Ақпараттық қорғау жүйесін жобалау
КІРІСПЕ
Ақпарат - әртүрлі формада өмір сүруі мүмкін. Ол қағазда жазылып почта
арқылы немесе электронды түрде электрондық каналдар арқылы жіберілуі
мүмкін, фильм түрінде көрсетілуі тіпті жай әңгіме үстінде айтылуы мүмкін.
Қазіргі күнгі қатал бәсекелестік жағдайында әртүрлі жерден шығатын
ақпаратқа қауіп төніп тұр. Бұл қауіп ішкі, сыртқы, кездейсоқ немесе әдейі
болуы мүмкін. Жаңа технологияларды пайдалану денгейінің өсуіне байланысты
ақпаратты сақтау, алмасу, қабылдау арқылы күнделікті өсіп отырған осы бір
қауіп-қатерге ашық бетпе-бет келіп отырмыз. Әрбір ұйымның ішінде ақпараттық
қауіпсіздік саясатына сұраныс туып отыр. Өмірлік маңызы бар корпоративтік
ақпаратты және клиенттеріңізді құпияда сақтауыңыз қажет.
Ақпаратты қорғау — ақпараттық қауіпсіздікті қамтамасыз етуге
бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп
деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат
пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса,
жасырындылығын қолдауды түсінеді.
Ақпараттық қауіпсіздік режимін қалыптастыру кешендік мәселе болып
табылады. Оны шешу үшін заңнамалық, ұйымдастырушылық, программалық,
техникалық шаралар қажет.
Ақпараттық қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады:
- қол жеткізерлік (оңтайлық),
- тұтастық,
- жасырындылық.
Курстық жұмысымның мақсаты – ақпараттық қауіпсіздік жүйелерімен танысу
және ақпаратты заң жүзінде қорғау туралы мәліметтер беру. Ақпараттық қорғау
жүйесін жобалау әр түрлі жағдайда жүргізіледі.
Ақпараттарға, ақпараттарды өңдеу құралдарына және өндірістік
үдерістеріне қол жеткізудің ақпараттық қауіпсіздік саясатының және қол
жеткізуді басқару саясатының талаптарына сәйкес басқарылуы тиіс.
1 бөлім. Ақпараттық қауіпсіздік
1.1. Ақпаратты қорғауға бағытталған шаралар кешені
Ақпараттық қорғау жүйесі жобалау әр түрлі жағдайда жүргізілуі мүмкін
және бұл жағдайларға негізгі екі праметр әсер етеді: ақпарат қорғау
жүйесіне арнап әзірленіп жатқан деректерді өңдеудің автоматтандырылған
жүйесінің қазіргі күй-жағдайы және ақпаратты қорғау жүйесін жасауға кететін
қаржы мөлшері.
Ақпаратты қорғау жүйесін жобалау мен әзірлеу келесі тәртіп бойынша
жүргізуге болады:
- қорғанылуы көзделген деректердің тізбесін және бағасын анықтау
үшін деректер өңдеу жүйесін қойылған талдау жасау;
- ықтимал бұзушының үлгісін таңдау;
- ықтимал бұзушының таңдап алынған үлгісіне сәйкес ақпаратқа
заңсыз қол жеткізу арналарының барынша көбін іздеп табу;
- пайдаланылатын қорғаныш құралдарының әрқайсысының беріктілігін
сапасы мен саны жағынан бағалау;
- орталықтанған бақылау мен басқару құралдарын әзірлеу;
- ақпарат қорғау жүйесінің беріктілігінің сапасын бағалау.
Ақпараттық қауіпсіздік — мемкелеттік ақпараттық ресурстардың, сондай-
ақ ақпарат саласында жеке адамның құқықтары мен қоғам мүдделері қорғалуының
жай-күйі.
Ақпаратты қорғау - ақпараттың сыртқа кетуінің, оны ұрлаудың,
жоғалтудың, рұқсатсыз жоюдың, өзгертудің, маңызына тимей түрлендірудің,
рұқсатсыз көшірмесін жасаудың, бұғаттаудың алдын алу үшін жүргізілетін
шаралар кешені. Қауіпсіздікті қамтамасыз ету кезін қойылатын шектеулерді
қанағаттандыруға бағытталған ұйымдастырушылық, программалық және техникалық
әдістер мен құралдардан тұрады.
Ақпараттық қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады:
қол жеткізерлік (оңтайлық), тұтастық және жасырындылық.
Қол жетерлік (оңтайлық) - саналы уақыт ішінде керекті ақпараттық
қызмет алуға болатын мүмкіндік. Ақпараттың қол жеткізерлігі - ақпараттың,
техникалық құралдардың және өңдеу технологияларының ақпаратқа кедергісіз
(бөгетсіз) қол жеткізуге тиісті өкілеттілігі бар субъектілердің оған қол
жеткізуін қамтамасыз ететін қабілетімен сипатталатын қасиеті.
Тұтастық - ақпараттың бұзудан және заңсыз өзгертуден қорғанылуы.
Ақпарат тұтастығы деп ақпарат кездейсоқ немесе әдейі бұрмаланған (бұзылған)
кезде есептеу техника құралдарының немесе автоматтандырылған жүйелердің осы
ақпараттың өзгермейтіндігін қамтамасыз ететін қабілетін айтады.
Жасырындылық - заңсыз қол жеткізуден немесе оқудан қорғау.
1983 жылы АҚШ қорғаныс министрлігі қызғылт сары мұқабасы бар Сенімді
компьютерлік жүйелерді бағалау өлшемдері деп аталатын кітап шығарды.
Қауіпсіз жүйе - белгілі бір тұлғалар немесе олардың атынан әрекет
жасайтын үрдістер ғана ақпаратты оқу, жазу, құрастыру және жою құқығына ие
бола алатындай етіп ақпаратқа қол жеткізуді тиісті құралдар арқылы
басқаратын жүйе.
Сенімді жүйе - әр түрлі құпиялық дәрежелі ақпаратты қатынас құру
құқығын бұзбай пайдаланушылар тобының бір уақытта өңдеуін қамтамасыз ету
үшін жеткілікті ақпараттық және программалық құралдарды қолданатын жүйе.
Жүйенің сенімділігі (немесе сенім дәрежесі) екі негізгі өлшемі
бойынша бағаланады: қауіпсіздік саясаты және кепілділік.
1.2. Ақпаратты қорғау жүйесі
Қолдануға қажетті кез-келген басқа программаның тұжырымдамасы сияқты
қорғаныс жүйесін құру тұжырымдамасы да мынадай сұрақтарды қарастырады:
ақпаратты қорғау аймағындағы практикалық зерттемелердің өзектілігі,
қорғаныс жүйесін құрудың негізгі кезеңдері және қорғаныс мәселесін шешудің
әр түрлі әдістемелерінің салыстырмалы талдауы.
Қорғаныс жүйесін құрудың негізгі кезеңдері төмендегідей болып
жіктеледі:
1. Мүмкін болатын қауіп-қатердің талдауы келесі қауіп-қатерден
қорғанудың негізгі түрлерін зерттеумен айналысады:
- Ақпараттың конфиденциалдығының бұзылуының қауіп-қатері;
- Ақпараттың бүтінділігінің бұзылуының қауіп-қатері.
Бұл кезең шындығында да барлық қауіп-қатердің жиынтығынан байсалды
зиян (вирус, ұрлық) келтіретіндерін таңдаумен аяқталады.
2. Қорғаныс жүйесін жоспарлау кезеңі қорғалатын құрылымдар тізімінен
және оларға мүмкін болатын қауіп-қатерден тұрады. Бұл кезде қорғанысты
қамтамасыз етудің келесі бағыттарын назарға алу қажет:
- құқықтық-этикалық;
- моральды-этикалық;
- қорғанысты қамтамасыз етудің әкімшіліктік шаралары;
- қорғанысты қамтамасыз етудің аппараттық-программалық шаралары.
3. Қорғаныс жүйесін іске асыру ақпаратты өңдеудің жоспарланған
ережелерін іске асыруға қажетті құралдарды орнату мен баптауды
қамсыздандырады.
