Дәріс №5
Тақырыбы: Ақпараттық қауіпсіздіктің жалпы мәселелері
Ақпараттық қауіпсіздік концепциясы жалпы алғанда қарапайым үш сұраққа жауап беруі тиіс:
Нені қорғау?
Неден, кімнен қорғау?
Қалай қорғау?
«Нені қорғау?» сұрағымен қорғау нысанының ұғымы байланысты. Қорғау нысаны деп ақпаратты жинауға, тасымалдауға, өңдеуге және сақтауға арналған физикалық, аппараттық, бағдарламалық және құжаттық құралдардың кешенін ұғамыз.
Ақпараттың спецификасына оны қолданғанда, түгел жойылып кетпейтіндігі, алмасқанда өз иесінде қалатындығы жатады /ақшадан айырмашылығы- бұрынғы тұтынушысында қалады/.
Бірінші сұраққа жауап беру үшін алдымен қандай ақпарат қорғауды қажет ететіндігін ажыратуымыз керек. Ол фирмада жинақталған және құралған барлық коммерциялық құнды берілгендер болуы мүмкін. Ол қандай да болмасын іскерлік кездесулер, жеке адамдардың өмірінен мәліметтер болуы да мүмкін. Әрбір жекелеген жағдайда қандай ақпараттың жария болуы қажетсіз екендігін мұқият сараптау қажет. Артынан бұл ақпаратты оны тасымалдауышқа еппен енгізу керек. Келесі атқарылатын жұмыс осы қорғалатын обьектілерді олардың құрамындағы ақпараттың құндылығына байланысты аранжировкалау және оларға ене алатын қауіпті жүйелерді анықтау.
Ақпаратты бұзатын және оған қауіп төндіретін көздер
«Неден сақтану керек?» сұрағы қауіп төнгенде қойылады. Қауіп – қорғау обьектісіне әдейі заңсыз немесе кездейсоқ әсер етіп, ақпараттың жойылуына не жария болуына әкелетін мүмкіндік.
Қауіп деп ақпараттың тұтастығын жоятын, оның жоғалып кетуін не ауысып кетуін туғызатын жағдаяттарды айтады.
Қауіп, өзінің қолданылуына байланысты кездейсоқ не әдейі құрылған болады.
Кездейсоқ әсерлер уақыты мен орыны кездейоқ процесстер заңына бағынады.
Кездейсоқ қауіптерге /случайные угрозы/ жататындар:
Қызмет көрсету персоналы мен тұтынушылардың /пользователи/ қателері: архивтік берілгендерді дұрыс сақтамау кезінде ақпаратты жоғалту, берілгендерді кездейоқ /случайное/ жойып жіберу немесе өзгерту.
Жабдықтар мен электржүйесінің істен шығуы: кабель жүйесінің істен шығуы; дисктік жүйенің істен шығуы, берілгендерді архивтеу жүйесінің істен шығуы, сервер жұмысының, жұмыс станцияларының, желі карталардың істен шығуы т.б.
Бағдарламамен қамтамасыз ету жұмысының жеткіліксіз орындалуында ақпараттың жоғалуы:бағдарламамен қамтамасыз етуде берілгендерді жоғалту не қателесу кезіндегі жоғалту; жүйені компьютер вирустарымен жұқтырғандағы жоғалтулар.
Санкциясыз енуге байланысты жоғалтулар: конфиденциалды ақпаратпен бөгде адамдардың кездейсоқ танысуымен байланысты жоғалтулар.
Олардың жанасу нүктелері жүйенің барлық «ауданында» орналасқан. Кездейсоқ әсер етулерден сақтандыру үшін сақтандыру құралдарын, жағдаяттарды табу мен осы жағдаяттарды блокировкалау (жабдықтардың жұмыстан бас тартуы – отказ, электр энергиясының өшуі) қолданылады.
Әдейі әсер етудің жанасу нүктелері алдымен, компьютер жүйесіне ену мен шығумен байланысқан, яғни оның барлық периметрлерімен. Бұл ену мен шығулар ақпараттың енуінің штатты және штатты емес каналдары болуы мүмкін. Штатты каналдарға жататындар: тұтынушылар терминалдары, ақпаратты бейнелеу мен документтеу құралдары, ақпаратты енгізу мен шығару құралдары, ақпаратты тасымалдауыштар, бағдарламамен қамтамасыз ету құралдары, сыртқы байланыс каналдары.
Компьютер жүйесіндегі қорғау болмағанда ақпаратқа әдейі енудің мүмкін каналдарына жататындар:
Барлық жоғарыда аталған құралдар, егер оларды заңсыз түрде қолданса;
Технологиялық пульттер мен басқару органдары;
Аппаратты құралдардың арасындағы байланыс сызықтары;
Ақпаратты тасымалдайтын электромагнитті сәулелер;
Электр жүйесіндегі қосымша қосылулар, аппаратты, компьютер жүйесі жанында орналасқан бөгде коммуникацияларды жермен қосу.
