Дипломға дейінгі тәжірибе туралы есеп


Ұйымға әсер ететін негізгі факторларды зерттеу



жүктеу/скачать 56,34 Kb.
бет3/7
Дата30.03.2023
өлшемі56,34 Kb.
#77813
түріДиплом
1   2   3   4   5   6   7
Ұйымға әсер ететін негізгі факторларды зерттеу

  • Мекеменің негізгі қызметінің ұйымдық-құқықтық нысаны мен сипаты;

  • қорғалатын ақпараттың құрамы, көлемі және құпиялылық дәрежесі; Мекеменің құрылымы мен орналасқан жері;

  • Мекеменің жұмыс режимі;

  • Мекеменің конструктивтік ерекшеліктері;

  • ресурстармен қамтамасыз етудің сандық және сапалық параметрлері;

  • қорғалатын ақпаратты өңдеудің негізгі процедураларын автоматтандыру дәрежесі;

  • ұйымдастыруға әртүрлі факторлардың әсер ету сипаты мен дәрежесі.



Мекеменің ақпараттық жүйесінің қауіптері мен осалдықтарының моделі
Қауіп моделі - ISPD жүйесінде өңдеу кезінде жеке деректердің қауіпсіздігіне (PD) ағымдағы қауіптердің жүйеленген тізімі.
Қауіп-қатер моделі жеке деректердің қауіпсіздігіне төнетін қатерлерді нақты жағдайларда анықтау және ескеру үшін қажет және жеке деректердің қауіпсіздігін қамтамасыз етуге бағытталған іс-шараларды жоспарлаудың негізін құрайды.
Қауіпті модель мүмкіндік береді:

  • ISPD-де өңдеу кезінде ПҚ қорғауға шартты талаптарды қалыптастыруға;

  • ең аз шығынмен дербес деректердің қауіпсіздігін қамтамасыз ету тәсілін енгізу.

Қауіпті модель әрбір жүйе үшін бөлек және кезең-кезеңімен құрастырылады. Оқу ретінде мен IT-ISS отделдерін таңдадым. Бұл типтік АЖ, өйткені ол құпиялығын қамтамасыз ету үшін қажет.
Дербес деректердің ақпараттық жүйелерінде (PDIS) өңдеу кезінде жеке деректердің (PD) қауіпсіздігіне нақты қатерлерді анықтау әдістемесін Ресейдің FSTEC 2006 жылғы 27 шілдедегі № 152-Ф3 Федералдық заңның негізінде әзірлеген. жеке деректерді ақпараттық жүйелерде өңдеу», Қазақстан Республикасының 2007 жылғы 17 қарашадағы № 781 қаулысымен бекітілген, ақпаратты қорғау бойынша Қазақстан FSTEC қолданыстағы нормативтік құжаттарын ескере отырып.
Нақты қауіптерді, яғни ISPD-де іске асырылуы мүмкін және ПД үшін қауіп төндіретін қауіптерді есептеу үшін бастапқы қауіпсіздік деңгейін есептеу қажет.
Мұны 2.1 кесте түрінде көрсетуге болады
2.1-кесте – ISPD бастапқы қауіпсіздік деңгейі:





Төмен

Орта

Жоғары

Орналасқан жері бойынша










1-ші ғимараттағы жергілікті ISPD







+

Қоғамдық желілерге қосылған










ISPD желіге бір нүкте арқылы қол жеткізе алады




+




PD дерекқор жазбаларымен кірістірілген (жергілікті) операциялар үшін










Жазу, жою, сұрыптау




+




PD арқылы қол жеткізуді басқару










ISPD, ISPD иелігіндегі ұйымның тізімде көрсетілген қызметкерлері оған қол жеткізе алады




+




Басқа ISPD басқа PD дерекқорларымен байланыстардың болуы арқылы










ISPD, ол иесіне тиесілі PD дерекқорын пайдаланады







+

Жалпылау деңгейі бойынша (деперсонализация)










ISPD, онда деректер басқа ұйымдарға берілгенде ғана анонимді болады




+




Алдын ала өңдеусіз үшінші тарап пайдаланушылары ұсынған PD көлемі бойынша










Ешқандай ақпарат бермейтін ISPD







+

4=57% 3=43%

Бастапқы қауіпсіздік деңгейі орташа, яғни Y1=5


Әрі қарай, біз Y2 қатерінің жүзеге асырылу жиілігін анықтаймыз - бұл ПД қауіпсіздігіне белгілі бір қатерді іске асыру қаншалықты ықтимал екенін сипаттайтын сарапшы анықтайтын көрсеткіш.


Бұл көрсеткіш бойынша 4 ауызша градациялар енгізілген: екіталай (0), төмен ықтималдық (2), орташа ықтималдық (5), жоғары ықтималдық (10).
Қауіпті жүзеге асыру мүмкіндігі мына қатынаспен анықталады:
Y = (Y1 + Y2)/20
Әрі қарай, қауіптің орындылығын ауызша түсіндіру келесідей қалыптасады:
- төмен;
- орташа;
- жоғары;
- өте биік.
Содан кейін әрбір қауіптің қауіптілігі бағаланады. Сарапшылардың (ақпараттық қауіпсіздік саласындағы мамандардың) сауалнамасы негізінде қауіпті бағалау кезінде қарастырылатын БСҚҚ үшін қауіптің сөздік көрсеткіші анықталады. Бұл көрсеткіштің үш мәні бар: төмен қауіпті, орташа қауіпті, жоғары қауіпті. 5.2-кестеде Y1=5 болғанда нақты қауіптерді анықтауға арналған есептеулер берілген

Кесте 2.2 – Нақты қауіптерді есептеу




Қауіп №

Қауіптердің іске асыру жиілігі Y2

Қауіптерді жүзеге асыру мүмкіндігі Y

Әрбір қауіптің қаупі

Қауіп-қатер сәйкестігі



1

Мүмкін емес (0)

(5+0)/20=0,25(n)

Төмен

Сәйкес емес

2

Мүмкін емес (0)

(5+0)/20=0,25(n)

Төмен

Сәйкес емес

3

Мүмкін емес (0)

(5+0)/20=0,25(n)

Төмен

Сәйкес емес

4

Төмен (2)

(5+2)/20=0,35(с)

Орташа

Нақты

5

Мүмкін емес (0)

(5+0)/20=0,25(n)

Төмен

Сәйкес емес

6

Мүмкін емес (0)

(5+0)/20=0,25(n)

Төмен

Сәйкес емес

7

Төмен (2)

(5+2)/20=0,35(с)

Төмен

Маңызды емес

8

Мүмкін емес (0)

(5+0)/20=0,25(n)

Орташа

Сәйкес емес

9

Орташа (5)

(5+5)/20=0,5 (с)

Жоғары

Нақты

10

Мүмкін емес (0)

(5+0)/20=0,25(n)

Орташа

Сәйкес емес

2.2 кестеге қарап ағымдағы қауіптерді анықтауға болады:


  1. Сақтау орындарының жұмыс істеуін бұзу нәтижесінде бағдарламалаушының қатты магниттік дискілердегі және флэш-жадтағы ақпараттың құпиялылығын, қолжетімділігін және тұтастығын бұзу қаупі.

  2. Ақпаратты өңдеу құралдарының жұмыс істеуін бағдарламалық қамтамасыз етуші осалдықтарды пайдалана отырып бұзу арқылы ақпараттың құпиялылығын, қолжетімділігін, тұтастығын бұзу қаупі.

  3. Бағдарламалық жасақтаманың осалдықтарын пайдалана отырып, жұмыс кезеңінде жаңа немесе бар осалдықтарды енгізу арқылы пайдаланушылардың енгізілген медиадағы ақпараттың құпиялылығын, қолжетімділігін, тұтастығын бұзу қаупі.

  4. Пайдаланушылардың қорғауды әдейі өшіру қаупі.

  5. Қауіпсіздік әкімшісінің объектіде өңделген ақпаратты рұқсатсыз көшіру арқылы қатты магниттік дискідегі құпиялылықты бұзу қаупі.

  6. Қауіпсіздік әкімшісінің ақпараттық қауіпсіздік жүйесінің құрамы мен конфигурациясын рұқсатсыз көшіру арқылы қатты магниттік дискідегі ақпараттың құпиялылығын бұзу қаупі.

  7. Қауіпсіздік әкімшісі бағдарламалық қамтамасыз етудің осалдықтарын пайдалана отырып, ақпаратты өңдеу құралдарының жұмысын бұзу арқылы ақпараттың құпиялылығын, қолжетімділігін, тұтастығын бұзу қаупі.

  8. Қауіпсіздік әкімшісінің ақпаратты сақтау құралдарының жұмысын бұзу арқылы қатты магниттік дискілердегі және флэш-жадтағы ақпараттың құпиялылығын, қолжетімділігін, тұтастығын бұзу қаупі.

  9. Көлікті жеткізу, техникалық қызмет көрсету және жөндеу кезінде жұмыс орнында жеткізуді, техникалық қызмет көрсетуді және жөндеуді қамтамасыз ететін тұлғалардың зиянды бағдарламаны қосу қаупі.

  10. Көлік құралын жеткізу, техникалық қызмет көрсету және жөндеу кезінде жұмыс орнында көлік құралын жеткізуді, техникалық қызмет көрсетуді және жөндеуді қамтамасыз ететін тұлғалардың ақпараттың құпиялығын бұзу қаупі АЖҚҚ-да ақпаратты өңдеу және қорғау құралдары туралы ақпаратты ашу.

  11. Инсайдерлердің өзі қол жеткізе алатын құпия ақпаратты жария ету арқылы ақпараттың құпиялылығын бұзу қаупі.

  12. Стандартты ОЖ құралдарын пайдалана отырып инсайдерлердің ақпаратты қасақана жою қаупі;

  13. Зиянды бағдарламаны енгізу арқылы тұтастық пен қолжетімділікті бұзу қаупі.

  14. Ішкі бұзушылардың бағдарламалық бетбелгісін енгізу арқылы тұтастық пен қолжетімділікті бұзу қаупі.

  15. Сыртқы және ішкі бұзушылардың ДК ұрлауы арқылы ақпараттың құпиялылығы қаупі.

  16. Сыртқы немесе ішкі бұзушылардың сақтау құралдарын ұрлау (жоғалу) арқылы ақпараттың құпиялылығына қауіп төнуі.

  17. ISPD-ден берілетін және қысқа тұйықталудан тыс сыртқы желілерден алынған ақпаратты ұстап қалумен «желілік трафикті талдау» қаупі.

  18. ISPD-ден жіберілетін және сыртқы желіден қысқа тұйықталу аясында алынған ақпаратты сыртқы зиянкестің ұстап алуымен «желілік трафикті талдау» қаупі.

  19. ISPD-ден тасымалданатын және қысқа тұйықталу шегінде сыртқы желілерден алынған ақпаратты ішкі бұзушылар ұстап алумен «желілік трафикті талдау» қаупі.

  20. Қолданылатын операциялық жүйелердің түрін немесе түрлерін, ISPD RS желілік мекенжайларын, желі топологиясын, ашық порттар мен қызметтерді және т.б. анықтауға бағытталған қауіптерді сканерлеу.

  21. Сыртқы зиянкестердің желі арқылы құпия сөздерді ашу қаупі




жүктеу/скачать 56,34 Kb.

Достарыңызбен бөлісу:
1   2   3   4   5   6   7



©emirsaba.org 2024
әкімшілігінің қараңыз
    Басты бет
Lessons
Curriculum vitae
Documents