Ақпаратты қорғау — ақпараттық қауіпсіздікті қамтамасыз етуге бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса, жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің, маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың, бұғаттаудың алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық, программалық және техникалық әдістер мен құралдардан тұрады.
Ақпараттық қауіпсіздік[өңдеу | қайнарын өңдеу]
Ақпаратты өңдеудің автоматтандырылған жүйесі (АЖ) ретінде келесі объектер жиынтығын түсіну керек:
есептеуіш техника құралдарын;
программалық жасауды;
байланыс арналарын;
түрлі тасушылардағы ақпараттарды;
қызметшілер мен жүйені пайдаланушыларды.
АЖ-нің ақпараттық қауіпсіздігі жүйенің мына күйлерінде:
жүйенің сыртқы және ішкі қауіп-қатерлердің тұрақсыздандыру әсеріне қарсы тұра алу қабілеті бар кезіндегісі;
жүйенің жұмыс істеуі және жүйенің бар болуы сыртқы ортаға және оның өзінің элементтеріне қауіп келтірмеуі кезіндегісі қарастырылады.
Тәжірибе жүзінде ақпараттық қауіпсіздік қорғалатын ақпараттың келесі негізгі қасиеттерінің жиынтығы ретінде қарастырылады:
конфиденциалдылық (құпияланғандық), яғни ақпаратқа тек заңды пайдаланушылар қатынай алатындығы;
тұтастық, біріншіден, тек заңды және сәйкесті өкілдігі бар пайдаланушылар ғана өзгерте алатын ақпараттың қорғалуын, ал екіншіден ақпараттың ішкі қайшылықсыздығын және (егер берілген қасиет қолданыла алатын болса) заттардың нақты жағдайын бейнелеуін қамтамасыз ететіндігі;
қатынау қолайлығы, қорғалатын ақпаратқа заңды пайдаланушыларға бөгетсіз қатынаудың кепілі болуы.
Желілік қауіпсіздік сервистері есептеуіш жүйелерде және желілерде өңделетін ақпараттың қорғау механизмдерін береді.
Инженерлік-техникалық әдістер өзінің мақсаты ретінде техникалық арналар арқылы ақпараттың жайылып кетуінен ақпараттың қорғалуын қамтасыз етуді қарастырады.
Ақпаратты қорғаудың құқықтық және ұйымдастырушылық әдістері нормалар үлгілерін жетілдіру үшін ақпараттық қауіпсіздікті қамтамасыз етуге байланысты әр түрлі қызметтерді ұйымдастырады.
Ақпараттық қауіпсіздікті қамтамасыз етудің теориялық әдістері өз кезегінде екі негізгі мәселені шешеді. Біріншіден, ақпараттық қауіпсіздікті қамтамасыз етуге байланысты әр түрлі процесстерді формализациялау.Осыдан екінші мәселе туындайды – ол, қорғалу деңгейін талдағанда ақпараттық қауіпсіздікті қамтамасыз етудегі жүйелер қызметінің қисындылығы мен адекваттығының қатаң негізделуі.
Ақпараттық қауіпсіздіктің қауіптері[өңдеу | қайнарын өңдеу]
Автоматтандырылған жүйенің ақпаратық қауіпсіздігіне қауіп дегеніміз – бұл АЖ өңдейтін ақпараттың конфиденциалдығы, тұтастығы мен қатынау қолайлығының бұзылуына әкеліп соғатын әсерлердің жүзеге асырылуы және де АЖ құраушыларының жоғалуына, жойылуы мен қызмет етуін тоқтатуына келтіретін мүмкіндігі. Қауіптердің жіктелуі:
Пайда болу табиғатына қарай табиғи және жасанды болып бөлінеді. Табиғи –бұл адамға байланыссыз АЖ-ге физикалық процесстер мен табиғи апаттардың әсер ету нәтижесінде пайда болған қауіп. Өз кезегінде жасанды қауіп адамның әрекетінен туындайды. Табиғи қауіптің мысалы ретінде өрт, тасқын, цунами, жер сілкінісі және т.б. айтса болады. Мұндай қауіптің жағымсыз жағы – оны болжаудың қиындығы және мүмкін еместігі.
Ниеттілік дәрежесіне сәйкес кездейсоқ және қасақана болып бөлінеді. Кездейсоқ қауіп қызметшілердің немқұрайдылығынан немесе әдейілеп жасалмаған қателіктерінен пайда болады. Қасақана қауіп әдетте бағытталып жасалған әрекет нәтижесінде пайда болады.Кездейсоқ қауіптің мысалы ретінде байқаусыз деректердің қате енгізілуін, абайсыз жабдықтың бүлдірілуін келтіруге болады. Ал қаскүнемнің физикалық қатынаудың белгіленген ережелерін бұзып қорғалатын аймаққа рұқсатсыз кіру қасақана қауіптің мысалы болып табылады.
Қауіп көзіне тәуелді келесідей бөледі:
қауіп көзі – табиғи орта. Мысалы: өрт, тасқын және басқа да табиғи апаттар;
қауіп көзі – адам. Мысалы, бәсекелес ұйымның АЖ қызметкерлері қатарына өз агенттерін енгізу;
қауіп көзі – рұқсатты программалық-аппараттық құралдар. Мысалы, жүйелік утилиттерді пайдалануды жете білмеушілік;
қауіп көзі – рұқсатсыз программалық-аппараттық құралдар. Мысалы, жүйеге кейлоггерлерді енгізу;
Қауіп көзінің орналасуына байланысты былай бөлінеді:
қауіп көзінің бақылау аумағынан тыс орналасуынан пайда болатын қауіп.Мысалы, жанама электромагнит сәулеленулерін (ЖЭМС) немесе байланыс арналарымен беріліп жатқан деректерді ұстап алу; қашықтан фото және бейне түсіру; бағытталған микрофон көмегімен акустикалық ақпаратты ұстап қалу;
қауіп көзінің бақылау аумағының шекарасында орналасуы. Мысалы,білдірмей тыңдау құрылғыларын қолдану немесе конфиденциялды ақпараты бар деректерді тасушыларын ұрлау.
АЖ-ге әсер ету дәрежесі бойынша пассивті және активті қауіптер деп бөледі.
Пассивті қауіп іске асырылғанда АЖ құрамына және құрылымына ешқандай өзгеріс енбейді, ал активті қауіп, керісінше, АЖ құрылымын бұзады. Пассивті қауіптің мысалы ретінде деректер файлдарын рұқсатсыз көшіруді келтіруге болады.
АЖ ресурстарына қатынау тәсілі бойынша былай бөлінеді:
стандартты қатынауды қолданатын қауіп. Мысалы, заңды иеге қатысты пара беру, шантаж, физикалық қауіп төндіру арқылы рұқсатсыз парольді алу;
стандартты емес қатынауды қолданатын қауіп. Мысалы, қорғау құралдарының ресми мәлімделмеген мүмкіндіктерін пайдалану.
Қауіптердің негізгі жіктелуі:
Ақпараттың конфиденциялдығын (құпияланғандығын) бұзатын қауіптердің орындалу нәтижесінде құпия ақпаратпен танысу үшін өкілдігі жоқ субъектіге ақпаратқа қатынау мүмкіндігі туады.
Ақпараттың тұтастығын бұзатын қауіптерге, АЖ көмегімен өңделініп жатқан ақпаратты кез келген қаскүнемділікпен бұрмалау немесе құрту жатады.
Ақпараттың қатынау қолайлығын бұзатын қауіптерге, АЖ ресурсына рұқсаты бар пайдаланушының қатынауы бұғатталғанда туындайтын жағдайлар жатады.
Ақпарат қорғанысының негізгі қауіптеріне және ақпараттық жүйенің қарапайым функциялануына келесілер жатады:
құпия ақпараттың ағып кетуі;
ақпаратты компрометациялау;
ақпараттық ресурстарды бекітілмеген жолмен қолдану;
ақпараттық ресурстарды қателесіп қолдану;
абоненттердің арасында бекітілмеген ақпарат алмасу;
ақпараттан бас тарту;
дентификация[өңдеу | қайнарын өңдеу]
Идентификация – қатынасатын субъектке арнайы идентификатор (қайталанбайтын) тағайындау және оны мүмкін болатын идентификатор тізімімен салыстыру операциясы.
Аутентификация[өңдеу | қайнарын өңдеу]
Аутентификация – қатынасатын субъект пен оның идентификаторының сәйкестігін тексеру әрі растау операциясы. Аутентификацияның әдістерін үлкен 4 топқа бөлуге болады:
Белгілі бір құпия ақпаратты білуге негізделген әдістер. Бұл әдістің бәрімізге таныс мысалы – парольдік қорғаныс. Қолданушы жүйеге кірер кезде пароль, яғни таңбалардың құпия тізбегін, енгізу керек болады. Аутентификацияның бұл әдісі ең кең таралған болып табылады.
Қайталанбайтын зат (нәрсе) қолдануға негізделген әдістер. Қайталанбайтын зат ретінде түрлі смарт карталар, токен, электрондық кілттерді айтуға болады.
Адамның биометриялық белгісіне негізделген әдістер. Іс жүзінде биометриялық белгілердің келесідей түрлері қолданылады: Саусақтың ізі, Көздің торлы қабықшасы не мөлдір қабықшасының суреті, Қолдың жылулық суреті, Беттің фотосуреті не жылулық суреті, Жазу (қолтаңба), Дауыс
Қолданушымен байланысты ақпаратқа негізделген әдістер. Мұндай әдістердің мысалы ретінде қолданушының GPS арқылы алынған координаттарын айтуға болады.
Жүзеге асырудың салыстырмалы түрдегі жеңілдігі. Шынымен-ақ, парольдік қорғаныс механизмін ұйымдастыруға, көп жағдайда, ешқандай артық аппараттық құралдар керек емес.
Дәстүрлік. Парольдік қорғаныс механизмі қолданушылардың көпшілігіне таныс, сондықтан басқа құралдарға қарағанда (м: көздің мөлдір қабықшасының сканерлеу) психологиялық жатсыну тудырмайды.
Қауіпсіздіктің парольдік жүйелерінің негізгі қауіптеріне:
Адами факторлардың әлсіздігін пайдалану жолы. Бұл жерде пароль алу әдістері әр түрлі: пароль енгізу кезінде көріп алу, тыңдап алу, шантаж немесе біреудің тіркелгісін рұқсатпен пайдалану.
Теріп тауып алу. Бұл жерде келесідей әдістер пайдаланылады:
Барлық вариантты теріп, тауып алу. Бұл әдіс бойынша парольді енгізіп көру кезінде барлық мүмкін комбинация тексеріледі. Қаскүнемнің жүйеге кіру уақыты көп болу керек екендігі өз-өзінен-ақ түсінікті. Бұл әдіспен шыдамдығы кез-келген парольдер табылады.
Сөздік бойынша теріп, тауып алу. Іс жүзінде пайдаланылатын парольдер мағыналы сөз не сөз тіркесі болып табылады. Осындай көп пайдаланылатын парольдер тізімделіп, сөздік жасалады. Осы сөздіктің көмегімен парольді тез тауып алуға болады.
Қолданушы туралы мәлімет бойынша теріп, тауып алу. Бұл әдістің негізінде әр қолданушы өз паролін өздері ойлап табу фактісі жатыр. Көп жағдайда, адамдар пароль ойлап тапқан кезде, өздеріне байланысты мәлімет енгізеді.
Ақпараттың қолжетімділігі
Алдыңғы тақырыпта айтылғандай, ақпараттық қауіпсіздік – бұл жүйелі, кешенді тәсіл ғана табысқа жеткізетін көп қырлы қызмет саласы.
Ақпараттық қауіпсіздікті қамтамасыз ету көп жағдайда мәселелерді кешенді шешумен байланысты:
Ақпараттың қолжетімділігін қамтамасыз ету.
Ақпараттың тұтастығын қамтамасыз ету.
Ақпараттың құпиялылығын қамтамасыз ету.
Бұл ақпараттық қауіпсіздіктің баламалы құрамдас бөліктері болып табылатын қолжетімділік, тұтастық және құпиялылық.
Ақпараттық жүйелер белгілі бір ақпараттық қызметтерді алу үшін құрылады. Егер қандай да бір себептермен пайдаланушыларға бұл қызметтерді көрсету мүмкін болмаса, бұл барлық пайдаланушыларға зиян тигізетіні анық.
Ақпараттың қолжетімділігінің рөлі әсіресе басқару жүйелерінің әртүрлі түрлерінде - өндірісте, көлікте және т.б. айқын көрінеді. Аз әсерлі, бірақ сонымен бірге өте жағымсыз салдар - материалдық және моральдық - көптеген адамдар пайдаланатын ақпараттық қызметтердің ұзақ мерзімді қолжетімсіздігі болуы мүмкін. адамдардың, мысалы, теміржол және әуе билеттерін сату, банк қызметтері, интернет-ақпараттық желісіне қол жеткізу және т.б.
Қолжетімділік – пайдаланушының белгілі бір уақыт ішінде қажетті ақпаратты немесе ақпараттық қызметті алуының кепілі.
Ақпараттың қолжетімділігін анықтаудағы уақыт факторы кейбір жағдайларда өте маңызды, өйткені ақпарат пен ақпараттық қызметтердің кейбір түрлері белгілі бір уақыт кезеңінде ғана мағына береді. Мысалы, алдын ала брондалған ұшақ билетін әуеге көтерілгеннен кейін алу мағынасын жоғалтады. Сол сияқты, кешегі ауа райы болжамын алудың да мағынасы жоқ, өйткені бұл оқиға бұрыннан болған.
Ақпараттың тұтастығы
Ақпараттың тұтастығы шартты түрде статикалық және динамикалық болып бөлінеді.
Ақпараттың статикалық тұтастығы ақпараттық объектілердің автор немесе ақпарат көзі анықтайтын бастапқы күйінен өзгермейтіндігін білдіреді.
Ақпараттың динамикалық тұтастығы ақпарат ағындарымен күрделі әрекеттерді дұрыс орындау мәселелерін қамтиды, мысалы, қателерді анықтау үшін хабарламалар ағынын талдау, хабарламаларды берудің дұрыстығын бақылау, жеке хабарламаларды растау және т.б.
Ақпарат техникалық, әлеуметтік және т.б. сияқты әртүрлі процестерді басқару үшін пайдаланылған кезде тұтастық ақпараттық қауіпсіздіктің маңызды аспектісі болып табылады.
Осылайша, бақылау бағдарламасындағы қате басқарылатын жүйенің тоқтатылуына әкеледі, заңды дұрыс түсінбеу оның бұзылуына әкелуі мүмкін, дәрілік препаратты қолдану жөніндегі нұсқаулықты дұрыс аудармау денсаулыққа зиян тигізуі мүмкін. Барлық осы мысалдар ақпараттың тұтастығын бұзуды көрсетеді, бұл апатты салдарға әкелуі мүмкін. Сондықтан ақпараттың тұтастығы ақпараттық қауіпсіздіктің негізгі құрамдастарының бірі ретінде ерекшеленеді.
Тұтастық – ақпараттың қазір өзінің бастапқы түрінде болуының кепілі, яғни оны сақтау немесе беру кезінде рұқсат етілмеген өзгертулер енгізілмеген.
Ақпараттың құпиялылығы
Құпиялылық – біздің елімізде ақпараттық қауіпсіздіктің ең дамыған аспектісі. Өкінішке орай, Ресейдегі заманауи ақпараттық жүйелердің құпиялылығын қамтамасыз ету жөніндегі іс-шараларды іс жүзінде жүзеге асыру күрделі қиындықтармен байланысты. Біріншіден, ақпараттың ағып кетуінің техникалық арналары туралы ақпарат жабық, сондықтан пайдаланушылардың көпшілігі ықтимал қауіптер туралы түсінікті қалыптастыра алмайды. Екіншіден, құпиялылықтың негізгі құралы ретінде реттелетін криптографияның жолында тұрған көптеген құқықтық және техникалық қиындықтар бар.
Барлық дерлік ұйымдарда құпия ақпарат бар. Бұл өндіріс технологиясы, бағдарламалық өнім, қызметкерлердің жеке деректері және т.б. болуы мүмкін. Есептеу жүйелеріне келетін болсақ, жүйеге кіруге арналған құпия сөздер міндетті құпия деректер болып табылады.
Құпиялылық - бұл нақты ақпараттың тек ол үшін арналған адамдар тобына қолжетімді болуының кепілі.
Ақпараттық қауіпсіздік компоненттері
Үш санаттың әрқайсысының бұзылуы тұтастай алғанда ақпараттық қауіпсіздіктің бұзылуына әкеледі. Осылайша, қол жетімділіктің бұзылуы ақпаратқа қол жеткізуден бас тартуға әкеледі, тұтастықтың бұзылуы ақпараттың бұрмалануына әкеледі және, сайып келгенде, құпиялылықты бұзу ақпараттың ашылуына әкеледі.
Жоғарыда атап өтілгендей, бұл санаттарды ақпараттық қауіпсіздіктің негізгі құрамдастары ретінде бөлу ақпараттық қауіпсіздік режимін қамтамасыз етуде кешенді тәсілді енгізу қажеттілігімен түсіндіріледі. Сонымен қатар, осы санаттардың біреуінің бұзылуы қалған екеуінің бұзылуына немесе толық пайдасыз болуына әкелуі мүмкін. Мысалы, компьютерге кіру үшін парольді ұрлау (құпиялылықты бұзу) оның бұғатталуына, деректердің жойылуына (ақпараттың қолжетімділігін бұзу) немесе компьютер жадындағы ақпараттың бұрмалануына (ақпараттың тұтастығын бұзу) әкелуі мүмкін.