетке, сыртқы электрондық поштаға және басқа ресурстарға рұқсат беру сұрауларының жүйесін жобалау маңызды болады. Электрондық пошта арналары арқылы мемлекеттік органдарға берілетін қаржылық және басқа да ақпараттың қауіпсіздігін күшейту үшін электрондық цифрлық қолтаңбаны алу Жекелеген элемент болады.

Моральдық-этикалық шаралар

Моральдық-этикалық шаралар адамның құпия ақпаратқа немесе айналымдағы шектеулі ақпаратқа жеке көзқарасын анықтайды. Компания қызметіне қауіп-қатердің әсері туралы қызметкерлердің білім деңгейін арттыру қызметкерлердің сана-сезімі мен жауапкершілік деңгейіне әсер етеді. Ақпарат режимінің бұзылуымен күресу үшін, мысалы, парольдерді беру, медианы ұқыпсыз пайдалану, жеке әңгімелерде құпия деректерді тарату, қызметкердің жеке санасына баса назар аудару қажет. АҚ корпоративтік жүйесіне қатынасына байланысты болатын персоналдың тиімділік көрсеткіштерін белгілеу пайдалы болады.

2) Кибершабуыл жасау

... жалғасы

Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.