Қорғаныс саясатының негізгі түсінігі
Мазмұны
КІРІСПЕ ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..
... ... ... ... ... ... ... ... ... ... ... ... 3
1-бөлім. Ақпараттық қауіпсіздік және ақпаратты қорғау жүйелері
1.1. Ақпаратты қорғау
шаралары ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..
... ...5
1.2. Қорғаныс жүйесін құру
кезеңдері ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ..
6
2-бөлім. Қорғаныс саясатының негізгі түсінігі
2.1.Ақпараттық қауіпсіздік
саясаты ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..
10
2.2. Қауіпсіздік саясатының негізгі
элементтері ... ... ... ... ... ... ... ... ... ... ... ... 13
Қорытынды ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ..
... ... ... ... ... ... ... ... ... ... ..18
Пайдаланылған әдебиеттер
тізімі ... ... ... ... ... ... ... . ... ... ... ... ... ... ... ... ... ... ..
..20
КІРІСПЕ
Зерттеудің өзектілігі: Хабарлар тасымалданатын байланыс арналары
көбінесе қорғалмаған болып келеді және осы арнаға қатынас құру құқығы бар
кез келген адам хабарларды қолға түсіре алады. Сондықтан тораптарда
ақпаратқа біраз шабуылдар жасау мүмкіндігі бар. Бұзушы - тиым салынған
операцияларды қателескендіктен, білместіктен орындауға әрекет жасаған
немесе ол үшін саналы түрде әртүрлі мүмкіншіліктерді, әдістерді және
құралдарды қолданатын тұлға.
Бұзушының үлгісін зерттеген кезде мыналар анықталды:
- Қатарларында бұзушы болуы мүмкін тұлғалардың санаттары жойында
жорамалдар;
- Бұзушы әрекетінің себептері туралы жорамалдар;
- Бұзушының біліктілігі және оның техникалық жабдықтанғандығы жөнінде
жорамалдар;
- Бұзушының ықтимал әрекеттерінің сипаты туралы жорамалдар.
Ақпаратты қорғау құралдары - мемлекеттік құпия болып табылатын
мәліметтерді қорғауға арналған техникалық, криптографиялық, программалық
және басқа да құралдар, олар жүзеге асырылған құралдар, сондай-ақ, ақпарат
қорғаудың тиімділігін бақылау құралдары.
Ақпараттық қорғау жүйесі жобалау әр түрлі жағдайда жүргізілуі мүмкін
және бұл жағдайларға негізгі екі праметр әсер етеді: ақпарат қорғау
жүйесіне арнап әзірленіп жатқан деректерді өңдеудің автоматтандырылған
жүйесінің қазіргі күй-жағдайы және ақпаратты қорғау жүйесін жасауға кететін
қаржы мөлшері.
Ақпаратты қорғау жүйесін жобалау мен әзірлеу келесі тәртіп бойынша
жүргізуге болады:
- қорғанылуы көзделген деректердің тізбесін және бағасын анықтау үшін
деректер өңдеу жүйесін қойылған талдау жасау;
- ықтимал бұзушының үлгісін таңдау;
-ықтимал бұзушының таңдап алынған үлгісіне сәйкес ақпаратқа заңсыз қол
жеткізу арналарының барынша көбін іздеп табу;
- пайдаланылатын қорғаныш құралдарының әрқайсысының беріктілігін
сапасы мен саны жағынан бағалау;
- орталықтанған бақылау мен басқару құралдарын әзірлеу;
- ақпарат қорғау жүйесінің беріктілігінің сапасын бағалау.
Алдыңыздағы курстық жобаның мақсаты – ақпаратпен жұмыс істейтін
кәсіпорындардың ақпарат қорғау жүйелерін жобалау мәселелерін зерттеу.
Қорғаныштың мақсаты – қатынас құруға рұқсат етілмеген арналарды
ақпараттың түрін өзгертуге, ақпаратты жоғалтуға және сыртқа кетіруге
бағытталған әсерлерден сенімді түрде сақтауды қамтамасыз ететін өзара
байланысты бөгеттердің бірыңғай жүйесін құру.
Бұл курстық жобада дайындалған қорғаныш жүйесінің негізгі міндеттері:
- жасырын және өте жасырын ақпаратты онымен рұқсатсыз танысудан және
оның көшірмесін жасап алудан қорғау;
- деректер мен программаларды рұқсат етілмеген кездейсоқ немесе әдейі
өзертуден қорғау; деректер мен программалардың бұзылуының салдарынан
болатын шығындар көлемін азайту;
- есептеу техника құралдарының көмегімен орындалатын қаражаттық
қылмыстардың алдын алу және т.б.
Сенімді қорғанышқа сауатты қауіпсіздік саясаты және оны сақтау арқылы
жетуге болады. Жасалатын ақпарат жүйесіне қойылатын талаптар:
тұжырымдамалық тұтастық, икемділік, функционалдық тәуелсіздік, пайдйлану
ыңғаайлығы, берілетін құқықтарды шекеу, бақылаудың толықтығы, қарсы әрекет
жасаудың белсенділігі және тиімділігі.
1-бөлім. Ақпараттық қауіпсіздік және ақпаратты қорғау жүйелері
1.1. Ақпаратты қорғау шаралары
Ақпараттық қауіпсіздік — мемкелеттік ақпараттық ресурстардың, сондай-
ақ ақпарат саласында жеке адамның құқықтары мен қоғам мүдделері қорғалуының
жай-күйі.
Ақпаратты қорғау — ақпараттық қауіпсіздікті қамтамасыз етуге
бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп
деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат
пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса,
жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың
сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің,
маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың, бұғаттаудың
алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету
кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық,
программалық және техникалық әдістер мен құралдардан тұрады.
Ақпараттық қауіпсіздік режимін қалыптастыру кешендік мәселе болып
табылады. Оны шешу үшін заңнамалық, ұйымдастырушылық, программалық,
техникалық шаралар қажет.
Ақпараттық қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады: қол
жеткізерлік (оңтайлық), тұтастық және жасырындылық.
Қол жетерлік (оңтайлық) - саналы уақыт ішінде керекті ақпараттық
қызмет алуға болатын мүмкіндік. Ақпараттың қол жеткізерлігі - ақпараттың,
техникалық құралдардың және өңдеу технологияларының ақпаратқа кедергісіз
(бөгетсіз) қол жеткізуге тиісті өкілеттілігі бар субъектілердің оған қол
жеткізуін қамтамасыз ететін қабілетімен сипатталатын қасиеті.
Тұтастық - ақпараттың бұзудан және заңсыз өзгертуден қорғанылуы.
Ақпарат тұтастығы деп ақпарат кездейсоқ немесе әдейі бұрмаланған (бұзылған)
кезде есептеу техника құралдарының немесе автоматтандырылған жүйелердің осы
ақпараттың өзгермейтіндігін қамтамасыз ететін қабілетін айтады.
Жасырындылық - заңсыз қол жеткізуден немесе оқудан қорғау.
1983 жылы АҚШ қорғаныс министрлігі қызғылт сары мұқабасы бар Сенімді
компьютерлік жүйелерді бағалау өлшемдері деп аталатын кітап шығарды.
Қауіпсіз жүйе - белгілі бір тұлғалар немесе олардың атынан әрекет
жасайтын үрдістер ғана ақпаратты оқу, жазу, құрастыру және жою құқығына ие
бола алатындай етіп ақпаратқа қол жеткізуді тиісті құралдар арқылы
басқаратын жүйе.
Сенімді жүйе - әр түрлі құпиялық дәрежелі ақпаратты қатынас құру
құқығын бұзбай пайдаланушылар тобының бір уақытта өңдеуін қамтамасыз ету
үшін жеткілікті ақпараттық және программалық құралдарды қолданатын жүйе.
Жүйенің сенімділігі (немесе сенім дәрежесі) екі негізгі өлшемі бойынша
бағаланады: қауіпсіздік саясаты және кепілділік.
1.2. Қорғаныс жүйесін құру кезеңдері
Қолдануға қажетті кез-келген басқа программаның тұжырымдамасы сияқты
қорғаныс жүйесін құру тұжырымдамасы да мынадай сұрақтарды қарастырады:
ақпаратты қорғау аймағындағы практикалық зерттемелердің өзектілігі,
қорғаныс жүйесін құрудың негізгі кезеңдері және қорғаныс мәселесін шешудің
әр түрлі әдістемелерінің салыстырмалы талдауы.
Қорғаныс жүйесін құрудың негізгі кезеңдері төмендегідей болып
жіктеледі:
1. Мүмкін болатын қауіп-қатердің талдауы келесі қауіп-қатерден
қорғанудың негізгі түрлерін зерттеумен айналысады:
- Ақпараттың конфиденциалдығының бұзылуының қауіп-қатері;
- Ақпараттың бүтінділігінің бұзылуының қауіп-қатері.
Бұл кезең шындығында да барлық қауіп-қатердің жиынтығынан байсалды
зиян (вирус, ұрлық) келтіретіндерін таңдаумен аяқталады.
2. Қорғаныс жүйесін жоспарлау кезеңі қорғалатын құрылымдар тізімінен
және оларға мүмкін болатын қауіп-қатерден тұрады. Бұл кезде қорғанысты
қамтамасыз етудің келесі бағыттарын назарға алу қажет:
- құқықтық-этикалық;
- моральды-этикалық;
- қорғанысты қамтамасыз етудің әкімшіліктік шаралары;
- қорғанысты қамтамасыз етудің аппараттық-программалық шаралары.
3. Қорғаныс жүйесін іске асыру ақпаратты өңдеудің жоспарланған
ережелерін іске асыруға қажетті құралдарды орнату мен баптауды
қамсыздандырады.
4. Қорғаныс жүйесін сүйемелдеу кезеңі жүйенің жұмысын бақылау, ондағы
болып жатқан оқиғаларды тіркеу, қорғанысты бұзуды айқындау мақсатымен
оларды талдау және қажетінше қорғаныс жүйесін түзетумен сипатталады.
Ақпаратты қорғау әдістері төмендегідей болып жіктелінеді.
Қорғаныстың аппараттық әдістерін қолдану мынадай техникалық құралдарды
пайдалануды ұсынады:
1. Тыңдалатын және жазылатын құрылғылардан қорғайтын TRD-800
категориялы радиохабарлағыштар мен магнитофондар детекторы;
2. Жасырын бейне бақылау құратын модульдік нөмірлер;
3. Ақпаратты жеткізудің дұрыстылығын қамтамасыз ететін ақпаратты
анықтылыққа тексеру сызбалары;
4. Құпиялы құжаттарды жіберуге арналған SAFE-400 категориялы факстік
хабардың скремблері.
Қорғаныстың аппараттық әдістері ресурстардың үлкен шығынын талап
етеді.
Программалық әдістер есептеуіш алгоритмдер мен қатынауды шектеуді
қамтамасыз ететін программаларды және ақпаратты рұқсатсыз пайдаланудан
шығаруды ұсынады. Программалық әдістер келесі функцияларды іске асырады:
1. Идентификация, аутентификация, авторизация (Pin кодтар, парольдер
жүйелері арқылы);
2. Резервті көшіру және қалпына келтіру процедуралары;
3. Антивирустық программаларды белсенді қолдану және антивирустық
қорларды жиі жаңартып отыру;
4. Транзакцияны өңдеу.
Ақпаратты қорғаудың ұйымдастырушылық әдісі келесі іс-шаралардың
ұйымдастырылуы мен іске асырылуын қарастырады:
1. өртке қарсы қорғаныс;
2. жанбайтын сейфтерде аса қажетті құжаттарды сақтау;
3. өту жүйесі арқылы қатынау регламенті;
4. бақылау жүйесін ұйымдастыру;
5. қолданушылардың әр түрлі категорияларының қорғаныс объектілері мен
олардың орындалу талаптарына қатынауды регламентациялайтын көмекші
нұсқамаларды даярлау.
6. мамандарды таңдау мен даярлау;
7. қауіпсіздік мәселесі бойынша семинарларға, конференцияларға
қатысуды қамтасыз ету мен ұйымдастыру.
Бұл кезеңде, әдетте, объект, ақпараттық ағындар автоматтандырылған
жүйелердің құрылымы серверлер, хабар тасышулар, деректер өңдеу және сақтау
тәсілдері жайында мәлімет жиналады. Түгендеу анықталған соң олардың
осалдылығына талдау жасалынады.
Қатерді талдау. Келесі шаралардың нәтижелерді ақпараттық қорлардың
қорғанылу күй - жағдайның қаншалықты толық және дұрыс талдануына тәуелді
болады.
Қатерді талдау мыналардан тұрады:
- талданатын объектілерді және оларды қарастырудың нақтылану
дәрежесін таңдау;
- қатерді бағалау әдіснамасын таңдау;
- қауіптерді және олардың салдарын талдау;
- қатерлерді бағалау;
- қорғаныш шараларын талдау;
- таңдап алынған шараларды жүзеге асыру және тексеру;
- қалдық қатерді бағалау.
Қауіп бар жерде қатер пайда болады. Қауіптерді талдау кезеңі қатерді
талдаудың орталық элементі болып табылады. Қауіптердің алдын алу үшін
қорғаныш шаралары мен қүралдары қажет. Қауіптерді талдау, біріншіден,
мүмкін болатын қауіптерді анықтаудан (оларды идентификациялаудан) және,
екіншіден, келтірілетін болашақ зиянды болжау - бағалаудан тұрады.
Бұл кезеңнің орындалу нәтижесінде объектідегі қауіп - қатерлер тізбесі
және олардың қауіптік дәрежесі бойынша жіктемесі құрастырылады. Бұлар бәрі
ақпарат қорғау жүйесіне қойылатын талаптарды айқындауға, қорғаныштың ең
әсерлі шаралары мен құралдарын таңдап алуға, сондай - ақ, оларды жүзеге
асыруға қажетті шығындарды анықтауға мүмкіндік береді.
Қорғаныш жоспарын құрастыру. Бұл кезеңде осының алдында жүргізілген
талдаудың нәтижесінде анықталған қатердерді бейтараптау үшін қорғаныштың
тиісті ұйымдастырушылық және техникалық шаралары таңдап алынады.
Қорғаныш жоспарын құру ақпарат қорғау жүйесінің функционалдық сұлбасын
әзірлеуден басталады. Ол үшін қорғаныш жүйесінің атқаратын міндеттері
анықталады және нақты объектінің ерекшеліктерін ескере отырып жүйеге
қойылатын талаптар талқыланады.
Қорғаныш жоспарын жүзеге асыру. Бұл кезеңде қорғаныш жоспарында
келтірілген шаралармен қоса жабдықтаушылармен келісім - шарттар жасасу
жабдықтарды орнату және баптау, қажетті құжаттарды әзірлеу және т. б. осы
сияқты шаралар іске асырылады.
2-бөлім. Қорғаныс саясатының негізгі түсінігі
2.1.Ақпараттық қауіпсіздік саясаты
Қауіпсіздік саясаты - мекеменің ақпаратты қалайша өңдейтінін,
қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп
нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі бір
деректер жинағымен жұмыс істей алатынын көрсетеді. Қауіпсіздік саясатын
құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға қарсы әрекет
шаралары кіретін қорғаныштың белсенді сыңары деп санауға болады.
Қауіпсіздік саясатының құрамына ең кемінде мына элементтер кіруі
керек: қатынас құруды ерікті басқару, объектілерді қайтадан пайдаланудың
қауіпсіздігі, қауіпсіздік тамғасы және қатынас құруды мәжбүрлі басқару.
Кепілдік - жүйенің сәлетіне және жүзеге асырылуына көрсетілетін сенім
өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің дұрыстығын
көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын қадағалауға арналған,
белсенсіз сынары деп сипаттауға болады. Кепілдіктің екі түрі болады:
операциялық және технологиялық. Біріншісі жүйенің сәулеті және жүзеге
асырылу жағына, ал екіншісі - құрастыру және сүйемелдеу әдістеріне қатысты.
Есепберушілік (немесе хаттамалау тетігі) қауіпсіздікті қамтамасыз
етудің маңызды құралы болып табылады. Сенімді жүйе қауіпсіздікке байланысты
барлық оқиғаларды тіркеп отыруы керек, ал хаттаманы жазу-жүргізу тексерумен
(аудитпен - тіркелу ақпаратына талдау жасаумен) толықтырылады.
Сенімді есептеу базасы (СЕБ) - компьютерлік жүйенің қауіпсіздік
саясаты жүзеге асыруға жауапты қорғаныш тектерінің жиынтығы. Компьтерлік
жүйенің сенімділігіне баға беру үшін тек оның есептеу базасын қарастырып
шықса жеткілікті болады. СЕБ негізгі міндеті - қатынасым мониторының
міндетін орындау, яғни, объектілермен белгілі бір операциялар орындау
болатындығын бақылау.
Қатынасым мониторы - пайдалынушының программаларға немесе деректерге
әрбір қатынасының мүмкін болатын іс - әрекеттер тізімімен келісімдігі
екендігін тексеретін монитор. Қатынасым мониторынан үш қасиеттің орындалуы
талап етіледі:
- оңашаландық. Монитор өзінің жұмысы кезінде аңдудан қорғалуға тиісті;
- толықтық. Монитор әрбір қатынасу кезінде шақырылады. Бұл кезде оны
орай өтуге мүмкіндік болмау керек;
- иландырылатындық. Мониторды талдауға және тестілеуге мүмкін болу
үшін ол жинақы болуы керек.
Қауіпсіздік өзегі - қатынасым мониторының жүзеге асырылуы.
Қауіпсіздік өзегі барлық қорғаныш тетіктерінің құрылу негізі болып
табылады. Қатынасым мониторының аталған қасиеттерінен басқа қауіпсіздік
өзегі өзінің өзгерместігіне кепілдік беруі керек.
Қауіпсіздік периметрі - сенімді есептеу базасының шекарасы. Оның
ішіндегі сенімді, ал сыртындағы сенімсіз деп саналады. Сыртқы және ішкі
әлемдер арасындағы байланыс ретқақпа арқылы жүзеге асырылады. Бұл ретқақпа
сенімсіз немесе дұшпандық қоршауға қарсы тұра алуға қабілетті бар деп
саналады.
Объектінің ақпараттық қауіпсіздігін қамтаммасыз етуге арналған
жұмыстар бірнеше кезеңге бөлінеді: даярлық кезеңі, ақпараттық қорларды
түгендеу, қатерді талдау, қорғаныш жоспарын жүзеге асыру. Осы аталған
кезеңдер аяқталған соң эксплуатациялау кезеңі басталады.
Даярлық кезең. Бұл кезең барлық келесі шаралардың ұйымдастырушылық
негізін құру, түпқазық құжаттарды әзірлеу және бекіту, сондай-ақ, үрдіске
қатысушылардың өзара қарым - қатынастарын анықтау үшін қажет. Даярлық
кезеңде ақпарат қорғау жүйесінің ақпараттың міндеттері анықталады.
Ақпараттық қорларды түгендеу. Бұл кезеңде, әдетте, объект, ақпараттық
ағындар автоматтандырылған жүйелердің құрылымы серверлер, хабар тасышулар,
деректер өңдеу ... жалғасы
КІРІСПЕ ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..
... ... ... ... ... ... ... ... ... ... ... ... 3
1-бөлім. Ақпараттық қауіпсіздік және ақпаратты қорғау жүйелері
1.1. Ақпаратты қорғау
шаралары ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..
... ...5
1.2. Қорғаныс жүйесін құру
кезеңдері ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ..
6
2-бөлім. Қорғаныс саясатының негізгі түсінігі
2.1.Ақпараттық қауіпсіздік
саясаты ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..
10
2.2. Қауіпсіздік саясатының негізгі
элементтері ... ... ... ... ... ... ... ... ... ... ... ... 13
Қорытынды ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ..
... ... ... ... ... ... ... ... ... ... ..18
Пайдаланылған әдебиеттер
тізімі ... ... ... ... ... ... ... . ... ... ... ... ... ... ... ... ... ... ..
..20
КІРІСПЕ
Зерттеудің өзектілігі: Хабарлар тасымалданатын байланыс арналары
көбінесе қорғалмаған болып келеді және осы арнаға қатынас құру құқығы бар
кез келген адам хабарларды қолға түсіре алады. Сондықтан тораптарда
ақпаратқа біраз шабуылдар жасау мүмкіндігі бар. Бұзушы - тиым салынған
операцияларды қателескендіктен, білместіктен орындауға әрекет жасаған
немесе ол үшін саналы түрде әртүрлі мүмкіншіліктерді, әдістерді және
құралдарды қолданатын тұлға.
Бұзушының үлгісін зерттеген кезде мыналар анықталды:
- Қатарларында бұзушы болуы мүмкін тұлғалардың санаттары жойында
жорамалдар;
- Бұзушы әрекетінің себептері туралы жорамалдар;
- Бұзушының біліктілігі және оның техникалық жабдықтанғандығы жөнінде
жорамалдар;
- Бұзушының ықтимал әрекеттерінің сипаты туралы жорамалдар.
Ақпаратты қорғау құралдары - мемлекеттік құпия болып табылатын
мәліметтерді қорғауға арналған техникалық, криптографиялық, программалық
және басқа да құралдар, олар жүзеге асырылған құралдар, сондай-ақ, ақпарат
қорғаудың тиімділігін бақылау құралдары.
Ақпараттық қорғау жүйесі жобалау әр түрлі жағдайда жүргізілуі мүмкін
және бұл жағдайларға негізгі екі праметр әсер етеді: ақпарат қорғау
жүйесіне арнап әзірленіп жатқан деректерді өңдеудің автоматтандырылған
жүйесінің қазіргі күй-жағдайы және ақпаратты қорғау жүйесін жасауға кететін
қаржы мөлшері.
Ақпаратты қорғау жүйесін жобалау мен әзірлеу келесі тәртіп бойынша
жүргізуге болады:
- қорғанылуы көзделген деректердің тізбесін және бағасын анықтау үшін
деректер өңдеу жүйесін қойылған талдау жасау;
- ықтимал бұзушының үлгісін таңдау;
-ықтимал бұзушының таңдап алынған үлгісіне сәйкес ақпаратқа заңсыз қол
жеткізу арналарының барынша көбін іздеп табу;
- пайдаланылатын қорғаныш құралдарының әрқайсысының беріктілігін
сапасы мен саны жағынан бағалау;
- орталықтанған бақылау мен басқару құралдарын әзірлеу;
- ақпарат қорғау жүйесінің беріктілігінің сапасын бағалау.
Алдыңыздағы курстық жобаның мақсаты – ақпаратпен жұмыс істейтін
кәсіпорындардың ақпарат қорғау жүйелерін жобалау мәселелерін зерттеу.
Қорғаныштың мақсаты – қатынас құруға рұқсат етілмеген арналарды
ақпараттың түрін өзгертуге, ақпаратты жоғалтуға және сыртқа кетіруге
бағытталған әсерлерден сенімді түрде сақтауды қамтамасыз ететін өзара
байланысты бөгеттердің бірыңғай жүйесін құру.
Бұл курстық жобада дайындалған қорғаныш жүйесінің негізгі міндеттері:
- жасырын және өте жасырын ақпаратты онымен рұқсатсыз танысудан және
оның көшірмесін жасап алудан қорғау;
- деректер мен программаларды рұқсат етілмеген кездейсоқ немесе әдейі
өзертуден қорғау; деректер мен программалардың бұзылуының салдарынан
болатын шығындар көлемін азайту;
- есептеу техника құралдарының көмегімен орындалатын қаражаттық
қылмыстардың алдын алу және т.б.
Сенімді қорғанышқа сауатты қауіпсіздік саясаты және оны сақтау арқылы
жетуге болады. Жасалатын ақпарат жүйесіне қойылатын талаптар:
тұжырымдамалық тұтастық, икемділік, функционалдық тәуелсіздік, пайдйлану
ыңғаайлығы, берілетін құқықтарды шекеу, бақылаудың толықтығы, қарсы әрекет
жасаудың белсенділігі және тиімділігі.
1-бөлім. Ақпараттық қауіпсіздік және ақпаратты қорғау жүйелері
1.1. Ақпаратты қорғау шаралары
Ақпараттық қауіпсіздік — мемкелеттік ақпараттық ресурстардың, сондай-
ақ ақпарат саласында жеке адамның құқықтары мен қоғам мүдделері қорғалуының
жай-күйі.
Ақпаратты қорғау — ақпараттық қауіпсіздікті қамтамасыз етуге
бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп
деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат
пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса,
жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың
сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің,
маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың, бұғаттаудың
алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету
кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық,
программалық және техникалық әдістер мен құралдардан тұрады.
Ақпараттық қауіпсіздік режимін қалыптастыру кешендік мәселе болып
табылады. Оны шешу үшін заңнамалық, ұйымдастырушылық, программалық,
техникалық шаралар қажет.
Ақпараттық қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады: қол
жеткізерлік (оңтайлық), тұтастық және жасырындылық.
Қол жетерлік (оңтайлық) - саналы уақыт ішінде керекті ақпараттық
қызмет алуға болатын мүмкіндік. Ақпараттың қол жеткізерлігі - ақпараттың,
техникалық құралдардың және өңдеу технологияларының ақпаратқа кедергісіз
(бөгетсіз) қол жеткізуге тиісті өкілеттілігі бар субъектілердің оған қол
жеткізуін қамтамасыз ететін қабілетімен сипатталатын қасиеті.
Тұтастық - ақпараттың бұзудан және заңсыз өзгертуден қорғанылуы.
Ақпарат тұтастығы деп ақпарат кездейсоқ немесе әдейі бұрмаланған (бұзылған)
кезде есептеу техника құралдарының немесе автоматтандырылған жүйелердің осы
ақпараттың өзгермейтіндігін қамтамасыз ететін қабілетін айтады.
Жасырындылық - заңсыз қол жеткізуден немесе оқудан қорғау.
1983 жылы АҚШ қорғаныс министрлігі қызғылт сары мұқабасы бар Сенімді
компьютерлік жүйелерді бағалау өлшемдері деп аталатын кітап шығарды.
Қауіпсіз жүйе - белгілі бір тұлғалар немесе олардың атынан әрекет
жасайтын үрдістер ғана ақпаратты оқу, жазу, құрастыру және жою құқығына ие
бола алатындай етіп ақпаратқа қол жеткізуді тиісті құралдар арқылы
басқаратын жүйе.
Сенімді жүйе - әр түрлі құпиялық дәрежелі ақпаратты қатынас құру
құқығын бұзбай пайдаланушылар тобының бір уақытта өңдеуін қамтамасыз ету
үшін жеткілікті ақпараттық және программалық құралдарды қолданатын жүйе.
Жүйенің сенімділігі (немесе сенім дәрежесі) екі негізгі өлшемі бойынша
бағаланады: қауіпсіздік саясаты және кепілділік.
1.2. Қорғаныс жүйесін құру кезеңдері
Қолдануға қажетті кез-келген басқа программаның тұжырымдамасы сияқты
қорғаныс жүйесін құру тұжырымдамасы да мынадай сұрақтарды қарастырады:
ақпаратты қорғау аймағындағы практикалық зерттемелердің өзектілігі,
қорғаныс жүйесін құрудың негізгі кезеңдері және қорғаныс мәселесін шешудің
әр түрлі әдістемелерінің салыстырмалы талдауы.
Қорғаныс жүйесін құрудың негізгі кезеңдері төмендегідей болып
жіктеледі:
1. Мүмкін болатын қауіп-қатердің талдауы келесі қауіп-қатерден
қорғанудың негізгі түрлерін зерттеумен айналысады:
- Ақпараттың конфиденциалдығының бұзылуының қауіп-қатері;
- Ақпараттың бүтінділігінің бұзылуының қауіп-қатері.
Бұл кезең шындығында да барлық қауіп-қатердің жиынтығынан байсалды
зиян (вирус, ұрлық) келтіретіндерін таңдаумен аяқталады.
2. Қорғаныс жүйесін жоспарлау кезеңі қорғалатын құрылымдар тізімінен
және оларға мүмкін болатын қауіп-қатерден тұрады. Бұл кезде қорғанысты
қамтамасыз етудің келесі бағыттарын назарға алу қажет:
- құқықтық-этикалық;
- моральды-этикалық;
- қорғанысты қамтамасыз етудің әкімшіліктік шаралары;
- қорғанысты қамтамасыз етудің аппараттық-программалық шаралары.
3. Қорғаныс жүйесін іске асыру ақпаратты өңдеудің жоспарланған
ережелерін іске асыруға қажетті құралдарды орнату мен баптауды
қамсыздандырады.
4. Қорғаныс жүйесін сүйемелдеу кезеңі жүйенің жұмысын бақылау, ондағы
болып жатқан оқиғаларды тіркеу, қорғанысты бұзуды айқындау мақсатымен
оларды талдау және қажетінше қорғаныс жүйесін түзетумен сипатталады.
Ақпаратты қорғау әдістері төмендегідей болып жіктелінеді.
Қорғаныстың аппараттық әдістерін қолдану мынадай техникалық құралдарды
пайдалануды ұсынады:
1. Тыңдалатын және жазылатын құрылғылардан қорғайтын TRD-800
категориялы радиохабарлағыштар мен магнитофондар детекторы;
2. Жасырын бейне бақылау құратын модульдік нөмірлер;
3. Ақпаратты жеткізудің дұрыстылығын қамтамасыз ететін ақпаратты
анықтылыққа тексеру сызбалары;
4. Құпиялы құжаттарды жіберуге арналған SAFE-400 категориялы факстік
хабардың скремблері.
Қорғаныстың аппараттық әдістері ресурстардың үлкен шығынын талап
етеді.
Программалық әдістер есептеуіш алгоритмдер мен қатынауды шектеуді
қамтамасыз ететін программаларды және ақпаратты рұқсатсыз пайдаланудан
шығаруды ұсынады. Программалық әдістер келесі функцияларды іске асырады:
1. Идентификация, аутентификация, авторизация (Pin кодтар, парольдер
жүйелері арқылы);
2. Резервті көшіру және қалпына келтіру процедуралары;
3. Антивирустық программаларды белсенді қолдану және антивирустық
қорларды жиі жаңартып отыру;
4. Транзакцияны өңдеу.
Ақпаратты қорғаудың ұйымдастырушылық әдісі келесі іс-шаралардың
ұйымдастырылуы мен іске асырылуын қарастырады:
1. өртке қарсы қорғаныс;
2. жанбайтын сейфтерде аса қажетті құжаттарды сақтау;
3. өту жүйесі арқылы қатынау регламенті;
4. бақылау жүйесін ұйымдастыру;
5. қолданушылардың әр түрлі категорияларының қорғаныс объектілері мен
олардың орындалу талаптарына қатынауды регламентациялайтын көмекші
нұсқамаларды даярлау.
6. мамандарды таңдау мен даярлау;
7. қауіпсіздік мәселесі бойынша семинарларға, конференцияларға
қатысуды қамтасыз ету мен ұйымдастыру.
Бұл кезеңде, әдетте, объект, ақпараттық ағындар автоматтандырылған
жүйелердің құрылымы серверлер, хабар тасышулар, деректер өңдеу және сақтау
тәсілдері жайында мәлімет жиналады. Түгендеу анықталған соң олардың
осалдылығына талдау жасалынады.
Қатерді талдау. Келесі шаралардың нәтижелерді ақпараттық қорлардың
қорғанылу күй - жағдайның қаншалықты толық және дұрыс талдануына тәуелді
болады.
Қатерді талдау мыналардан тұрады:
- талданатын объектілерді және оларды қарастырудың нақтылану
дәрежесін таңдау;
- қатерді бағалау әдіснамасын таңдау;
- қауіптерді және олардың салдарын талдау;
- қатерлерді бағалау;
- қорғаныш шараларын талдау;
- таңдап алынған шараларды жүзеге асыру және тексеру;
- қалдық қатерді бағалау.
Қауіп бар жерде қатер пайда болады. Қауіптерді талдау кезеңі қатерді
талдаудың орталық элементі болып табылады. Қауіптердің алдын алу үшін
қорғаныш шаралары мен қүралдары қажет. Қауіптерді талдау, біріншіден,
мүмкін болатын қауіптерді анықтаудан (оларды идентификациялаудан) және,
екіншіден, келтірілетін болашақ зиянды болжау - бағалаудан тұрады.
Бұл кезеңнің орындалу нәтижесінде объектідегі қауіп - қатерлер тізбесі
және олардың қауіптік дәрежесі бойынша жіктемесі құрастырылады. Бұлар бәрі
ақпарат қорғау жүйесіне қойылатын талаптарды айқындауға, қорғаныштың ең
әсерлі шаралары мен құралдарын таңдап алуға, сондай - ақ, оларды жүзеге
асыруға қажетті шығындарды анықтауға мүмкіндік береді.
Қорғаныш жоспарын құрастыру. Бұл кезеңде осының алдында жүргізілген
талдаудың нәтижесінде анықталған қатердерді бейтараптау үшін қорғаныштың
тиісті ұйымдастырушылық және техникалық шаралары таңдап алынады.
Қорғаныш жоспарын құру ақпарат қорғау жүйесінің функционалдық сұлбасын
әзірлеуден басталады. Ол үшін қорғаныш жүйесінің атқаратын міндеттері
анықталады және нақты объектінің ерекшеліктерін ескере отырып жүйеге
қойылатын талаптар талқыланады.
Қорғаныш жоспарын жүзеге асыру. Бұл кезеңде қорғаныш жоспарында
келтірілген шаралармен қоса жабдықтаушылармен келісім - шарттар жасасу
жабдықтарды орнату және баптау, қажетті құжаттарды әзірлеу және т. б. осы
сияқты шаралар іске асырылады.
2-бөлім. Қорғаныс саясатының негізгі түсінігі
2.1.Ақпараттық қауіпсіздік саясаты
Қауіпсіздік саясаты - мекеменің ақпаратты қалайша өңдейтінін,
қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп
нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі бір
деректер жинағымен жұмыс істей алатынын көрсетеді. Қауіпсіздік саясатын
құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға қарсы әрекет
шаралары кіретін қорғаныштың белсенді сыңары деп санауға болады.
Қауіпсіздік саясатының құрамына ең кемінде мына элементтер кіруі
керек: қатынас құруды ерікті басқару, объектілерді қайтадан пайдаланудың
қауіпсіздігі, қауіпсіздік тамғасы және қатынас құруды мәжбүрлі басқару.
Кепілдік - жүйенің сәлетіне және жүзеге асырылуына көрсетілетін сенім
өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің дұрыстығын
көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын қадағалауға арналған,
белсенсіз сынары деп сипаттауға болады. Кепілдіктің екі түрі болады:
операциялық және технологиялық. Біріншісі жүйенің сәулеті және жүзеге
асырылу жағына, ал екіншісі - құрастыру және сүйемелдеу әдістеріне қатысты.
Есепберушілік (немесе хаттамалау тетігі) қауіпсіздікті қамтамасыз
етудің маңызды құралы болып табылады. Сенімді жүйе қауіпсіздікке байланысты
барлық оқиғаларды тіркеп отыруы керек, ал хаттаманы жазу-жүргізу тексерумен
(аудитпен - тіркелу ақпаратына талдау жасаумен) толықтырылады.
Сенімді есептеу базасы (СЕБ) - компьютерлік жүйенің қауіпсіздік
саясаты жүзеге асыруға жауапты қорғаныш тектерінің жиынтығы. Компьтерлік
жүйенің сенімділігіне баға беру үшін тек оның есептеу базасын қарастырып
шықса жеткілікті болады. СЕБ негізгі міндеті - қатынасым мониторының
міндетін орындау, яғни, объектілермен белгілі бір операциялар орындау
болатындығын бақылау.
Қатынасым мониторы - пайдалынушының программаларға немесе деректерге
әрбір қатынасының мүмкін болатын іс - әрекеттер тізімімен келісімдігі
екендігін тексеретін монитор. Қатынасым мониторынан үш қасиеттің орындалуы
талап етіледі:
- оңашаландық. Монитор өзінің жұмысы кезінде аңдудан қорғалуға тиісті;
- толықтық. Монитор әрбір қатынасу кезінде шақырылады. Бұл кезде оны
орай өтуге мүмкіндік болмау керек;
- иландырылатындық. Мониторды талдауға және тестілеуге мүмкін болу
үшін ол жинақы болуы керек.
Қауіпсіздік өзегі - қатынасым мониторының жүзеге асырылуы.
Қауіпсіздік өзегі барлық қорғаныш тетіктерінің құрылу негізі болып
табылады. Қатынасым мониторының аталған қасиеттерінен басқа қауіпсіздік
өзегі өзінің өзгерместігіне кепілдік беруі керек.
Қауіпсіздік периметрі - сенімді есептеу базасының шекарасы. Оның
ішіндегі сенімді, ал сыртындағы сенімсіз деп саналады. Сыртқы және ішкі
әлемдер арасындағы байланыс ретқақпа арқылы жүзеге асырылады. Бұл ретқақпа
сенімсіз немесе дұшпандық қоршауға қарсы тұра алуға қабілетті бар деп
саналады.
Объектінің ақпараттық қауіпсіздігін қамтаммасыз етуге арналған
жұмыстар бірнеше кезеңге бөлінеді: даярлық кезеңі, ақпараттық қорларды
түгендеу, қатерді талдау, қорғаныш жоспарын жүзеге асыру. Осы аталған
кезеңдер аяқталған соң эксплуатациялау кезеңі басталады.
Даярлық кезең. Бұл кезең барлық келесі шаралардың ұйымдастырушылық
негізін құру, түпқазық құжаттарды әзірлеу және бекіту, сондай-ақ, үрдіске
қатысушылардың өзара қарым - қатынастарын анықтау үшін қажет. Даярлық
кезеңде ақпарат қорғау жүйесінің ақпараттың міндеттері анықталады.
Ақпараттық қорларды түгендеу. Бұл кезеңде, әдетте, объект, ақпараттық
ағындар автоматтандырылған жүйелердің құрылымы серверлер, хабар тасышулар,
деректер өңдеу ... жалғасы
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz