Дәріс мазмұны: ақпараттың қауіпсіздігіне негізгі қауіптар; ақпаратты қорғаудың кешенді жүйесі.
Дәріс мақсаты: ақпараттық қауіпсіздіктің мақсаттарын, қауіптер мен бұзушылар типтерін оқу; қауіпсіздік модельдері.
2.1 Ақпараттық жүйелердің ресурстары
Мекеменің жұмысын қамтамасыздандыру және қауіп-қатерлері бар оқиғалардан пайда болатын зияндарын минимумдау ақпараттық қауіпсіздіктің мақсаты болып табылады. Қауіпсіздік жүйенің есептерін анықтау алдында ақпараттық ресурстары түгелденеді: әр ресурспен оның қожасы идентификацияланып, құжатталынуы керек.
Ақпараттық жүйелермен байланысты келесідей ресурстарды атауға болады:
а) ақпараттық ресурстар: мәліметтер қорлары мен мәліметтер файлдары, жүйелік құжаттар, пайдаланушылардың нұсқаулары, оқулық материалдар, операциялық және сүйемелдеу процедуралары, мекеменің тоқтаусыз жұмысын қамтамасыздандыру жоспарлары, апаттық режімге көшудің процедуралары;
б) бағдарламалық ресурстар: қолданбалы бағдарламалық қамтамасыздандыру, жүйелік бағдарламалық қамтамасыздандыру, аспаптық құралдар мен утилиталар;
в) физикалық ресурстар: компьютерлер және коммуникациялық жабдықтар, байланыс каналдар, магнитты мәліметтерді сақтаушылар (ленталар және дискілер), басқа техникалық жабдықтар (көректену блогы, кондиционерлер), жиһаз, ғимараттар.
Әрбір ақпараттың конфиденциалдық пен маңыздылығының дәрежелері әртүрлі болады. Ақпараттың кейбір түрлері қосымша қорғауды немесе арнайы қатынасты талап етуі мүмкін. Ақпараттың құпиялық категориялары бойынша жүйенің қорғалу дәрежелерін анықтауға және осы ақпаратқа пайдаланушылар арнайы амалдармен қатынасуларын хабарлауға классификациялау жүйесі қолданылады. Құпиялық ақпараты бар ақпараттық жүйелердің шығудағы мәліметтерінің сәйкес құпиялық грифы болуы керек. Осындай мәліметтердің мысалы ретінде қағазға басылатын есеп берулерді, дисплей экранында көрсетілетін мәліметтерді, магнитті тасымалдаушыларда сақталынатын мәліметтерді, электронды хабарлар мен файлдарды атап кетуге болады.
2.2 АЖ-ің қауіпсіздігіне негізгі қауіп-қатерлер
Ақпаратты қорғау көзқарасы жағынан компьютерлік жүйе функционалдық қызметтер жиыны ретінде қарастырылады. Әр қызмет белгілі қауіп-қатерлерге қарсы тұралатын функциялар жиыны болып табылады.
Әсерлер мақсаты жағынан АЖ-нің қауіпсіздігіне негізгі 3 типті қауіп бар:
- ақпараттың құпиялығын бұзу қауіп-қатері;
- ақпараттың бүтіндігін бұзу қауіп-қатері;
- жүйенің жұмыс қабілеттілігін бұзу қауіп-қатері (қызмет жасамау).
Қауіп-қатерлердің келесідей түрлерін қарастыруға болады;
а) табиғи қауіп-қатерлер: стихиялық апаттар (тасқын, дауыл, жер сілкіну, өрт);
б) техникалық қауіп-қатерлер: авариялар, жабдықтардың, компьютерлердің, байланыс құралдарының жаңылуы және қызмет жасамауы;
в) адам факторы: АЖ-ің компоненттерінің жобалау және өңделінуінің қателері; пайдаланудың қателері (пайдаланушылардың, операторлардың, қызмет жасау персоналының); пайдаланушылар мен қызмет жасайтын персоналдың абайсыз әрекеттері (әуестік); бұзушылардың әдейі әрекеттері; технологиялардың дамуы (вирустарды жазу технологияларының жетілденуі, бұзу құралдарының жасалынуы).
Бұзушының типтерін келесідей белгілеуге болады: профессонал, әуесқой, дилетант, мекеме қызметкері.
Қауіпсіздік моделі келесі талаптардың орындалуын талап етеді:
- қорғау жүйесіне қойылатын талаптарды анықтау;
- қорғау құралдары мен олардың сипаттамаларын таңдау;
- таңдалынған қорғау құралдарын, әдістерін ендіру;
- қорғау жүйесін басқару мен бүтіндікті бақылауды орындау.
Ақпараттық жүйесінің қауіпсіздігі процесс болып табылады, оны төмендегі сұлбамен көрсетуге болады (2.1 суреті қараңыз).
2.1 Сурет- АЖ қаупсіздігін қамтамасыздандыру процесінің сұлбасы
2.3 Ақпаратты қорғаудың кешенді жүйесі
Ақпараттық жүйенің ақпараты өңделген кезде оны қорғауын қамтитын үйымдастырушылық, инженерлік және бағдарламалық-аппаратты шараларының жиыны ақпараты қорғаудың кешенді жүйесі (АҚКЖ) болып табылады.
Ақпаратты қорғаудың кешенді жүйесі біріншіден ұйымдастыру шаралардан, яғни ақпараттық қауіпсіздік көзқарасы жағынан қәсіпорынның саясатын өңдеуден тұрады. Екіншіден, физикалық қауіпсіздікті қамтамасыздандыру: қауіпсіздік периметрі анық белгіленген және қорғалатын ресурстар мен сервистер бағаларына сәйкес болуы керек. Үшіншіден, компьютерлік жүйенің қауіпсіздік қызметтерін бағалайтын функционалдық критерийлерден басқа, кепілділік критерийлер бар, олар қызметтерді іске дұрыс асырылатынын бағалайды. Кепілділік критерийлер қорғау құралдары кешенінің архитектурасына, өңдеу ортаға, өңдеу тізбегіне, қорғау құралдары кешенін сынауға, жұмыс жасау ортасына және қолдану құжаттарына қойылатын талаптардан тұрады. Төртіншіден, болжанатын қауіптерді іске асырылуынан пайда болған зияндарды бағалауды өткізе алу керек.
Қорғаудың ұйымдастыру немесе техникалық құралдарының таңдалынуы және қолданылуы пайдаланушы түріне (үйдегі немесе корпоративті, үлкен кәсіпорын ба әлде кішіме) тәуелді емес, ол қорғалатын ақпараттың бағасына яғни қорғаудың функцияларының (ақпараттың конфиденциалдығын, бүтіндігін, қол жеткізу тәртіптерін) бұзылғанынан пайдадаланушының шығындарына тәуелді. Әдетте, кәсіпорын неғұрлым үлкен болса, солғұрлым оның конфиденциалдық сипаттары бар ақпараттар көлеміде үлкен болады, сондықтан кәсіпорынның шығыныда көп болады. Бірақ, қарапайым пайдаланушыда, мысалы, кәсіпорынның басшысы өзінің үйіндегі дербес компьютерде бағасы жоғары ақпаратты сақтауы мүмкін. Сондықтан, оның компьютері де корпоративті желідей қорғалуы керек.
АҚКЖ-ін басқару ақпараттық жүйенің өмір циклы бойынша сүйемелденуі керек. Ақпараттық жүйені өңдеу кезеңінде АҚҚЖ-ін басқару процесінің мақсаты мүмкін болатын қауіп-қатерлерге тиімді қарсы тұра алатын және де ақпаратты өңдеген кезде қауіпсіздік саясатын орындалуын қамтамасыздандыратын қорғау құралдарын жасау болып табылады. Ақпараттық жүйені пайдаланған кезде жасалынған АҚҚЖ-ің тиімділігін бағалау басқару процесінің мақсаты болып табылады. Осы бағалау негізінде бастапқы шарттар өзгергенде (мысалы, операциялық жүйенің сипаттамалары, өңделетін ақпарат, физикалық орта, персонал, қауіпсіздік саясаты, т.б.) АҚҚЖ-ің адекваттылығын қаматамасыздандыру мақсатымен АҚҚЖ-ін әрі қарай өңдеуге қосымша (дәлелдейтін) талаптарды тұжырымдау керек.
Сонымен, қорғау құралдарының таңдалынуы және олардың бағасы қорғалатын ақпарат бағасымен анықталады. Басқа сөзбен айтқанда, ақпараттың бағасынан жоғары болатын қорғау құралдарын таңдау дұрыс емес.
Достарыңызбен бөлісу: |