Ақпаратты қорғау бойынша дәрістер

Пән: Информатика, Программалау, Мәліметтер қоры
Жұмыс түрі: Материал
Тегін: Антиплагиат
Көлемі: 43 бет
Таңдаулыға:

ДӘРІСТІК КЕШЕН

Тақырып №1. Компьютерлік жүйелердегі ақпаратты қорғау мәселелерінің өзектілігі.

Негізгі сұрақтар: Ақпаратты қорғау мәселелерінің маңыздылығы және күрделілігі. Қорғаныс жүйесін құру концепциясы. Мәселенің қазіргі күнгі жағдайы.

«Ақпараттық қауіпсіздік» сөзтіркесі әр түрлі мағынада қолданылуы мүмкін. Ресей Федерациясының ақпараттық қауіпсіздік Доктринасында «Ақпараттық қауіпсіздіктің» термині кең мағынада қолданылады. Иесіне құндылығы бар және электронды түрде сақталатын ақпараттық қауіпсіздікті біз ақпаратты әр түрлі әдейі және кездейсоқ қатынаудан сақтау деп түсінеміз. Ондай қатынаулар ақпараттың иесіне және пайдаланушыларына шығын әкелуі мүмкін.

Ақпаратты қорғау - бұл ақпаратты қорғауға бағытталған әдістер жиынтығы. Мақсаты - оның жеткілікті қауіпсіздік деңгейіне жету болып табылады.

Бұл жағдайлардан екі маңызды қорытынды жасауға болады:

1) Ақпаратты қорғауға байланысты туындайтын әр түрлі категориялы субъектілер бір - бірінен ерекшеленеді.

2) Ақпараттық қауіпсіздік дегеніміз ақпаратты рұқсат етілмеген қатынаудан қорғау деп қана түсінгеніміз қате болып табылады, оның негізгі мағынасы кеңінен айтылады.

Ақпараттық қатынастың субъектісі рұқсат етілмеген қатынаудан ғана емес, сонымен қатар жұмыс тоқтатылған кезде жүйенің бұзылуынан да зиян шегуі мүмкін. Көптеген мекемелерде ақпаратқа рұқсат етілмеген қатынау жасаудан қорғау бірінші орында тұрған жөн. «Компьютерлік қауіпсіздік» термині тар мағынада беріледі, себебі компьютерлер - ақпаратты сақтайтын, өңдейтін және тасымалдайтын құрал ретінде қолданылатын құрылғы.

Ақпараттық қауіпсіздіктің негізгі құрауыштары. Келесі ұғымдарға тоқталайық: қолжетімділік, бүтіндік, конфиденциалдық.

Қолжетімділік - бұл белгілі уақыт ішінде талап етілген ақпаратқа қол жеткізу.

Бүтіндік - ақпаратты әр түрлі өзгерістерден, бүлінуден сақтайтын қасиет. Бүтіндікті статикалық және динамикалық бөлімдерге жіктеуге болады.

Конфиденциалдық - ақпараттың құпиялылық деңгейін көрсете алатын қасиет. Көптеген ақпараттық жүйені қолданатын мекемелер үшін бірінші орында қолжетімділік, екінші орында бүтіндік, себебі бүлінген ақпаратты қолданудан еш пайда жоқ және үшініші орында конфиденциалдық (көптеген оқу институттары қызметкерлердің жалақысын айтпауға тырысады) .

Ақпараттық жүйелер белгілі ақпараттық қызметтер үшін құрылады. Осы және басқа да жағдайларға байланысты бұл қызметтерді пайдаланушыға ұсыну мүмкін емес, бұл барлық ақпараттық қатынастардың субъектілеріне зиян келтіреді. Біз ақпаратты қорғау деп ақпаратты кездейсоқ бүлінуден қорғау деп түсінеміз. Ақпаратты қорғау - бұл ақпаратты қорғауға бағытталған шаралар кешені. Өкінішке орай қазіргі бағдарламалық технологиялар қатесіз бағдарлама құруға мүмкіндік бермейді, соған орай ақпараттық қауіпсіздікті қамтамасыз ету әдістері де қарқынды, тез дами алмайды.

Ақпаратты қорғау аймағы және ақпараттық қауіпсіздік информатикамен замандас және тез дамып келе жатқан бұтағы. Ақпараттың әртүрлі салада (коммерциялық, жеке және тағы басқа) электронды түрде жинақталуы оны қорғау мәселесін тудырады. Соған байланысты әлемде ақпаратты қорғау мәселесінің актуалдығын тудыратын обьективті процестер болып жатыр. Бұлар:

Интернет және желілік технологияларды жиі қолдану;
Қолданушылар санының өсуі;
Ақпараттық технологияларды адам өмірінің әртүрлі салаларында үлкен көлемде қолдануы;
Ақпаратты қорғау амалдарының жетіспеуі және шектеулігі;

Ақпаратты қорғау деп- ақпаратты жойылып кету қауіпінен сақтауға арналған нысаналы әрекет, құндылық ететін ақпаратқа бекітілмеген және әдейі емес әсер ету. Қауіпсіздік- қорғану күйі. Қауіпсіздікті жеткілікті деңгейде бағалаудың екі амалы болады:

Құндылық жақындығы қаскүнем ақпаратты алу жолында үлкен

көлемде шығындалса, сонша ол ұтады деген көзқарасқа негізделген.

Уақыт жақындығы ақпаратты жою фактісіне негізделген.

Ақпаратты қорғау есептерін шешуге қажетті қорғау элементтері мен объектілеріне сипаттамаларын анықтау.

2) Ақпаратты қорғау әдістері мен құралдары

3) Ақпаратты қорғаудың теориялық әдістері

Ақпаратты қорғау жүйесін модельдеу әдістерін жіктеу және жалпы талдау. Айқын емес жиындар теориясының негіздері. Автоматты-ықтималды модельдеудің негіздері. Формальды емес жүйелердің негіздері.

4) Ақпаратты қорғаудың тәжірибелік әдістері

Басқару, кедергілер, жасыру, шектеу, ықпал ету, ықтиярсыздық.

5) Компьютерлер мен желілердегі ақпаратты қорғаудың программалық құралдары

- Вирустардан қорғау.

Компьютерлік вирустарды жіктеу, өмір сүру ортасына жұғу тәсілдері. Вирустарды белсенді ету тәсілдері. Вирустардың бұзушылық әрекеттері. Жасырыну тәсілдері. Жұқтыру үшін құрбан таңдау тәсілдері. Вирустардың болу белгілері. Басқа қауіпті программалар вирусқа қарсы антивирустық құралдарды жіктеу. Төмен деңгейлік редакторлар. Бастапқы мәтін болмаған жағдайда программалық өнімдерді өңдеуді аяқтау. Вирустармен күресудің болашақтағы тиімді бағыттары

- Программалық қамтаманы рұқсатсыз қолданудан қорғау.

Қолданушыларды идентификациялау және аутентификациялау. ДЭЕМ идентификациялау. Орындалатын модульді идентификациялау. Рұқсатсыз көшіруден қорғау кезінде программалардың жасырын бөліктерін және ақпараттардың физикалық тасымалдағыштарының ерекшеліктерін қолдану.

- Программалық қамтаманы зерттеуден қорғауды ұйымдастыру.

Жөндеуіш жұмысының арнайы ерекшеліктерін қолдану. Шебер программалау. Қорғалған программаларды программалау тілдері.

- Ашық тораптарда ақпаратты қорғау.

Internet-ке қосу кезеңінде ақпарат қауіпсіздігін қамтамасыз ету, оның құру және басқару этаптары. Клиент-сервер архитектурасын қорғау. Деректер қорын басқару жүйесін қорғау.

6) Ақпаратты қорғаудың криптографикалық құралдары

- Симметриялық криптожүйелер

Симметриялық криптожүйелерді шолу. Орын ауыстыру. Орынға қою жүйесі. Кездейсоқ сандар датчиктер. Блокпен шифрлеу стандартымен танысу.

- Ашық кілтті жүйелер.

Ашық кілтті жүйелердің теориялық негіздері. Берілетін және сақталатын деректерді қорғау үшін ашық кілтті криптожүйелер алгоритмін қолдану. Электрондық қолтаңба.

