Ақпараттық қауіпсіздік жайында



Ақпараттық қауіпсіздік

Ақпараттық қауіпсіздік. Қоғам мен мемлекеттің мүдделеріне қатысты
ақпараттың өңдеу, сақтау, тасымалдау үрдісі кезіндегі ішкі-сыртқы қауіп-
қатерден қорғанылған күйі. Қазіргі кезде Интернеттің өмірімізге тығыз
енуіне байланысты ақпараттық қауіпсіздік мәселесін көтере түседі. өйткені
бұл жағдайда үйіміздегі Интернет торабына жалғанған дербес компьютердегі
ақпараттың барлығы қатер үстінде болады. Қаскүнем керек болған жағдайда
компьютердің IP-мекені арқылы жалғанып, онда сақталған ақпаратқа қашықтан
қол жеткізе алады. Ол үшін қаскүнем шабуылдау құралдары мен командаларымен
қамданады. Олардың көмегімен қашықтағы компьютердің командалық қатарына
командалар жазып, қажет амалдарын орындайды. Көбіне шабуылдар мекеменің,
банктің, мемлекеттік ұйымдардың компьютерлеріне жасалады. Әрине мұндайда
шабуылданатын ұйым шығындарға ұшырайды. Сол себептен ұйым алдын ала өзінің
жергілікті торабы мен Интернет арасындағы байланыс арнасын қауіпсіздендіруі
керек. Қорғау негіздері кейінгі дєрістерде қарастырылады.
Ақпараттық қауіпсіздік - мемлекеттік ақпараттық ресурстардың, сондай-
ақ ақпарат саласында жеке адамның құқықтары мен қоғам мүдделері қорғалуының
жай-күйі .
Ақпаратты қорғау – ақпараттық қауіпсіздікті қамтамасыз етуге
бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп
деректерді енгізу, сақтау, өңдеу жєне тасымалдау үшін қолданылатын ақпарат
пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және, керек болса,
жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың
сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің,
маңызына тимей түрлендірудің, рұқсатсыз көшірмесін алудың, бағыттаудың
алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету
кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық,
программалық және техникалық әдістер мен құралдардан тұрады.
Ақпараттық қауіпсіздік режимін қалыптастыру кешендік мәселе болып
табылады. Оны шешу үшін заңнамалық, ұйымдастырушылық, программалық-
техникалық шаралар қажет.
Ақпараттық қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады: қол
жетерлік (оңтайлық), тұтастық және жасырындылық.
Қол жетерлік (оңтайлық) - саналы уаќыт ішінде керекті ақпараттық қызмет
алуға болатын мүмкіндік. Ақпараттың қол жеткізерлігі - ақпараттың,
техникалық құралдардың және өңдеу технологияларының ақпаратқа кедергісіз
(бөгетсіз) қол жеткізуге тиісті өкілеттігі бар субъектілердің оған қол
жеткізуін қамтамасыз ететін қабілетімен сипатталатын қасиеті.
Тұтастық (іntegrіty) - ақпараттың бұзудан және заңсыз өзгертуден
қорғанылуы. Ақпарат тұтастығы деп ақпарат кездейсоқ немесе әдейі
бұрмаланған (бұзылған) кезде есептеу техника құралдарының немесе
автоматтандырылған жүйелердің осы ақпараттың өзгермейтіндігін қамтамасыз
ететін қабілетін айтады.
Жасырындылық - заңсыз қол жеткізуден немесе оқудан қорғау.
1983 жылы АҚШ қорғаныс министірлігі қызғылт сары мұқабасы бар "Сенімді
компьютерлік жүйелерді бағалау өлшемелері" (Trusted Computer Systems
Evaluatіon Crіterіa, TCSEC) деп аталатын кітап шығарды.
Қауіпсіз жүйе - белгілі бір тұлғалар немесе олардың атынан әрекет
жасайтын үрдістер ғана ақпаратты оқу, жазу, құрастыру және жою құқығына ие
бола алатындай етіп ақпаратқа қол жеткізуді тиісті құралдар арқылы
басқаратын жүйе.
Сенімді жүйе - әр түрлі құпиялық дәрежелі ақпаратты қатынас құру
құқығын бұзбай пайдаланушылар тобының бір уақытта өңдеуін қамтамасыз ету
үшін жеткілікті аппараттық жєне программалық құралдарды қолданатын жүйе.
Жүйенің сенімділігі (немесе сенім дәрежесі) екі негізгі өлшеме бойынша
бағаланады: қауіпсіздік саясаты және кепілділік.
Қауіпсіздік саясаты - мекеменің ақпаратты қалайша өңдейтінін,
қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп
нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі бір
деректер жинағымен жұмыс істей алатынын көрсетеді. Қауіпсіздік саясатын
құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға қарсы әрекет
шаралары кіретін қорғаныштың белсенді сыңары деп санауға болады.
Қауіпсіздік саясатының құрамына ең кемінде мына элементтер кіруі
керек: қатынас құруды ерікті басқару, объектілерді қайтадан пайдаланудың
қауіпсіздігі, қауіпсіздік тамғасы және қатынас құруды мәжбүрлі басқару.
Кепілділік - жүйенің сәулетіне және жүзеге асырылуына көрсетілетін сенім
өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің дұрыстығын
көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын қадағалауға арналған,
белсенсіз сыңары деп сипаттауға болады. Кепілділіктің екі түрі болады:
операциялық және технологиялық. Біріншісі жүйенің сәулеті және жүзеге
асырылу жағына, ал екіншісі - құрастыру және сүйемелдеу әдістеріне қатысты.
Есепберушілік (немесе хаттамалау тетігі) қауіпсіздікті қамтамасыз
етудің маңызды құралы болып табылады. Сенімді жүйе қауіпсіздікке байланысты
барлық оқиғаларды тіркеп отыруы керек, ал хаттаманы жазу-жүргізу тексерумен
(аудитпен - тіркелу ақпаратына талдау жасаумен) толықтырылады.
Сенімді есептеу базасы (СЕБ) - компьютерлік жүйенің қауіпсіздік
саясатты жүзеге асыруға жауапты қорғаныш тетіктерінің жиынтығы.
Компьютерлік жүйенің сенімділігіне баға беру үшін тек оның есептеу базасын
қарастырып шықса жеткілікті болады. СЕБ негізгі міндеті - қатынасым
мониторының міндетін орындау, яғни, объектілермен белгілі бір операциялар
орындау болатындығын бақылау.
Қатынасым мониторы - пайдаланушының программаларға немесе деректерге
әрбір қатынасының мүмкін болатын іс-әрекеттер тізімімен келісімді екендігін
тексеретін мoнитор. Қатынасым мониторынан үш қасиеттің орындалуы талап
етіледі:
➢ Оңашаланғандық – монитор өзінің жұмысы кезінде аңдудан қорғалуға
тиісті;
➢ Толықтық – монитор әрбір қатынасу кезінде шақырылады. Бұл кезде оны
орай өтуге мүмкіндік болмау керек;
➢ иландырылатындық. Мониторды талдауға және тестілеуге мүмкін болу үшін
ол жинақы болуы керек.
Қауіпсіздік өзегі – қатынасым мониторының жүзеге асырылуы. Қауіпсіздік
өзегі барлық қорғаныш тетіктерінің құрылу негізі болып табылады. Қатынасым
мониторының аталған қасиеттерінен басқа қауіпсіздік өзегі өзінің
өзгерместігіне кепілдік беруі керек.
Қауіпсіздік периметрі - сенімді есептеу базасының шекарасы. Оның
ішіндегі сенімді, ал сыртындағы сенімсіз деп саналады. Сыртқы және ішкі
әлемдер арасындағы байланыс ретқақпа (gateway) арқылы жүзеге асырылады. Бұл
ретқақпа сенімсіз немесе дұшпандық қоршауға қарсы тұра алуға қабілеті бар
деп саналады

Компьютерлік ақпараттың қорғанышына қойылатын талаптар

Жалпы қорғаныш жүйесіне қойылатын екі түрлі талап бар:
Бірінші топтың талаптары (қажетті талаптар ) – қауіпсіздіктің формальді
шаралары. Ақпараттық жүйенің қорғанышының қажетті тетіктеріне қойылатын
формал талаптар Ресей гостехкомиссияның басқарушы құжатарында жазылған .
“Қызғылт сары кітап” – сенімді компьютерлік жүйелерді бағалау критерилері
жайында болады (АҚШ қорғаныс министрлігі). Ақпараттық жүйелердің
қаупінбағалаудың сәйкестелген критерилері – Information Technology Sewrity
Evaluation Criteria, ITSEC құжаттарында жазылѓан. Бұл құжатың мақсаты бір.
Мұнда қорғанышты қажет ететін объектілердің жіктелігін толығымен қарастыру
мүмкін емес. Әр түрлі операциялық жүйелердің құрылуы түрлі болуы себепті
рұқсатсыз қатынас құру әдістері де әртүрлі. Дегенмен барлық операциялық
жүйелерге бірдей талаптар қойылған. Бұл құжаттарда қорғалған жүйелерді құру
мен әкімшілдендіру әдістері бойынша ұсынулар берілмеген, яғни ненің жүзеге
асырылуы айтылады ал “қалай жүзеге асыру керек” деген сұраққа жауап жоқ;
Екінші топ талаптары (қосымша талаптар) – нақты қорғалатын объектіге
төнетін ағымдағы қауіптердің және мүмкін болатын қауіптердің
статистикасыныњ есептеулерін ескеру қажеттілігінен туындайды. Ақпаратты
қорғау облысындағы сәйкес нормативтік құжаттармен анықталатын формал
талаптар жиынтығы қажетті болып саналады. Қорғалатын объектіге төнетін
қауіптер ағымдағы есебі және мүмкін болатын қауіптерді талдау негізінде
қалыптастырылған формал және қосымша талаптар жиынтығы жеткілікті болып
саналады.

Қорғанышқа қойылатын формал талаптар мен олардың жіктелігі:

Есептеу техникалық құралдарына қойылатын талаптар –операциялық жүйе,
дерекқорларды басқару жүйесі (ДҚБЖ) жєне қолданба сияқты жеке құралдардың
қорғанылу жағдайын құрайды.
Автоматтандырылған жүйенің қорғанышына қойылатын талаптар төмендегіні
ескере отырып, объектінің қорғанылу жағдайын береді:
- қорғанылған объектіде орнатылған құралдардың операциялық жүйе (ОЖ),
дерекқорларды басқару жүйесі (ДҚБЖ), қолданба, үстемеленген қорғаныш
тетіктерін қоса алғанда, қорғаныш тетіктерінің жиынтығы
- автоматтандырылған жүйенің қауіпсіз қызмет етуі үшін жасалатын
қосымша ұйымдастырылған шаралар.
Қолданбалар операциялық жүйенің қорғаныш тетіктерін пайдаланады. Ал
дерекқорларды басқару жүйесінің қорғаныш тетіктері операциялық жүйенің
қорғаныш тетіктерін толықтырады, өйткені дерекқорларды басқару жүйесінде
қатынас құрудың қосымша объектісі – кестелер бар. Операциялық жүйе үшін
қорғалатын файлдық объектілер: логикалық дискілер (томдар), хаттамалар,
файлдар. Ал кестелер (бірнеше файлданушының болсын) бір файлда орналасуы
мүмкін. Мұндайда операциялық жүйе қорғаныш тетіктері арқылы дерекқорға
қатынас құруды басқару мүмкін емес. Дегенмен бұл тек дерекқорларды
басқару жүйесіне қатысты. Басқа қолданбалар операциялық жүйе қорғаныш
тетіктерін пайдаланады. Яғни, автоматтандарылған жүйенің барлық тетіктері
келісім бойынша операциялық жүйе арқылы жүзеге асырылады.

Автоматтандырылған жүйеге қойылатын талаптар есептеу техникалық
құралдарға қойылатын талаптарға қарағанда қатаңдау. Талаптардан келесідей
қорғаныш тетіктері туындайды:
- қатынас құруды басқару тетіктері (ҚҚБТ);
- тіркеу және есепке алу тетіктері;
- криптографиялық қорғаныш тетіктері;
- тұтастықты бақылау тетіктері.
Қатынас құруды басқару компьютерлік ақпаратты рұқсатсыз қатынас құруға
қарсы тұрудың амалы. Қалған үш топ мыналарға қарсы тұрады:
- пайдаланушы әрекеттерін бақылау үшін
- ұрланған ақпараттар жасырылуы
- объектінің өзгерілуін айқындау , қосар көшірмелерден қорғалатын
ақпараттық қосымша келтіру тұтас бақылау типі.

Жасырын ақпаратқа қойылатын талаптар

Қатынас құруды басқару ішжүйесі келесі талаптарды қанағаттандыруы
тиіс:
1. жүйеге кірерде пайдаланушылардың шынайлығын анықтау және тексеру
2. терминал, ЭЕМ, компьютерлік торап түйіндерін, байланыс арналарын,
логикалық мекені бойынша ЭЕМ-нің сыртқы құрылғыларын анықтау .
3. программаларды, томдарды, каталогтарды, файлдарды, жазбаларды және
жазба өрістерін атаулары бойынша іздеу.
4. хаттамаларды құру матрицасына сәйкес қорғанылған ресурстарға
субъектілердің қатынас құруын бақылауды жүзеге асыру.

Тіркеу мен есепке алу ішжүйесі мыналарды қ амтамасыз етуі тиіс:
1. Субъектілердің жүйеге кіріс, шығысын тіркеу, операциялық жүйе жүклелуі
мен инициализациясын және программаның тоқтауын тіркеу. Сонымен қатар
параметрлерде төмендегілер көрсетіледі:
- субъектілік жүйеге кіріс, шығыс уақыты мен жүктелу мен тоқтау уақыты;
Автоматтандырылған жүйе өшірілгенде жүйеден шығу және тоқтау оқиғалары
тіркелмейді.
2. құжаттарды баспаға шығаруды тіркеу.
3. Қорғанылған файлдарды өңдеуге арналған программалық және үрдістердің
жүктелуін тіркеу.
4. Қорғанылған файлдарға программалық құралдардың қатынас құру пиғылын
тіркеу.
5. Ќосымша қатынас құру объектісіне қатынас құру пиғылын тіркеу
қорғанылған қосымша қатынас құру объектісі: терминал, ЭЕМ, ЭЕМ торабы
түйіндері байланыс арналары. ЭЕМ сыртқы құрылғылар, программалар, том,
каталог, файл, жазба, жазба өрістері.
6. Барлық қорғанылған тасушыларды маркерлеу, журналға тіркеу деректерін
түсіру арқылы есепке алуды жүзеге асыру.
7. Қорғанылған тасушыларды беру, алуды тіркеу.
8. ЭЕМ –нің босаған оперативтік жадысы және сыртқы жинақтағыштарды
тазалауды орындау.

Құпия ақпараттарды қорғауға қойылатын талаптар

Қатынас құруды басқару ішжүйесі мыналарды қамтамасыз етуі тиіс:

- жүйеге енер алдында субъектінің шынайылығын тексеру;
- терминал егер компьютерлік торап түйіндерін, байланыс арналарын,
логикалық мекені бойынша ЭЕМ сыртқы құрылғыларын анықтау;
- программаларды, томдарды, котолгтарды, файлдарды, жазбаларды және
жазба өрістерін атаулары бойынша іздеу;
- хаттамаларды құру матрицасына сәйкес қорғанылған ресурстарға
субъектілердің қаттамаларын құруды бақылау жүзеге асырылады;
- құпиялылық тамғалары көмегімен ақпарат ағынын басқару. Мұнда
жинақтаушының құпиялылық тамғасы оған жазылатын ақпараттың құпиялылық
тамғасынан төмен болмауы тиіс.

Тұтастықты қамтамасыз ету ішжүйесі мыналарды орындауы тиіс:
1. Өңделіп жатқан ақпараттың және рұқсатсыз қатынас құруға қарсы
ақпаратты қорғау құралдарының программалық құралдарының тұтастығын,
программалық ортаның орнықтылығын қамтамасыз ету. Мұнда және рұқсатсыз
қатынас құруға қарсы ақпаратты қорғау құралдарының тұтастығы жүйе
жүктелегенде ақпаратты қорғау құралдары сыңарының бақылау қосыныдысын
тексеру арқылы тексеріледі.
2. Есепетеу техникалық құралын физикалық қорғауды қамтамасыз ету керек.
Автоматтандырылған жүйе орналасқан үй-жай арнайы жабдықтар мен қатаң
өткізу режімі мен арнайы персоналмен қамдалуы ... жалғасы

Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІҢ МАҢЫЗЫ ЖӘНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ ТҮРЛЕРІ
Қорғаныс саясатының негізгі түсінігі
Ақпараттық қорғау жүйесі
Жүйе қауіпсіздігінің формальді моделі
Ақпараттық қауіпсіздік
Ақпараттық қауіпсіздік және оның құрамдас бөліктері
Ақпаратты қорғау амалдарымен және оның тәсілдері
Архиваторлар. Компьютерлік қауіпсіздік туралы ақпарат
Ақпараттық қауіпсіздік Негізгі қауіптер
Ақпаратты қорғау жүйелерінің талаптары
Пәндер