4. Қорғаныс жүйесін сүйемелдеу кезеңі жүйенің жұмысын бақылау, ондағы
болып жатқан оқиғаларды тіркеу, қорғанысты бұзуды айқындау мақсатымен
оларды талдау және қажетінше қорғаныс жүйесін түзетумен сипатталады.
Ақпаратты қорғау әдістері төмендегідей болып жіктелінеді.
Қорғаныстың аппараттық әдістерін қолдану мынадай техникалық құралдарды
пайдалануды ұсынады:
1. Тыңдалатын және жазылатын құрылғылардан қорғайтын TRD-800
категориялы радиохабарлағыштар мен магнитофондар детекторы;
2. Жасырын бейне бақылау құратын модульдік нөмірлер;
3. Ақпаратты жеткізудің дұрыстылығын қамтамасыз ететін ақпаратты
анықтылыққа тексеру сызбалары;
4. Құпиялы құжаттарды жіберуге арналған SAFE-400 категориялы факстік
хабардың скремблері.
Қорғаныстың аппараттық әдістері ресурстардың үлкен шығынын талап
етеді.
Программалық әдістер есептеуіш алгоритмдер мен қатынауды шектеуді
қамтамасыз ететін программаларды және ақпаратты рұқсатсыз пайдаланудан
шығаруды ұсынады. Программалық әдістер келесі функцияларды іске асырады:
1. Идентификация, аутентификация, авторизация (Pin кодтар, парольдер
жүйелері арқылы);
2. Резервті көшіру және қалпына келтіру процедуралары;
3. Антивирустық программаларды белсенді қолдану және антивирустық
қорларды жиі жаңартып отыру;
4. Транзакцияны өңдеу.
Ақпаратты қорғаудың криптографиялық әдісі – бұл ақпаратты шифрлаудың,
кодтаудың немесе басқаша түрлендірудің арнайы әдісі, мұның нәтижесінде
ақпарат мазмұнына криптограмма кілтінсіз және кері түрлендірмей шығу мүмкін
болмайды. Криптографиялық қорғау – ең сенімді қорғау әдісі, өйткені
ақпаратқа шығу емес, оның тікелей өзі қорғалады, (мысалы, әуелі тасуыш
ұрланған жағдайдың өзінде ондағы шифрланған файлды оқу мүмкін емес).
Мұндай қорғау әдісі стандартты операциялар немесе программалар дестесі
түрінде жүзеге асырылады. Операциялық жүйенің негізіндегі қорғау көбінесе
қатынас құруды басқарудың процедураларын жүзеге асыруға мүмкіндік беретін
мәліметтер қорын басқару жүйелері деңгейіндегі қорғау құралдарымен
толықтырылуы керек.
Қазіргі кезде ақпарат қорғаудың криптографиялық әдісінің көпшілік
қаблдаған жіктеуі жоқ. Дегенмен, жіберілетін хабарламаның әрбір символы
шифрлауға түскенде шартты түрде 4 негізгі топқа бөлуге болады:
- ауыстыру шифрланушы мәтіннің символдары сол немесе басқа алфавит
символдарымен алдын ала белгіленген ережеге сәйкес ауыстырылады;
- аналитикалық түрлендіруде шифрланушы мәтін қандай да бір
аналитикалық ереже бойынша түрлендіріледі;
- орын ауыстыру шифрланушы мәтіннің символдарының орны жіберілетін
мәтіннің берілген блогының шегінде қандай да бір ереже бойынша шифрланады.
Ақпаратты шифрлаудың сенімділік дәрежесі бойынша көптеген программалық
өнімдер бар. Кең таралған программалардың бірі болып Циммерменн құрған
Pretty Good Privacy (PGP) болып табылады. Оның криптографиялық қорғау
құралы өте күшті. Танымдылығы мен ақысыз таратылуы іс жүзінде PGP-ны дүние
жүзінде электрондық хат алысу стандартына айналдырды. PGP программасына
желіде көпшіліктің шығуына мүмкіндігі бар.
Ақпаратты қорғаудың ұйымдастырушылық әдісі келесі іс-шаралардың
ұйымдастырылуы мен іске асырылуын қарастырады:
1. өртке қарсы қорғаныс;
2. жанбайтын сейфтерде аса қажетті құжаттарды сақтау;
3. өту жүйесі арқылы қатынау регламенті;
4. бақылау жүйесін ұйымдастыру;
5. қолданушылардың әр түрлі категорияларының қорғаныс объектілері мен
олардың орындалу талаптарына қатынауды регламентациялайтын көмекші
нұсқамаларды даярлау.
6. мамандарды таңдау мен даярлау;
7. қауіпсіздік мәселесі бойынша семинарларға, конференцияларға
қатысуды қамтасыз ету мен ұйымдастыру.
Дербес компьютердің программалық өнімі мен жіберілетін ақпаратқа
рұқсатсыз шығудан ең сенімді қорғау - әр түрлі шифрлау әдісін (ақпарат
қорғаудың криптографиялы әдістері) қолдану болып табылады.
Қорғаудың криптографиялық әдістері деп ақпаратты түрлендірудің арнайы
құралдарының жиынтығын айтамыз, нәтижесінде оның мазмұны жасырылады.
Криптографиялық әдістердің маңызды аймақтарда қолданылуына қарамастан
криптографияны эпизодтық қолдану оның бүгінгі қоғамда атқаратын ролі мен
маңызына тіптен жақын көрсеткен жоқ. Криптография өзінің ғылыми пәнге
айналуын көрсеткен жоқ. Криптография өзінің ғылыми пәнге айналуын
электрондық ақпараттық технологиямен туындаған практиканың қажеттілігіне
парыз.
Криптографиялық әдістердің теориялық негізі болып математика мен
техниканың төмендегідей бөлімдерінде қолданылатын математикалық идеялар
табылады:
- қалдықтар кластарының жүйесіндегі модульдік арифметика;
- сандардың жай көбейткіштерге жіктелуі;
- ақырлы өрістердің математикалық ақпараттары;
- алгебралық көпмүшеліктер қасиеттері;
- дискреттік логарифм мәселесі;
- кодтау теориясы.
1.3. Ақпараттық қорларды түгендеу
Бұл кезеңде, әдетте, объект, ақпараттық ағындар автоматтандырылған
жүйелердің құрылымы серверлер, хабар тасышулар, деректер өңдеу және сақтау
тәсілдері жайында мәлімет жиналады. Түгендеу анықталған соң олардың
осалдылығына талдау жасалынады.
Қатерді талдау. Келесі шаралардың нәтижелерді ақпараттық қорлардың
қорғанылу күй - жағдайның қаншалықты толық және дұрыс талдануына тәуелді
болады.
Қатерді талдау мыналардан тұрады:
- талданатын объектілерді және оларды қарастырудың
нақтылану дәрежесін таңдау;
- қатерді бағалау әдіснамасын таңдау;
- қауіптерді және олардың салдарын талдау;
- қатерлерді бағалау;
- қорғаныш шараларын талдау;
- таңдап алынған шараларды жүзеге асыру және тексеру;
- қалдық қатерді бағалау.
Қауіп бар жерде қатер пайда болады. Қауіптерді талдау кезеңі қатерді
талдаудың орталық элементі болып табылады. Қауіптердің алдын алу үшін
қорғаныш шаралары мен қүралдары қажет. Қауіптерді талдау, біріншіден,
мүмкін болатын қауіптерді анықтаудан (оларды идентификациялаудан) және,
екіншіден, келтірілетін болашақ зиянды болжау - бағалаудан тұрады.
Бұл кезеңнің орындалу нәтижесінде объектідегі қауіп - қатерлер тізбесі
және олардың қауіптік дәрежесі бойынша жіктемесі құрастырылады. Бұлар бәрі
ақпарат қорғау жүйесіне қойылатын талаптарды айқындауға, қорғаныштың ең
әсерлі шаралары мен құралдарын таңдап алуға, сондай - ақ, оларды жүзеге
асыруға қажетті шығындарды анықтауға мүмкіндік береді.
Қорғаныш жоспарын құрастыру. Бұл кезеңде осының алдында жүргізілген
талдаудың нәтижесінде анықталған қатердерді бейтараптау үшін қорғаныштың
тиісті ұйымдастырушылық және техникалық шаралары таңдап алынады.