7) Компьютерлік және желілік ақпараттарды қорғауды ұйымдастыру және техникалық құралдары

Ақпараттық жүйелерде қауіпсіздік деңгейін бағалаудың әдістері. Ақпаратты қорғау мен бақылауды басқарудың ұйымдастырушылық шаралары. Ақпаратты қорғаудың заң жүзіндегі шаралары. Ақпаратты қорғаудың техникалық құралдары.

Тақырып №2. Ақпаратық жүйенің (АЖ) қорғауын жобалау

Негізгі сұрақтар: Қауіпсіздік механизмі түсінігі. Компьютерлік жүйелерге төнетін қауіптер. Қорғау жүйелерін жобалауға жүйелік көзқарас

Ақпараттық қауіптер. Ақпараттық қауіпсіздіктің бұзылуына мүмкіндік тудыратын жағдайды қауіп деп атаймыз. Ақпараттың қауіпсіздігіне төнетін қауіптер ақпараттық жүйелердің өмірлік циклінің әртүрлі кезеңдерінде және әртүрлі көздерден туындауы мүмкін. Қауіпті жүзеге асыру талпыныстар ақпараттық шабуылдар немесе жай шабуылдар деп атайды. Белгілі ақпараттық қауіп - қатерлерді бірнеше сипаттары бойынша жіктеуге болады.

Ақпараттық жүйелер мен өңделіп жатқан ақпаратқа адамның еркінен тыс стихиялық табиғи құбылыстардың физикалық әсерінен келген қауіптерді кездейсоқ қауіптер деп атайды. Ақпараттық жүйелердің элементтеріне әсер ететін кездейсоқ қауіптердің себептеріне қолдану кезіндегі аппараттардың істен шығуы, қызмет көрсетуші мамандардың кездейсоқ қателіктері, сыртқы орта әсерінен мәліметтерді жіберу каналдарындағы кедергілер, ақпараттық жүйелердің аппараттық және бағдарламалық сегменттерін жасаушылардың қателіктері, апаттық жағдайлар жатады.

Аппаратураның істен шығу жиілігі, жобалау қателігінің мүмкіндігі сияқты, жүйелердің күрделенуі кезінде артады. Адам автоматтандырылған жүйенің элементі ретінде техникалық құралдармен салыстырғанда бірқатар артықшылықтарға (ең алдымен, жұмыс барысында туындайтын жағдайларға бейімделу қабілеті, т. б. ) ие болғанымен, оның да бірқатар кемшіліктер бар. Негізгі кемшіліктері - бұл шаршауы, психикалық параметрлердің физикалық және эмоционалды күйлерге тәуелділігі, қоршаған ортаның өзгерістеріне сезімталдығы.

Адам - оператордың қауіптері логикалық (дұрыс қабылданбаған шешімдері), сенсорлық (оператордың ақпаратты дұрыс қабылдамауы) және оперативті (жедел) немесе моторлы (шешімді дұрыс жүзеге асырмау) болуы мүмкін. Адамның қауіптерінің интенсивтігі ақпаратты өңдеу үрдісіне қызмет көрсету кезінде орындалған операциялардың (амалдардың) жалпы санының бірнеше пайыздарының шегінде ауысып отыруы мүмкін.

Кездейсоқ қауіптерге автоматтандырылған жүйе орналасқан объектіде болуы мүмкін апаттық жағдайлар да жатады. Апаттық жағдайлар - бұл ақпараттық жүйе аппаратурасының істен шығуы, стихиялық қиыншылықтар (өрт, су тасқыны, жер сілкінісі, дауылдар, найзағай және т. б. ) . Мұндай жағдайлардың ықтималдығы, ақпараттық жүйені жобалау үрдісінде техникалық шешімдерді таңдаумен жүйенің қызмет көрсету үрдісін ұйымдастыруымен анықталады.

