Ақпаратты бірлесіп пайдаланудың кепілдік механизмі ретінде қауіпсіздіктің маңыздылығын анықтау және шешілген міндеттерге сәйкес ақпараттық қауіпсіздіктің мақсаттары мен ұстанымдарын қолдау жөніндегі шараларды ұйымдастыру
Пән: Информатика, Программалау, Мәліметтер қоры
Жұмыс түрі: Курстық жұмыс
Тегін: Антиплагиат
Көлемі: 24 бет
Таңдаулыға:
Жұмыс түрі: Курстық жұмыс
Тегін: Антиплагиат
Көлемі: 24 бет
Таңдаулыға:
КІРІСПЕ
Электрондық ақпараттық ресурстарды және ақпараттық жүйелер туралы
мәліметтерді құжаттандыруды Қазақстан Республикасының ақпараттандыру,
электрондық құжат және электрондық цифрлық қолтаңба туралы заңнамасында
белгіленген іс қағаздарын жүргізу талаптарына сәйкес меншік иесі және
(немесе) иеленушісі жүзеге асырады.
Ақпараттық қорғау жүйесі - деп белгіленген қорғаныш мәселелерін шешу
үшін онда көзделетін барлық құралдар, әдістер және шаралардың
ұйымдастырылған жиынтығын айтады.
Ақпараттық қорғау жүйесі жобалау әр түрлі жағдайда жүргізілуі мүмкін
және бұл жағдайларға негізгі екі праметр әсер етеді: ақпарат қорғау
жүйесіне арнап әзірленіп жатқан деректерді өңдеудің автоматтандырылған
жүйесінің қазіргі күй-жағдайы және ақпаратты қорғау жүйесін жасауға кететін
қаржы мөлшері.
Ақпаратты қорғау жүйесін жобалау мен әзірлеу келесі тәртіп бойынша
жүргізуге болады:
- қорғанылуы көзделген деректердің тізбесін және бағасын анықтау үшін
деректер өңдеу жүйесін қойылған талдау жасау;
- ықтимал бұзушының үлгісін таңдау;
-ықтимал бұзушының таңдап алынған үлгісіне сәйкес ақпаратқа заңсыз қол
жеткізу арналарының барынша көбін іздеп табу;
- пайдаланылатын қорғаныш құралдарының әрқайсысының беріктілігін
сапасы мен саны жағынан бағалау;
- орталықтанған бақылау мен басқару құралдарын әзірлеу;
- ақпарат қорғау жүйесінің беріктілігінің сапасын бағалау.
Курстық жұмысты қорғау мақсатым ақпараттық қауіпсіздік туралы мәлімет
бере отырып, ақпараттық жүйелерге қолжетімділікті басқару тәсілдерін
қарастыру.
Бөлім 1. Ақпаратты қорғау жүйесі
1.1. Ақпараттық қауіпсіздік
Ақпаратты қорғау — ақпараттық қауіпсіздікті қамтамасыз етуге
бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп
деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат
пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса,
жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың
сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің,
маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың, бұғаттаудың
алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету
кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық,
программалық және техникалық әдістер мен құралдардан тұрады.
Ақпараттық қауіпсіздік режимін қалыптастыру кешендік мәселе болып
табылады. Оны шешу үшін заңнамалық, ұйымдастырушылық, программалық,
техникалық шаралар қажет.
Ақпарат қорғау жүйесін құрудың жалпы әдістемелік ұстанымдары:
– тұжырымдамалық тұтастық-бірлік,
– талаптарға барабарлық,
– икемділік,
– функционалдық тәуелсіздік,
– пайдалану ыңғайлығы, берілетін құқықтарды шектеу,
– бақылаудың толықтығы,
– қарсы әрекет жасаудың белсенділігі
– тиімділік.
Қорғаныштың мақсаты - қатынас құруға рұқсат етілмеген арналарды
ақпараттың түрін өзгертуге, ақпаратты жоғалтуға және сыртқа келтіруге
бағытталған әсерлерден сенімді түрде сақтауды қамтамасыз ететін өзара
байланысты бөгеттердің біріңғай жүйесін құру. Жүйе жұмысын қалыпты режимде
көзделмеген осындай оқиғалардың біреуінің пайда болуы рұқсат етілмеген
қатынас құру деп саналады.
Қорғаныш жүйесінің міндеттері:
- жасырын және өте жасырын ақпараттарды онымен рұқсатсыз танысудан
және оның көшірмесін жасап алудан қорғау;
- деректер мен программаларды рұқсат етілмеген кездейсоқ немесе әдейі
өзгертуден қорғау;
- деректер мен прогграммалардың бұзылуының салдарынан болатын шығындан
көлемін азайту;
- есептеу техника құралдарының көмегімен орындалатын қаражаттық
қылмыстардың алдын алу және т.б.
Сенімді қорғаныс құру үшін мыналар керек:
- ақпарат қауіпсіздігіне төніп тұрған барлық қауіп-қатерлерді
айқындау;
- олардың келтіретін залалдарын бағалау;
-нормативті құжаттардың талаптарын, экономикалық мақсатқа
лайықтылықты, қолданылатын программалық қамтамамен сайысушылықты және
қақтығызсыздықты ескере отырып қорғаныштың керекті шаралары мен құралдарын
анықтау;
- қорғаныштың таңдап алынған шаралары мен құралдарын бағалау.
Ақпараттық қауіпсіздік — мемкелеттік ақпараттық ресурстардың, сондай-
ақ ақпарат саласында жеке адамның құқықтары мен қоғам мүдделері қорғалуының
жай-күйі.
Ақпаратты қорғау — ақпараттық қауіпсіздікті қамтамасыз етуге
бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп
деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат
пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса,
жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың
сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің,
маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың, бұғаттаудың
алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету
кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық,
программалық және техникалық әдістер мен құралдардан тұрады.
Ақпараттық қауіпсіздік режимін қалыптастыру кешендік мәселе болып
табылады. Оны шешу үшін заңнамалық, ұйымдастырушылық, программалық,
техникалық шаралар қажет.
Ақпараттық қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады: қол
жеткізерлік (оңтайлық), тұтастық және жасырындылық.
Қол жетерлік (оңтайлық) - саналы уақыт ішінде керекті ақпараттық
қызмет алуға болатын мүмкіндік. Ақпараттың қол жеткізерлігі - ақпараттың,
техникалық құралдардың және өңдеу технологияларының ақпаратқа кедергісіз
(бөгетсіз) қол жеткізуге тиісті өкілеттілігі бар субъектілердің оған қол
жеткізуін қамтамасыз ететін қабілетімен сипатталатын қасиеті.
Тұтастық - ақпараттың бұзудан және заңсыз өзгертуден қорғанылуы.
Ақпарат тұтастығы деп ақпарат кездейсоқ немесе әдейі бұрмаланған (бұзылған)
кезде есептеу техника құралдарының немесе автоматтандырылған жүйелердің осы
ақпараттың өзгермейтіндігін қамтамасыз ететін қабілетін айтады.
Жасырындылық - заңсыз қол жеткізуден немесе оқудан қорғау.
1983 жылы АҚШ қорғаныс министрлігі қызғылт сары мұқабасы бар Сенімді
компьютерлік жүйелерді бағалау өлшемдері деп аталатын кітап шығарды.
Қауіпсіз жүйе - белгілі бір тұлғалар немесе олардың атынан әрекет
жасайтын үрдістер ғана ақпаратты оқу, жазу, құрастыру және жою құқығына ие
бола алатындай етіп ақпаратқа қол жеткізуді тиісті құралдар арқылы
басқаратын жүйе.
1.2. Ақпараттық қауіпсіздік қақтығыстарын басқару
Ақпараттық қауіпсіздік туралы және оның әлсіздігі туралы хабарлама
Оқиғалар және ақпараттық қауіпсіздік қатерінің пайда болуы туралы
хабарлама бойынша нысанды рәсімдер іске асырылуы тиіс. Ақпараттық
қауіпсіздік оқиғалары туралы мәлімет сәйкес арналар арқылы басқаруы
қаншалықты мүмкін болса, соншалықты тез болуы тиіс.
Қақтығысқа және қауіпсіздік жүйесін жұмылдыруға елеу рәсімімен бірге
пайдаланылатын ақпараттық қауіпсіздік оқиғалары туралы хабарламаның нысанды
рәсімі іске асырылуы тиіс, онда ақпараттық қауіпсіздік оқиғалары туралы еп
қылған хабарламаны алғаннан кейін іс-қимылы сипатталған:
- кері байланыстың сәйкес үдерістері ақпараттық қауіпсіздік оқиғалары
туралы кім хабарлағанға кепіл болса, қалай проблема шешілгеннен кейін
нәтижесі туралы хабарланатын болады;
- ақпараттық қауіпсіздік оқиғасы болған жағдайда еп қылғанды, барлық
қажетті іс-қимылды олар туралы еске сақтағанды кім хабарласа, оған
хабарлағаны және көмектескені бойынша қамтамасыз ететін ақпараттық
қауіпсіздік оқиғалары бойынша нысандар;
- ақпараттық қауіпсіздік оқиғасы жағдайында дұрыс мінез-құлқы,
мысалға, барлық маңызды бөлшектерін дереу белгілеу (мысалға, сәйкесіздікті
немесе бұзу түріндегіні, жөнсіз жұмыстың пайда болуын, экрандағы
хабарламаны, оғаш жұмыстың тәртібіндегіні);
- өз бастамаң бойынша ешқандай іс-қимылды еп қылмауың тиіс, бірақ
байланыс бөлімшесіне дереу хабарлау;
- қауіпсіздікті бұзатын қызметкерлермен, келісім шарт жасайтын
агентпен немесе үшінші тараптың пайдаланушыларымен жолыққан кезде –
белгіленген нысанды тәртіптік үдеріске сілтеме.
Жоғарғы тәуекелдер жағдайында мәжбүрленудің іс-қимылы туралы
хабарлауды пайдалану қажеттігі тууы мүмкін, мәжбүрленуде тұрған адам үшін
осынадай проблемаларды бар екенінін көрсете алады. Мәжбүрленуде тұрған
туралы хабарлауға елеу рәсімдері жоғарғы тәуекелдерімен барабар жағдайымен
болуы тиіс, ондайға мынадай хабарлау көрсетеді.
Болуы мүмкін ақпараттық қауіпсіздіктегі оқиғалар мен қақтығыстар:
- қызметтерді, құралдарды немесе жұмыс істеуін жоғалту;
- жүйенің дұрыс емес жұмыс жасауы немесе артық жүктелуі;
- адамдық қателер;
- ережелерді немесе нұсқаманы сақтамау;
- физикалық қауіпсіздікті сақтамау;
- бақылау жүргізілмейтін жүйенің өзгеруі;
- бағдарламалық қамтамасыз етудің немесе аппараттық
құралдардың істен шығуы;
- қол жеткізудің бұзылуы;
- ақпараттық жүйенің істен шығуы және қызметтерді берудің
тоқтатылуы;
- арам ниетті бағдарламалық код;
- қызметтерді беруде бас тарту;
- өндірістік дерктердің толық еместігіне немесе дәлдік
еместігіне байланысты болатын қателер;
- құпиялығының және тұтастығының бұзылуы;
- ақпараттық жүйелерді дұрыс емес пайдаланылуы.
1.3. Ақпараттық қауіпсіздік саясаты
Қауіпсіздік саясаты - мекеменің ақпаратты қалайша өңдейтінін,
қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп
нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі бір
деректер жинағымен жұмыс істей алатынын көрсетеді. Қауіпсіздік саясатын
құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға қарсы әрекет
шаралары кіретін қорғаныштың белсенді сыңары деп санауға болады.
Қауіпсіздік саясатының құрамына ең кемінде мына элементтер кіруі
керек: қатынас құруды ерікті басқару, объектілерді қайтадан пайдаланудың
қауіпсіздігі, қауіпсіздік тамғасы және қатынас құруды мәжбүрлі басқару.
Кепілдік - жүйенің сәлетіне және жүзеге асырылуына көрсетілетін сенім
өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің дұрыстығын
көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын қадағалауға арналған,
белсенсіз сынары деп сипаттауға болады. Кепілдіктің екі түрі болады:
операциялық және технологиялық. Біріншісі жүйенің сәулеті және жүзеге
асырылу жағына, ал екіншісі - құрастыру және сүйемелдеу әдістеріне қатысты.
Есепберушілік (немесе хаттамалау тетігі) қауіпсіздікті қамтамасыз
етудің маңызды құралы болып табылады. Сенімді жүйе қауіпсіздікке байланысты
барлық оқиғаларды тіркеп отыруы керек, ал хаттаманы жазу-жүргізу тексерумен
(аудитпен - тіркелу ақпаратына талдау жасаумен) толықтырылады.
Сенімді есептеу базасы (СЕБ) - компьютерлік жүйенің қауіпсіздік
саясаты жүзеге асыруға жауапты қорғаныш тектерінің жиынтығы. Компьтерлік
жүйенің сенімділігіне баға беру үшін тек оның есептеу базасын қарастырып
шықса жеткілікті болады. СЕБ негізгі міндеті - қатынасым мониторының
міндетін орындау, яғни, объектілермен белгілі бір операциялар орындау
болатындығын бақылау.