Қорғаныш жоспарын құру ақпарат қорғау жүйесінің функционалдық сұлбасын
әзірлеуден басталады. Ол үшін қорғаныш жүйесінің атқаратын міндеттері
анықталады және нақты объектінің ерекшеліктерін ескере отырып жүйеге
қойылатын талаптар талқыланады.
Жоспарға мынадай құжаттар қосылады:
- қауіпсіздік саясаты;
- ақпаратты қорғау құралдарының объектіде орналасуы;
- қорғаныш жүйесін жұмысқа қосу үшін қажет шығындардың
сметасы;
- ақпарат қорғаудың ұйымдастырушылық;
- техникалық шараларын жүзеге асырудың күнтізбелік
жоспары.
Қорғаныш жоспарын жүзеге асыру. Бұл кезеңде қорғаныш жоспарында
келтірілген шаралармен қоса жабдықтаушылармен келісім - шарттар жасасу
жабдықтарды орнату және баптау, қажетті құжаттарды әзірлеу және т. б. осы
сияқты шаралар іске асырылады.
Объектілерді қайтадан пайдаланудың қауіпсіздігі. Бұл элемент құпия
ақпаратты қоқтықтан кездейсоқ немесе әдейі шығарып алудан сақтайтын
қатынас құруды басқаратын құралдардың маңызды қосымшасы болып табылады.
Объектілерді қайтадан пайдаланудың мүмкін болатын 3 қаупі бар:
- жедел жадыны қолдану;
- сыртқы сақтау құрылғыларын қайтадан пайдалану;
- ақпарат еңгізушығару құрылғыларын қайтадан пайдалану.
2 бөлім. Ақпаратты заң жүзінде қорғау
2.1. Қазақстан Республикасының ақпаратты қорғау жүйесі
туралы заңы
Электрондық үкімет құрамдас бөлігінің ақпараттық қауіпсіздік саясаты
бұл, ақпараттық қауіпсіздік саясаты стратегияны хабарлайды және құрамдас
бөлігінің ақпаратық қауіпсіздігін басқаруға қатынасын сипаттайды. Ол -
ақпараттық қауіпсіздікті, оның негізгі мақсаттарын, ақпаратты бірлесіп
пайдаланудың кепілдік механизмі ретінде қауіпсіздіктің маңыздылығын
анықтайды. Шешілген міндеттерге сәйкес ақпараттық қауіпсіздіктің мақсаттары
мен ұстанымдарын қолдау жөніндегі шараларды, мақсаттарға және басқару
құралдарына, оның ішінде тәуекелдерді бағалау, сондай-ақ тәуекелдерді
басқару құрылымдарына жетістікке жету жөніндегі іс-шараларды түсіндіруі
тиіс. Сонымен қатар, нормативтік, құқықтық, шарттық актілердің талаптарына
сәйкес ұстанымдарды, стандарттарды, ақпараттық қауіпсіздікті басқару, оның
ішінде ақпараттық қауіпсіздіктің қақтығысы туралы хабарлау жөніндегі жалпы
және арнаулы міндеттерді анықтауға, қауіпсіздік саясатын қолдай алатын
құжаттамаларға сілтеме жасауға міндетті.
Персоналдың қауіпсіздігі - ақпараттық қауіпсіздік саясатына сәйкес,
қызметкерлердің, келісім шарт жасайтын агенттің және үшінші тарап
пайдаланушыларының рөлдері мен міндеттерінің құжаттандырылуы.
Қауіпсіздік жөніндегі рөлі мен міндеттері:
- ақпараттық қауіпсіздік саясатына сәйкес іс-қимылдар;
- оларды пайдалану үшін рұқсатсыз қол жеткізуден, ашудан, өзгертуден,
жоюдан немесе кедергіні құрудан ресурстарды қорғау;
- ақпараттық қауіпсіздікке байланысты анықталған үдерістерді және іс-
шараларды орындау;
- жұмыстарды орындаған кезде бөлек тұлғаларға тапсырылған міндеттерді
кепілді орындау;
- ауіпсіздіктің оқиғалары немесе басқадай қауіпсіздіктің тәуекелдері
туралы хабарлама.
Құзыреттіліктің ең аз деңгейін анықтау қажет, онда бар пайдаланушы
есебінде ақпараттық жүйелермен жұмыс жасауға қол жеткізуді жорамалдайды.
Ақпараттық жүйелерге қызмет көрсетумен айналысатын қызметкерлердің
құзыреттілігіне, біліктілігіне, білімі мен тәжірибесіне талап етуді
анықтау. Қызметтік міндетті орындау үшін ақпараттық жүйелермен және өз
білімін үнемі жаңғыртуға жұмыс жасау үшін барлық қызметкерлердің сәйкес
білім деңгейі болуы тиіс.
Қауіпсіздік талаптарына, заңдылық міндеттерге және өндірістік
қызметті басқару құралдарына оқытуды жалғастырумен, қауіпсіздік саясаты
жүйесімен танысу үдерісінен бастап құзыреттілік деңгейіне жету мақсатында
қажеттілік болған кезде оқыту кезеңін әкелу.
Әкімшілендіру. Жұмыс рәсімдері мен міндеттері - құралдармен
ақпараттардың өңдеуін басқару бойынша және олармен жұмыс жасау жөніндегі
міндеттерді анықтау, сәйкес жұмыс рәсімдерін әзірлеу.
Жұмыс рәсімдері құжаттандырылуы тиіс, олардың қызмет көрсетілуін және
оларға қол жеткізу мен барлық пайдаланушыларын беруді мезгілінде
жүргізіледі.
Құжаттандырылған рәсімдер, байланыс құралдарымен және ақпараттарды
өңдеу құралдармен жұмыс жасаған кезде жүйелермен орындалатын операцияларға
дайын болуы тиіс. Жұмыс рәсімдерінде әрбір міндеттерді орындау бойынша
нақты нұсқамалар келтірілуі тиіс:
- ақпаратты өңдеу және онымен айналысу;
- ақпаратты резервтік көшіру, мерзілімділігі;
- жоспарлауға, оның ішінде басқадай жүйелермен өзара байланыс,
жұмыстың ең ерте басталуы мен ең кеш аяқталуының уақытына талап;
- қателерді өңдеу немесе басқадай ерекше жай-күй жөніндегі нұсқама, ол
міндеттерді орындау, оның ішінде жүйелік қосалқы бағдарлама пайдалануға
шектеу барысында пайда болуы мүмкін;
- күтпеген операциялық немесе техникалық қиыншылықтар пайда болған
жағдайда байланыстарды қолдау;
- арнайы ақпаратты шығару және ақпаратты алып жүрушіге қатынасу
жөніндегі нұсқама, мысалға, сәтсіз аяқталған міндеттер үшін қортынды
нәтижелерін қауіпсіз жою жөніндегі рәмідерді қоса алғанда, баспа
құрылғылары немесе жабық қортындыны басқару жөніндегі үшін арнаулы қағазды
пайдалану бойынша;
- жүйенің істен шығуынан кейін падаланылатын қайта жіберу және жүйені
қалпына келтіру;
- аудиттің есеп беруін және жүйе туралы ақпараттар жөніндегі есеп
беруді басқару.
Жүйелердің операцияларын құжаттандыратын жұмыс рәсімдері нысандық
құжаттар есебінде айтылуы тиіс және оларда өзгерістер енгізілуі тиіс емес.
Онда ол техникалық орындалатын ақпараттық жүйелер, бірдей рәсімдерді,
аспаптық құралдар мен пайдакүнімделікті пайдаланумен біркелкі басқарылуы
тиіс.
Резервтік көшіру - мезгілінде қалпына келтіру үшін көшіру саясатын
және деректердің резервтік көшірмелерін беру стратегиясын анықтау.
Келісілген көшіру саясатымен сәйкес деректердің резервтік көшірмесі
және бағдарламалық қамтамасыз етуі үнемі құрылуы және тестіленуі тиіс.
Ақпаратты немесе апатты алып жүрушінің бас таруынан кейін барлық
ақпараттар мен бағдарламалық қамтамасыз етуді кепілді қалпына келтіретін
резервтік көшіру үшін сәйкес құралдарды анықтау.