Кездейсоқ қауіптермен салыстырғанда, жасанды немесе қасақана жасалған қатерлер шеңбері анағұрлым кең және қауіпті. Қасақана жасалған қатердің әрекеті ақпараттық жүйені құрайтын барлық элементтер мен ішкі жүйелер жиынтығына қарсы бағытталады. Қасақана жасалатын қатерлердің келесі түрлері басқалардан жиі жүзеге асырылады:

- ақпаратқа заңды тұлғалар қатарына жатпайтын адамдардың қатынауы;

- ақпараттық жүйелердің заңды қолданушыларының өз өкілеттілігіне жатпайтын ақпараттарға қол сұғуы;

- бағдарламалар мен мәліметтерді заңсыз көшіру;

- ақпараттың жойылуына әкелетін физикалық тасымалдаушылар мен құрылғылардың ұрлануы;

- ақпаратты қасақана жою;

- құжаттар мен мәліметтер қорын заңсыз модификациялау;

- байланыс арналары арқылы берілетін хабарламаларды фальсификациялау (бұрмалау, өзгерту) ;

- байланыс арналары арқылы тасымалданған хабарламалардың авторлығынан бас тарту;

- жалған хабарламалар тарату;

- ақпараттарға зиянды бағдарламалар көмегімен, соның ішінде компьютерлік вирустармен әсер ету.

Ақпараттық шабуылдар. Рұқсатсыз қатынау (РҚ) - ақпараттық шабуылдардың неғұрлым көп тараған түрі. Мұнда заңсыз қолданушы қандай да бір мекеменің ақпарат қауіпсіздігін қамтамасыз етуге бағытталған саясатына сәйкес ережелерін бұзып, ақпараттық жүйеге әрекет ету мүмкіндігіне заңсыз ие болады. Бұл жағдайда заңсыз қолданушылар ақпараттық жүйені құру барысында жіберілген қателіктерді, қорғау құралдарының дұрыс таңдалып, орнатылмағандығын пайдаланады. Мұндай шабуылдар ақпараттық шабуылдар үшін арнайы әзірленген аппараттық және программалық құралдар қолданылуы мүмкін.

Ақпараттың қауіпсіздігіне келетін қауіптер ақпараттық жүйенің элементтерінің арасында да, жүйеден тыс та орналасуы мүмкін. Қасақана қауіп төндіруші жүйенің заңды қолданушысы да, бөтен адамдар да болуы мүмкін. Бірінші жағдайда ақпаратты қорғауға байланысты қатал шаралардың көмегімен шабуылды тоқтату мүмкіндігі болса, екінші жағдайды залалсыздандыру үшін үлкен күш пен құралдарды қолдану қажет.

Соңғы кездегі глобальды ақпараттық - есептеу жүйелерінің кең таралуына байланысты ақпараттық шабуылдар жүйеден тыс адамдар жасайтын жағдайларға жиі тап болуға болады. Қауіптің мұндай түрін ұйымдастыру алыстатылған шабуылдар деп аталады. Әсер етуіне байланысты алыстатылған шабуылдарды белсенділігі төмен (пассивті) және белсенді (активті) деп бөлуге болады.

Пассивті шабуыл ақпараттық жүйенің жұмысына тікелей әсер етпейді, ал белсенді (активті) шабуыл құпиялылықты бұзу арқылы ақпараттың тұтастығы мен құпиялылығына нұсқан келтіреді. Ол сондай-ақ ақпаратты қолданушыға немесе ақпараттық жүйені қолданушыларға кері психологиялық әсер ету арқылы да ақпаратқа шабуыл жасауы мүмкін. Шартты-пассивті ақпараттық шабуылды бөлек топ ретінде қарастыруға болады, мұнда компьютерлік барлау жүргізіліп, белсенді шабуылға дайындық жасалады.

Кез келген шабуылдың негізгі, мақсаты - ақпаратқа заңсыз қатынауға қол жеткізу. Мұндай шабуылдардың нәтижесінде ақпарат басқа қолға өтеді немесе өзгереді.

Ақпараттың басқа қолға өтуі ол ақпаратқа қатынауға мүмкіндік береді, бірақ оны модификациялау мүмкіндігі жоқ. Кейде бұл заңсыз қатынау ақпараттың жариялануына әкеледі, бұл жағдайда ақпараттық құпиялылығы бұзылады.

Ақпараттық шабуылдың, тағы бір мақсаты ақпараттық жүйе элементтерінің жұмыс қабілетіне нұқсан келтіру. Бұл жағдайда әрекет етуші ақпаратқа, заңсыз қатынауды көздемейді, оның негізгі мақсаты - ақпараттық жүйенің аппараттық және программалық жабдықтарының қалыпты жұмысын бұзу, шабуылданған объектінің ресурстарына қатынауға шектеу қою [1] .

Қауіпсіздік механизмі түсінігі. «Тоқсары (оранжевая) кітапта» айтылғандай, қауіпсіздікке келесі элементтер кіреді:

туындалған қатынаудың басқарылуы;
қайта қолданылатын объектінің қауіпсіздігі;
қатынаудың күштеп басқарылуы;
қауіпсіздіктің көзделуі.

Қатынаудың туындалған басқарылуы - бұл субъект кіретін топтарға немесе жеке субъектілер есебінде негізделген объектілерге шектеулі қатынау жасау әдісі.

Қайта қолданылатын объектінің қауіпсіздігі - қатынауды басқаруды маңызды тәсілдермен толықтыру. Ол - дискілі блоктар және магнит тасушылар үшін, оперативті жад облысы үшін кепіл беруі тиіс.

Қатынаудың күштеп басқарылуы - субъект және объектінің қауіпсіздігін көздеуге негізделген.

Қауіпсіздікті көздеу - «Тоқсары кітапқа» сәйкес екі бөлікке бөлінеді: құпиялық дәреже және дәреже тізімі.

Субъект ақпаратты объектіден оқи алады, егер субъектінің құпиялық дәрежесі объектіден қарағанда төмен болмаса. Ал объектінің барлық категориялары субъектінің көздеу қауіпсіздігінде тізімделген. Бұл айтылған қатынауды басқару әдісі - күштеп қатынау деп аталады. Себебі ол субъектілердің еркінен тәуелсіз.

Ақпаратты қорғауға бағытталған іс - әрекеттер мынадай процедуралар арқылы жүзеге асырылады:

аутентификация және идентификация;
сенімді жолдардың ұсынылуы;
тіркелген ақпараттың талдануы.

Идентификацияның қарапайым әдісі - жүйеге кіру үшін пайдаланушының атының енгізілуі. Пайдаланушының шынайылығын тексерудің қалыпты әдісі - пароль. Сенімді жолды берудің мақсаты - пайдаланушының қолданған жүйесінің шынайылығына көз жеткізу.

Тіркелген ақпараттың талдануы жүйенің қауіпсіздігін қозғайтын жағдайлармен байланысты. Белсенді емес қорғанысқа келетін болсақ, «Тоқсары кітапта» көрсетілгендей екі түрлі кепілділік қарастырылады - операциялық және технологиялық. Операциялық кепілділік архитектуралық жүйе аспектісіне жатады, ал технологиялық - жетекшілік ету тәсілдеріне жатады. Операциялық кепілділікке мынандай элементтер кіреді:

жүйе архитектурасы;
жүйе бүтіндігі;
ақпаратты тасымалдаудығы жасырын каналдардың тексерілуі;
үзілістен кейінгі сенімді қалыпқа келтіру.

Технологиялық кепілділік жүйенеің өмірлік айналымын қамтиды.

Қауіпсіздік кластары. «Тоқсары кітапта» төрт сенімді дәреже анықталады - Д, С, В және А. Д дәрежесі қанағаттандырылмаған жүйе үшін арналған. С және В сенім дәрежелері біртіндеп өсетін кластарға (С ₁ , С ₂ , В ₁ , В ₂ , В ₃ ) бөлінеді. 6 негізгі қауіпсіздік кластары бар - С ₁ , С ₂ , В ₁ , В ₂ , В ₃ , А ₁ .

Сурет 15 Қауіпсіздік кластарының жіктелуі

С ₁ класы:

- сенімді есептеуіш қоры пайдаланушы объектілеріне қатынауды басқарады;

- аутентификация үшін қандай да бір қорғаныс механизмі қолданылуы керек, мысалы парольдер.

- аутентификациялық ақпарат рұқсат етілмеген қатынаудан қорғалуы керек.

- қорғаныс механизмдері сай келу деңгейіне байланысты тестіленіп отыруы керек.

С ₂ класы:

- сенімді есептеуіш қоры бақылау қоры арқылы тіркеу ақпараттар журналын қолдап, қорғау арқылы құру керек;

- қатынау құқығы жоғары дәлдікпен пайдаланушыға беріліп және барлық объектілер бақылауға алынуы керек;

- тестілеу оқшауланған ресурстар механизмінде нақты кемшіліктердің жоқ екендігін айқындайды.

В ₁ класы:

- сенімді есептеуіш қоры қауіпсіздік белгілерін басқаруы тиіс;

- сенімді есептеуіш қорының қолдауымен қауіпсіздік саясатының формальді және формальді емес моделі болуы тиіс;

- сенімді есептеуіш қоры барлық субъектілерге еріксіз қатынауды қамтамасыз етуі тиіс.

В ₂ класы:

- тура және жанама қол жететін субъектілер жүйе ресурсының барлық қорын қамтамасыз етуі тиіс;

- сенімді есептеуіш қорының пайдаланушы үшін коммуникациялық жолы болуы тиіс;

- сенімді есептеуіш қоры үшін жоғарғы дәрежедегі спецификациясы болуы керек.

В ₃ класы:

- талдау процедурасы уақытша құпия каналдар үшін орындалуы керек;

- істен шыққанды қайта қалпына келтіретін процедуралар мен механизмдер болуы тиіс;

- рұқсатсыз қатынауды болдыртпайтындай сенімді есептеуіш қоры болуы керек.

«Тоқсары кітаптағы» классификациялар осындай. Оларға қысқаша тоқталайық:

- С деңгейі - қатынауды ерікті басқару;

- В деңгейі - қатынауды еріксіз басқару;

- А деңгейі - верификациялық қауіпсіздік.

Желілік сервистің қауіпсіздігі. Қауіпсіздіктің келесі сервистері және олардың атқаратын қызметтері:

- Аутентификация. Бұл сервис қарым - қатынас серігінің дұрыстығын және мәліметтер көзінің дұрыстығын тексеруді қамтамасыз етеді. Қарым - қатынас серігінің аутентификациясы байланыс орнату кезінде қолданылады. Аутентификация әр түрлі қауіптің алдын алуға көмектеседі. Ол біржақты және екіжақты болуы мүмкін.

- Қатынауды басқару. Желіаралық қатынау кезіндегі ресурстарды рұқсат етілмеген қолданыстан қорғау.

- Мәліметтердің конфеденциалдығы рұқсат етілмеген сұраныстан қорғауды қамтамасыз етеді.

- Мәліметтердің бүтіндігі - ақпараттың дұрыстығын бақылап, оны өзгерткен жағдайда дұрыс қалпына келтіреді.

- Бас тарта алмаушылық (атқарылған жұмыстардан бас тарта алмау) екі қызмет түрін қамтамасыз етеді: мәліметтер көзінің шынайылығын (дұрыстығын) қолдайтын бас тарта алмаушылық және жеткізуді құптайтын бас тарта алмаушылық.

Қауіпсіздіктің желілік механизмі. Қауіпсіздік сервисі үшін келесі механизмдер және олардың комбинациялары қолданылуы мүмкін:

- шифрлеу;

- электронды түрлі - түсті жазу;

- мәліметтердің бүтіндігін басқаратын механизм;

- аутентификация механизмі;

- трафикті толтыру механизмі;

- заңдыландыру механизмі.

Қауіпсіздік құралдарын жүйелендіру. Жүйеленген қауіпсіздік құралдарына сервистер және механизмдер жұмысына керекті ақпаратты тасымалдау жатады. Мысал үшін криптографиялық кілттердің тасымалдануы және тағы басқа жатады. Х. 800 ұсынысына сай, қауіпсіздік құралы үш түрге бағытталған:

- жүйеленген ақпараттық жүйе;

- жүйеленген қауіпсіздік сервистері;

- жүйеленген қауіпсіздік механизмі.

Қорғау сервисін ұйымдастыру қорғалатын объектілерден, сервисті ұйымдастыруға қажетті механизмдер жиынынан, бекітілген жұмысты қамтамасыз ету үшін басқа әкімшіліктермен қатынас құру. Тактардың типтік тізімі:

- кілттердің басқарылуы;

- шифрлеудің басқарылуы;

- жүйелі қатынаудың басқарылуы;

- аутентификацияның басқарылуы;

- трафикті толықтырудың басқарылуы;

- сенімді жолдардың басқарылуы.

ISO/IEC 15408 стандарты. «Ақпараттық технологияның қауіпсіздігін бағалайтын технологиялар»

Бұл халықаралық стандарт көптеген елдегі мамандардың 10 жылдық еңбегінің нәтижесі болып табылады. Бұл стандартты көбінде «Ортақ критерий» деп атайды. Бағдарламашылардың көзқарасы бойынша ортақ критериді кітапханалар жиыны деп есептеуге болады. Мұндай кітапханалар сапалы, мазмұнды «бағдарламалар» жазуға көмектеседі. Бағдарламашылар жақсы кітапханашылар сапалы бағдарлама жасауға көмектесетіндігін біледі. Өте ертеден кітапханасыз жаңадан бағдарламалар жасалынып жатқан жоқ. «Тоқсары кітап» сияқты да ортақ критерийдің де екі негізгі қауіпсіздік талаптары бар - функционалды және сенімді талаптар.

Ортақ критерийдегі қауіпсіздік бір деңгейлі қарастырылмайды. Келесі кезеңдер ерекшелінеді:

- жобалану және өңделу;

- сынақ, баға және сертификация;

- эксплутация;

Қауіп келесі парамертлермен ерекшелінеді:

- қауіп көзі;

- әсер ету тәсілі;

- қолданылуы мүмкін осал орындар;

- қауіпсіздік талаптары;

- жобалану;

- эксплуатация.

Осал тұстарды мүмкіндігінше жою керек. Бағдарламалау технологияларының көзқарасы бойынша ортақ критериде ескірген кітапханалар қолданылған, ортақ критерийге келесі иерархия енгізілген - класс - компонент - элемент.

Кластар - ортақ топтың талаптарын анықтайды. Компонент - талаптардың минималды жиыны. Элемент - бөлінбейтін талап. Кітапханалық функциялар арасындағы сияқты «ортақ критерий» компоненттері арасында да тәуелділік болуы мүмкін. Бұл компанент қауіпсіздік мақсатына жетіде жеткіліксіз болған кезде өз - өзінен пайда болады.

Ақпаратты қорғауға қойылатын талаптар. Қауіпсіздіктің сенімді талаптары. Бұл да «ортақ критерий» талаптарына негізделеді. Қауіпсіздіктің сенімді талаптарының әрбір элементі келесі екі типтің біреуіне жатады:

құрастырушының іс әрекеті;
бағалаушылардың іс әрекеті.

Сурет16 Ақпаратты қорғауға қойылатын талаптар

Негізінен «Ортақ критерийде» қауіпсіздіктің сенімді талаптарының он класы, 44 ұйымы, 93 компоненті бар. Кластарды тізімдейік:

- құрастырушы;

- өмірлік айналымды қолдау;

- тестілеу;

- осалдылықтың бағасы;

- пайдаланушы;

- конфигурацияның басқарылуы;

- жетекшілік ету (эксплуатациялық құжаттаманың талаптары) ;

- сенімділікті қолдау (сертификациядан кейінгі өмірлік айналым кезеңдерін қолдау үшін) ;

- қорғаныс профильдерінің бағасы;

- қауіпсіздік тапсырмасының бағасы.

«Ортақ критерийдің» сенімді талаптарына функционалды талаптар үшін іске аспаған маңызды жұмыстар жасалды. Дәлірек айтқанда, сенімділіктің бағалау деңгейін енгізді (олар 7) . Сенімділіктің бастапқы бағалау деңгейі болып табылады, ол спецификациясының функционалдық талдануын, интерфейстің спецификациясын, эксплуатациялық құжаттың, сонымен қатар тәуелсіз тестілеуді қарастырады.

Сенімділіктің бағалау деңгейі 2, бірінші деңгейге толықтыру болып табылады. Үшінші деңгейде, бағалау объектісінің конфигурациясына басқару жүргізіледі. Төртінші деңгей толық спецификациялық интерфейспен толықтырылады. Бұл жоғарғы деңгей, бұл деңгейге бағдарламалық технологиялардың көмегімен жетуге болады. Бесінші деңгей алдыңғы деңгейге толықтыру болып табылады. Алтыншы деңгей құрылымдалған тұрде болу керек. Бағалаудың жетінші деңгейінде (ең жоғарғы) формальді жоба объектісін бағалауды қарастырады. Бұл өте үлкен қауіп - қатер төнген жағдауда қолданылады.

... жалғасы

Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.