Билет 18 1. Ақпараттық қауіпсіздікке объектіге- бағытталған тәсілді қолдану Ақпараттық қауіпсіздік мәселелеріне объектіге бағытталған тәсілді қолдануға тырысамыз.
Ақпараттық қауіпсіздікті қамтамасыз ету мәселесі күрделі, күрделі жүйелер қорғалуы керек, қорғаныс құралдарының өзі де күрделі, сондықтан бізге енгізілген барлық ұғымдар қажет болады. Шекара ұғымынан бастайық.
Іс жүзінде үш бет енгізілді: бұл қол жетімділік, тұтастық және құпиялылық. Оларды салыстырмалы түрде тәуелсіз қарастыруға болады және егер олардың барлығы қамтамасыз етілсе, онда ақ жалпы қамтамасыз етіледі (яғни, ақпараттық қатынастар субъектілеріне қолайсыз зиян келтірілмейді) деп саналады.
Осылайша біз мақсатымызды құрылымдадық. Енді оған қол жеткізу құралдарын құрылымдау қажет. Біз келесі қырларды енгіземіз:
ақпараттық қауіпсіздікті қамтамасыз етудің заңнамалық шаралары;
әкімшілік шаралар (қорғалатын ақпараттық жүйелермен байланысты ұйымдар басшылығының бұйрықтары мен басқа да іс-әрекеттері);
процедуралық шаралар (адамдарға бағытталған қауіпсіздік шаралары);
бағдарламалық-техникалық шаралар.
Курстың келесі бөлігінде біз бөлінген беттердің әрқайсысы нені түсінетінін толығырақ түсіндіреміз. Мұнда, негізінен, оларды егжей-тегжейлі деңгейдің өзгеру нәтижесі ретінде қарастыруға болатындығын ескеріңіз (осы себепті біз "заңнамалық деңгей", "процедуралық деңгей" және т.б. тіркестерін қолданамыз). Заңдар мен ережелер ақпараттық қатынастардың барлық субъектілеріне, олардың ұйымдастырушылық құрамына қарамастан (бұл заңды және жеке тұлғалар болуы мүмкін), ел ішінде (халықаралық конвенциялардың қолданылу аясы одан да кең), әкімшілік шаралар - ұйым ішіндегі барлық субъектілерге, процедуралық – жеке адамдарға (немесе шағын санаттарға) бағытталған бағдарламалық-техникалық-жабдықтар мен бағдарламалық қамтамасыз етуге. Осындай түсіндіру арқылы деңгейден деңгейге өту кезінде мұрагерліктің қолданылуын (әрбір келесі деңгей жойылмайды, бірақ алдыңғы деңгейді толықтырады), сондай - ақ полиморфизмді (субъектілер бірден бірнеше формада әрекет етеді-мысалы, әкімшілік шаралардың бастамашылары ретінде және осы шараларға бағынуға міндетті қарапайым пайдаланушылар ретінде) көруге болады.
Инкапсуляция принципі барлық таңдалған, салыстырмалы түрде тәуелсіз беттер үшін жарамды екені анық (бұл беттер "салыстырмалы түрде Тәуелсіз"дегенді білдіреді). Сонымен қатар, бұл екі бет жиынтығын ортогональды деп атауға болады, өйткені бір жиынтықтағы бекітілген Бет үшін (мысалы, қол жетімділік) басқа жиынтықтағы беттер барлық мүмкін мәндерден өтуі керек (заңнамалық, әкімшілік, процедуралық және бағдарламалық-техникалық шараларды қарастыру қажет). Ортогональды популяциялар көп болмауы керек; элементтер саны бар екі жиынтық, сәйкесінше 3 және 4 жеткілікті, өйткені олар 12 комбинацияны береді.
Ақпараттық қатынастар субъектілерінің мүдделері екі аумақтық орналасқан өндірістік алаңы бар белгілі бір ұйымның ақпараттық жүйесінде шоғырлансын, олардың әрқайсысында өз және сыртқы пайдаланушыларға қызмет көрсететін серверлер, сондай-ақ ішкі және сыртқы қызметтерге мұқтаж пайдаланушылар бар. Алаңдардың бірі сыртқы қосылыммен жабдықталған (яғни Интернетке шығу мүмкіндігі бар)
Бөлшектердің нөлдік деңгейімен қараған кезде біз ұйымның ақпараттық жүйесі бар екенін көреміз
Ұқсас көзқарас мүмкін емес болып көрінуі мүмкін, бірақ олай емес. Мұнда ақпараттық жүйелері бар ұйымдарға қолданылатын заңдарды ескеру қажет. Мүмкін, егер IP белгілі бір талаптарға сәйкестігі үшін сертификатталмаған болса, кез-келген ақпаратты компьютерлерде сақтау және өңдеу мүмкін емес. Әкімшілік деңгейде АЖ жасалған мақсаттар, сатып алудың жалпы ережелері, жаңа компоненттерді енгізу, пайдалану және т. б. декларациялануы мүмкін. Процедуралық деңгейде АЖ-ның физикалық қауіпсіздігіне қойылатын талаптарды және оларды орындау жолдарын, өрт қауіпсіздігі ережелерін және т. б. анықтау қажет.
АЖ декомпозициясын қандай критерийлер бойынша жүргізу-бұл көбінесе талғамға байланысты. Егжей-тегжейдің бірінші деңгейінде қызметтер мен пайдаланушылар, дәлірек айтқанда, клиент пен серверге бөлінеді деп болжаймыз
Бұл деңгейде сервистерге қойылатын талаптарды (олардың бар болуына, ұсынылатын ақпараттық қызметтердің қолжетімділігіне, тұтастығына және құпиялылығына) тұжырымдау, осы талаптарды орындау тәсілдерін баяндау, пайдаланушылар мінез-құлқының жалпы қағидаларын, олардың алдын ала дайындығының қажетті деңгейін, олардың мінез-құлқын бақылау әдістерін, көтермелеу және жазалау тәртібін және т. б. айқындау қажет. серверлік және клиенттік платформаларға қатысты.
Бұл деңгейде бізді әлі де қызықтырады ішкі құрылымы мен АЖ ұйымдастыру, сол сияқты бөлшектері Internet. Тек осы желілер арасындағы байланыстың болуы, оларда пайдаланушылардың болуы, сондай-ақ ұсынылатын және ішкі қызметтер туралы айтылады. Бұл қызметтер әлі маңызды емес.
2-егжей-тегжейлі деңгейде бола отырып, біз сыртқы қосылыстармен жабдықталған ұйымдарға қолданылатын заңдарды ескеруіміз керек. Біз мұндай қосылуға рұқсат беру, оны қорғау, сыртқы қызметтерге жүгінетін пайдаланушылардың жауапкершілігі және сыртқы қол жеткізу үшін өз қызметтерін ашатын ұйымдардың жауапкершілігі туралы айтып отырмыз. Сыртқы қосылудың болуын ескере отырып, ұқсас бағытты нақтылау әкімшілік, процедуралық және бағдарламалық-техникалық деңгейлерде орындалуы керек.
"Ұйымның АЖ" контейнері (компоненттік Объектілік орта мағынасында) бақыланатын аймақтың шекарасын белгілейтініне назар аударайық, оның шегінде ұйым белгілі бір саясат жүргізеді. Интернет ұйым қабылдауы керек басқа ережелер бойынша өмір сүреді.
Егжей-тегжейлі деңгейді ұлғайта отырып, екі түрлі өндірістік алаңдарды және олардың арасындағы байланыс арналарын, осы алаңдар бойынша сервистер мен пайдаланушылардың бөлінуін және ішкі коммуникациялардың қауіпсіздігін қамтамасыз ету құралдарын, жекелеген сервистердің ерекшелігін, пайдаланушылардың әртүрлі санаттарын және т.б. көруге болады.