Дәріс мақсаты: қорғау жүйелерінің дұрыстығын зерттеу; қорғауды зерттеу мен жобалаудың әдістемесін; бүтіндікті тексеру саясатының модельін қарастыру.
Ресейдің мемлекеттік техникалық комиссиясының басқару құжаттары Ресейдің мемлекеттік техникалық комиссиясы (қазіргі Ресейдің техникалық және экспорттық бақылаудың федералды қызметі - ТӘБФҚ) 1992 мен 1999 жылдары аралығында автоматизацияланған жүйелерде ақпаратты қорғау сұрақтарына арналған басқару құжаттарының бір тобын жасап шығарды. Келесі құжаттар неғұрлым көп қызығушылық туғызды:
1) Ақпараттарды рұқсат етілмеген пайдаланудан қорғау. Терминдер мен анықтамалар.
2) Есептегіш техника мен автоматтандырылған жүйелер құралдарын ақпараттарды рұқсат етілмеген пайдаланудан қорғау концепциясы.
3) Автоматтандырылған жүйелер. Ақпараттарды рұқсат етілмеген пайдаланудан қорғау. Автоматтандырылған жүйелердің классификациясы мен ақпаратты қорғау бойынша талаптар.
4) Есептеуіш техника құралдары. Ақпараттарды рұқсат етілмеген пайдаланудан қорғалу көрсеткіштері.
5) Ақпараттарды рұқсат етілмеген пайдаланудан қорғау. Бөлім 1. Ақпараттарды қорғау құралдарын бағдарламалық қамтамасыз ету. Мүмкіндіктердің болмауын бақылау дәрежесі бойынша классификациялау.
Есептегіш техника жүйелері автоматтандырылған жүйелерді ақпараттарды рұқсат етілмеген пайдаланудан қоғаудың негізгі ережелері Рұқсат етілмеген мүмкіндік (доступ) (РЕМ) дегеніміз - ЕТЖ мен АЖ ұсынатын штаттық құралдарды қолдану арқылы мүмкіндік шектеулерінің белгіленген ережелерін бұзатын ақпаратқа кіру мүмкіндігі. РЕМ қорғаудың екі бағыты бөліп көрсетіледі:
1) Есептеуіш техника құралдарымен байланысты.
2) Автоматтандырылған жүйелермен (АЖ) байланысты.
Есептеуіш техника құралдары дегеніміз - автоматтандырылған жүйелерден құралатын элементтер. АЖ-ге қарағанда ЕТЖ үшін тек оларды жүзеге асыру үшін арналған қорғау функцияларының орындалуы бақыланады.
РЕМ келесідей тәсілдері көрсетіледі:
1) Мүмкіндік объектісіне тікелей үндеу.
2) Қорғаныс құралдарын айналып өтіп мүмкіндік объектісіне үндеуді орындайтын бағдарламаның және техникалық құралдарын жасап шығару.
3) РЕМ-ті жүзеге асыруға мүмкін деп беретін қорғаныс құралдарының модификациясы (мысалы, бағдарламалық кодтарды енгізу жолымен).
4) ЕТЖ немесе АЖ-дің техникалық құралдарына ЕТЖ немесе АЖ-дің болжамданған құрылымы мен функцияларын бұзатын және РЕМ-ті орындауға мүмкіндік беретін бағдарламаның және техникалық механизмдерді енгізу (мысалы, компьютерді штаттық оперциялық жүйені айналып өту арқылы жүктеуді орындау).
РЕМ қорғаудың келесідей принциптері ұсынылады:
1) ЕТЖ мен АЖ-дің қорғау ақпараты РЕМ-тен қорғау бойынша сәйкес заңдардың, стандарттардың және нормативті-әдістемелік құжаттардың ережелері мен талаптарына негізделеді.
2) ЕТЖ-ні қорғау бағдарламалық-техникалық құралдардың кешенімен қамтамысыз етіледі.
3) АЖ-ді қорғау бағдарламалық-техникалық құралдардың және оларды қолдайтын ұйымдастырушылық шаралармен қамтамасыз етіледі.
4) АЖ-ні қорғау ақпаратты өңдеудің барлық технологиялық этаптарында және барлық қызмет ету режимдерінде, соның ішінде жөндеу және регламенттік жұмыстарды жүргізу кезінде қамтамасыз етілуі қажет.
5) Қорғаудың бағдарламалық-техникалық құралдары АЖ негізгі функционалдық сипаттамаларын елеулі нашарлатпауы тиіс:
- Сенімділік.
- Тезәрекеттілік.
- АЖ конфигурациясын өзгерту мүмкіндігі.
6) Қорғау бойынша жұмыстың ажырағыш бөлігі қорғау құралдарының тиімділігін бағалау болып табылады, ол бағаланатын объектінің техникалық сипаттамаларының барлық жиынтығын соның ішінді қорғау құралдарының промтикалық өтемі мен техникалық шешімдерді ескеретін әдістеме бойынша жүзеге асырылады.
7) АЖ қорғау РЕМ қорғау құралдарының тиімділігін бақылауды қарастыру керек, бұл бақылау мерзімді немесе АЖ пайдаланушыларын немесе бақылау органдарының қажеттілігі бойынша талаптанады.
Концепция сонымен қатар автоматтандырылған жүйе қауіпсіздігін бұзушы моделін ұсынады. Бұзушы ретінде АЖ мен ЕТЖ-нің штаттық құралдарымен жұмысқа кіру мүмкіндігі бар субъект қарастырылады.
Бұзушылар АЖ мен ЕТЖ беретін мүмкіндіктерінің деңгейі бойынша жіктеледі. 4 мүмкіндік деңгейі бөліп көрсетіледі, әрбір деңгейде бұзушы жоғары санатты маман болып табылады, автоматтандырылған жүйе туралы, соның ішінде оны қорғау құралдары туралы бәрін біледі:
1) Ақпараттық жүйелерде диалог жүргізу мүмкіндігі ақпаратты өңдеу бойынша алдын-ала қарастырылған функцияларды жүзеге асыратын бағдарламаларды белгіленген жиынтықтан жіберу.
2) Ақпараттарды өңдеу бойынша жаңа функциялары бар өз бағдарламаларын жасау мен жіберу мүмкіндігі
3) АЖ-ден қызмет етуін басқару мүмкіндігі, яғни жүйенің негізгі бағдарламалық қамтамасыз етуіне және оның жабдығының құрамы мен конфигурациясына әсер ету.
4) Жобалауды, жүзеге асыру мен АЖ құралдарын жөндеуді орындайтын тұлғалардың мүмкіндіктерінің толық көлемі.
Деңгейлердің иерархиялық екенін көру қиын емес, әрбір келесі деңгей барлық алдыңғы деңгейлердің мүмкіндіктерін қамтиды.
Концепцияда РЕМ-тен қорғаудың техникалық құралдары келесі негізгі сипаттамлар бағаланады:
1) Толықтылық дәрежесі мен жүзеге асырылған жүйеге кіру мүмкіндігін шектеу ережелерін қамту. Олар келесілер:
- Кіру мүмкіндігі ережелерінің айқындылығы мен қарама-қайшылықсыздығы.
- Кіру мүмкіндігі ережелерінің идентификациясының сенімділігі.
2) Кіру мүмкіндігін шектеу жүйесі үшін қамтамасыз ету құралдарының құрамы мен сапасы. Бағалауды өткізгенде келесі ескеріледі:
- Субъектілерде анықтау мен идентификациялау құралдары мен оларды қолдану тәртібі.
- Субъектілер әрекеттерін есептеу толықтылығы.
- Субъектің процеске қатысын қолдау тәсілдері.
3) Кіру мүмкіндігін шектеу жүйесің және оны қамтамасыз ететін құралдардың қызмет етуінің дұрыстығының кепілі. Бағалау кезінде сәйкесі құжаттау пайдаланылады. ЕЖТ мен АЖ қорғауын қамтамасыз ету субъектілердің кіру объектісіне деген кіру мүмкіндігін шектеу жүйесімен (КМШЖ) және КМЖШ үшін қамтамасыз етуін құралдармен жүзеге асырылады.
КМШЖ-ның негізгі функциялары болып келесілері табылады:
- Субъектілердің кіру мүмкіндігін шектеу ережелерін (КМШЕ) және олардың мәліметтерге деген процестерін жүзеге асыру.
- Субъектілердің КМШЕ мен олардың қатты көшірмелерді жасау құрылғыларына деген процестерін жүзеге асыру;
- Бір субъект мүддесі шегінде орындалатын процесс бағдарламаларын басқа субъектілерден оқшаулау
- Сәйкес емес грифті тасушыларға ақпараттарды жазып алудың алдын алу мақсатында деректердің ағынын басқару
- Субъектілердің арасында деректерді ауыстыру ережелерін желілік принциптер бойынша құрылған АЖ мен ЕТЖ үшін жүзеге асыру.
ЕТЖ мен АЖ-ді РЕМ-тен қорғау бойынша жұмыстарды ұйымдастыру ақпараттардың қауіпсіздігін қамтамасыз ету өңделіп жатқан ЕТЖ мен АЖ-ді қорғау бойынша талаптарға негізделеді, бұл талаптар тапсырысс берушімен қалыптастырылады және жасаушымен келісіледі. Бұндай талаптар ЕТЖ мен АЖ-дің қорғануының лайықты деңгейі түрінде немесе осы деңгейге сәйкес талаптардың тізімі түрінде қойылады.
Қорғау бойынша техниканың талаптардың орындалуын тексеру сынақ барысында (алдын ала, мемлекеттік және т.б) басқа талаптармен балама түрде жүргізіледі. Табысты сынақтар нәтижелері бойынша түрде жүргізіледі. Табысты сынақтар нәтижелері бойынша ЕТЖ-нің және АЖ-дің қорғау талаптарына сәйкестігін құжаттайтын сертификат рәсімделеді және бұл сертификат жасаушыға оларды қорғалған ретінде пайдалануға немесе таратуға мүмкіндік береді.
Қорғау бойынша шараларды өңдеп шығару ЕЖТ мен АЖ-ді өңдеу кезінде бір уақытта жүргізілу керектігі мен қаржы және материалды техникалық құралдар (ресурстар) есебімен орындалу қажеттілігі айтылады.
Дәріс 13. Ақпараттарды қорғау шарасы