Қазақстан Республикасының білім және ғылым министрлігі
Әл-Фараби атындағы Қазақ Ұлттық Университеті
СӨЖ
Факультеті: Ақпараттық технологиялар
Мамандығы: Ақпараттық қауіпсіздік жүйелері
Тақырыбы: Ақпаратты қорғаудың заңдық көзқарасы
Орындаған: Едіге Нұрислам
Тексерген: Хомпыш А
Тобы:18-1а
Алматы 2019 жыл
Ақпаратты қорғау — ақпараттық қауіпсіздікті қамтамасыз етуге бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса, жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің, маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың, бұғаттаудың алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық, программалық және техникалық әдістер мен құралдардан тұрады.
Ақпаратты өңдеудің автоматтандырылған жүйесі (АЖ) ретінде келесі объектер жиынтығын түсіну керек:
есептеуіш техника құралдарын;
программалық жасауды;
байланыс арналарын;
түрлі тасушылардағы ақпараттарды;
қызметшілер мен жүйені пайдаланушыларды.
АЖ-нің ақпараттық қауіпсіздігі жүйенің мына күйлерінде:
жүйенің сыртқы және ішкі қауіп-қатерлердің тұрақсыздандыру әсеріне қарсы тұра алу қабілеті бар кезіндегісі;
жүйенің жұмыс істеуі және жүйенің бар болуы сыртқы ортаға және оның өзінің элементтеріне қауіп келтірмеуі кезіндегісі қарастырылады.
Тәжірибе жүзінде ақпараттық қауіпсіздік қорғалатын ақпараттың келесі негізгі қасиеттерінің жиынтығы ретінде қарастырылады:
конфиденциалдылық (құпияланғандық), яғни ақпаратқа тек заңды пайдаланушылар қатынай алатындығы;
тұтастық, біріншіден, тек заңды және сәйкесті өкілдігі бар пайдаланушылар ғана өзгерте алатын ақпараттың қорғалуын, ал екіншіден ақпараттың ішкі қайшылықсыздығын және (егер берілген қасиет қолданыла алатын болса) заттардың нақты жағдайын бейнелеуін қамтамасыз ететіндігі;
қатынау қолайлығы, қорғалатын ақпаратқа заңды пайдаланушыларға бөгетсіз қатынаудың кепілі болуы.
Желілік қауіпсіздік сервистері есептеуіш жүйелерде және желілерде өңделетін ақпараттың қорғау механизмдерін береді.
Инженерлік-техникалық әдістер өзінің мақсаты ретінде техникалық арналар арқылы ақпараттың жайылып кетуінен ақпараттың қорғалуын қамтасыз етуді қарастырады.
Ақпаратты қорғаудың құқықтық және ұйымдастырушылық әдістері нормалар үлгілерін жетілдіру үшін ақпараттық қауіпсіздікті қамтамасыз етуге байланысты әр түрлі қызметтерді ұйымдастырады.
Ақпараттық қауіпсіздікті қамтамасыз етудің теориялық әдістері өз кезегінде екі негізгі мәселені шешеді. Біріншіден, ақпараттық қауіпсіздікті қамтамасыз етуге байланысты әр түрлі процесстерді формализациялау.Осыдан екінші мәселе туындайды – ол, қорғалу деңгейін талдағанда ақпараттық қауіпсіздікті қамтамасыз етудегі жүйелер қызметінің қисындылығы мен адекваттығының қатаң негізделуі.
Ақпараттық қауіпсіздіктің қауіптері
Автоматтандырылған жүйенің ақпаратық қауіпсіздігіне қауіп дегеніміз – бұл АЖ өңдейтін ақпараттың конфиденциалдығы, тұтастығы мен қатынау қолайлығының бұзылуына әкеліп соғатын әсерлердің жүзеге асырылуы және де АЖ құраушыларының жоғалуына, жойылуы мен қызмет етуін тоқтатуына келтіретін мүмкіндігі. Қауіптердің жіктелуі:
Пайда болу табиғатына қарай табиғи және жасанды болып бөлінеді. Табиғи –бұл адамға байланыссыз АЖ-ге физикалық процесстер мен табиғи апаттардың әсер ету нәтижесінде пайда болған қауіп. Өз кезегінде жасанды қауіп адамның әрекетінен туындайды. Табиғи қауіптің мысалы ретінде өрт, тасқын, цунами, жер сілкінісі және т.б. айтса болады. Мұндай қауіптің жағымсыз жағы – оны болжаудың қиындығы және мүмкін еместігі.
Ниеттілік дәрежесіне сәйкес кездейсоқ және қасақана болып бөлінеді. Кездейсоқ қауіп қызметшілердің немқұрайдылығынан немесе әдейілеп жасалмаған қателіктерінен пайда болады. Қасақана қауіп әдетте бағытталып жасалған әрекет нәтижесінде пайда болады.Кездейсоқ қауіптің мысалы ретінде байқаусыз деректердің қате енгізілуін, абайсыз жабдықтың бүлдірілуін келтіруге болады. Ал қаскүнемнің физикалық қатынаудың белгіленген ережелерін бұзып қорғалатын аймаққа рұқсатсыз кіру қасақана қауіптің мысалы болып табылады.
Қауіп көзіне тәуелді келесідей бөледі:
қауіп көзі – табиғи орта. Мысалы: өрт, тасқын және басқа да табиғи апаттар;
қауіп көзі – адам. Мысалы, бәсекелес ұйымның АЖ қызметкерлері қатарына өз агенттерін енгізу;
қауіп көзі – рұқсатты программалық-аппараттық құралдар. Мысалы, жүйелік утилиттерді пайдалануды жете білмеушілік;
қауіп көзі – рұқсатсыз программалық-аппараттық құралдар. Мысалы, жүйеге кейлоггерлерді енгізу;
Қауіп көзінің орналасуына байланысты былай бөлінеді:
қауіп көзінің бақылау аумағынан тыс орналасуынан пайда болатын қауіп.Мысалы, жанама электромагнит сәулеленулерін (ЖЭМС) немесе байланыс арналарымен беріліп жатқан деректерді ұстап алу; қашықтан фото және бейне түсіру; бағытталған микрофон көмегімен акустикалық ақпаратты ұстап қалу;
қауіп көзінің бақылау аумағының шекарасында орналасуы. Мысалы,білдірмей тыңдау құрылғыларын қолдану немесе конфиденциялды ақпараты бар деректерді тасушыларын ұрлау.
АЖ-ге әсер ету дәрежесі бойынша пассивті және активті қауіптер деп бөледі.
Пассивті қауіп іске асырылғанда АЖ құрамына және құрылымына ешқандай өзгеріс енбейді, ал активті қауіп, керісінше, АЖ құрылымын бұзады. Пассивті қауіптің мысалы ретінде деректер файлдарын рұқсатсыз көшіруді келтіруге болады.
АЖ ресурстарына қатынау тәсілі бойынша былай бөлінеді:
стандартты қатынауды қолданатын қауіп. Мысалы, заңды иеге қатысты пара беру, шантаж, физикалық қауіп төндіру арқылы рұқсатсыз парольді алу;
стандартты емес қатынауды қолданатын қауіп. Мысалы, қорғау құралдарының ресми мәлімделмеген мүмкіндіктерін пайдалану.
Компьютерлік жүйеде ақпараттар қауіпсіздігін қамтамасыз ету позициясындағы жүйе бір – біріне өзара әсер ететін бірыңғай үш түрлі компонентті қарастырады:
– Ақпарат;
– Техникалық және программалық құрал;
– Қызмет көрсетуші персонал және пайдаланушылар.
Кез келген КЖ–ні құрудың мақсаты болып уақытылы ақпаратты дұрыс және оның құпиялылығын сақталынған түрінде алынуымен пайдаланушының қажеттілігін қанағаттандыру табылады. Ақпарат КЖ соңғы «тұтыну өнімі» болып табылады және жүйенің орталық компоненті түрінде шығады. КЖ деңгейіндегі ақпарат қауіпсіздігі жүйенің екі басқа компонентімен жабдықталады. Бұл есеп ішкі және сыртқы рұқсатсыз әрекеттен қорғау жолымен шешіледі. Компоненттердің өзара әрекетінің ерекшелігі келесідегі сыртқы әрекет әруақытта жүйенің басқа компоненттеріне әсер ету жолымен ақпаратқа рұқсатсыз әсер етуді көрсетеді. Келесі ерекшелік қызметкерлер мен пайдаланушыларға қызмет ететін программалы, техникалық құралдар жағындағы ақпараттық қатынастағы ішкі себептерді шақыратын рұқсатсыз әрекет мүмкіндігі табылады. Мұнда ақпаратпен бірге осы компоненттердің қарама – қарсы өзара әрекеті шешіледі. Осы жерде қызмет етуші қызметкер және пайдаланушылар салалы түрде ақпаратқа рұқсатсыз әрекетті іске асыруы мүмкін. Мұндай жағдайда КЖ ақпараттық қауіпсіздігін жабдықтау ішкі және сыртқы әрекеттен барлық компоненттерді қорғау қарастырылады. Ақпаратты қауіптен қорғауда потенциялды мүмкін оқиға, құртуға алып келетін процесс енмесе құбылыс, бүтінділікті жоғалту, ақпараттың құпиялылығы енмесе ашықтығы түсіндіріледі. КЖ – гі барлық потенциалды қауіптегі ақпарат қауіпсіздігі екі классқа бөлінеді.Кездейсоқ қатер. Қастандықпен істелінген әрекетпен байланыспаған және кездейсоқ уақытта ұйымдастырылған қауіпті кездейсоқтық немесе әдейі емес қауіп деп атайды. Бұл класстағы қауіпті ұйымдастыру үлкен ақпаратты жоғалтуға алып келеді(статистикалық мәлімет бойынша КЖ ақпарат ресурсының 80%-нан өшіруге дейінгі қауіп).Дауыл апат және авария. КЖ үшін қолайсыз жағдай туғызатын бұзушы салдар, соңы функционалдық бұзуға алын келеді, ақпарат жоғалады немесе оған ену мүмкін болмай қалады.Істен шығу және тоқтап қалу. Күрделі жүйенің шарасыздығы істен шығу және тоқтап қалу қорытындысында техникалық құралдардың жұмыс қабілеті бұзылады және мәліметтер мен программалар құртылады және бұзылады, құрылым жұмысының алгоритмі бұзылады. Жеке түйіндегі және құрылымдағы жұмыс алгоритмінің құруы құпия ақпараттардың құруына да алып келеді. Мысалы, ақпаратты тарату құралының істен шығуы және тоқтап қалуы баспаға беру жолымен ақпаратқа рұқсатсыз енуіне алып келеді және т.с.с.Компьютерлік жүйедені (КЖ) өңдеу барысындағы қателер, алгортимдік және программалық қателер техникалық құралдардың аналогиялық салдардан істен шығу және тоқтап қалуына алып келеді. Сонымен қатар мұндай қателер КЖ ресурсына әсер ету үшін қаскүнемдермен пайдалануы мүмкін қателердің негізгі қатері операциялық жүйеде және ақпаратты қорғаудағы программалық құралдарда көрсетіледі.Көп жағдайда ақпарат қауіпсіздігінің бұзылуы пайдаланушы және қызмет көрсетуші қателері қорытындысында болады. Қызметкерлердің функционалдық міндеттерін орындау барысында жете білмеуі, ұқыпсыздығы немесе тиянақсыздығы ақпараттың бүтінділігін және құпиялылығын бұзуға алып келеді.Қасақана қауіп. КЖ-гі ақпарат қауіпсіздігінің қаупінің екінші класына қасақана құрылған қауіп жатады.
Бұл класстағы қауіп олардың физикалық негізі және ұйымдастыру механизміне байланысты бес топқа бөлінеді:
– Дәстүрлі немесе универсалды шпиондық және диверсия;
– Ақпаратқа рұқсатсыз ену;
– Электромагниттік сәулелену және тарату;
– КЖ модификациялық структурасы;
– Зиянды программалар.
Дәстүрлі шпиондық және диверсия. Көпшілік жағдайда бұл тәсіл КЖ – ге ену мақсатында жүйені қорғау туралы мағлұмат алу үшін, сонымен қатар ақпараттық ресурстарды бұзу және ұрлау үшін қолданылады.
Шпиондық және диверсия тәсіліне мыналар жатады:
– Тыңдау;
– Көзбен шолып бақылау;
– Құжаттарды және машиналық тасымалдаудағы ақпаратты ұрлау;
– Программа және жүйені қорғау атрибутын ұрлау;
– Қызметкерлердің параға сатылуы және шантаж;
– Машиналық тасымалдаудағы ақпарат қалдығын талдау және жинау;
– Өрт қою;
– Жарылыстар.
Ақпаратты қорғау, ақпаратты бағдарлама-аппараттық қорғау құралдары, криптографиялық қорғау, желілер мен жүйелер қауіпсіздігі саласында мамандар даярлайтын бағдарлама. «Ақпараттық қауіпсіздік» бағдарламасы 3 бағыттан тұрады: Желілер мен жүйелер қауіпсіздігі, Ақпаратты криптографиялық қорғау және Ақпаратты техникалық қорғау. Студенттер мамандық бойынша дағдылар мен құзыреттіліктерді қалыптастыратын пәндер кешенін оқиды. Python, Java, C++ заманауи бағдарламалау тілдерінің кешені және Oracle, MS SQL Server, MySQL деректер қорын басқару жүйелері оқытылады. Ақпаратты қорғаудың ақпараттық негіздеріне, цифрлық сұлбатехникаға, есептеу жүйелерінің архитектурасына, криптография негіздеріне, бұлттық технологияға және т.б. ерекше көңіл бөлінеді.Сондай-ақ сіздер нейронды желілерді, қауіпсіз web- қосымшаларды және ақпаратты қорғау жүйелерін жобалауды, техникалық барлауға қарсы құралдар және ақпаратты және нысандарды қорғау құралдарын оқитын боласыздар. Сіздер ақпараттық қауіпсіздік (АҚ), ақпараттық қорғау құралдары мен технологияларын жасау және эксплуатациялау, компьютерлік желілер мен жүйелердегі ақпараттарды қорғау үшін криптографиялық алгоритмдерді жобалау, стандарттарға сәйкес ақпараттық және коммуникациялық жүйелердегі ақпараттарды қорғау жүйелерін жүзеге асыру, АҚ менеджментінің жүйесі мен саясатын әзірлеу мен енгізу, әртүрлі операциялық жүйелерді әкімшілеу, желілер архитектурасын түсіну мен қорғау саласында білім аласыздар.Ақпараттық қауіпсіздік бағдарламасын оқу барысында студенттер, осы салада қажетті дайындықтары бар мамандардың санын көбейтуге шақыратын Cisco компаниясында тегін курстар өтуге мүмкіндік алады.Институтта ақпараттық және желілік технологиялар бойынша курстар жүргізетін Өңірлік Cisco Желілік Академиясы, сондай-ақ ақпаратты қорғаудың биометриялық әдістер Ғылыми –зерттеу зертханасы және ақпаратты қорғау ауданындағы әлемдік көшбасшы Касперскиий зертханасы жұмыс істейді. Сонымен қатар оқу барысында АҚ ауданындағы көшбасшы белгілі «Positive Technologes», «СерчИнфоррм», «Фалконгейз» компанияларының өнімдері қолданылады.Бағдарламаны өту аясында ҚР банктерінде, «Пацифика», «Галактика», «K-cell», «ҰАТ» АҚ, «Halyk Kazteleport», «АСКБ Алатау», компанияларында, Ұлттық тестілеу орталығында, Мемлекеттік техникалық қызмет РМК тәжірбие өту қарастырылған. Үздік студенттер шетелдің жетекші университеттерінде академиялық ұтқырлық бағдарламасы бойынша білім алады.Бағдарлама түлектері бакалавр дипломын алады және құпия ақпараттарды өңдеу, сақтау және тасымалдау техникалық құралдарын қолданатын экономикалық кауіпсіздік қызметтерінде, режимдік бөлімдерде, ақпараттық қауіпсіздік қызметтерінде, соның ішінде мемлекеттік билік органдары, ІІМ, кеден қызметі, салық органдарында, медициналық мекемелерде, банктерде, телекоммуникация және байланыс кәсіпорындарда жұмыс істейді, АҚ бойынша магистратурада оқуын жалғастыруға мүмкіндік алады.Алып шыққан мамандығы ақпараттық қауіпсіздік бойынша маман лауазымын, АҚ аналитигі, АҚ зертханасының қызметкері, IT- жобалар менеджері, дерекқор және сайт әкімшісі, Java, Python, C#, PHP және т.б. бағдарламалаушысы лауазымын атқаруға мүмкіндік береді. Ақпараттық қауіпсіздік саласындағы мамандар мемлекеттік және коммерциялық құрылымдарда әрқашан сұранысқа ие. Біздің түлектер Қазақстандағы, Ресейдегі, Үндістандағы, Канададағы, Кубадағы АҚ ауданында жұмыс істейді.
Достарыңызбен бөлісу: |