2. Ақпаратты қорғаудың құқықтық әдістері мен құралдары Ақпаратты қорғаудың құқықтық әдісі-бұл ақпаратты қорғаудың әзірлеуді қамтитын құқықтық әдістермен заңнамалық және нормативтік құқықтық құжаттар жөніндегі субъектілердің қатынастарын реттейтін актілердің құжаттарды (актілерді) қолдану, сондай-ақ олардың орындалуын қадағалау және бақылау.
Тұтастықтың негізгі қауіптері
Зиян мөлшері бойынша екінші орында (байқаусызда қателіктер мен қателіктерден кейін) ұрлық пен жалғандық тұр. USA Today газетінің хабарлауынша, 1992 жылы дербес компьютерлерді қолданатын осындай заңсыз әрекеттердің нәтижесінде американдық ұйымдарға 882 миллион доллар көлемінде жалпы залал келтірілген. Нақты залал әлдеқайда көп болды деп болжауға болады, өйткені көптеген ұйымдар мұндай оқиғаларды белгілі себептермен жасырады; бұл күндері мұндай әрекеттерден келтірілген залал бірнеше есе өсті деген күмән жоқ.
Көп жағдайда кінәлілер жұмыс режимімен және қорғау шараларымен жақсы таныс ұйымдардың штаттық қызметкерлері болды. Бұл ішкі қауіптердің қауіптілігін тағы бір рет растайды.
Бұрын біз статикалық және динамикалық тұтастықты ажырататын едік. Статикалық тұтастықты бұзу мақсатында қаскүнем (әдетте штаттық қызметкер):
қате деректерді енгізу;
деректерді өзгерту.
Кейде мазмұнды деректер, кейде қызметтік ақпарат өзгереді. Электрондық поштаның тақырыптары жалған болуы мүмкін; хатты толығымен жіберушінің паролін білетін адам бұрмалауы мүмкін (біз тиісті мысалдарды келтірдік). Соңғысы тұтастықты криптографиялық құралдармен бақылаған кезде де мүмкін екенін ескеріңіз. Мұнда ақпараттық қауіпсіздіктің әртүрлі аспектілері өзара әрекеттеседі: егер құпиялылық бұзылса, тұтастық бұзылуы мүмкін.
Деректердің бұрмалануы немесе өзгеруі ғана емес, сонымен бірге жасалған әрекеттерден бас тарту да тұтастыққа қауіп төндіреді. Егер "көрсетілмеуді" қамтамасыз етуге мүмкіндік болмаса, компьютерлік деректерді дәлел ретінде қарастыруға болмайды.
Деректер ғана емес, сонымен қатар бағдарламалар тұтастығының бұзылуы тұрғысынан да осал. Динамикалық тұтастықтың қауіп-қатері-транзакциялардың атомдылығының бұзылуы, қайта тапсырыс беру, ұрлау, деректердің қайталануы немесе қосымша хабарламалар (желілік пакеттер және т.б.). Желілік ортадағы тиісті әрекеттер белсенді тыңдау деп аталады.
Құпиялылықтың негізгі қауіптері
Құпия ақпаратты пәндік және қызметтік деп бөлуге болады. Қызметтік ақпарат (мысалы, пайдаланушылардың парольдері) белгілі бір пәндік аймаққа қолданылмайды, ақпараттық жүйеде ол техникалық рөл атқарады, бірақ оны ашу өте қауіпті, өйткені ол барлық ақпаратқа, соның ішінде пәндік ақпаратқа рұқсатсыз қол жеткізуге әкелуі мүмкін.
Егер ақпарат компьютерде сақталса немесе компьютерде пайдалануға арналған болса да, оның құпиялылығына қауіп компьютерлік емес және жалпы техникалық емес болуы мүмкін.
Көптеген адамдар бір емес, бірқатар жүйелерді (ақпараттық қызметтерді) пайдаланушылар ретінде әрекет етуі керек. Егер мұндай жүйелерге қол жеткізу үшін қайта пайдалануға болатын парольдер немесе басқа құпия ақпарат пайдаланылса, онда бұл деректер тек басында ғана емес, сонымен қатар ноутбукта немесе пайдаланушы жиі жұмыс үстелінде қалдыратын немесе жоғалтатын қағаз парақтарында сақталады. Бұл жерде адамдардың ұйымдастырылмауы емес, пароль схемасының бастапқы жарамсыздығы. Көптеген әртүрлі парольдерді есте сақтау мүмкін емес; оларды үнемі (мүмкін болса-жиі) өзгерту бойынша ұсыныстар жағдайды нашарлатады, бұл қарапайым ауыспалы схемаларды қолдануға немесе тіпті екі-үш оңай есте сақталатын (және оңай болжанатын) парольдерге азайтуға тырысады.
Сипатталған осал топтарды құпия деректерді қажетті қорғаныс қамтамасыз етілмеген (және көбінесе қамтамасыз етілмейтін) ортада орналастыру деп атауға болады. Пайдаланушылардың ноутбуктерінде сақталған парольдерден басқа, құпия деректерді ашық түрде (әңгімеде, хатта, желі арқылы) беру осы сыныпқа енеді, бұл оларды ұстап алуға мүмкіндік береді. Шабуыл жасау үшін әртүрлі техникалық құралдарды қолдануға болады (сөйлесулерді тыңдау немесе тыңдау, желіні пассивті тыңдау және т.б.), бірақ бір идея - деректерге олар аз қорғалған сәтте қол жеткізу
Деректерді ұстап қалу қатерін АЖ бастапқы конфигурациялау кезінде ғана емес, барлық өзгерістер кезінде де ескеру қажет. Көрмелер өте қауіпті қауіп болып табылады, оларға көптеген ұйымдар өндірістік желіден оларда сақталған барлық мәліметтермен жабдықты жібереді. Парольдер бірдей болып қалады, қашықтан қол жетімді болған кезде олар ашық түрде беріле береді.
Өзгертудің тағы бір мысалы: деректерді резервтік медиада сақтау. Негізгі ақпарат құралдарындағы деректерді қорғау үшін қол жеткізуді басқарудың дамыған жүйелері қолданылады; көшірмелер көбінесе шкафтарда орналасады және көптеген адамдар оларға қол жеткізе алады.
Деректерді ұстап алу үлкен қауіп болып табылады, егер құпиялылық шынымен маңызды болса және деректер көптеген арналар арқылы берілсе, оларды қорғау өте қиын және қымбат болуы мүмкін. Техникалық ұстау құралдары жақсы дамыған, қол жетімді, оңай жұмыс істейді және оларды, мысалы, кабельдік желіге кез-келген адам орната алады, сондықтан бұл қауіп тек сыртқы ғана емес, сонымен қатар ішкі байланыс үшін де бар
Жабдықты ұрлау тек резервтік медиа үшін ғана емес, сонымен қатар компьютерлер үшін де, әсіресе портативті құрылғылар үшін де қауіп төндіреді. Көбінесе Ноутбуктер жұмыста немесе көлікте қараусыз қалады, кейде олар жай жоғалтады.
Құпиялылыққа қауіпті техникалық емес қауіп-қатер-бұл моральдық-психологиялық әсер ету әдістері, мысалы, маскарад-деректерге қол жеткізуге өкілеттігі бар адамның іс-әрекетін орындау.
Өзін қорғау қиын болатын жағымсыз қауіптерге билікті теріс пайдалану жатады. Жүйенің көптеген түрлерінде артықшылықты пайдаланушы (мысалы, жүйелік әкімші) кез - келген (шифрланбаған) файлды оқи алады, кез-келген пайдаланушының поштасына кіре алады және т.б. тағы бір мысал-қызмет көрсету кезінде зиян келтіру. Әдетте сервистік инженер жабдыққа шексіз қол жеткізе алады және бағдарламалық қорғаныс тетіктерін айналып өте алады.