Деректерді көшірген кезде - резервтік көшіруге жататын ақпараттар
құрамын анықтау, резервтік көшіру бойынша дәл және толық есеп берулерді
шығару, көшіру рәсімдерін құжаттандыру және ақпараттарды қалпына келтіру,
резервтік көшірудің көлемін (толық немесе таңдаулы резервтік көшіру) және
оның орындалу жиілігін анықтау, жұмыс деректерін қалпына келтіру
рәсімдерінің жұмыс жасауы үшін, тағайындалған мерзімге аяқталуына олардың
тиімділігі мен мүмкіншілігін кепілдендіру үшін, ақпараттарды қалпына
келтіру рәсімдерін тестілеу және рәсімдеу мүмкіншілігі, резервтік
көшірмелер шифрлаумен қорғалуы тиіс, үздіксіз жұмыс жасау талаптарына
сәйкес оларды кепілдендіру үшін, тестілеу мерзімділігіне көшіру жүйелерінің
тізбегін анықтау, сонымен қатар ақпараттарды сақтау, сондай-ақ әрдайым
сақталатын мұрағаттық көшірмелер үшін уақыт мерзімін анықтау сияқты
факторларды ескеру қажет.
Ақпаратты қалпына келтіру және резервтік көшіру үдерістерін оңайлату
үшін резервтік көшіру бойынша операциялардың тізбегі автоматтандырылуы
мүмкін. Іске асыру мен үнемі орындалудың алдында осындай автоматтандырылған
шешім жеткілікті дәрежеде тестіленуі тиіс.
2.2.1.Жалпы қол жеткізуімен ақпаратты қорғау
Қол жетімді ақпараттың тұтастығы рұқсатсыз өзгертуден қорғалуы тиіс.
Ақпараттық жүйеде жалпыға қол жетімді жасалған тұтастықты талап ететін,
бағдарламалық қамтамасыз ету, деректер, басқадай ақпарат сәйкестендірілген
механизмдермен қорғалуы тиіс. Жалпы пайдаланатын жүйе ақпаратын пайдаланар
алдында онда осал орынның бар болуына және тұрақтылықтан бастартуға
тестіленуі тиіс.
Соған дейін, ақпарат жалпы қолжетімді болғанда, осы қол жетімділіктің
рұқсат етілетін нысандық үдерісі орындалуы тиіс. Одан басқа, сыртқы жүйеден
келіп түскен барлық кіріс ақпараты тексерілуі және рұқсат етілуі тиіс.
Оқиғаларды тіркеу журналында пайдаланушының операциясы, ерекше жай-
күйі, ақпараттық қауіпсіздік оқиғаларының ақпараты тіркеледі. Оқиғаларды
тіркеу журналдарының есеп берулері мынадай ақпараттарды қосуы тиіс (қажет
болған кезде) - пайдаланушылардың идентификаторлары (растаулары), негізгі
оқиғалар туралы уақыты, күні және нақты ақпараты, мысалға жүйеден шығуының
тіркелуі, терминалдың идентификаторы немесе орналасқан орны, егер бұл
мүмкін болса, жүйеге қол жеткізудің табысты және табыссыз әрекет жасау
бойынша есеп беруі тиіс.
Табысты алынған деректер мен ауытқыған деректер бойынша және басқадай
ресурстарға қол жеткізуге әрекет жасау бойынша есеп беріледі. Жүйенің
кескін үйлесімінде өзгертулерге, артықшылығы барды пайдалану бойынша,
қосымшаларды және жүйелік қосалқы бағдарламаны пайдалану, қол жеткізуі және
қол жеткізудің түрі жүзеге асырылған файлдар, желілік адрестер және
хаттамалар, қол жеткізуді басқару жүйесімен құрылғанды хабарлау, активтену
және қорғау жүйесінің жұмыс жасауының тоқтауы, мысалға, антивирустік
жүйелер, басып кіруін айқындау жүйелері, аудиттің есеп беруі ішкі, жасырын
жеке деректерді ұстауы мүмкін, олардың құпиялығын қорғау жөніндегі сәйкес
шаралар қабылдануы тиіс.
Жүйелерді пайдалану мониторингі - құралдарды, ақпараттарды өңдеуді
бағдарламалық қамтамасыз етуін, пайдалану мониторингінің сәйкес рәсімі
әзірленуі және іске асырылуы тиіс. Әрбір құрал үшін талап етілетін
мониторинг деңгейі техно-жұмыстық жобалау барысында анықталуы тиіс.
Ақпараттық қауіпсіздік пен мониторингке қолданылатын қолданыстағы
нормативтік құқықтық актілердің барлық талаптары сақталуы тиіс. Мынадай
мәселелерді назарыңызға қабылдауыңыз қажет:
- қол жеткізуді, оның ішінде тіркеудің нақты ақпаратын бекіту:
- пайдаланушының идентификаторы (ID);
- негізгі оқиғалардың күні мен уақыты;
-оқиғалардың түрлері;
- қол жеткізуі жүзеге асырылған файлдар;
- пайдаланған бағдарламалар мен жүйелік қосалқы бағдарлама;
- барлық ерекше артықшылық операциялар:
- ерекше артық есеп жүргізу жазбаларын пайдалану, мысалға,
супервизорды, (root) әзірлеушісін, әкімшіні;
- жүйені іске қосу және тоқтату;
- енгізу – шығару құрылғыларын бекіту және босату;
- рұқсат етілмейтін қол жеткізудің әрекет етулері:
- пайдаланушының сәтсіз немесе ауытқыған операциялары;
- деректермен және басқадай ресурстармен сәтсіз немесе ауытқыған
операциялары;
- желілік шлюздер және желіаралық экрандар үшін қол жеткізу және
хабарлама құқығының бұзылуы;
- басып кіруін айқындаған жүйелердің ескертуі;
- ескерту немесе жүйелердің істен шығуы, мысалға:
- консольға шығарылған ескерту немесе хабарлама;
- жүйенің айрықша жай-күйі бойынша есеп берулері;
- желілерді басқаруды жүйелерге ескерту;
- қол жеткізуді басқару жүйесімен құрылғанды хабарлау;
- қауіпсіздік жүйелерін және басқару құралдарын күйге келтіруді
өзгерті немесе өзгертуге әрекет қылу.
Мониторинг нәтижелерінің қарау жиілігі тартылған тәуекелдермен
анықталуы тиіс. Тәуекелдің факторы қаралуы тиіс, оның ішінде - қосымшалар
үдерістерінің сыншылдығы, ақпараттарды талдаудың маңыздылығы, сезімталдығы,
және сыншылдығы, жүйеге енудің және оны жөнсіз пайдаланудың өткен
тәжірибесі, пайдалану жиілігінің ақсайтын жері, жүйелер байланыстығының
дәрежесі (әсіресе жалпы пайдаланудағы желілермен), пайдалануы тоқтатылған
құралдардың есеп беруі жатады.
Құрылған есеп берудің тексеруі қатерлердің талдауын, онымен
қақтығысқан қорғау жүйесін және олардың пайда болу табиғатын қосуы тиіс.
Оқиғаларды тіркеу журналында деректерді қорғау - оқиғалар және
құралдар журналдарындағы ақпараттар қастандық жасайтындардың жасанды
көшірмесінен және рұқсатсыз қол жеткізушілерден қорғалуы. Басқару құралдары
есеп берулерге рұқсатсыз өзгеріс енгізуден және есеп берулерді құру
құралдарының жұмыс жасауына кедергілерден қорғауды қамтамасыз етуге
талпынуы тиіс, оның ішінде - тіркелген хабарлама түрлерінің өзгеруі, есеп
беру файлдарын редакциялау және жою, онда есеп берулер сақталатын
ақпараттарды алып жүрушілердің сыйымдылығын арттыру, нәтижесінде оқиғалар
жазбаларының немесе соңғы тіркелген оқиғаларының қайта жазбаларының істен
шығуының неден болуы, есеп беру жазбаларын сақтау ережелерімен сәйкес
(немесе ақпараттарды растайтындарды жинау және сақтау жөніндегі талаптарды
орындау үшін) аудиттің кейбір есеп берудің мұрағаттануын жасайды, сонымен
қатар ... жалғасы
Ақпарат - әртүрлі формада өмір сүруі мүмкін. Ол қағазда жазылып почта
арқылы немесе электронды түрде электрондық каналдар арқылы жіберілуі
мүмкін, фильм түрінде көрсетілуі тіпті жай әңгіме үстінде айтылуы мүмкін.
Қазіргі күнгі қатал бәсекелестік жағдайында әртүрлі жерден шығатын
ақпаратқа қауіп төніп тұр. Бұл қауіп ішкі, сыртқы, кездейсоқ немесе әдейі
болуы мүмкін. Жаңа технологияларды пайдалану денгейінің өсуіне байланысты
ақпаратты сақтау, алмасу, қабылдау арқылы күнделікті өсіп отырған осы бір
қауіп-қатерге ашық бетпе-бет келіп отырмыз. Әрбір ұйымның ішінде ақпараттық
қауіпсіздік саясатына сұраныс туып отыр. Өмірлік маңызы бар корпоративтік
ақпаратты және клиенттеріңізді құпияда сақтауыңыз қажет.
Ақпаратты қорғау — ақпараттық қауіпсіздікті қамтамасыз етуге
бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп
деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат
пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса,
жасырындылығын қолдауды түсінеді.
Ақпараттық қауіпсіздік режимін қалыптастыру кешендік мәселе болып
табылады. Оны шешу үшін заңнамалық, ұйымдастырушылық, программалық,
техникалық шаралар қажет.
Ақпараттық қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады:
- қол жеткізерлік (оңтайлық),
- тұтастық,
- жасырындылық.
Курстық жұмысымның мақсаты – ақпараттық қауіпсіздік жүйелерімен танысу
және ақпаратты заң жүзінде қорғау туралы мәліметтер беру. Ақпараттық қорғау
жүйесін жобалау әр түрлі жағдайда жүргізіледі.
Ақпараттарға, ақпараттарды өңдеу құралдарына және өндірістік
үдерістеріне қол жеткізудің ақпараттық қауіпсіздік саясатының және қол
жеткізуді басқару саясатының талаптарына сәйкес басқарылуы тиіс.
1 бөлім. Ақпараттық қауіпсіздік
1.1. Ақпаратты қорғауға бағытталған шаралар кешені
Ақпараттық қорғау жүйесі жобалау әр түрлі жағдайда жүргізілуі мүмкін
және бұл жағдайларға негізгі екі праметр әсер етеді: ақпарат қорғау
жүйесіне арнап әзірленіп жатқан деректерді өңдеудің автоматтандырылған
жүйесінің қазіргі күй-жағдайы және ақпаратты қорғау жүйесін жасауға кететін
қаржы мөлшері.
Ақпаратты қорғау жүйесін жобалау мен әзірлеу келесі тәртіп бойынша
жүргізуге болады:
- қорғанылуы көзделген деректердің тізбесін және бағасын анықтау
үшін деректер өңдеу жүйесін қойылған талдау жасау;
- ықтимал бұзушының үлгісін таңдау;
- ықтимал бұзушының таңдап алынған үлгісіне сәйкес ақпаратқа
заңсыз қол жеткізу арналарының барынша көбін іздеп табу;
- пайдаланылатын қорғаныш құралдарының әрқайсысының беріктілігін
сапасы мен саны жағынан бағалау;
- орталықтанған бақылау мен басқару құралдарын әзірлеу;
- ақпарат қорғау жүйесінің беріктілігінің сапасын бағалау.
Ақпараттық қауіпсіздік — мемкелеттік ақпараттық ресурстардың, сондай-
ақ ақпарат саласында жеке адамның құқықтары мен қоғам мүдделері қорғалуының
жай-күйі.
Ақпаратты қорғау - ақпараттың сыртқа кетуінің, оны ұрлаудың,
жоғалтудың, рұқсатсыз жоюдың, өзгертудің, маңызына тимей түрлендірудің,
рұқсатсыз көшірмесін жасаудың, бұғаттаудың алдын алу үшін жүргізілетін
шаралар кешені. Қауіпсіздікті қамтамасыз ету кезін қойылатын шектеулерді
қанағаттандыруға бағытталған ұйымдастырушылық, программалық және техникалық
әдістер мен құралдардан тұрады.
Ақпараттық қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады:
қол жеткізерлік (оңтайлық), тұтастық және жасырындылық.
Қол жетерлік (оңтайлық) - саналы уақыт ішінде керекті ақпараттық
қызмет алуға болатын мүмкіндік. Ақпараттың қол жеткізерлігі - ақпараттың,
техникалық құралдардың және өңдеу технологияларының ақпаратқа кедергісіз
(бөгетсіз) қол жеткізуге тиісті өкілеттілігі бар субъектілердің оған қол
жеткізуін қамтамасыз ететін қабілетімен сипатталатын қасиеті.
Тұтастық - ақпараттың бұзудан және заңсыз өзгертуден қорғанылуы.
Ақпарат тұтастығы деп ақпарат кездейсоқ немесе әдейі бұрмаланған (бұзылған)
кезде есептеу техника құралдарының немесе автоматтандырылған жүйелердің осы
ақпараттың өзгермейтіндігін қамтамасыз ететін қабілетін айтады.
Жасырындылық - заңсыз қол жеткізуден немесе оқудан қорғау.
1983 жылы АҚШ қорғаныс министрлігі қызғылт сары мұқабасы бар Сенімді
компьютерлік жүйелерді бағалау өлшемдері деп аталатын кітап шығарды.
Қауіпсіз жүйе - белгілі бір тұлғалар немесе олардың атынан әрекет
жасайтын үрдістер ғана ақпаратты оқу, жазу, құрастыру және жою құқығына ие
бола алатындай етіп ақпаратқа қол жеткізуді тиісті құралдар арқылы
басқаратын жүйе.
Сенімді жүйе - әр түрлі құпиялық дәрежелі ақпаратты қатынас құру
құқығын бұзбай пайдаланушылар тобының бір уақытта өңдеуін қамтамасыз ету
үшін жеткілікті ақпараттық және программалық құралдарды қолданатын жүйе.
Жүйенің сенімділігі (немесе сенім дәрежесі) екі негізгі өлшемі
бойынша бағаланады: қауіпсіздік саясаты және кепілділік.
1.2. Ақпаратты қорғау жүйесі
Қолдануға қажетті кез-келген басқа программаның тұжырымдамасы сияқты
қорғаныс жүйесін құру тұжырымдамасы да мынадай сұрақтарды қарастырады:
ақпаратты қорғау аймағындағы практикалық зерттемелердің өзектілігі,
қорғаныс жүйесін құрудың негізгі кезеңдері және қорғаныс мәселесін шешудің
әр түрлі әдістемелерінің салыстырмалы талдауы.
Қорғаныс жүйесін құрудың негізгі кезеңдері төмендегідей болып
жіктеледі:
1. Мүмкін болатын қауіп-қатердің талдауы келесі қауіп-қатерден
қорғанудың негізгі түрлерін зерттеумен айналысады:
- Ақпараттың конфиденциалдығының бұзылуының қауіп-қатері;
- Ақпараттың бүтінділігінің бұзылуының қауіп-қатері.
Бұл кезең шындығында да барлық қауіп-қатердің жиынтығынан байсалды
зиян (вирус, ұрлық) келтіретіндерін таңдаумен аяқталады.
2. Қорғаныс жүйесін жоспарлау кезеңі қорғалатын құрылымдар тізімінен
және оларға мүмкін болатын қауіп-қатерден тұрады. Бұл кезде қорғанысты
қамтамасыз етудің келесі бағыттарын назарға алу қажет:
- құқықтық-этикалық;
- моральды-этикалық;
- қорғанысты қамтамасыз етудің әкімшіліктік шаралары;
- қорғанысты қамтамасыз етудің аппараттық-программалық шаралары.
3. Қорғаныс жүйесін іске асыру ақпаратты өңдеудің жоспарланған
ережелерін іске асыруға қажетті құралдарды орнату мен баптауды
қамсыздандырады.
4. Қорғаныс жүйесін сүйемелдеу кезеңі жүйенің жұмысын бақылау, ондағы
болып жатқан оқиғаларды тіркеу, қорғанысты бұзуды айқындау мақсатымен
оларды талдау және қажетінше қорғаныс жүйесін түзетумен сипатталады.
Ақпаратты қорғау әдістері төмендегідей болып жіктелінеді.
Қорғаныстың аппараттық әдістерін қолдану мынадай техникалық құралдарды
пайдалануды ұсынады:
1. Тыңдалатын және жазылатын құрылғылардан қорғайтын TRD-800
категориялы радиохабарлағыштар мен магнитофондар детекторы;
2. Жасырын бейне бақылау құратын модульдік нөмірлер;
3. Ақпаратты жеткізудің дұрыстылығын қамтамасыз ететін ақпаратты
анықтылыққа тексеру сызбалары;
4. Құпиялы құжаттарды жіберуге арналған SAFE-400 категориялы факстік
хабардың скремблері.
Қорғаныстың аппараттық әдістері ресурстардың үлкен шығынын талап
етеді.
Программалық әдістер есептеуіш алгоритмдер мен қатынауды шектеуді
қамтамасыз ететін программаларды және ақпаратты рұқсатсыз пайдаланудан
шығаруды ұсынады. Программалық әдістер келесі функцияларды іске асырады:
1. Идентификация, аутентификация, авторизация (Pin кодтар, парольдер
жүйелері арқылы);
2. Резервті көшіру және қалпына келтіру процедуралары;
3. Антивирустық программаларды белсенді қолдану және антивирустық
қорларды жиі жаңартып отыру;
4. Транзакцияны өңдеу.
Ақпаратты қорғаудың криптографиялық әдісі – бұл ақпаратты шифрлаудың,
кодтаудың немесе басқаша түрлендірудің арнайы әдісі, мұның нәтижесінде
ақпарат мазмұнына криптограмма кілтінсіз және кері түрлендірмей шығу мүмкін
болмайды. Криптографиялық қорғау – ең сенімді қорғау әдісі, өйткені
ақпаратқа шығу емес, оның тікелей өзі қорғалады, (мысалы, әуелі тасуыш
ұрланған жағдайдың өзінде ондағы шифрланған файлды оқу мүмкін емес).
Мұндай қорғау әдісі стандартты операциялар немесе программалар дестесі
түрінде жүзеге асырылады. Операциялық жүйенің негізіндегі қорғау көбінесе
қатынас құруды басқарудың процедураларын жүзеге асыруға мүмкіндік беретін
мәліметтер қорын басқару жүйелері деңгейіндегі қорғау құралдарымен
толықтырылуы керек.
Қазіргі кезде ақпарат қорғаудың криптографиялық әдісінің көпшілік
қаблдаған жіктеуі жоқ. Дегенмен, жіберілетін хабарламаның әрбір символы
шифрлауға түскенде шартты түрде 4 негізгі топқа бөлуге болады:
- ауыстыру шифрланушы мәтіннің символдары сол немесе басқа алфавит
символдарымен алдын ала белгіленген ережеге сәйкес ауыстырылады;
- аналитикалық түрлендіруде шифрланушы мәтін қандай да бір
аналитикалық ереже бойынша түрлендіріледі;
- орын ауыстыру шифрланушы мәтіннің символдарының орны жіберілетін
мәтіннің берілген блогының шегінде қандай да бір ереже бойынша шифрланады.
Ақпаратты шифрлаудың сенімділік дәрежесі бойынша көптеген программалық
өнімдер бар. Кең таралған программалардың бірі болып Циммерменн құрған
Pretty Good Privacy (PGP) болып табылады. Оның криптографиялық қорғау
құралы өте күшті. Танымдылығы мен ақысыз таратылуы іс жүзінде PGP-ны дүние
жүзінде электрондық хат алысу стандартына айналдырды. PGP программасына
желіде көпшіліктің шығуына мүмкіндігі бар.
Ақпаратты қорғаудың ұйымдастырушылық әдісі келесі іс-шаралардың
ұйымдастырылуы мен іске асырылуын қарастырады:
1. өртке қарсы қорғаныс;
2. жанбайтын сейфтерде аса қажетті құжаттарды сақтау;
3. өту жүйесі арқылы қатынау регламенті;
4. бақылау жүйесін ұйымдастыру;
5. қолданушылардың әр түрлі категорияларының қорғаныс объектілері мен
олардың орындалу талаптарына қатынауды регламентациялайтын көмекші
нұсқамаларды даярлау.
6. мамандарды таңдау мен даярлау;
7. қауіпсіздік мәселесі бойынша семинарларға, конференцияларға
қатысуды қамтасыз ету мен ұйымдастыру.
Дербес компьютердің программалық өнімі мен жіберілетін ақпаратқа
рұқсатсыз шығудан ең сенімді қорғау - әр түрлі шифрлау әдісін (ақпарат
қорғаудың криптографиялы әдістері) қолдану болып табылады.
Қорғаудың криптографиялық әдістері деп ақпаратты түрлендірудің арнайы
құралдарының жиынтығын айтамыз, нәтижесінде оның мазмұны жасырылады.
Криптографиялық әдістердің маңызды аймақтарда қолданылуына қарамастан
криптографияны эпизодтық қолдану оның бүгінгі қоғамда атқаратын ролі мен
маңызына тіптен жақын көрсеткен жоқ. Криптография өзінің ғылыми пәнге
айналуын көрсеткен жоқ. Криптография өзінің ғылыми пәнге айналуын
электрондық ақпараттық технологиямен туындаған практиканың қажеттілігіне
парыз.
Криптографиялық әдістердің теориялық негізі болып математика мен
техниканың төмендегідей бөлімдерінде қолданылатын математикалық идеялар
табылады:
- қалдықтар кластарының жүйесіндегі модульдік арифметика;
- сандардың жай көбейткіштерге жіктелуі;
- ақырлы өрістердің математикалық ақпараттары;
- алгебралық көпмүшеліктер қасиеттері;
- дискреттік логарифм мәселесі;
- кодтау теориясы.
1.3. Ақпараттық қорларды түгендеу
Бұл кезеңде, әдетте, объект, ақпараттық ағындар автоматтандырылған
жүйелердің құрылымы серверлер, хабар тасышулар, деректер өңдеу және сақтау
тәсілдері жайында мәлімет жиналады. Түгендеу анықталған соң олардың
осалдылығына талдау жасалынады.
Қатерді талдау. Келесі шаралардың нәтижелерді ақпараттық қорлардың
қорғанылу күй - жағдайның қаншалықты толық және дұрыс талдануына тәуелді
болады.
Қатерді талдау мыналардан тұрады:
- талданатын объектілерді және оларды қарастырудың
нақтылану дәрежесін таңдау;
- қатерді бағалау әдіснамасын таңдау;
- қауіптерді және олардың салдарын талдау;
- қатерлерді бағалау;
- қорғаныш шараларын талдау;
- таңдап алынған шараларды жүзеге асыру және тексеру;
- қалдық қатерді бағалау.
Қауіп бар жерде қатер пайда болады. Қауіптерді талдау кезеңі қатерді
талдаудың орталық элементі болып табылады. Қауіптердің алдын алу үшін
қорғаныш шаралары мен қүралдары қажет. Қауіптерді талдау, біріншіден,
мүмкін болатын қауіптерді анықтаудан (оларды идентификациялаудан) және,
екіншіден, келтірілетін болашақ зиянды болжау - бағалаудан тұрады.
Бұл кезеңнің орындалу нәтижесінде объектідегі қауіп - қатерлер тізбесі
және олардың қауіптік дәрежесі бойынша жіктемесі құрастырылады. Бұлар бәрі
ақпарат қорғау жүйесіне қойылатын талаптарды айқындауға, қорғаныштың ең
әсерлі шаралары мен құралдарын таңдап алуға, сондай - ақ, оларды жүзеге
асыруға қажетті шығындарды анықтауға мүмкіндік береді.
Қорғаныш жоспарын құрастыру. Бұл кезеңде осының алдында жүргізілген
талдаудың нәтижесінде анықталған қатердерді бейтараптау үшін қорғаныштың
тиісті ұйымдастырушылық және техникалық шаралары таңдап алынады.
Қорғаныш жоспарын құру ақпарат қорғау жүйесінің функционалдық сұлбасын
әзірлеуден басталады. Ол үшін қорғаныш жүйесінің атқаратын міндеттері
анықталады және нақты объектінің ерекшеліктерін ескере отырып жүйеге
қойылатын талаптар талқыланады.
Жоспарға мынадай құжаттар қосылады:
- қауіпсіздік саясаты;
- ақпаратты қорғау құралдарының объектіде орналасуы;
- қорғаныш жүйесін жұмысқа қосу үшін қажет шығындардың
сметасы;
- ақпарат қорғаудың ұйымдастырушылық;
- техникалық шараларын жүзеге асырудың күнтізбелік
жоспары.
Қорғаныш жоспарын жүзеге асыру. Бұл кезеңде қорғаныш жоспарында
келтірілген шаралармен қоса жабдықтаушылармен келісім - шарттар жасасу
жабдықтарды орнату және баптау, қажетті құжаттарды әзірлеу және т. б. осы
сияқты шаралар іске асырылады.
Объектілерді қайтадан пайдаланудың қауіпсіздігі. Бұл элемент құпия
ақпаратты қоқтықтан кездейсоқ немесе әдейі шығарып алудан сақтайтын
қатынас құруды басқаратын құралдардың маңызды қосымшасы болып табылады.
Объектілерді қайтадан пайдаланудың мүмкін болатын 3 қаупі бар:
- жедел жадыны қолдану;
- сыртқы сақтау құрылғыларын қайтадан пайдалану;
- ақпарат еңгізушығару құрылғыларын қайтадан пайдалану.
2 бөлім. Ақпаратты заң жүзінде қорғау
2.1. Қазақстан Республикасының ақпаратты қорғау жүйесі
туралы заңы
Электрондық үкімет құрамдас бөлігінің ақпараттық қауіпсіздік саясаты
бұл, ақпараттық қауіпсіздік саясаты стратегияны хабарлайды және құрамдас
бөлігінің ақпаратық қауіпсіздігін басқаруға қатынасын сипаттайды. Ол -
ақпараттық қауіпсіздікті, оның негізгі мақсаттарын, ақпаратты бірлесіп
пайдаланудың кепілдік механизмі ретінде қауіпсіздіктің маңыздылығын
анықтайды. Шешілген міндеттерге сәйкес ақпараттық қауіпсіздіктің мақсаттары
мен ұстанымдарын қолдау жөніндегі шараларды, мақсаттарға және басқару
құралдарына, оның ішінде тәуекелдерді бағалау, сондай-ақ тәуекелдерді
басқару құрылымдарына жетістікке жету жөніндегі іс-шараларды түсіндіруі
тиіс. Сонымен қатар, нормативтік, құқықтық, шарттық актілердің талаптарына
сәйкес ұстанымдарды, стандарттарды, ақпараттық қауіпсіздікті басқару, оның
ішінде ақпараттық қауіпсіздіктің қақтығысы туралы хабарлау жөніндегі жалпы
және арнаулы міндеттерді анықтауға, қауіпсіздік саясатын қолдай алатын
құжаттамаларға сілтеме жасауға міндетті.
Персоналдың қауіпсіздігі - ақпараттық қауіпсіздік саясатына сәйкес,
қызметкерлердің, келісім шарт жасайтын агенттің және үшінші тарап
пайдаланушыларының рөлдері мен міндеттерінің құжаттандырылуы.
Қауіпсіздік жөніндегі рөлі мен міндеттері:
- ақпараттық қауіпсіздік саясатына сәйкес іс-қимылдар;
- оларды пайдалану үшін рұқсатсыз қол жеткізуден, ашудан, өзгертуден,
жоюдан немесе кедергіні құрудан ресурстарды қорғау;
- ақпараттық қауіпсіздікке байланысты анықталған үдерістерді және іс-
шараларды орындау;
- жұмыстарды орындаған кезде бөлек тұлғаларға тапсырылған міндеттерді
кепілді орындау;
- ауіпсіздіктің оқиғалары немесе басқадай қауіпсіздіктің тәуекелдері
туралы хабарлама.
Құзыреттіліктің ең аз деңгейін анықтау қажет, онда бар пайдаланушы
есебінде ақпараттық жүйелермен жұмыс жасауға қол жеткізуді жорамалдайды.
Ақпараттық жүйелерге қызмет көрсетумен айналысатын қызметкерлердің
құзыреттілігіне, біліктілігіне, білімі мен тәжірибесіне талап етуді
анықтау. Қызметтік міндетті орындау үшін ақпараттық жүйелермен және өз
білімін үнемі жаңғыртуға жұмыс жасау үшін барлық қызметкерлердің сәйкес
білім деңгейі болуы тиіс.
Қауіпсіздік талаптарына, заңдылық міндеттерге және өндірістік
қызметті басқару құралдарына оқытуды жалғастырумен, қауіпсіздік саясаты
жүйесімен танысу үдерісінен бастап құзыреттілік деңгейіне жету мақсатында
қажеттілік болған кезде оқыту кезеңін әкелу.
Әкімшілендіру. Жұмыс рәсімдері мен міндеттері - құралдармен
ақпараттардың өңдеуін басқару бойынша және олармен жұмыс жасау жөніндегі
міндеттерді анықтау, сәйкес жұмыс рәсімдерін әзірлеу.
Жұмыс рәсімдері құжаттандырылуы тиіс, олардың қызмет көрсетілуін және
оларға қол жеткізу мен барлық пайдаланушыларын беруді мезгілінде
жүргізіледі.
Құжаттандырылған рәсімдер, байланыс құралдарымен және ақпараттарды
өңдеу құралдармен жұмыс жасаған кезде жүйелермен орындалатын операцияларға
дайын болуы тиіс. Жұмыс рәсімдерінде әрбір міндеттерді орындау бойынша
нақты нұсқамалар келтірілуі тиіс:
- ақпаратты өңдеу және онымен айналысу;
- ақпаратты резервтік көшіру, мерзілімділігі;
- жоспарлауға, оның ішінде басқадай жүйелермен өзара байланыс,
жұмыстың ең ерте басталуы мен ең кеш аяқталуының уақытына талап;
- қателерді өңдеу немесе басқадай ерекше жай-күй жөніндегі нұсқама, ол
міндеттерді орындау, оның ішінде жүйелік қосалқы бағдарлама пайдалануға
шектеу барысында пайда болуы мүмкін;
- күтпеген операциялық немесе техникалық қиыншылықтар пайда болған
жағдайда байланыстарды қолдау;
- арнайы ақпаратты шығару және ақпаратты алып жүрушіге қатынасу
жөніндегі нұсқама, мысалға, сәтсіз аяқталған міндеттер үшін қортынды
нәтижелерін қауіпсіз жою жөніндегі рәмідерді қоса алғанда, баспа
құрылғылары немесе жабық қортындыны басқару жөніндегі үшін арнаулы қағазды
пайдалану бойынша;
- жүйенің істен шығуынан кейін падаланылатын қайта жіберу және жүйені
қалпына келтіру;
- аудиттің есеп беруін және жүйе туралы ақпараттар жөніндегі есеп
беруді басқару.
Жүйелердің операцияларын құжаттандыратын жұмыс рәсімдері нысандық
құжаттар есебінде айтылуы тиіс және оларда өзгерістер енгізілуі тиіс емес.
Онда ол техникалық орындалатын ақпараттық жүйелер, бірдей рәсімдерді,
аспаптық құралдар мен пайдакүнімделікті пайдаланумен біркелкі басқарылуы
тиіс.
Резервтік көшіру - мезгілінде қалпына келтіру үшін көшіру саясатын
және деректердің резервтік көшірмелерін беру стратегиясын анықтау.
Келісілген көшіру саясатымен сәйкес деректердің резервтік көшірмесі
және бағдарламалық қамтамасыз етуі үнемі құрылуы және тестіленуі тиіс.
Ақпаратты немесе апатты алып жүрушінің бас таруынан кейін барлық
ақпараттар мен бағдарламалық қамтамасыз етуді кепілді қалпына келтіретін
резервтік көшіру үшін сәйкес құралдарды анықтау.
Деректерді көшірген кезде - резервтік көшіруге жататын ақпараттар
құрамын анықтау, резервтік көшіру бойынша дәл және толық есеп берулерді
шығару, көшіру рәсімдерін құжаттандыру және ақпараттарды қалпына келтіру,
резервтік көшірудің көлемін (толық немесе таңдаулы резервтік көшіру) және
оның орындалу жиілігін анықтау, жұмыс деректерін қалпына келтіру
рәсімдерінің жұмыс жасауы үшін, тағайындалған мерзімге аяқталуына олардың
тиімділігі мен мүмкіншілігін кепілдендіру үшін, ақпараттарды қалпына
келтіру рәсімдерін тестілеу және рәсімдеу мүмкіншілігі, резервтік
көшірмелер шифрлаумен қорғалуы тиіс, үздіксіз жұмыс жасау талаптарына
сәйкес оларды кепілдендіру үшін, тестілеу мерзімділігіне көшіру жүйелерінің
тізбегін анықтау, сонымен қатар ақпараттарды сақтау, сондай-ақ әрдайым
сақталатын мұрағаттық көшірмелер үшін уақыт мерзімін анықтау сияқты
факторларды ескеру қажет.
Ақпаратты қалпына келтіру және резервтік көшіру үдерістерін оңайлату
үшін резервтік көшіру бойынша операциялардың тізбегі автоматтандырылуы
мүмкін. Іске асыру мен үнемі орындалудың алдында осындай автоматтандырылған
шешім жеткілікті дәрежеде тестіленуі тиіс.
2.2.1.Жалпы қол жеткізуімен ақпаратты қорғау
Қол жетімді ақпараттың тұтастығы рұқсатсыз өзгертуден қорғалуы тиіс.
Ақпараттық жүйеде жалпыға қол жетімді жасалған тұтастықты талап ететін,
бағдарламалық қамтамасыз ету, деректер, басқадай ақпарат сәйкестендірілген
механизмдермен қорғалуы тиіс. Жалпы пайдаланатын жүйе ақпаратын пайдаланар
алдында онда осал орынның бар болуына және тұрақтылықтан бастартуға
тестіленуі тиіс.
Соған дейін, ақпарат жалпы қолжетімді болғанда, осы қол жетімділіктің
рұқсат етілетін нысандық үдерісі орындалуы тиіс. Одан басқа, сыртқы жүйеден
келіп түскен барлық кіріс ақпараты тексерілуі және рұқсат етілуі тиіс.
Оқиғаларды тіркеу журналында пайдаланушының операциясы, ерекше жай-
күйі, ақпараттық қауіпсіздік оқиғаларының ақпараты тіркеледі. Оқиғаларды
тіркеу журналдарының есеп берулері мынадай ақпараттарды қосуы тиіс (қажет
болған кезде) - пайдаланушылардың идентификаторлары (растаулары), негізгі
оқиғалар туралы уақыты, күні және нақты ақпараты, мысалға жүйеден шығуының
тіркелуі, терминалдың идентификаторы немесе орналасқан орны, егер бұл
мүмкін болса, жүйеге қол жеткізудің табысты және табыссыз әрекет жасау
бойынша есеп беруі тиіс.
Табысты алынған деректер мен ауытқыған деректер бойынша және басқадай
ресурстарға қол жеткізуге әрекет жасау бойынша есеп беріледі. Жүйенің
кескін үйлесімінде өзгертулерге, артықшылығы барды пайдалану бойынша,
қосымшаларды және жүйелік қосалқы бағдарламаны пайдалану, қол жеткізуі және
қол жеткізудің түрі жүзеге асырылған файлдар, желілік адрестер және
хаттамалар, қол жеткізуді басқару жүйесімен құрылғанды хабарлау, активтену
және қорғау жүйесінің жұмыс жасауының тоқтауы, мысалға, антивирустік
жүйелер, басып кіруін айқындау жүйелері, аудиттің есеп беруі ішкі, жасырын
жеке деректерді ұстауы мүмкін, олардың құпиялығын қорғау жөніндегі сәйкес
шаралар қабылдануы тиіс.
Жүйелерді пайдалану мониторингі - құралдарды, ақпараттарды өңдеуді
бағдарламалық қамтамасыз етуін, пайдалану мониторингінің сәйкес рәсімі
әзірленуі және іске асырылуы тиіс. Әрбір құрал үшін талап етілетін
мониторинг деңгейі техно-жұмыстық жобалау барысында анықталуы тиіс.
Ақпараттық қауіпсіздік пен мониторингке қолданылатын қолданыстағы
нормативтік құқықтық актілердің барлық талаптары сақталуы тиіс. Мынадай
мәселелерді назарыңызға қабылдауыңыз қажет:
- қол жеткізуді, оның ішінде тіркеудің нақты ақпаратын бекіту:
- пайдаланушының идентификаторы (ID);
- негізгі оқиғалардың күні мен уақыты;
-оқиғалардың түрлері;
- қол жеткізуі жүзеге асырылған файлдар;
- пайдаланған бағдарламалар мен жүйелік қосалқы бағдарлама;
- барлық ерекше артықшылық операциялар:
- ерекше артық есеп жүргізу жазбаларын пайдалану, мысалға,
супервизорды, (root) әзірлеушісін, әкімшіні;
- жүйені іске қосу және тоқтату;
- енгізу – шығару құрылғыларын бекіту және босату;
- рұқсат етілмейтін қол жеткізудің әрекет етулері:
- пайдаланушының сәтсіз немесе ауытқыған операциялары;
- деректермен және басқадай ресурстармен сәтсіз немесе ауытқыған
операциялары;
- желілік шлюздер және желіаралық экрандар үшін қол жеткізу және
хабарлама құқығының бұзылуы;
- басып кіруін айқындаған жүйелердің ескертуі;
- ескерту немесе жүйелердің істен шығуы, мысалға:
- консольға шығарылған ескерту немесе хабарлама;
- жүйенің айрықша жай-күйі бойынша есеп берулері;
- желілерді басқаруды жүйелерге ескерту;
- қол жеткізуді басқару жүйесімен құрылғанды хабарлау;
- қауіпсіздік жүйелерін және басқару құралдарын күйге келтіруді
өзгерті немесе өзгертуге әрекет қылу.
Мониторинг нәтижелерінің қарау жиілігі тартылған тәуекелдермен
анықталуы тиіс. Тәуекелдің факторы қаралуы тиіс, оның ішінде - қосымшалар
үдерістерінің сыншылдығы, ақпараттарды талдаудың маңыздылығы, сезімталдығы,
және сыншылдығы, жүйеге енудің және оны жөнсіз пайдаланудың өткен
тәжірибесі, пайдалану жиілігінің ақсайтын жері, жүйелер байланыстығының
дәрежесі (әсіресе жалпы пайдаланудағы желілермен), пайдалануы тоқтатылған
құралдардың есеп беруі жатады.
Құрылған есеп берудің тексеруі қатерлердің талдауын, онымен
қақтығысқан қорғау жүйесін және олардың пайда болу табиғатын қосуы тиіс.
Оқиғаларды тіркеу журналында деректерді қорғау - оқиғалар және
құралдар журналдарындағы ақпараттар қастандық жасайтындардың жасанды
көшірмесінен және рұқсатсыз қол жеткізушілерден қорғалуы. Басқару құралдары
есеп берулерге рұқсатсыз өзгеріс енгізуден және есеп берулерді құру
құралдарының жұмыс жасауына кедергілерден қорғауды қамтамасыз етуге
талпынуы тиіс, оның ішінде - тіркелген хабарлама түрлерінің өзгеруі, есеп
беру файлдарын редакциялау және жою, онда есеп берулер сақталатын
ақпараттарды алып жүрушілердің сыйымдылығын арттыру, нәтижесінде оқиғалар
жазбаларының немесе соңғы тіркелген оқиғаларының қайта жазбаларының істен
шығуының неден болуы, есеп беру жазбаларын сақтау ережелерімен сәйкес
(немесе ақпараттарды растайтындарды жинау және сақтау жөніндегі талаптарды
орындау үшін) аудиттің кейбір есеп берудің мұрағаттануын жасайды, сонымен
қатар ... жалғасы
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz