1. Ақпараттық – коммуникациялық технологиялардың рөлі. Акт стандарттары

Ақпараттық үдерістерін жүзеге асыру кезінде ақпаратты қорғау

жүктеу/скачать 75.19 Kb. бет 21/23 Дата 07.05.2024 өлшемі 75.19 Kb. #500703 түрі Сабақ

71. Ақпараттық үдерістерін жүзеге асыру кезінде ақпаратты қорғау. 72. Дамыған елдерде электрондық үкіметті іске асырудың форматтары 73. Ақпараттық қорғау жүйелерін жобалау Ақпаратты қорғау - ақпараттық қауіпсіздікті қамтамасыз етуге бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса, жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің, маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың, бұғаттаудың алдын алу үшін жүргізі- летін шаралар кешені. Қауіпсіздікті қамтамасыз ету кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық, Бағдарламалық және техникалық әдістер мен құралдардан тұрады. Қауіпсіздік саясаты ақпарат қорғау жүйесінің қауіп-қатерлерге қарсы әрекет жасауға бағатталған құқықтық нормалардың, ұйымдастырушылық (құқықтық) шаралардың, Бағдарламалық-техникалық құралдар және процедуралық шешімдер кешенінің жиынтығын анықтайды. Ақпарат қауіпсіздігінің жоғарғы дәрежесіне қол жеткізу тек тиісті ұйымдастыру шараларын қолдану негізінде ғана мүмкін болады. Ұйымдастырушылық шаралар кешенінің құрамына ақпаратты қорғау қызметін құру, жасақтау және оның іс-әрекеттерін қолдау, ұйымдастыра- әкімгерлік құжаттар жүйесін дайындау жұмыстары, сонай-ақ, қорғаныш жүйесін құруға және оның жұмысын сүйемелдеуге арналған бірқатар ұйымдастырушылық және ұйымдастыру - техникалық шаралар кіреді. Ұйымдастырушылық және ұйымдастыру - техникалық шаралар жүргізу ақпараттың сыртқа кететін жаңа арналарын дер кезінде табуға, оларды бейтараптандыру шараларын қолдануға, қорғаныш жүйелерін толық жетілдіруге және қауіпсіздік режимін бұзу әрекеттеріне жедел қарсы шара қолдануға мүмкіндік береді. Қатерге талдау жүргізу қауіпсіздік саясатын қалыптастырудың негізгі кезеңі болып табылады. Ұйымдастыру мәселелерін шешілгеннен кейін бағдарламалық- техникалық проблемалардың кезегі келеді - таңдалған қауіпсіздік саясатын іске асыру үшін не істеу керек? Қазіргі уақытта құны, атқаратын міндеті және сапасы жағынан әртүрлі болатын ақпарат қорғау құралдарының көптеген түрі бар. Олардың ішінен нақты объектінің ерекшелігіне сай келетінін таңдап алу күрделі мәселелердің бірі болып саналады. Қауіпсіздік саясаты мынадай элементтерден тұрады: - қатынас құруды ерікті басқару; - объектілерді қайтадан пайдаланудың қауіпсіздігі; - қауіпсіздік тамғасы; - қатынас құрудың мәжбүрлі басқару. Қатынас құруды ерікті басқару - жеке субъект немесе құрамына осы субъект кіретін топтың тұлғасын ескеру негізінде жасалған объектілерге қатынас құруды шектеу. Ерікті басқару - белгілі бір тұлға (әдетте, объектінің иесі) өзінің қарауынша басқа субъектілерге өзінің шешімі бойынша объектігі қатынас құру құқығын бере алады. Қатынас құрудың ағымдағы жағдайы ерікті басқару кезінде матрица түрінде көрсетіледі. Қатарларында - субъектілер, бағандарында - объектілер, ал матрицаның түйіндерінде қатынас құру құқығының (оқу, жазу, орындау және т.б.) коды көрсетіледі. Операциялық жүйелердің және дерекқор басқару жүйелерінің көпшілігі осы ерікті басқаруды жүзеге асырады. Оның негізгі жағымды жағы - икемділігі, ал негізгі кемшіліктері - басқарудың бытырыңқылығы және орталықтандырылған тексерудің күрделілігі, сондай-ақ, қатынас құру құқығының деректерден бөлек қарастырылуы (қаскүнемдер осыны пайдалана отырып құпия ақпараттарды жалпы қол жеткізерлік файлдарға көшіріп алуы мүмкін). Объектілерді қайтадан пайдаланудың қауіпсіздігі. Бұл элемент құпия ақпаратты «қоқтықтан» кездейсоқ немесе әдейі шығарып алудан сақтайтын қатынас құруды басқаратын құралдардың маңызды қосымшасы болып табылады. Объектілерді қайтадан пайдаланудың мүмкін болатын үш қаупі бар: - жедел жадыны қолдану; - сыртқы сақтау құрылғыларын қайтадан пайдалану; - ақпарат енгізу/шығару құрылғыларын қайтадан пайдалану. Қорғаныш тәсілдерінің бірі - құпия ақпаратпен жұмыс істегеннен кейін жедел жадыда немесе аралық жадыны тазалау. Жақсы әдіс деп тегерішті нығыздау Бағдарламаларын қолдануды да санауға болады. Мәселен, принтерлердің аралық жадында құжаттардың бірнеше беті сақталып қалуы мүмкін. Олар басу үрдісі аяқталған соң да жадыда қалып қояды. Сондықтан оларды арашықтан шығарып тастау үшін арнаулы шаралар қолдану қажет. Әдетте кездейсоқ биттер тізбегін үш қайталап жазу жеткілікті болады. «Субъектілерді қайтадан пайдаланудың» қауіпсіздігі жайында да қамдану керек. Пайдаланушы ұйымнан кеткен кезде оны жүйеге кіру мүмкіншіліктерінен айыру және барлық объекті- лерге оның қатынас құруына тиым салу керек. Қауіпсіздік таңбасы. Қатынас мәжбүрлі басқарудың кезінде субъек- тілер және объектілер қауіпсіздік таңбасы арқылы байланысады. Субъек- тінің таңбасы оның шүбәсіздігін сипаттайды. Объектінің таңбасы оның ішіндегі сақталатын ақпараттың жабықтық деңгейін көрсетеді. Қауіпсіздік таңбасы екі бөліктен тұрып: құпиялылық деңгейі және категориялар. Құпиялылық деңгейі реттелген жиынтық құрайды және әр түрлі жүйелерде құпиялылық деңгейлер жиынтығы әр түрлі болуы мүмкін. Қазақстан Республикасының заңнамасына сәйкес мемлекеттік құпия құрайтын мәліметтердің үш құпиялық дәрежесі тағайындалған және осы дәрежелерге сәйкес аталған мәліметтердің тасушыларына мынадай құпиялылық белгілері берілген: «аса маңызды», «өте құпия», «құпия», ал қызметтік құпия құрайтын мәліметтірге «құпия» деген құпиялылық белгісі беріледі. Категориялар реттелмеген жиынтық құрайды. Олардың міндеті - деректер жататын аймақтың тақырыбын сипаттау. Қауіпсіздік таңба- лардың тұтастығын қамтамасыз ету оларға байланысты негізгі пробле- малардың біреуі болып табылады. Біріншіден, таңбаланбаған субъекті- лер мен объектілер болмау керек. Әйтпесе таңбалық қауіпсіздікте (қолдануға ыңғайлы) саңылаулар пайда болады және қаскүнем осы жағдайды пайдаланып қорғанылатын ақпаратқа заңсыз қол жеткізуі мүмкін. Екіншіден, қорғалынатын деректермен қандайда болмасын операциялар орындалмасын, қауіпсіздік таңбалары өзгермей қалуы керек. Қауіпсіздік таңбаларының тұтастығын қамтамасыз етуші құралдар- дың біреуі - құрылғылары көп деңгейлік және бір деңгейлік деп бөледі. Көп деңгейлік құрылғыларда әр түрлі құпиялық деңгейлі ақпарат, ал бір деңгейлік құрылғыларда тек бір құпиялық деңгейі бар ақпарат сақталады. Қатынас құрудың мәжбүрлі басқару. Қатынас құруды басқару мәжбүрлі деп атаудың себебі - қатынас құру мүмкіндігі субъектінің ерігіне тәуелді емес. Мұндай басқару субъектінің және объектінің қауіпсіздік таңбаларын салыстыру негізінде жүргізіледі. Егер субъектінің құпиялылық деңгейі объектінің құпиялылық деңгейінен кем болмаса, ал объектінің қауіпсіздік таңбасында көрсетілген барлық категориялар субъектінің таңбасында болса (яғни, осындай екі шарт орындалса), онда субект объектіден кез келген ақпаратты оқи алады. Мысалы, «өте құпия» субъект «өте құпия» және «құпия» файлдарын оқи алады. Бұл жағдайда «субъектінің қауіпсіздік таңбасы объектінің қауіпсіздік таңбасынан басым» деп атайды. жүктеу/скачать 75.19 Kb. Достарыңызбен бөлісу: