Билет 1 Ақпараттық қауіпсіздік ұғымы
Билет 8 1. Ақпаратты рұқсатсыз қол жеткізуден қорғау
жүктеу/скачать 159,51 Kb.
|
| Билет 8
1. Ақпаратты рұқсатсыз қол жеткізуден қорғау Ақпаратты рұқсатсыз қол жеткізуден қорғау (ЖТЖ-дан ЗИ): мүдделі субъектілердің нормативтік және құқықтық құжаттарда (актілерде) немесе ақпарат иеленушілердің қорғалатын ақпаратқа қол жеткізуді шектеу құқықтарын немесе қағидаларын бұза отырып, қорғалатын ақпаратты алуын болдырмауға бағытталған ақпаратты қорғау. Ақпаратқа рұқсатсыз қол жеткізу (NSD) әртүрлі тәсілдермен алынуы мүмкін. Құжаттарды тікелей ұрлау немесе компьютерлердің операциялық жүйелерін бұзу мүмкін нұсқалардың аз ғана бөлігін құрайды. Ақпаратты сақтаудың электронды құралдары ең осал болып саналады, өйткені олар үшін қашықтан басқару және бақылау әдістерін қолдануға болады. Заңсыз қол жеткізудің ықтимал нұсқалары: байланыс жүйелеріне қосылу (телефон желілері, интеркомдар, сымды сөйлесу құрылғылары); құжаттаманы ұрлау, оның ішінде оны дұшпандық мақсаттармен көшіру (тираждау); компьютерлерді, сыртқы жинақтағыштарды немесе ақпаратты қамтитын өзге де құрылғыларды тікелей пайдалану; операциялық жүйеге интернет арқылы, оның ішінде шпиондық бағдарламаларды, вирустарды және өзге де зиянды бағдарламалық қамтамасыз етуді пайдалана отырып енгізу; компания қызметкерлерін (инсайдерлерді) мәліметтер көзі ретінде пайдалану. Басқа біреудің ақпаратына қол жеткізу әрекеттері не үшін жасалады Ақпаратқа рұқсатсыз қол жеткізудің негізгі мақсаты – басқа адамдардың деректерін пайдаланудан кіріс алу. Алынған мәліметтерді пайдаланудың ықтимал тәсілдері: үшінші тұлғаларға қайта сату; қолдан жасау немесе жою (мысалы, борышкерлер, тергеушілер, іздеушілер және т. б. базаларына қол жеткізген кезде); басқа адамдардың технологияларын қолдану (өнеркәсіптік тыңшылық); заңсыз операциялар үшін банктік деректемелерді, қаржылық құжаттаманы алу (мысалы, басқа біреудің шоты арқылы ақшаны қолма-қол ақшаға айналдыру); компанияның беделіне нұқсан келтіру мақсатында деректерді өзгерту (заңсыз бәсекелестік). Құпия ақпарат ақша қаражаттарының баламасын білдіреді. Сонымен қатар, ақпарат иесінің өзі үшін ештеңе болмауы мүмкін. Алайда, жағдай үнемі өзгеріп отырады және деректер кенеттен үлкен мәнге ие болуы мүмкін және бұл факт сенімді қорғауды қажет етеді. Компьютерлерді рұқсатсыз кіруден қорғау әдістері бағдарламалық-аппараттық және техникалық болып бөлінеді. Біріншісі рұқсат етілмеген пайдаланушыларды кесіп тастайды, екіншісі компанияның үй-жайларына бөтен адамдардың физикалық енуін болдырмауға арналған. Ұйымда ақпаратты қорғау жүйесін (АҚҚ) құра отырып, зиянкестердің көз алдында ішкі деректердің қаншалықты құнды екенін ескеру қажет. Рұқсатсыз кіруден сауатты қорғау үшін келесі әрекеттерді орындау маңызды: ақпаратты сыныптарға сұрыптау және бөлу, пайдаланушылар үшін деректерге рұқсат деңгейін анықтау; пайдаланушылар арасында ақпарат беру мүмкіндігін бағалау (қызметкерлердің бір-бірімен байланысын орнату). Осы іс-шаралардың нәтижесінде компанияда ақпараттың белгілі бір иерархиясы пайда болады. Бұл қызметкерлер үшін олардың қызмет түріне байланысты ақпаратқа қол жетімділікті ажыратуға мүмкіндік береді. Деректерге қол жеткізу аудиті ақпараттық қауіпсіздік құралдарының функционалына кіруі тиіс. Сонымен қатар, компания қолдануға шешім қабылдаған бағдарламалар келесі опцияларды қамтуы керек: кіру кезінде аутентификация және сәйкестендіру; әртүрлі деңгейдегі пайдаланушылар үшін ақпаратқа қол жеткізуді бақылау; NSD әрекеттерін анықтау және тіркеу; пайдаланылатын ақпаратты қорғау жүйелерінің жұмысқа қабілеттілігін бақылау; профилактикалық немесе жөндеу жұмыстары кезінде қауіпсіздікті қамтамасыз ету. жүктеу/скачать 159,51 Kb. Достарыңызбен бөлісу:
|