"Ақпараттық қауіпсіздік", деректер "құпиялылығы" және "тұтастығы"
1.Мақсаты: Ақпараттық қауіпсіздік туралы түсінік
2.Деректер құпиялығы туралы білу
Ақпарат – латынның informatio деген сөзінен шыққан, яғни істің жай – күйі немесе біреудің іс - әрекеті туралы ақпарат, мәлімдеме немесе қандай да бір нәрсе туралы мәліметтер жиыны. Дегенмен, мәліметтерді ақпаратпен теңестіруге болмайды. Ақпарат тек бізді қызықтыратын істердің нақты емес жақтарын азайтатын мәліметтерді ғана қамтиды.
Ақпаратты қорғау – информациялық қауіпсіздікті (информацияның бүтіндігін, ену көздерін, шектулілігін, ақпарат және оның ресурстарын қолдану барысында) қамтамасыз етуге бағытталған іс – шаралар комплексі. Жүйе қауіпсіз деп атайды – егер ол сәкесті ақпараттың және программалық жабдықтарды қолдана отырып, информацияны тек белгіленген шектеулі пайдаланушылар ғана қолдана алатын болса. Қолдану аясы – оқу, жазу, жасау, өшіру. Жалпы алғанда абсолюттік қауіпсіз жүйелер болмайды. Бұл жерде сенімді жүйелер туралы айтып отырмыз. Жүйе сенімді болады – егер алдын-ала анықталған белгілі-бір қолданушылар тобына информацияны программалық және ақпараттық жабдықтар негізінде өңдеуге мүмкіндік береді. Сенімділіктің негізгі қолданушылары қауіпсіздік саясаты және қорғаулы болып табылады. Қауіпсіздік саясаты – жүйеге көнетін қауіп қатерлердің түрін анықтап соған сәкесті түрде одан қорғанудың жолын қарастыруға мүмкіндік беретін арнайы ережелермен іс-шаралардың нақты жиынтығы жүйенің қорғаулы – аппараттық жабдықтарына және жүйенің орындалуына байланысты қолданылатын сенімділік бағасы.
Ақпарат қауіпсіздігі деп – оның оған түрлі қарсылық білдіруші әсері кезінде жүйенің иеленушілері мен қолданушыларына зиян келтіру әрекетіне қарсы әрекет жасау қабілетінен көрінетін қасиетін түсінеміз. Ақпарат қауіпсіздігіне оның өңдейтін ақпараттың құпиялылығын қамтамасыз етумен, сондай-ақ жүйенің компоненттері мен қорларының тұтастығы және рұқсат берілуімен қол жеткізеді. Ақпараттың құпиялылығы - бұл ақпараттың тек рұқсат етілген және тексеруден өткен жүйенің субъектілеріне белгілі бөлу қасиеті.
Тәжірибе жүзінде ақпаратты қорғау деп деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса, жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің, маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың, бұғаттаудың алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық, программалық және техникалық әдістер мен құралдардан тұрады.
Қолдануға қажетті кез-келген басқа программаның тұжырымдамасы сияқты қорғаныс жүйесін құру тұжырымдамасы да мынадай сұрақтарды қарастырады: ақпаратты қорғау аймағындағы практикалық зерттемелердің өзектілігі, қорғаныс жүйесін құрудың негізгі кезеңдері және қорғаныс мәселесін шешудің әр түрлі әдістемелерінің салыстырмалы талдауы.
Қорғаныстың аппараттық әдістерін қолдану мынадай техникалық құралдарды пайдалануды ұсынады:
1. Тыңдалатын және жазылатын құрылғылардан қорғайтын TRD-800 категориялы радиохабарлағыштар мен магнитофондар детекторы;
2. Жасырын бейне бақылау құратын модульдік нөмірлер;
3. Ақпаратты жеткізудің дұрыстылығын қамтамасыз ететін ақпаратты анықтылыққа тексеру сызбалары;
4. Құпиялы құжаттарды жіберуге арналған SAFE-400 категориялы факстік хабардың скремблері.
Қорғаныстың аппараттық әдістері ресурстардың үлкен шығынын талап етеді.
Программалық әдістер есептеуіш алгоритмдер мен қатынауды шектеуді қамтамасыз ететін программаларды және ақпаратты рұқсатсыз пайдаланудан шығаруды ұсынады. Программалық әдістер келесі функцияларды іске асырады:
1. Идентификация, аутентификация, авторизация (Pin кодтар, парольдер жүйелері арқылы);
2. Резервті көшіру және қалпына келтіру процедуралары;
3. Антивирустық программаларды белсенді қолдану және антивирустық қорларды жиі жаңартып отыру;
4. Транзакцияны өңдеу.
Ақпаратты қорғаудың криптографиялық әдісі – бұл ақпаратты шифрлаудың, кодтаудың немесе басқаша түрлендірудің арнайы әдісі, мұның нәтижесінде ақпарат мазмұнына криптограмма кілтінсіз және кері түрлендірмей шығу мүмкін болмайды. Криптографиялық қорғау – ең сенімді қорғау әдісі, өйткені ақпаратқа шығу емес, оның тікелей өзі қорғалады, (мысалы, әуелі тасуыш ұрланған жағдайдың өзінде ондағы шифрланған файлды оқу мүмкін емес).
Мұндай қорғау әдісі стандартты операциялар немесе программалар дестесі түрінде жүзеге асырылады. Операциялық жүйенің негізіндегі қорғау көбінесе қатынас құруды басқарудың процедураларын жүзеге асыруға мүмкіндік беретін мәліметтер қорын басқару жүйелері деңгейіндегі қорғау құралдарымен толықтырылуы керек.
Қазіргі кезде ақпарат қорғаудың криптографиялық әдісінің көпшілік қаблдаған жіктеуі жоқ. Дегенмен, жіберілетін хабарламаның әрбір символы шифрлауға түскенде шартты түрде 4 негізгі топқа бөлуге болады:
- ауыстыру шифрланушы мәтіннің символдары сол немесе басқа алфавит символдарымен алдын ала белгіленген ережеге сәйкес ауыстырылады;
- аналитикалық түрлендіруде шифрланушы мәтін қандай да бір аналитикалық ереже бойынша түрлендіріледі;
- орын ауыстыру шифрланушы мәтіннің символдарының орны жіберілетін мәтіннің берілген блогының шегінде қандай да бір ереже бойынша шифрланады.
Ақпаратты шифрлаудың сенімділік дәрежесі бойынша көптеген программалық өнімдер бар. Кең таралған программалардың бірі болып Циммерменн құрған Pretty Good Privacy (PGP) болып табылады. Оның криптографиялық қорғау құралы өте күшті. Танымдылығы мен ақысыз таратылуы іс жүзінде PGP-ны дүние жүзінде электрондық хат алысу стандартына айналдырды. PGP программасына желіде көпшіліктің шығуына мүмкіндігі бар.
Ақпаратты қорғаудың ұйымдастырушылық әдісі келесі іс-шаралардың ұйымдастырылуы мен іске асырылуын қарастырады:
1. өртке қарсы қорғаныс;
2. жанбайтын сейфтерде аса қажетті құжаттарды сақтау;
3. өту жүйесі арқылы қатынау регламенті;
4. бақылау жүйесін ұйымдастыру;
5. қолданушылардың әр түрлі категорияларының қорғаныс объектілері мен олардың орындалу талаптарына қатынауды регламентациялайтын көмекші нұсқамаларды даярлау.
6. мамандарды таңдау мен даярлау;
7. қауіпсіздік мәселесі бойынша семинарларға, конференцияларға қатысуды қамтасыз ету мен ұйымдастыру.
Дербес компьютердің программалық өнімі мен жіберілетін ақпаратқа рұқсатсыз шығудан ең сенімді қорғау - әр түрлі шифрлау әдісін (ақпарат қорғаудың криптографиялы әдістері) қолдану болып табылады.
Microsoft корпорациясы Microsoft Power Platform бағдарламаларына қолдау көрсететін бүкіл әлем бойынша көптеген деректер орталықтарын басқарады. Ұйымыңыз қатысушыны анықтаған кезде, ол әдепкі географиялық (гео) орынды анықтайды. Сонымен қатар бағдарламаларға қолдау көрсету және Microsoft Dataverse деректерін қамту үшін орталарды жасаған кезде, оларды нақты географиялық орынға бағыттауға болады. Microsoft Power Platform бағдарламасына арналған географиялық орындардың ағымдағы тізімін осы жерден https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location табуға болады
Әрекеттердің үздіксіздігін қамтамасыз ету үшін, Microsoft корпорациясы деректерді географиялық орындағы басқа аймақтарға көшіре алады, бірақ деректердің тұрақтылығына қолдау көрсету үшін олар географиялық орыннан тыс жылжымайды. Бұл елеулі кідіріс болған жағдайда апаттық ауыстырып қосу немесе қалпына тезірек келтіру мүмкіндігін қолдайды. Деректерді жоғарыда көрсетілген сайтта тізімделген, негізінен заң мен қолдау көрсетуге назар аударатын нақты географиялық орында сақтау үшін орынды ерекше жағдайлар бар. Сондай-ақ сіз немесе пайдаланушыларыңыз географиялық орыннан тыс деректерді көрсететін әрекеттерді жасай алатынына назар аудару керек. Деректерге қатынасуға және оны географиялық орыннан тыс шығаруға басқа қызметтерді де конфигурациялауға болады. Әдепкі бойынша, өкілетті пайдаланушылар платформаға, бағдарламаларыңызға және деректерге қосылым бар әлемнің кез келген нүктесінен қатынаса алады.
Үй тапсырмасы: Ақпарат дегенімі не?
Достарыңызбен бөлісу: |