Әдейі әсер ету жағдаяттарының уақыты мен көрінетін жерін алдын ала білу мүмкін емес, алдымен потенциалды бұзушының кейбір моделін анықтау үшін аса қауіпті жағдайларды болжап отыру керек:
Бұзушы кез келген уақытта және компьютер жүйесі периметрінің кез келген жерінде пайда болуы мүмкін;
Бұзушының біліктілігі /квалификация/ мен білетінділігі /осведомленность/ берілген жүйені жобалаушы дәрежесінде болуы мүмкін;
Жүйенің жұмыс істеу принциптері туралы үнемі сақталатын ақпарат, құпия ақпаратпен бірге, бұзушыға белгілі;
Бұзушы өзінің мақсатына жету үшін ең әлсіз звеноны таңдайды;
Бұзушы ретінде тек бөгде адам ғана емес, сонымен қатар жүйенің заңды тұтынушысы да болуы мүмкін.
Әдетте ішкі және сыртқы қауіп көздерін айырады.
Ішкі қауіп көздеріне персоналдың кездейсоқ жіберген қателері және әдейі жіберген жағдаяттары жатады./действия/
Сыртқы қауіп әр түрлі. Нарықтық экономика жағдайында, ұжымдар арасындағы бәсекелестік олардың бір- біріне қызығушылық танытуына әкеледі.
Бәсекелестерден басқа фирмалар мен жеке тұлғаларға мафиозды топтар да үлкен қауіп тудырады.
Көптеген ірі коммерциялық структуралар өздерінің мықты қауіпсіздік қызметін құрды, олардың қазіргі нарықтық экономика жағдайындағы негізгі алдына қойған мақсатына потенциалды клиенттері, партнерлері мен бәсекелестері туралы ақпараттарды табу жатады.
Ақпараттарды бұзу көздеріне жататындар:
Кедергілер /помехи/;
Жабдықтар жұмысына кедергілер /сбои в работе оборудования/
Жауапсыз тұтынушы (персоналдың қателері);
Санкциясыз ену;
Вирустар.
Қорғау құралдарына экрандалған бөлмелер құру, жүйені қоректендіру сүзгілерін /фильтры сетевого питания/ жатады. Олар жүйедегі ауыспалы токтың жоғары вольтты /300 – 600 вольт/ қысқа импулстарынан қорғайды. Жабдықтардың жұмысындағы кедергілер /сбои/:
Қоректендіруден айыру /отключение питания.
Процессордың немесе жұмыс құралдарының істен шығуы.
Ақпаратты жинақтаушының істен шығуы.
Дискілерді айнадай көшіру /зеркальное копирование дисков/ (егер сізде бірнеше диск болса, бір дискідегі берілгенді екіншісінің бос жеріне айнадай көшіруге болады. Басқа дискіде берілгендердің нақты көшірмесі шығады. Нәтижесінде берілгендердің айнадай көшірмесі шығады. Бірақ екі диск үшін бір конроллер қолданылады және бұл оның осал жері. Айнадай бейнелеу ақпаратты жазу операциясын баяулатады, себебі контроллер екі дискіден де ақпаратты оқи алады. ). Дискілерді дублдеу /дублирование/ - айнадай бейнелеу сияқты, бірақ әрбір дискіде өзінің жеке контроллері бар, сондықтан ол істен шығу жағдайында осал емес, RAID массивті дискілер (бірнеше қымбат емес дискілерді құрастырып қолдануда олардың көптігінен қорғау күші артады) архивтеу мен резервті көшіруде қолданылады.
Жауапсыз тұтынушы (персоналдың қателері).
Берілгендерді верификациялау, маңызды позицияларды бекіту, берілгендерді тексеру.
Санкциясыз ену. Жүйені тұтынушының зондтау /зондирование/ - бұл тұтынушының жүйенің нашар қорғалған бөліктерін пайдалануы. Ресурстарды рұқсатсыз пайдалану тәртіп бұзушылық болып саналады.
Тұтынушының енуі – бұл тұтынушының жүйеге қорғанышын бұзып енуі. Бұл бұзушылықтың қауіпті түрі. Ақпаратты НСД түрімен бұзуға қарсы қорғаныс әдісіне жататындар:
Файлдар мен хабарламалардың нумерациялау;
Байланыс каналдарын тұтынушылардың пароль қоюы арқылы қорғауы;
Криптографиялау;
Электронды кілтті қолдану.
Ақпаратты қорғау шараларының классификациясы
Қазіргі кезде компьютерлік қылмыстар түрі көп. Компьютерлік қылмыстарға қарсы қолданылатын шараларды төмендегідей бөледі:
Нормативті- заңдылықты
Моральды – этикалы
Ұйымдастырушылық
Техникалық
Нормативті – заңдылықты – құрамына заңдар, сонымен қатар қоғамда ақпараттық қатынастарды реттейтін механизмдер мен оларды жүзеге асыру шаралары кіреді. Құқықтық шараларға компьютерлік қылмыстар үшін қолданылатын жауаптылықтарды құрауды, қылмыстық және азаматтық заңдарды жақсарту шараларын, бағдарламашылардың авторлық құқығын қорғауды жатқызуға болады.
Тек кейінгі кезде ғана компьютерлік қылмыспен күрес жөнінде жұмыстар жасалып жатыр.
Моральды- этикалық - ақпараттық қауіпсіздікті қамтамасыздандыруға бағытталған, бірақ заң жүзінде немесе әкімшілік тарапынан бекітілмеген, тек ұжымдарда қоғамдық пікірлер мен салт-дәстүрлер арқылы ұсталатын ережелер мен нормалар.
Закончили 01.10.12
Ұйымдастырушылық – ақпаратты алуға, сақтауға және беруге әкімшілік жолдармен бекітілген ережелер мен шаралар. Әрбір кәсіпорында немесе фирмада ақпаратты сақтау мен қорғау шаралары өзінің масштабы мен формасына қарай ерекшеленеді. Техникалық жағынан жоғары дәрежеде жабдықталған қиянатшылардың злоумышленники/ қауіпі ақпаратты қорғау үшін күрделі таңдауды қажет етеді. Осындай шешімдердің негізіне жататындар:
Ақпараттық қауіпсіздікті қамтамасыз етуде ғылыми принциптерді қолдану, олардың құрамына кіретіндер: заңдылық, экономикалық тиімділік, дербестік /самостоятельность/ және жауаптылық, еңбекті ғылыми түрде ұйымдастыру, теория мен практиканы тығыз байланыстыру, специализация мен біліктілік, бағдарламалы-мақсатты жобалау, тығыз байланыстылық пен координациялау, қажетті конфиденциалдылықты сақтай отырып қолдануға қарапайымдылық.
Кәсіпорын қызметкерлерінің өздеріне сенім артып жүктелген ақпаратты сақтай білуіне заңды міндеттерді қабылдауы.
Ақпаратты ұрлау немесе өзгерту мүмкіншілігін болдырмайтын әкімшілік тарапынан жағдайлар құру
Конфиденциалды ақпаратты сенімді түрде қорғау үшін келесі ұйымдастырушылық шараларын қолдану қажет:
Қорғалатын ақпараттың конфиденциалдық дәрежесін анықтау
Қорғау құралдары мен әдістерін (локальды, обьективті не аралас) таңдау.
Қорғалатын ақпаратты өңдеу тәртібін бекіту
Кеңістік факторларын есепке алу: бақылайтын зона енгізу, бөлмені дұрыс таңдау және обьектілерді өзара және бақылайтын зонамен шекарасын орналастыру
Уақытша факторларды есепке алу: қорғалатын ақпаратты өңдеу уақытын шектеу және жоғары конфиденциалды дәрежеде ақпаратты өңдеуге аз ғана адамдарға өңдеу мерзімін нақтылы айтып жеткізу.
Техникалық құралдар – сізде өңдеуге не сақтауға арналған ақпараттың оған санкциясыз басқалардың енуін болдырмайтын, оған жол бермейтін арнайы техникалық және бағдарламамен қамтамасыз ету комплекстері. Ақпаратты қорғаудың техникалық әдістері аппаратты, бағдарламалы және аппаратт-бағдарламалы болып бөлінеді
Ақпараттың ұрлануыны болатын каналдарды блокировкалау техникалақ құралдар арқылы еңбекті және өндірісті ұйымдастыруды қамтамасыз ету үшін, обьектіні қорғау жүйесін құруға бірқатар шаралар орындалады:
Ғимараттың орналасу ерекшелігін, ғимараттағы бөлмелердің орналауын, айналасындағы территория мен оған келетін коммуникацияларды саралау.
Ішінде конфиденциалды ақпараттар айналымда болатын бөлмелерді анықтау және оларда қолданылатын техникалық құралдарды ескеру
Келесі техникалық шараларды жүзеге асыру:
Қолданылатын техниканы қосымша сәулелер әсеріне төзімділігіне сәйкестігін тексеру, бөлмені және бөлмедегі осы техниканы экрандау
Жекелеген желілерді, кабельді оңашалау, арнайы қондырғыларды және активті мен пассивті қорғаудың құралдарын қолдану
Нақтылы қорғау жүйесінің құрамына жоғарыда көрсетілген барлық құралдар кіреді, оларинтеграция жолымен құрылады. Оны құрудың негізгі қиындығы, жүйе бір мезгілде бір-біріне қарама қайшылықты екі талаптарға сай болуы керек:
Ақпаратты сенімді қорғауды қамтамасыз ету
Қызметкерлер және әсіресе клиенттер үшін ыңғайсыздық тудырмау
Сонымен қатар жүйе белгілі ұстағышта айналымдағы ақпараттың ұрлану, жоғалу қаупін алдын ала болжап, одан болатын шығын мөлшерін анықтап, болдырмауды қамтамасыз етуге үнемі дайын болуы керек.
Бақылау сұрақтары:
Ақпараттық қауіпсіздіктің қандай мәселелері бар? Оларды шешу үшін қандай амал жасау керек?
Ақпараттың қауіпсіздігі үшін қандай техникалық шаралар жүзеге асырылу керек?
Ақпарат конфиденциалды болу үшін не істеу қажет?
Достарыңызбен бөлісу: |