Дәрістер кешені Дәріс №1. Интернет технологиясына кіріспе
Ақпаратты қорғау бағыттары
жүктеу/скачать 2.09 Mb.
|
| Ақпаратты қорғау бағыттары
Тәуекелдерді басқару ішкі қосымшаларды пайдалану, шабуылдаушының басып кіру қаупін азайту және құпия деректерді ашу мүмкіндігін қамтамасыз ету үшін қажет. Жүйелерге бағытталған қауіптер мен тәуекелдерді анықтағаннан кейін қарсы шараларды қарастыру қажет. Қарсы шараларды таңдау ақылға қонымды жеткіліктілік қағидаты негізінде жүргізілуге тиіс, яғни қарсы шараны өткізу құны шығындардың сандық шамасынан аспауға тиіс. Осылайша, қарсы шараларды анықтағаннан кейін, тәуекелдің үстінен әрекет ету туралы шешім қабылдау қажет: оны болдырмау, шектеу немесе қабылдау (яғни тәуекелдің мөлшерін азайту үшін ешқандай шара қолданбау). Қорғау жүйесі ақпараттың мынадай сипаттамаларын қамтамасыз етуі тиіс: құпиялылық-белгілі бір ақпарат тек Оған арналған адамдар тобына ғана қол жетімді екендігінің кепілі; осы санаттағы бұзушылық ақпаратты ұрлау немесе ашу деп аталады;. Әрбір қауіп-қатер оның ұйымда көріну ықтималдығына ие. Әрбір қауіп-қатер оны іске асырудан бір жылдық кезеңде белгілі бір шығындарға ие болуы мүмкін. Бұл жағдайда бірқатар тармақтарды ескеру қажет. Кездейсоқ іске асырылған кезде (мысалы, Операциялық қателер немесе бағдарламалау қателері) шығындар жүйенің тоқтап қалу уақытына байланысты болады. Шығындардың табиғи сипатындағы қауіп-қатерлер іске асырылған кезде келтірілген мүліктік залал мен бос тұрып қалу уақыты негізге алына отырып есептеледі. Өнеркәсіптік сипаттағы қауіп-қатерлерді іске асыру кезінде (мысалы, жабдықтың істен шығуы) шығындар жүйені іске қосудың шамамен алынған құнына және жүйенің тұрып қалу уақытының құнына негізделеді. Азайту үшін тәуекелдер? Ақпараттық жүйенің қауіп-қатерлерін нөлге дейін азайту мүмкін емес. Сондықтан, тәуекелді азайту жөніндегі іс-әрекеттер бірінші кезекте тәуекелді толық жоюға емес, осы тәуекелді басқарудың және тәуекелді қолайлы деңгейге дейін төмендетудің тиімді әдісін таңдауға бағытталуы тиіс. Кейбір типтік қарсы шараларды қарастырыңыз. Макро объектілер-сақтандыру компанияларындағы тәуекелдерді басқарудың ең көп таралған объектісі. Бұл жағдайда өз күш — жігерімізді дүлей апаттар мен табиғи құбылыстар кезінде зардаптардың туындауының алдын алуға-мысалы, найзағайдан қорғауды қамтамасыз етуге, жай тартқыштарды, үздіксіз қоректендіру көздерін орнатуға, өрт сөндіру жүйесін ұйымдастыруға және қажетті көлемде сақтандыруды жүзеге асыруға бағыттау қажет. Электрмен жабдықтаудағы ақаулардың алдын алу үшін үздіксіз қуат көздерін пайдалану қажет. Сондай-ақ, жабдыққа қатысты қарсы шаралар кондиционерлеу жүйелерін (оның ішінде кондиционерлеудің резервтік жүйелерін) қолдануды, резервтік серверлерді, жедел ауыстыру тораптарын, қосалқы бөлшектерді, жедел жөндеу жүргізуге арналған құрал-саймандарды, үй-жайға ылғал кірген жағдайда жабдыққа арналған тосқауылдарды қамтуы мүмкін. Нақты стандарт-резервтік деректер орталықтарын құру. Осылайша, "үздік тәжірибелер" сипаттамаларының санатындағы құжаттарда негізгі және резервтік орталықтар кемінде 80 км қашықтыққа орналастырылуы керек, соның арқасында шешімнің апатты тұрақтылығына қол жеткізіледі. Бағдарламалық жасақтамаға қатысты негізгі қарсы шара, әрине, сақтық көшірме жасау болып табылады. Бірегей дистрибуцияларды иеліктен шығарылатын тасымалдағышта сақтауды көздеу қажет. Түпнұсқа тасығыш жоғалған (істен шыққан) жағдайда коммерциялық бағдарламалық қамтамасыз етуді өндірушімен тасығышты ауыстыру туралы келісім жасасу талап етіледі. Тасымалдағыштарды жеке макро объектіде жанбайтын шкафтарда сақтаған жөн. Ақпараттық жүйе істен шыққан жағдайда ақпараттық жүйені қалпына келтіру уақытында материалдармен жұмысты жалғастыру мүмкіндігі көзделуге тиіс. Осылайша, ақпараттық жүйе кенеттен істен шыққан кезде әдеттегі құжат айналымы құралдарын қолдана отырып, төтенше жағдайда жұмысты жалғастыру мүмкіндігі болатындай етіп "қағаз" жұмыс процесін пайдаланудан толық бас тартуға болмайды. Ақпараттық жүйенің жұмыс істеуіне байланысты тұлғалар инциденттің сипатына қарамастан, инциденттің одан әрі дамуын болдырмау мақсатында қолайлы уақытта ақпараттық жүйенің объектісіне келу мүмкіндігіне ие болуы тиіс. Мәселен, күзет агенттігімен жасалған шартта оның қызметкерлері дабыл белгісін алған кезде объектіге келуге тиісті уақыт көрсетілуі тиіс. Сонымен қатар, төтенше жағдайлар туындаған кезде жүйенің жұмыс қабілеттілігін қалпына келтіру жөніндегі операциялар тікелей құзыретіне кірмейтін қызметкерлер Регламентті басшылыққа ала отырып, оқиғаның дамуын тоқтата тұруы немесе оның себебін оқшаулауы үшін әрекеттерді осылайша реттеу қажет. Бұл регламенттер штаттан тыс жағдайларда әрекет ету саясатын сипаттайтын негізгі құжат үшін тиісті құжаттар болып табылады. Мұндай құжат (төтенше жағдайлардағы іс-қимылдар жоспары) олардың координаттары бар жауапты адамдардың тізбесін және тиісті регламенттердің тізбесін қамтиды. Тәуекелді қабылдау критерийлері. Тәуекелдердің мәнін төмендету әдіснамасы арқылы барлық тәуекелдерді басқаруға болмайды. Әрбір қауіп үшін қарсы шара құнының белгілі бір сандық мәні бар, содан кейін осы қауіпті іске асыру тәуекелін қабылдау ұсынылады. Сонымен қатар, тәуекелді қабылдау процесі мен оны болдырмау процесі арасында айтарлықтай айырмашылық бар (яғни жүйені анықталған тәуекел жоқ болатындай етіп құру). Тәуекелді қабылдау тәсілі тәуекелді болдырмау тәсілінен гөрі жүйені құруда үлкен икемділікті жүзеге асырады, өйткені екінші жағдайда жүйе бастапқыда іскери операцияларды орындау үшін міндетті емес конфигурацияларға негізделген. Тәуекелдерді басқару әдіснамасында тәуекелді қабылдау тұжырымдамасын тәуекелден аулақ болу ұғымымен алмастыру "иррационалды пессимизм" деп аталады. жүктеу/скачать 2.09 Mb. Достарыңызбен бөлісу:
|