Қатынасым мониторы - пайдалынушының программаларға немесе деректерге
әрбір қатынасының мүмкін болатын іс - әрекеттер тізімімен келісімдігі
екендігін тексеретін монитор. Қатынасым мониторынан үш қасиеттің орындалуы
талап етіледі:
- оңашаландық. Монитор өзінің жұмысы кезінде аңдудан қорғалуға тиісті;
- толықтық. Монитор әрбір қатынасу кезінде шақырылады. Бұл кезде оны
орай өтуге мүмкіндік болмау керек;
- иландырылатындық. Мониторды талдауға және тестілеуге мүмкін болу
үшін ол жинақы болуы керек.
Қауіпсіздік өзегі - қатынасым мониторының жүзеге асырылуы.
Қауіпсіздік өзегі барлық қорғаныш тетіктерінің құрылу негізі болып
табылады. Қатынасым мониторының аталған қасиеттерінен басқа қауіпсіздік
өзегі өзінің өзгерместігіне кепілдік беруі керек.
Қауіпсіздік периметрі - сенімді есептеу базасының шекарасы. Оның
ішіндегі сенімді, ал сыртындағы сенімсіз деп саналады. Сыртқы және ішкі
әлемдер арасындағы байланыс ретқақпа арқылы жүзеге асырылады. Бұл ретқақпа
сенімсіз немесе дұшпандық қоршауға қарсы тұра алуға қабілетті бар деп
саналады.
Объектінің ақпараттық қауіпсіздігін қамтаммасыз етуге арналған
жұмыстар бірнеше кезеңге бөлінеді: даярлық кезеңі, ақпараттық қорларды
түгендеу, қатерді талдау, қорғаныш жоспарын жүзеге асыру. Осы аталған
кезеңдер аяқталған соң эксплуатациялау кезеңі басталады.
Даярлық кезең. Бұл кезең барлық келесі шаралардың ұйымдастырушылық
негізін құру, түпқазық құжаттарды әзірлеу және бекіту, сондай-ақ, үрдіске
қатысушылардың өзара қарым - қатынастарын анықтау үшін қажет. Даярлық
кезеңде ақпарат қорғау жүйесінің ақпараттың міндеттері анықталады.
Ақпараттық қорларды түгендеу. Бұл кезеңде, әдетте, объект, ақпараттық
ағындар автоматтандырылған жүйелердің құрылымы серверлер, хабар тасышулар,
деректер өңдеу және сақтау тәсілдері жайында мәлімет жиналады. Түгендеу
анықталған соң олардың осалдылығына талдау жасалынады.
Қатерді талдау. Келесі шаралардың нәтижелерді ақпараттық қорлардың
қорғанылу күй - жағдайның қаншалықты толық және дұрыс талдануына тәуелді
болады. Қатерді талдау мыналардан тұрады: талданатын объектілерді және
оларды қарастырудың нақтылану дәрежесін таңдау; қатерді бағалау әдіснамасын
таңдау; қауіптерді және олардың салдарын талдау; қатерлерді бағалау;
қорғаныш шараларын талдау; таңдап алынған шараларды жүзеге асыру және
тексеру; қалдық қатерді бағалау.
Қауіп бар жерде қатер пайда болады. Қауіптерді талдау кезеңі қатерді
талдаудың орталық элементі болып табылады. Қауіптердің алдын алу үшін
қорғаныш шаралары мен қүралдары қажет. Қауіптерді талдау, біріншіден,
мүмкін болатын қауіптерді анықтаудан (оларды идентификациялаудан) және,
екіншіден, келтірілетін болашақ зиянды болжау - бағалаудан тұрады.
Бұл кезеңнің орындалу нәтижесінде объектідегі қауіп - қатерлер тізбесі
және олардың қауіптік дәрежесі бойынша жіктемесі құрастырылады. Бұлар бәрі
ақпарат қорғау жүйесіне қойылатын талаптарды айқындауға, қорғаныштың ең
әсерлі шаралары мен құралдарын таңдап алуға, сондай - ақ, оларды жүзеге
асыруға қажетті шығындарды анықтауға мүмкіндік береді.
Қорғаныш жоспарын құрастыру. Бұл кезеңде осының алдында жүргізілген
талдаудың нәтижесінде анықталған қатердерді бейтараптау үшін қорғаныштың
тиісті ұйымдастырушылық және техникалық шаралары таңдап алынады.
Бөлім 2. Ақпараттық жүйелерді пайдалану және оны қорғау
2.1. Ақпараттық жүйелерге қолжетімділікті басқару
Қол жетерлік (оңтайлық). Ақпараттық қауіпсіздіктің өте маңызды 3 жайын
атап кетуге болады:
- қол жеткізерлік (оңтайлық),
- тұтастық,
- жасырындылық.
Қол жетерлік (оңтайлық) - саналы уақыт ішінде керекті ақпараттық
қызмет алуға болатын мүмкіндік. Ақпараттың қол жеткізерлігі - ақпараттың,
техникалық құралдардың және өңдеу технологияларының ақпаратқа кедергісіз
(бөгетсіз) қол жеткізуге тиісті өкілеттілігі бар субъектілердің оған қол
жеткізуін қамтамасыз ететін қабілетімен сипатталатын қасиеті.
Ақпараттарға, ақпараттарды өңдеу құралдарына және өндірістік
үдерістеріне қол жеткізудің ақпараттық қауіпсіздік саясатының және қол
жеткізуді басқару саясатының талаптарына сәйкес басқарылуы тиіс. Қол
жеткізуді басқару саясаты таратылған және рұқсат етілген ақпараттарды
пайдалану ережесін ескеруі тиіс. Егер бұл көрсетілген саясатта
қарастырылмаса ақпараттарға қол жеткізуді беруі тиіс емес.
Ақпараттық қауіпсіздік саясатының талаптарына сәйкес ақпараттық жүйе
қол жеткізуді басқару саясатын жүргізуі тиіс.
Қол жеткізуді басқару саясаты қол жеткізудің басқару ережесі және
әрбір пайдаланушының немесе пайдаланушылар тобының құқықтары нақты
анықталуы тиіс. Қол жеткізуді логикалық және физикалық басқару құралы бірге
қаралуы тиіс. Саясат мынадайды ескеруі тиіс:
- бөлек жүйеге қарастылардың, қосымшалардың қауіпсіздігін талап ету;
- осы ақпараттар үшін ақпараттық жүйелердің ақпараттарын біріктіру;
- таратылған ақпараттардың және рұқсат етілген оны пайдалану саясаты,
мысалға, ақпараттардың жіктелуіне сәйкес білімнің, себебі тек қана қажет
болғаны үшін қағидасы бойынша;
- деректерге немесе қызметтерге қол жеткізуді қорғауға қатысты
заңнамаға және шарттық міндеттемеге сәйкес талап етулер;
- негізгі лауазымдар үшін пайдалашушылардың стандарттық бейіні;
- қол жеткізуді басқару рөлдерін басқару, мысалға қол жеткізу, рұқсат
етілген қол жеткізу, қол жеткізуді әкімшілендіру;
- қол жеткізуге нысанды рұқсат етілген сұранымдарын талап ету;
- қол жеткізуді басқару құралдарын үнемі тексерудің жүргізілуін талап
ету;
- қол жеткізу құқығын жою.
Қол жеткізуді басқару ережесін анықтаған кезде мынадай факторларды
ескеруі тиіс:
- ережелер арасындағы айырмашылық, ол әрқашан және нұсқамалармен
сақталуы тиіс, ол кейбір жағдайларда тек қана орындалатын немесе қосымша
болып табылады;
- ашықтан-ашық тиым салынбағанға, барлығына рұқсат етілген аса әлсіз
қағида негізінде емес, “ашықтан-ашық тиым салынғанға, барлығына рұқсат
етілмеген” қағидасы бойынша ережелерді орнату;
- ақпараттар грифтерінің өзгеруі, ол құралдармен ақпараттарды және
пайдаланушылардың көз қарасымен белгіленгендерді өңдеу автоматты түрде
беріледі;
- пайдаланушылар құқығының өзгеруі, ол ақпараттық жүйемен автоматты
түрде енгізіледі, сондай-ақ солар әкімшімен белгіленеді;
- осыны талап ететін, ерекше рұқсатты және ережені талап ететін ереже.
Қол жеткізуді басқарудың ережесі нысанды рәсімдермен және нақты
міндеттермен анықталуы тиіс.
2.1.1. Пайдаланушының қол жеткізуін басқару
Ақпараттық жүйеге және қызметке қол жеткізу құқығын бөліп таратуды
басқару үшін нысанды рәсімдер әзірленуі және іске асырылуы тиіс. Рәсімдер
пайдаланушылар қол жеткізуінің барлық сатысын қамтуы тиіс: жаңа
пайдаланушыларды тіркеуден бастап ақпараттық жүйеге және қызметке қол
жеткізуі енді талап етілмейтін сол пайдаланушыларды тіркеуден айыру
қортындысына дейін. Онда осы талап етілетін, жүйені басқару құралдарын
айналып өтуші пайдаланушыларға мүмкіндік беретін қол жеткізу құқығы
артықшылығын бөліп тарату қажеттілігіне ерекше назар аударылуы тиіс.
Пайдаланушыны тіркеу. Ақпараттық жүйеге және қызметке қол жеткізуді
беру немесе тоқтату үшін пайдаланушыларды нысанды тіркеуі немесе тіркеудің
айыру рәсімі пайдаланылуы тиіс.
Пайдаланушыларды тіркеу және олардың тіркеуін айыру үшін қол
жеткізуді басқару рәсімінде қолданылуы тиіс:
- олардың іс-қимылы үшін жауаптылығына сәйкес пайдаланушыларды
байланыстыру үшін бірегей иденфикаторларды (ID) пайдалану;
- жүйенің жұмыс істеуінің ерекшелігін ескере отырып қызметін жүзеге
асыру үшін қажет болған жағдайда топтық ID пайдалану мүмкіндігін қарастыру;
- тіркеу және айыру рұқсат етілген және құжатталған болуы тиіс, соның
тексерілуі, себебі қол жеткізу құқығына басшыдан бөлек рұқсатты қолдануға,
пайдаланушының ақпараттық жүйені және оның қызметін пайдалануға иесінен
рұқсаты бар;
- берілген қол жеткізудің деңгейі өндірістік мақсатқа және қауіпсіздік
саясатына сәйкес болуы және жұмыс тәртібіне шек қоюға қатер төндірмеуі
тиіс;
- пайдаланушыларға жазбаша құжаттарды беру, онда олардың қол жеткізу
құқығы регламенттелуде, талап етілуінде пайдаланушылар құжатқа қол қойып,
себебі олар сол туралы қол жеткізудің шартын түсінеді;
- тіркеу рәсімдерін аяқтау сәтінен бастап қол жеткізуді беру;
- қызметтерді пайдалану үшін барлық тіркелген тұлғалар туралы нысандық
есеп берулерді құру және қолдауды қамтамасыз ету;
- қызметін ауыстырған, қамтылған нысаны немесе ұйымнан босатылған
пайдаланушылардың қол жеткізу құқығын дереу жою немесе оқшауландыру;
- артық ID және пайдаланушылардың есеп жүргізу жазбасын, сондай-ақ
олардың жойылуы мен оқшаулануын табу үшін аудит;
- ID айыру үшін, пайдаланушылар басқадай пайдаланушыларға қол жетімсіз
болуын қамтамасыз ету;
Пайдаланушылардың қол жеткізу үлгілік профилінде қол жеткізу құқығының
кейбір санын жинақтау жолымен өндірістік талап етуде негізделген олардың
қызметтеріне сәйкес қол жеткізуді пайдалануды беру мүмкіншілігін қарастыру.
Бөлінген артықшылығымен және оларды пайдалану қатаң шектелген және
басқарылатын болуы тиіс. Артықшылықтарды бөліп тарату осы артықшылықтарды
тіркеу үдерісінің көмегімен басқарылуы тиіс. Мынадай кезеңдер қаралуы тиіс:
- әрбір жүйелік өнімдермен байланысты қол жеткізудің артықшылығы
ұқсастырылуы тиіс, мысалға, операциялық жүйемен, деректерді басқару
жүйесімен және әрбір қосымшамен, сондай-ақ пайдаланушылар, онда олар
ұсынылуы тиіс;
- қол жеткізуді басқару саясатымен сәйкес оқта-текте ұстанымы
бойынша және пайдалану қажеттілігі негізінде артықшылық пайдаланушыларға
берілуі тиіс, мысалға ең аз қажетті артықшылық олардың қызметтік
міндеттерін орындау үшін, тек қана қашан осы артықшылықтар қажет болғанда;
- барлық берілген артықшылықтар және олар бойынша есеп беруді құрудың
рұқсат етілген үдерісі қамтамасыз етілуі тиіс, оларды тіркеу үдерісін
аяқтағанға дейін артықшылықты беруге болмайды;
- пайдаланушыларға артықшылықты беруден қашуға мүмкіндік беретін
жүйелік бағдарламаны пайдалануды әзірлеу қажет;
- артықшылықты пайдаланушының әдеттегі жұмысында пайдаланатынына емес,
пайдаланушының басқа ID беруі тиіс.
Пайдаланушының бірдейлігі және сәйкестігі
Пайдаланушы жеке пайдалану үшін бірегей идентификаторы
(пайдаланушылық ID), болуы тиіс, пайдаланушының дәлме-дәлдігін растау үшін
сәйкестендірілген сәйкесәдісін пайдалануы тиіс. Бұл пайдаланушылардың
барлық түрлеріне (оның ішінде техникалық қолдау персоналына, операторларға,
желі әкімшілеріне, желіллік бағдарламашыларға, дерекқорлар әкімшілеріне)
қолданылуы тиіс. Пайдаланушылық ID сәйкес тұлғалармен орындалатын
опрерациялардың сенімділігі үшін пайдаланылуы тиіс. Әдеттегі пайдаланушылық
операциялар есеп ... жалғасы
Электрондық ақпараттық ресурстарды және ақпараттық жүйелер туралы
мәліметтерді құжаттандыруды Қазақстан Республикасының ақпараттандыру,
электрондық құжат және электрондық цифрлық қолтаңба туралы заңнамасында
белгіленген іс қағаздарын жүргізу талаптарына сәйкес меншік иесі және
(немесе) иеленушісі жүзеге асырады.
Ақпараттық қорғау жүйесі - деп белгіленген қорғаныш мәселелерін шешу
үшін онда көзделетін барлық құралдар, әдістер және шаралардың
ұйымдастырылған жиынтығын айтады.
Ақпараттық қорғау жүйесі жобалау әр түрлі жағдайда жүргізілуі мүмкін
және бұл жағдайларға негізгі екі праметр әсер етеді: ақпарат қорғау
жүйесіне арнап әзірленіп жатқан деректерді өңдеудің автоматтандырылған
жүйесінің қазіргі күй-жағдайы және ақпаратты қорғау жүйесін жасауға кететін
қаржы мөлшері.
Ақпаратты қорғау жүйесін жобалау мен әзірлеу келесі тәртіп бойынша
жүргізуге болады:
- қорғанылуы көзделген деректердің тізбесін және бағасын анықтау үшін
деректер өңдеу жүйесін қойылған талдау жасау;
- ықтимал бұзушының үлгісін таңдау;
-ықтимал бұзушының таңдап алынған үлгісіне сәйкес ақпаратқа заңсыз қол
жеткізу арналарының барынша көбін іздеп табу;
- пайдаланылатын қорғаныш құралдарының әрқайсысының беріктілігін
сапасы мен саны жағынан бағалау;
- орталықтанған бақылау мен басқару құралдарын әзірлеу;
- ақпарат қорғау жүйесінің беріктілігінің сапасын бағалау.
Курстық жұмысты қорғау мақсатым ақпараттық қауіпсіздік туралы мәлімет
бере отырып, ақпараттық жүйелерге қолжетімділікті басқару тәсілдерін
қарастыру.
Бөлім 1. Ақпаратты қорғау жүйесі
1.1. Ақпараттық қауіпсіздік
Ақпаратты қорғау — ақпараттық қауіпсіздікті қамтамасыз етуге
бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп
деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат
пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса,
жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың
сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің,
маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың, бұғаттаудың
алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету
кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық,
программалық және техникалық әдістер мен құралдардан тұрады.
Ақпараттық қауіпсіздік режимін қалыптастыру кешендік мәселе болып
табылады. Оны шешу үшін заңнамалық, ұйымдастырушылық, программалық,
техникалық шаралар қажет.
Ақпарат қорғау жүйесін құрудың жалпы әдістемелік ұстанымдары:
– тұжырымдамалық тұтастық-бірлік,
– талаптарға барабарлық,
– икемділік,
– функционалдық тәуелсіздік,
– пайдалану ыңғайлығы, берілетін құқықтарды шектеу,
– бақылаудың толықтығы,
– қарсы әрекет жасаудың белсенділігі
– тиімділік.
Қорғаныштың мақсаты - қатынас құруға рұқсат етілмеген арналарды
ақпараттың түрін өзгертуге, ақпаратты жоғалтуға және сыртқа келтіруге
бағытталған әсерлерден сенімді түрде сақтауды қамтамасыз ететін өзара
байланысты бөгеттердің біріңғай жүйесін құру. Жүйе жұмысын қалыпты режимде
көзделмеген осындай оқиғалардың біреуінің пайда болуы рұқсат етілмеген
қатынас құру деп саналады.
Қорғаныш жүйесінің міндеттері:
- жасырын және өте жасырын ақпараттарды онымен рұқсатсыз танысудан
және оның көшірмесін жасап алудан қорғау;
- деректер мен программаларды рұқсат етілмеген кездейсоқ немесе әдейі
өзгертуден қорғау;
- деректер мен прогграммалардың бұзылуының салдарынан болатын шығындан
көлемін азайту;
- есептеу техника құралдарының көмегімен орындалатын қаражаттық
қылмыстардың алдын алу және т.б.
Сенімді қорғаныс құру үшін мыналар керек:
- ақпарат қауіпсіздігіне төніп тұрған барлық қауіп-қатерлерді
айқындау;
- олардың келтіретін залалдарын бағалау;
-нормативті құжаттардың талаптарын, экономикалық мақсатқа
лайықтылықты, қолданылатын программалық қамтамамен сайысушылықты және
қақтығызсыздықты ескере отырып қорғаныштың керекті шаралары мен құралдарын
анықтау;
- қорғаныштың таңдап алынған шаралары мен құралдарын бағалау.
Ақпараттық қауіпсіздік — мемкелеттік ақпараттық ресурстардың, сондай-
ақ ақпарат саласында жеке адамның құқықтары мен қоғам мүдделері қорғалуының
жай-күйі.
Ақпаратты қорғау — ақпараттық қауіпсіздікті қамтамасыз етуге
бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп
деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат
пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса,
жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың
сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің,
маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың, бұғаттаудың
алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету
кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық,
программалық және техникалық әдістер мен құралдардан тұрады.
Ақпараттық қауіпсіздік режимін қалыптастыру кешендік мәселе болып
табылады. Оны шешу үшін заңнамалық, ұйымдастырушылық, программалық,
техникалық шаралар қажет.
Ақпараттық қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады: қол
жеткізерлік (оңтайлық), тұтастық және жасырындылық.
Қол жетерлік (оңтайлық) - саналы уақыт ішінде керекті ақпараттық
қызмет алуға болатын мүмкіндік. Ақпараттың қол жеткізерлігі - ақпараттың,
техникалық құралдардың және өңдеу технологияларының ақпаратқа кедергісіз
(бөгетсіз) қол жеткізуге тиісті өкілеттілігі бар субъектілердің оған қол
жеткізуін қамтамасыз ететін қабілетімен сипатталатын қасиеті.
Тұтастық - ақпараттың бұзудан және заңсыз өзгертуден қорғанылуы.
Ақпарат тұтастығы деп ақпарат кездейсоқ немесе әдейі бұрмаланған (бұзылған)
кезде есептеу техника құралдарының немесе автоматтандырылған жүйелердің осы
ақпараттың өзгермейтіндігін қамтамасыз ететін қабілетін айтады.
Жасырындылық - заңсыз қол жеткізуден немесе оқудан қорғау.
1983 жылы АҚШ қорғаныс министрлігі қызғылт сары мұқабасы бар Сенімді
компьютерлік жүйелерді бағалау өлшемдері деп аталатын кітап шығарды.
Қауіпсіз жүйе - белгілі бір тұлғалар немесе олардың атынан әрекет
жасайтын үрдістер ғана ақпаратты оқу, жазу, құрастыру және жою құқығына ие
бола алатындай етіп ақпаратқа қол жеткізуді тиісті құралдар арқылы
басқаратын жүйе.
1.2. Ақпараттық қауіпсіздік қақтығыстарын басқару
Ақпараттық қауіпсіздік туралы және оның әлсіздігі туралы хабарлама
Оқиғалар және ақпараттық қауіпсіздік қатерінің пайда болуы туралы
хабарлама бойынша нысанды рәсімдер іске асырылуы тиіс. Ақпараттық
қауіпсіздік оқиғалары туралы мәлімет сәйкес арналар арқылы басқаруы
қаншалықты мүмкін болса, соншалықты тез болуы тиіс.
Қақтығысқа және қауіпсіздік жүйесін жұмылдыруға елеу рәсімімен бірге
пайдаланылатын ақпараттық қауіпсіздік оқиғалары туралы хабарламаның нысанды
рәсімі іске асырылуы тиіс, онда ақпараттық қауіпсіздік оқиғалары туралы еп
қылған хабарламаны алғаннан кейін іс-қимылы сипатталған:
- кері байланыстың сәйкес үдерістері ақпараттық қауіпсіздік оқиғалары
туралы кім хабарлағанға кепіл болса, қалай проблема шешілгеннен кейін
нәтижесі туралы хабарланатын болады;
- ақпараттық қауіпсіздік оқиғасы болған жағдайда еп қылғанды, барлық
қажетті іс-қимылды олар туралы еске сақтағанды кім хабарласа, оған
хабарлағаны және көмектескені бойынша қамтамасыз ететін ақпараттық
қауіпсіздік оқиғалары бойынша нысандар;
- ақпараттық қауіпсіздік оқиғасы жағдайында дұрыс мінез-құлқы,
мысалға, барлық маңызды бөлшектерін дереу белгілеу (мысалға, сәйкесіздікті
немесе бұзу түріндегіні, жөнсіз жұмыстың пайда болуын, экрандағы
хабарламаны, оғаш жұмыстың тәртібіндегіні);
- өз бастамаң бойынша ешқандай іс-қимылды еп қылмауың тиіс, бірақ
байланыс бөлімшесіне дереу хабарлау;
- қауіпсіздікті бұзатын қызметкерлермен, келісім шарт жасайтын
агентпен немесе үшінші тараптың пайдаланушыларымен жолыққан кезде –
белгіленген нысанды тәртіптік үдеріске сілтеме.
Жоғарғы тәуекелдер жағдайында мәжбүрленудің іс-қимылы туралы
хабарлауды пайдалану қажеттігі тууы мүмкін, мәжбүрленуде тұрған адам үшін
осынадай проблемаларды бар екенінін көрсете алады. Мәжбүрленуде тұрған
туралы хабарлауға елеу рәсімдері жоғарғы тәуекелдерімен барабар жағдайымен
болуы тиіс, ондайға мынадай хабарлау көрсетеді.
Болуы мүмкін ақпараттық қауіпсіздіктегі оқиғалар мен қақтығыстар:
- қызметтерді, құралдарды немесе жұмыс істеуін жоғалту;
- жүйенің дұрыс емес жұмыс жасауы немесе артық жүктелуі;
- адамдық қателер;
- ережелерді немесе нұсқаманы сақтамау;
- физикалық қауіпсіздікті сақтамау;
- бақылау жүргізілмейтін жүйенің өзгеруі;
- бағдарламалық қамтамасыз етудің немесе аппараттық
құралдардың істен шығуы;
- қол жеткізудің бұзылуы;
- ақпараттық жүйенің істен шығуы және қызметтерді берудің
тоқтатылуы;
- арам ниетті бағдарламалық код;
- қызметтерді беруде бас тарту;
- өндірістік дерктердің толық еместігіне немесе дәлдік
еместігіне байланысты болатын қателер;
- құпиялығының және тұтастығының бұзылуы;
- ақпараттық жүйелерді дұрыс емес пайдаланылуы.
1.3. Ақпараттық қауіпсіздік саясаты
Қауіпсіздік саясаты - мекеменің ақпаратты қалайша өңдейтінін,
қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп
нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі бір
деректер жинағымен жұмыс істей алатынын көрсетеді. Қауіпсіздік саясатын
құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға қарсы әрекет
шаралары кіретін қорғаныштың белсенді сыңары деп санауға болады.
Қауіпсіздік саясатының құрамына ең кемінде мына элементтер кіруі
керек: қатынас құруды ерікті басқару, объектілерді қайтадан пайдаланудың
қауіпсіздігі, қауіпсіздік тамғасы және қатынас құруды мәжбүрлі басқару.
Кепілдік - жүйенің сәлетіне және жүзеге асырылуына көрсетілетін сенім
өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің дұрыстығын
көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын қадағалауға арналған,
белсенсіз сынары деп сипаттауға болады. Кепілдіктің екі түрі болады:
операциялық және технологиялық. Біріншісі жүйенің сәулеті және жүзеге
асырылу жағына, ал екіншісі - құрастыру және сүйемелдеу әдістеріне қатысты.
Есепберушілік (немесе хаттамалау тетігі) қауіпсіздікті қамтамасыз
етудің маңызды құралы болып табылады. Сенімді жүйе қауіпсіздікке байланысты
барлық оқиғаларды тіркеп отыруы керек, ал хаттаманы жазу-жүргізу тексерумен
(аудитпен - тіркелу ақпаратына талдау жасаумен) толықтырылады.
Сенімді есептеу базасы (СЕБ) - компьютерлік жүйенің қауіпсіздік
саясаты жүзеге асыруға жауапты қорғаныш тектерінің жиынтығы. Компьтерлік
жүйенің сенімділігіне баға беру үшін тек оның есептеу базасын қарастырып
шықса жеткілікті болады. СЕБ негізгі міндеті - қатынасым мониторының
міндетін орындау, яғни, объектілермен белгілі бір операциялар орындау
болатындығын бақылау.
Қатынасым мониторы - пайдалынушының программаларға немесе деректерге
әрбір қатынасының мүмкін болатын іс - әрекеттер тізімімен келісімдігі
екендігін тексеретін монитор. Қатынасым мониторынан үш қасиеттің орындалуы
талап етіледі:
- оңашаландық. Монитор өзінің жұмысы кезінде аңдудан қорғалуға тиісті;
- толықтық. Монитор әрбір қатынасу кезінде шақырылады. Бұл кезде оны
орай өтуге мүмкіндік болмау керек;
- иландырылатындық. Мониторды талдауға және тестілеуге мүмкін болу
үшін ол жинақы болуы керек.
Қауіпсіздік өзегі - қатынасым мониторының жүзеге асырылуы.
Қауіпсіздік өзегі барлық қорғаныш тетіктерінің құрылу негізі болып
табылады. Қатынасым мониторының аталған қасиеттерінен басқа қауіпсіздік
өзегі өзінің өзгерместігіне кепілдік беруі керек.
Қауіпсіздік периметрі - сенімді есептеу базасының шекарасы. Оның
ішіндегі сенімді, ал сыртындағы сенімсіз деп саналады. Сыртқы және ішкі
әлемдер арасындағы байланыс ретқақпа арқылы жүзеге асырылады. Бұл ретқақпа
сенімсіз немесе дұшпандық қоршауға қарсы тұра алуға қабілетті бар деп
саналады.
Объектінің ақпараттық қауіпсіздігін қамтаммасыз етуге арналған
жұмыстар бірнеше кезеңге бөлінеді: даярлық кезеңі, ақпараттық қорларды
түгендеу, қатерді талдау, қорғаныш жоспарын жүзеге асыру. Осы аталған
кезеңдер аяқталған соң эксплуатациялау кезеңі басталады.
Даярлық кезең. Бұл кезең барлық келесі шаралардың ұйымдастырушылық
негізін құру, түпқазық құжаттарды әзірлеу және бекіту, сондай-ақ, үрдіске
қатысушылардың өзара қарым - қатынастарын анықтау үшін қажет. Даярлық
кезеңде ақпарат қорғау жүйесінің ақпараттың міндеттері анықталады.
Ақпараттық қорларды түгендеу. Бұл кезеңде, әдетте, объект, ақпараттық
ағындар автоматтандырылған жүйелердің құрылымы серверлер, хабар тасышулар,
деректер өңдеу және сақтау тәсілдері жайында мәлімет жиналады. Түгендеу
анықталған соң олардың осалдылығына талдау жасалынады.
Қатерді талдау. Келесі шаралардың нәтижелерді ақпараттық қорлардың
қорғанылу күй - жағдайның қаншалықты толық және дұрыс талдануына тәуелді
болады. Қатерді талдау мыналардан тұрады: талданатын объектілерді және
оларды қарастырудың нақтылану дәрежесін таңдау; қатерді бағалау әдіснамасын
таңдау; қауіптерді және олардың салдарын талдау; қатерлерді бағалау;
қорғаныш шараларын талдау; таңдап алынған шараларды жүзеге асыру және
тексеру; қалдық қатерді бағалау.
Қауіп бар жерде қатер пайда болады. Қауіптерді талдау кезеңі қатерді
талдаудың орталық элементі болып табылады. Қауіптердің алдын алу үшін
қорғаныш шаралары мен қүралдары қажет. Қауіптерді талдау, біріншіден,
мүмкін болатын қауіптерді анықтаудан (оларды идентификациялаудан) және,
екіншіден, келтірілетін болашақ зиянды болжау - бағалаудан тұрады.
Бұл кезеңнің орындалу нәтижесінде объектідегі қауіп - қатерлер тізбесі
және олардың қауіптік дәрежесі бойынша жіктемесі құрастырылады. Бұлар бәрі
ақпарат қорғау жүйесіне қойылатын талаптарды айқындауға, қорғаныштың ең
әсерлі шаралары мен құралдарын таңдап алуға, сондай - ақ, оларды жүзеге
асыруға қажетті шығындарды анықтауға мүмкіндік береді.
Қорғаныш жоспарын құрастыру. Бұл кезеңде осының алдында жүргізілген
талдаудың нәтижесінде анықталған қатердерді бейтараптау үшін қорғаныштың
тиісті ұйымдастырушылық және техникалық шаралары таңдап алынады.
Бөлім 2. Ақпараттық жүйелерді пайдалану және оны қорғау
2.1. Ақпараттық жүйелерге қолжетімділікті басқару
Қол жетерлік (оңтайлық). Ақпараттық қауіпсіздіктің өте маңызды 3 жайын
атап кетуге болады:
- қол жеткізерлік (оңтайлық),
- тұтастық,
- жасырындылық.
Қол жетерлік (оңтайлық) - саналы уақыт ішінде керекті ақпараттық
қызмет алуға болатын мүмкіндік. Ақпараттың қол жеткізерлігі - ақпараттың,
техникалық құралдардың және өңдеу технологияларының ақпаратқа кедергісіз
(бөгетсіз) қол жеткізуге тиісті өкілеттілігі бар субъектілердің оған қол
жеткізуін қамтамасыз ететін қабілетімен сипатталатын қасиеті.
Ақпараттарға, ақпараттарды өңдеу құралдарына және өндірістік
үдерістеріне қол жеткізудің ақпараттық қауіпсіздік саясатының және қол
жеткізуді басқару саясатының талаптарына сәйкес басқарылуы тиіс. Қол
жеткізуді басқару саясаты таратылған және рұқсат етілген ақпараттарды
пайдалану ережесін ескеруі тиіс. Егер бұл көрсетілген саясатта
қарастырылмаса ақпараттарға қол жеткізуді беруі тиіс емес.
Ақпараттық қауіпсіздік саясатының талаптарына сәйкес ақпараттық жүйе
қол жеткізуді басқару саясатын жүргізуі тиіс.
Қол жеткізуді басқару саясаты қол жеткізудің басқару ережесі және
әрбір пайдаланушының немесе пайдаланушылар тобының құқықтары нақты
анықталуы тиіс. Қол жеткізуді логикалық және физикалық басқару құралы бірге
қаралуы тиіс. Саясат мынадайды ескеруі тиіс:
- бөлек жүйеге қарастылардың, қосымшалардың қауіпсіздігін талап ету;
- осы ақпараттар үшін ақпараттық жүйелердің ақпараттарын біріктіру;
- таратылған ақпараттардың және рұқсат етілген оны пайдалану саясаты,
мысалға, ақпараттардың жіктелуіне сәйкес білімнің, себебі тек қана қажет
болғаны үшін қағидасы бойынша;
- деректерге немесе қызметтерге қол жеткізуді қорғауға қатысты
заңнамаға және шарттық міндеттемеге сәйкес талап етулер;
- негізгі лауазымдар үшін пайдалашушылардың стандарттық бейіні;
- қол жеткізуді басқару рөлдерін басқару, мысалға қол жеткізу, рұқсат
етілген қол жеткізу, қол жеткізуді әкімшілендіру;
- қол жеткізуге нысанды рұқсат етілген сұранымдарын талап ету;
- қол жеткізуді басқару құралдарын үнемі тексерудің жүргізілуін талап
ету;
- қол жеткізу құқығын жою.
Қол жеткізуді басқару ережесін анықтаған кезде мынадай факторларды
ескеруі тиіс:
- ережелер арасындағы айырмашылық, ол әрқашан және нұсқамалармен
сақталуы тиіс, ол кейбір жағдайларда тек қана орындалатын немесе қосымша
болып табылады;
- ашықтан-ашық тиым салынбағанға, барлығына рұқсат етілген аса әлсіз
қағида негізінде емес, “ашықтан-ашық тиым салынғанға, барлығына рұқсат
етілмеген” қағидасы бойынша ережелерді орнату;
- ақпараттар грифтерінің өзгеруі, ол құралдармен ақпараттарды және
пайдаланушылардың көз қарасымен белгіленгендерді өңдеу автоматты түрде
беріледі;
- пайдаланушылар құқығының өзгеруі, ол ақпараттық жүйемен автоматты
түрде енгізіледі, сондай-ақ солар әкімшімен белгіленеді;
- осыны талап ететін, ерекше рұқсатты және ережені талап ететін ереже.
Қол жеткізуді басқарудың ережесі нысанды рәсімдермен және нақты
міндеттермен анықталуы тиіс.
2.1.1. Пайдаланушының қол жеткізуін басқару
Ақпараттық жүйеге және қызметке қол жеткізу құқығын бөліп таратуды
басқару үшін нысанды рәсімдер әзірленуі және іске асырылуы тиіс. Рәсімдер
пайдаланушылар қол жеткізуінің барлық сатысын қамтуы тиіс: жаңа
пайдаланушыларды тіркеуден бастап ақпараттық жүйеге және қызметке қол
жеткізуі енді талап етілмейтін сол пайдаланушыларды тіркеуден айыру
қортындысына дейін. Онда осы талап етілетін, жүйені басқару құралдарын
айналып өтуші пайдаланушыларға мүмкіндік беретін қол жеткізу құқығы
артықшылығын бөліп тарату қажеттілігіне ерекше назар аударылуы тиіс.
Пайдаланушыны тіркеу. Ақпараттық жүйеге және қызметке қол жеткізуді
беру немесе тоқтату үшін пайдаланушыларды нысанды тіркеуі немесе тіркеудің
айыру рәсімі пайдаланылуы тиіс.
Пайдаланушыларды тіркеу және олардың тіркеуін айыру үшін қол
жеткізуді басқару рәсімінде қолданылуы тиіс:
- олардың іс-қимылы үшін жауаптылығына сәйкес пайдаланушыларды
байланыстыру үшін бірегей иденфикаторларды (ID) пайдалану;
- жүйенің жұмыс істеуінің ерекшелігін ескере отырып қызметін жүзеге
асыру үшін қажет болған жағдайда топтық ID пайдалану мүмкіндігін қарастыру;
- тіркеу және айыру рұқсат етілген және құжатталған болуы тиіс, соның
тексерілуі, себебі қол жеткізу құқығына басшыдан бөлек рұқсатты қолдануға,
пайдаланушының ақпараттық жүйені және оның қызметін пайдалануға иесінен
рұқсаты бар;
- берілген қол жеткізудің деңгейі өндірістік мақсатқа және қауіпсіздік
саясатына сәйкес болуы және жұмыс тәртібіне шек қоюға қатер төндірмеуі
тиіс;
- пайдаланушыларға жазбаша құжаттарды беру, онда олардың қол жеткізу
құқығы регламенттелуде, талап етілуінде пайдаланушылар құжатқа қол қойып,
себебі олар сол туралы қол жеткізудің шартын түсінеді;
- тіркеу рәсімдерін аяқтау сәтінен бастап қол жеткізуді беру;
- қызметтерді пайдалану үшін барлық тіркелген тұлғалар туралы нысандық
есеп берулерді құру және қолдауды қамтамасыз ету;
- қызметін ауыстырған, қамтылған нысаны немесе ұйымнан босатылған
пайдаланушылардың қол жеткізу құқығын дереу жою немесе оқшауландыру;
- артық ID және пайдаланушылардың есеп жүргізу жазбасын, сондай-ақ
олардың жойылуы мен оқшаулануын табу үшін аудит;
- ID айыру үшін, пайдаланушылар басқадай пайдаланушыларға қол жетімсіз
болуын қамтамасыз ету;
Пайдаланушылардың қол жеткізу үлгілік профилінде қол жеткізу құқығының
кейбір санын жинақтау жолымен өндірістік талап етуде негізделген олардың
қызметтеріне сәйкес қол жеткізуді пайдалануды беру мүмкіншілігін қарастыру.
Бөлінген артықшылығымен және оларды пайдалану қатаң шектелген және
басқарылатын болуы тиіс. Артықшылықтарды бөліп тарату осы артықшылықтарды
тіркеу үдерісінің көмегімен басқарылуы тиіс. Мынадай кезеңдер қаралуы тиіс:
- әрбір жүйелік өнімдермен байланысты қол жеткізудің артықшылығы
ұқсастырылуы тиіс, мысалға, операциялық жүйемен, деректерді басқару
жүйесімен және әрбір қосымшамен, сондай-ақ пайдаланушылар, онда олар
ұсынылуы тиіс;
- қол жеткізуді басқару саясатымен сәйкес оқта-текте ұстанымы
бойынша және пайдалану қажеттілігі негізінде артықшылық пайдаланушыларға
берілуі тиіс, мысалға ең аз қажетті артықшылық олардың қызметтік
міндеттерін орындау үшін, тек қана қашан осы артықшылықтар қажет болғанда;
- барлық берілген артықшылықтар және олар бойынша есеп беруді құрудың
рұқсат етілген үдерісі қамтамасыз етілуі тиіс, оларды тіркеу үдерісін
аяқтағанға дейін артықшылықты беруге болмайды;
- пайдаланушыларға артықшылықты беруден қашуға мүмкіндік беретін
жүйелік бағдарламаны пайдалануды әзірлеу қажет;
- артықшылықты пайдаланушының әдеттегі жұмысында пайдаланатынына емес,
пайдаланушының басқа ID беруі тиіс.
Пайдаланушының бірдейлігі және сәйкестігі
Пайдаланушы жеке пайдалану үшін бірегей идентификаторы
(пайдаланушылық ID), болуы тиіс, пайдаланушының дәлме-дәлдігін растау үшін
сәйкестендірілген сәйкесәдісін пайдалануы тиіс. Бұл пайдаланушылардың
барлық түрлеріне (оның ішінде техникалық қолдау персоналына, операторларға,
желі әкімшілеріне, желіллік бағдарламашыларға, дерекқорлар әкімшілеріне)
қолданылуы тиіс. Пайдаланушылық ID сәйкес тұлғалармен орындалатын
опрерациялардың сенімділігі үшін пайдаланылуы тиіс. Әдеттегі пайдаланушылық
операциялар есеп ... жалғасы
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz