Ақпараттық Технологиялар Факультеті



Дата06.01.2022
өлшемі1,32 Mb.
#12376

Л.Н. Гумилев атындағы Еуразия Ұлттық Университеті

Ақпараттық Технологиялар Факультеті

«Информатика және ақпараттық қауіпсіздік» кафедрасы
Курстық жұмыс

Тақырыбы: «Ақпаратты қорғаудың әдістері мен құралдары»

Л.Н. Гумилев атындағы Еуразия Ұлттық Университетінің

базасының негізінде



Жұмысты орындаған




Жетекші:

АҚЖ-35




Назырова Айжан Есболовна

топ атауы




тегі, аты, әкесінің аты

Амангельдиев Дархан Досалыұлы

Жарас Жангүл Қайратқызы

Имангалиева Анель Талгатовна

Тоқсан Бекзат Абайқызы








тегі, аты, әкесінің аты




қолы
















Қорғауға жіберілді:







«___» ____________2019 ж.

























бағасы
















Комиссия мүшелері














тегі, аты, әкесінің аты, қолы








тегі, аты, әкесінің аты, қолы








тегі, аты, әкесінің аты, қолы







Нұр-Сұлтан 2019 ж

МАЗМҰНЫ






Кіріспе

3

1.

Ақпаратты қорғаудың түсінігі және мәні

4

1.1

Ақпаратты қорғау мәселесінің өзектілігі

4

1.2

Кәсіпкерлік қызметте пайдаланылатын ақпарат түрлері

5

2

Ақпарат қауіпсіздігіне қауіп-қатер түрлері

8

2.1

Ақпараттық қауіпсіздіктің негізгі қатерлері

8

2.2

Компьютерлік қылмыстар

10

2.3

Зиянды бағдарламалар

11

2.4

Коммерциялық тыңшылық

13

3

Ақпаратты қорғау әдістері мен құралдары

15

3.1

Коммерциялық ақпаратты қорғау

15

3.2

Ақпаратты қорғаудың криптографиялық әдістері

17

3.3

Ақпаратты қорғау тәсілдерінің бірі ретінде қол жетімділікті басқару

19




Қорытынды

21




Әдебиеттер тізімі

22




Қосымша

23

КІРІСПЕ
Қазіргі уақытта әлемде болып жатқан технологиялық революцияның кезекті кезеңі экономикадағы, қоғамның әлеуметтік құрылымындағы елеулі өзгерістерге алып келеді. Соның негізінде ақпараттандыру жүзеге асырылатын жаңа технологиялық құралдарды жаппай қолдану геосаяси шектерді жояды, миллиондаған адамдардың өмір салтын өзгертеді. Сонымен қатар, ақпараттық сала халықаралық ынтымақтастықтың маңызды салаларының бірі ғана емес, сонымен қатар бәсекелестік объектісі болып табылады.

Қазіргі уақытта кәсіпорындар мен ұйымдар басшыларының көпшілігі олар үшін маңызды ақпаратты "қорғау және қорғаныс" бойынша шаралар қабылдауда. Алайда тәжірибе көрсеткендей, бұл әрекеттер жүйелі сипатқа ие емес. Негізінен олар қорғаныста тесіктерді қалдыра отырып, тек жекелеген қауіп-қатерлерді жоюға бағытталған.

Өкінішке орай, Қазақстанда қазіргі уақытқа дейін кәсіпкерлік қауіпсіздіктің бірыңғай жүйесі жоқ. Сондықтан кез келген ұйымның басшылығына өзінің экономикалық және ақпараттық қауіпсіздікті қамтамасыз етудің күрделі міндетін оңтайлы қаржылық шығындармен, бірақ қажетті қорғау деңгейінде дербес шешуге тура келеді.

Әрбір кәсіпорын мен ұйым өзінің өмір сүруі үшін, істердің табысты жүргізгені үшін, нарықтық экономиканың қалыптасуы жағдайында өзінің жақсы аты үшін үнемі бәсекелестік күрес жүргізуге мәжбүр. Өндірістік және кәсіпкерлік қызметтің табысы аз дәрежеде ақпарат сияқты құнды тауарға иелік ету қабілетіне байланысты. Сондықтан бәсекелестікті қатаңдату жағдайында кәсіпкерліктің табысы, пайда алу кепілдігі белгілі бір зияткерлік әлеуетке және нақты технологияға сүйенетін өндіріс құпияларының сақталуына көп жағдайда тәуелді болады.

"Қауіпсіздік" ұғымының өзі кеңейтілген мазмұнға ие, ол ақпараттық-коммерциялық, заңдық және физикалық қауіпсіздік мәселелерін қамтиды, оларды шешу қоғам өміріндегі ақпараттың өсіп келе жатқан рөліне байланысты ерекше назар аударуды талап етеді.



  1. Ақпаратты қорғаудың түсінігі және мәні

1.1 Ақпаратты қорғау мәселесінің өзектілігі


Қазіргі заманғы технологиялардың даму үрдісі ақпарат мәнінің тұрақты өсуімен сипатталады. Өндірістік үдерістердің құрамында материалдық және материалдық емес құрамдастары бар. Біріншісі - өндіріс үшін қажетті құрал-жабдықтар, Материалдар және энергия (яғни заттар неден дайындалады). Екінші құрамдас бөлік - өндіріс технологиясы (яғни ол қалай жасалады).

Кез келген өндірісте ақпараттық компоненттердің рөлі (және, тиісінше, құны) уақыт өте келе өседі. Соңғы жүзжылдықта өндірістің көптеген салалары пайда болды, олар 100% - ға жуық бір ақпараттан тұрады, мысалы, дизайн, бағдарламалық жасақтаманы құру, жарнама. Сәйкесінше, тауардың өзіндік құнынан құралады материал, энергия және жұмыс күшінің бір жағынан және технология құнының, басқа. Материалдық шығындар өнімнің әрбір бірлігі үшін жеке, ал технологияға жұмсалатын шығындар - жалпы, яғни тауардың барлық сериясына тең бөлінетініне қарамастан, қазіргі уақытта тауар бағасындағы Ғылыми-зерттеу және тәжірибелік-конструкторлық жұмыстардың үлесі 50% - ға және одан да көп болуы мүмкін.

Ақпарат өндірістік процестерде ғана емес, басқару ұйымдарының, сақтандыру қоғамдарының, банктердің, әлеуметтік сала ұйымдарының және т.б. қызметінің негізі болып табылады. Барлық қылмыстар ақпараттың таралуынан басталады. Бұдан басқа, әртүрлі салаларда қазіргі заманғы ақпараттық технологияларды қолданудың өсуімен есептеу техникасын ("компьютерлік" қылмыстар) пайдаланумен байланысты әртүрлі теріс пайдалануларды тарату мүмкін болады.

Зиянкестердің әрекеттері жиі мақсатқа жетеді. Бұған кейбір жағдайларда ұйым қызметкерлерінің өздері қылмыскерлер болып табылатыны, кейде жақсы құжатталған және егжей-тегжейлі кәсіпқойларға белгілі бір типті стандартты есептеу құралдары пайдаланылатыны ықпал етеді.

Осылайша, қандай да бір құпияны сақтауға немесе электрондық құжаттардың қолдан жасалуын болдырмауға мүдделі ұйымдарға ақпараттық қауіпсіздікке байыпты қамқорлық жасау қажеттілігіне күмән жоқ. Оларға ақпаратты қасақана бұзудан, ұрлаудан, бүлдіруден, рұқсатсыз кіруден, рұқсатсыз оқудан және көшіруден қорғауды қамтамасыз ету шаралары мен құралдарын сауатты таңдауға тура келеді. Сондықтан ақпаратты қорғау мәселесі өзекті болып табылады.

Ақпаратты қорғау проблемасының өзектілігі есептеуіш техника мүмкіндіктерінің өсуімен байланысты. Ақпаратты өңдеу процестерін автоматтандыру құралдарын, әдістері мен формаларын дамыту, ЖЭЕМ ақпараттың осалдығын күрт арттырады. Осы осалдықты арттыруға ықпал ететін негізгі факторлар:



  • ЭЕМ және басқа да Автоматтандыру құралдарының көмегімен жинақталатын, сақталатын және өңделетін ақпарат көлемінің күрт өсуі;

  • әртүрлі мақсаттағы және әртүрлі тиістіліктегі ақпараттың бірыңғай деректер қорына шоғырлану;

  • есептеу жүйесінің ресурстарына және ондағы деректер массивіне тікелей қол жеткізе алатын пайдаланушылар шеңберінің күрт кеңеюі;

  • машина аралық ақпарат алмасуды автоматтандыру, соның ішінде үлкен қашықтықта да.

Есептеу құралдары мен жүйелердегі рұқсатсыз қаскүнемдік әрекеттердің қаупі өте нақты болып табылады және есептеу техникасының одан әрі дамуымен ee қорғау бойынша барлық күш-жігерге қарамастан, ақпараттың бүліну қаупі әрдайым өсуде. Bce ақпаратты қорғау тәжірибесін терең талдау және қорғау әдістері мен механизмдерін кешенді ұйымдастыру қажеттілігін негіздейді.


    1. Кәсіпкерлік қызметте пайдаланылатын ақпарат түрлері

Барлық салалардағы кәсіпкерлік қызмет ақпараттың әр түрін алумен және пайдаланумен тығыз байланысты. Қазіргі жағдайда ақпарат белгілі бір құндылығы бар ерекше тауар болып табылады. Кәсіпкер үшін көбінесе ол фирманың мақсаттарына қол жеткізу үшін пайдаланатын және оны жариялау осы мақсаттарды іске асыру мүмкіндігінен айыруы мүмкін, яғни кәсіпкерлік қызметтің қауіпсіздігіне қауіп төндіруі мүмкін Ақпарат ең құнды болып табылады. Әрине, барлық ақпарат жария етілген жағдайда, осы қауіп-қатерлерді туғызуы мүмкін емес,алайда оның қорғауға мұқтаж белгілі бір бөлігі бар.

Кәсіпкерлік қызметте пайдаланылатын ақпарат әртүрлі. Оны екі түрге бөлуге болады: өнеркәсіптік және коммерциялық.

Коммерциялық ақпарат-кәсіпорынның қаржы-экономикалық жағдайы (бухгалтерлік есеп), кредиттер және банк операциялары туралы, жасалатын шарттар мен контрагенттер, капиталдар құрылымы мен инвестициялар жоспарлары, маркетингтің стратегиялық жоспарлары, өз өнімінің бәсекеге қабілеттілігін талдау, клиенттер, өндірістік даму жоспарлары, іскерлік хат алмасу және т. б. туралы ақпарат.

Бұл ақпараттың барлығы кәсіпкердің өзі үшін әртүрлі құндылықты білдіреді және тиісінше оны жария ету түрлі дәрежедегі экономикалық қауіпсіздікке төнетін қауіп-қатерлерге әкеп соқтыруы (немесе әкеп соқпауы) мүмкін. Сондықтан ақпаратты үш топқа бөлу керек:


  • кез келген тұтынушының кез келген нысанда ашық пайдалануы үшін ақпарат;

  • қол жетімділігі шектеулі ақпарат-тиісті заңмен белгіленген құқықтары бар органдар үшін ғана (полиция, Салық полициясы, прокуратура));

  • ақпарат алу үшін (немесе басшыларының) фирмалар.

Екінші және үшінші топтарға қатысты ақпарат құпия болып табылады және таратуда шектеулерге ие. Құпия ақпарат – бұл қол жеткізу шектелетін құжатталған (яғни материалдық тасығышта тіркелген және оны сәйкестендіруге мүмкіндік беретін деректемелермен) ақпарат. Бұл коммерциялық ақпараттың бір бөлігі ерекше блокты құрайды және коммерциялық құпияға жатқызылуы мүмкін.

Коммерциялық құпия-бұл үшінші тұлғалардың белгісіз болуына байланысты нақты немесе әлеуетті коммерциялық құндылығы бар ақпарат. Оған заңды негізде еркін қол жеткізу жоқ және иесі оның құпиялылығын қорғау бойынша шаралар қабылдайды. Демек, коммерциялық құпия жалпыға белгілі және жалпыға бірдей қолжетімді ақпарат бола алмайды, оны ашық пайдалану кәсіпкерлік қызметтің экономикалық қауіпсіздігіне қатер төндіреді, осыған байланысты кәсіпкер оның құпиялылығын сақтау және заңсыз пайдаланудан қорғау жөніндегі шараларды жүзеге асырады.

Алайда, ол бар барлық ақпаратты сыртқы пайдаланушылар үшін жабық ете алмайды. Кәсіпкер аса маңызды ақпаратты қорғау тұрғысынан күрделі мәселені шешеді. Бір жағынан, ол тұтынушыларға, контрагенттерге, кредиторларға өзінің пайдасына таңдау жасау үшін өзінің қызметі туралы барынша ақпарат беруі тиіс. Жарнама сатып алушыларды; іскерлік байланыстарды, патенттер мен лицензияларды - контрагенттерді; қаржылық жағдайды - инвесторларды тартады. Екінші жағынан, кәсіпкер аталған тұлғалар тобын, сондай-ақ өзінің бәсекелестерін сыртқа шығуы немесе жария етілуі оның экономикалық қауіпсіздігіне қатер төндіруі мүмкін ақпараттан қорғауы тиіс. "Алтын орта" таңдауда, яғни сыртқы пайдаланушылар үшін жеткілікті болатын және ол экономикалық қауіпсіздікке қауіп төндірмейтін ақпараттың оңтайлы санын анықтауда кәсіпкердің коммерциялық құпияны құрайтын ақпаратты қорғау процесінде бірінші қадамы тұрады.

Кәсіпкерге қандай ақпараттың коммерциялық құпия санатына жататынын анықтау үшін, ол барлық қолда бар ақпараттың құпиялылық дәрежесі бойынша келесі топтарға бөлінуі мүмкін екенін ескеруі тиіс:



  1. Жоғары құпиялылық дәрежесі. Бұл ақпарат фирманың қызметінде негізгі, оның қалыпты жұмыс істеуінің негізі болып табылады. Бұл ақпаратты жоғалту немесе жария ету фирманың қызметіне орны толмас зиян келтіреді. Бұл-жоғары дәрежедегі ауырлық қаупі, оны жүзеге асыру салдары фирманың өзін жоя алады.

  2. Қатаң құпия ақпарат. Бұл ақпараттың жылыстауы ауыр зардаптарға әкелуі мүмкін. Бұл фирманың стратегиялық жоспарлары, болашақ келісімдер және т. б. туралы ақпарат.

  3. Құпия ақпарат-оны жария ету фирмаға фирманың ағымдағы шығындарымен салыстырылатын залал келтіреді, залал салыстырмалы қысқа мерзімде еңсерілуі мүмкін.

  4. Қол жетімділігі шектеулі ақпарат-оның жылыстауы фирманың экономикалық жағдайына (лауазымдық нұсқаулар, басқару құрылымы) шамалы теріс әсер етеді.

  5. Ашық ақпарат. Оның таралуы фирманың экономикалық қауіпсіздігіне қауіп төндірмейді. Керісінше, бұл ақпараттың болмауы фирманың экономикалық жағдайына теріс әсер етуі мүмкін.

Функционалдық-нысаналы белгісі бойынша коммерциялық құпияның мынадай құрамдас бөліктері бөлінеді:

  1. Іскерлік ақпарат:

  • бәсекелестер туралы мәліметтер;

  • контрагент туралы мәліметтер;

  • іскерлік келіссөздер туралы мәліметтер;

  • тұтынушылар туралы мәліметтер;

  1. Ғылыми-техникалық ақпарат:

  • ғылыми-зерттеу жұмыстарының мазмұны мен жоспары;

  • жаңа технологиялар мен өнім түрлерін енгізу жоспарлары.

  1. Өндірістік ақпарат:

  • аяқталмаған өндіріс пен қорлардың көлемі;

  • өнім шығару жоспарлары;

  • инвестициялық қызмет жоспарлары.

  1. Ұйымдастыру-басқару ақпараты:

  • басқаруды ұйымдастырудың бірегей әдістері;

  • Жарғыда қамтылмаған фирманы басқару құрылымы туралы мәліметтер;

  • еңбекті ұйымдастыру жүйесі.

  1. Маркетингтік ақпарат:

  • нарықтық стратегия;

  • басқа фирмалардың өнімімен салыстырғанда бәсекелестік артықшылықтарды қамтамасыз ету жоспарлары;

  • өнімді өткізу жоспары;

  • жарнамалық қызмет жоспарлары;

  • базарларда жұмыс істеу әдістері;

  • шығарылатын өнімнің бәсекеге қабілеттілігін талдау.

  1. Қаржылық ақпарат:

  • пайданы жоспарлау, өзіндік құн;

  • баға белгілеу-есептеу әдістері, баға құрылымы, жеңілдіктер;

  • қаржыландырудың ықтимал көздері;

  • қаржылық болжамдар .

  1. Фирманың қызметкерлері туралы ақпарат:

  • қызметкерлерді көбейту (қысқарту) жоспарлары;

  • қызметкерлердің жеке істері;

  • жұмысқа жаңадан қабылданғандарды тексеру үшін тесттердің мазмұны.

  1. Бағдарламалық қамтамасыз ету:

  • Құпия сөздер,электрондық тасығыштарда орналасқан құпия ақпаратқа қол жеткізу кодтары.

Әдетте, жоғарыда аталған ақпарат бәсекелестер, серіктестер, банктер, қылмыстық құрылымдар үшін үлкен қызығушылық тудырады.
2 Ақпарат қауіпсіздігіне қауіп-қатер түрлері
2.1 Ақпараттық қауіпсіздіктің негізгі қатерлері
Ақпараттық қауіпсіздікке төнетін қауіп-қатерлер – бұл қорғалатын ақпараттың таралып кетуіне, ұрлануына (оның ішінде көшірілуіне), бұзылуына, бұғатталуына немесе жоғалуына, сондай-ақ ақпаратты пайдаланушыларға кездейсоқ немесе әдейі әсер ететін залал келтіруі мүмкін кез келген ықтимал процестер және (немесе) әрекеттер.

Табиғи және жасанды қауіптер бар.

Табиғи қауіптер - адамға тәуелді емес объективті физикалық процестердің, табиғи құбылыстардың әсерінен туындаған қауіптер.

Табиғи бөлінеді:



  • табиғи (табиғи апаттар, магнит дауылдары, Радиоактивті сәулелену, жауын-шашын);

  • техникалық (ақпаратты өңдеудің техникалық құралдары мен қамтамасыз ету жүйелерінің сенімсіздігіне байланысты).

Жасанды қауіп-қатерлер бөлінеді:

  • әдейі емес (кездейсоқ);

  • әдейі қауіптер.

Адамның ақпаратқа қатысты қасақана емес іс-әрекеттеріне:

  • ақпараттандыру объектісін және оның ақпаратты қорғау жүйесін жобалау кезінде жіберілген Құзыретті емес әрекеттер мен қателер;

  • ақпараттандыру объектісінің пайдаланушылары мен қызмет көрсетуші персоналының, оның ішінде Ақпарат қауіпсіздігі қызметінің әкімшісінің қасақана қателіктері;

  • немқұрайлылық және қызметтік міндеттерді жеткілікті дәрежеде атқармау.

Әдейі қатерлерді деректерді өңдеу процесінде барлық қатысушылар (жүйе үшін ішкі - ұйым қызметкерлері, сервистік буын және т.б.) немесе "хакерлер"деп аталатын жүйеге қатысты сыртқы болып табылатын адамдар жүзеге асыра алады. Әдейі қауіп-қатерлер статистикасы осы қауіп-қатерлерді көріну жиілігіне байланысты келесі тәртіпке қоюға мүмкіндік береді:

  • бағдарламалық қамтамасыз етуді көшіру және ұрлау;

  • рұқсатсыз деректерді енгізу;

  • магниттік тасығыштардағы деректерді өзгерту немесе жою;

  • ақпаратты ұрлау;

  • банктік автоматтандырылған жүйелерді рұқсатсыз пайдалану;

  • жоғары құпиялылық деңгейіндегі ақпаратқа рұқсатсыз қол жеткізу.

Әдейі қауіп-қатерлер деректердің тікелей ашылуына немесе өзгеруіне және олардың (қауіптердің) анықталуына және дәлелдеуіне әкеп соғады.

Қауіп-қатерлерді жүзеге асыру әртүрлі тәсілдермен болуы мүмкін.



  1. қауіптерді ақпараттық тәсілдермен іске асыру:

  • ақпаратты заңға қарсы жинау және пайдалану;

  • ақпарат алмасудың атаулылығы мен уақтылығын бұзу;

  • ақпаратты манипуляциялау (дезинформация, ақпаратты жасыру немесе бұрмалау);

  • жеке, заңды тұлғалар мен мемлекеттің, қоғамдық топтар мен бірлестіктердің мүдделеріне қайшы келетін көзқараспен бұқаралық ақпарат құралдарын пайдалану.

  1. қауіптерді техникалық тәсілдермен іске асыру:

  • ақпаратты өңдеу технологиясының бұзылуы;

  • ақпараттық жүйелердегі ақпаратты жою немесе түрлендіру;

  • ақпаратты өңдеу құралдарын жою немесе түрлендіру;

  • техникалық құралдарда, байланыс желілерінде, үй-жайларда ақпаратты заңсыз тыңдау, қарау, ұстап қалу үшін аппараттық құралдарды енгізу немесе пайдалану.

  1. физикалық тәсілдермен қауіп-қатерлерді іске асыру:

  • ақпарат тасығыштарда тіркелген ақпаратты ұрлау, бұзу, жою;

  • ақпаратты беретін сигналдарды беру арналарында және өңдеу жүйелерінде физикалық басу;

  • ақпаратты өңдеу мен қорғаудың технологиялық және аппараттық құралдарын ұрлау, бұзу, жою;

  • қауіптерді іске асыру мақсатында персоналға физикалық және моральдық әсер ету.

  1. ұйымдастыру тәсілдерімен қауіп-қатерлерді іске асыру:

  • жетілдірілмеген немесе ескірген Ақпараттық технологиялар мен ақпаратты өңдеу құралдарын сатып алуды ұйымдастыру және жеткізу;

  • ақпараттың таралып кетуіне немесе жүйелердің істен шығуына әкелетін кіріктірілген құралдары бар ақпараттық жүйелерді немесе олардың элементтерін жеткізу;

  • ақпаратқа қол жеткізуді заңсыз шектеу;

  • ақпаратқа қатысты қолданыстағы заңнама мен нормативтік құжаттардың талаптарын орындамау;

  • шарттық міндеттемелердің талаптарын орындамау.

  1. бәсекелестер тарапынан фирманың экономикалық қауіпсіздігіне төнетін қауіп-қатерлерді іске асыру:

  • құпия ақпаратқа ие қызметкерлерді қайта үйрету;

  • бәсекелес фирмалардың қызметкерлерін тікелей сатып алу;

  • ақпаратты шығару мақсатында бәсекелестер қызметкерлеріне жалған ұсыныстар;

  • агенттерді бәсекелестерге жіберу;

  • бәсекелестердің қызметкерлерін жасырын бақылау.

Қауіп-қатерді іске асыру тәсілі бұзушының жауапкершілік шараларын белгілеу кезінде саралаушы мән-жай ретінде ескеріледі. Қауіп-қатерлердің жолын кесу мәселелерін, оларды іске асыру кезіндегі залалды өтеудің тәртібі мен мөлшерін әкімшілік тәртіппен, ал әкімшіліктің өкілеттігінен асатын жағдайларда - соттар шешеді. Жауапкершілікті іске асыру кезінде қылмыстарды саралауды тиісті өкілеттіктері бар сараптама топтарын тарта отырып, сот жүзеге асырады.

2.2 Компьютерлік қылмыстар


Кәсіпкерлік қызметтің қауіпсіздігін қамтамасыз ету жүйесінде компьютерлік қауіпсіздікті қамтамасыз ету аса маңызды. Бұл келіп түсетін ақпараттың өсіп келе жатқан көлемімен, оны сақтау, беру және өңдеу құралдарын жетілдірумен байланысты. Ақпараттың едәуір бөлігін электрондық нысанға ауыстыру, жергілікті және жаһандық желілерді пайдалану құпия ақпаратқа сапалы жаңа қауіп-қатерлерді тудырады.

Бұл аспектіде компьютерлік қылмыстарды кәсіпкерліктің экономикалық қауіпсіздігіне құқыққа қарсы қол сұғушылық ретінде сипаттауға болады, онда объект немесе қылмыс құралы компьютер болып табылады.

Қауіптердің осы түрінің көзі Ішкі (өз қызметкерлері), Сыртқы (мысалы, бәсекелестер), аралас (тапсырыс берушілер – сыртқы, ал орындаушы – фирманың қызметкері) болуы мүмкін. Тәжірибе көрсеткендей, мұндай қылмыстардың басым көпшілігін фирма қызметкерлерінің өздері жасайды.

Компьютерлік қылмыстардың тікелей объектісі не болып табылады? Олар ақпарат (деректер), сондай-ақ компьютерлік бағдарламалар болуы мүмкін.

Қылмыскер күзетілетін ақпаратқа оның меншік иесінің немесе иесінің рұқсатынсыз не қол жеткізудің белгіленген тәртібін бұза отырып қол жеткізеді. Компьютерлік ақпаратқа мұндай заңсыз қол жеткізу тәсілдері әртүрлі болуы мүмкін – ақпарат жеткізгішін ұрлау, ақпаратты қорғау құралдарын бұзу, басқаның атын пайдалану, техникалық құрылғының кодын немесе мекенжайын өзгерту, ақпаратқа қол жеткізу құқығына жалған құжаттарды ұсыну, деректерді беру арналарына қосылатын жазу аппаратурасын орнату. Сонымен қатар, қол жетімділік тасымалдаушы сақталатын фирманың үй-жайларында, компьютерден жұмыс орнында, жергілікті желіден, жаһандық желіден жүзеге асырылуы мүмкін.

Жасалған құқыққа қарсы әрекеттердің салдары әр түрлі болуы мүмкін:



  • ақпаратты көшіру (түпнұсқа сақталады);

  • бұрын болғанмен салыстырғанда ақпараттың мазмұнының өзгеруі;

  • ақпаратты оқшаулау – ақпаратты сақтау кезінде оны пайдаланудың мүмкін еместігі;

  • ақпаратты қалпына келтіру мүмкіндігінсіз жою;

  • ЭЕМ, ЭЕМ жүйесі немесе олардың желісі жұмысының бұзылуы.

Компьютерлік жүйелерге және компьютерлік ақпаратқа қауіп-қатер келесі субъектілер тарапынан болуы мүмкін:

  • өзінің қызметтік жағдайын пайдаланатын фирманың қызметкерлері (лауазымы бойынша заңды құқықтар ақпаратпен заңсыз операциялар үшін пайдаланғанда);

  • өзінің қызметтік міндеттеріне байланысты құқығы жоқ, бірақ құпия ақпаратқа рұқсатсыз қол жеткізуді жүзеге асырған фирманың қызметкерлері;

  • адамның емес, байланысты фирма еңбек келісімімен (келісім-шартпен).

Өз қызметі барысында кәсіпкерлер, бірнеше рет сезініп отырған заңсыз іс-әрекеттері басқа субъектілерді, әрқашан жүгінеді құқық қорғау органдары, не мүлдем тырысады жария етпеуге жағдайға қол сұғу, олардың компьютерлік жүйелер. Бұл фирмалар, коммерциялық банктер клиенттерден, тұтынушылардан олардың компьютерлік жүйелері (яғни, олардағы барлық ақпарат) жеткілікті қорғалмаған фактімен "қорқытуды" қаламайды. Өз сипаты бойынша Жасырын қылмыс аса зиян келтіреді, өйткені қылмыскерлердің жазасыздығы оларға өзінің қылмыстық қызметін жалғастыруға және кеңейтуге мүмкіндік береді.
2.3 Зиянды бағдарламалар
Ықтимал қауіпті зардаптары бар бағдарламалар ("зиянды бағдарламалар") ҚР"зиянды бағдарламалар"Қылмыстық кодексінде аталған. Бұл бағдарлама келесі функцияларды орындай алады:

  • бағдарламалық ортада жедел ақпараттың болу белгілерін жасыру;

  • өзін басқа бағдарламалармен байланыстыру және өз фрагменттерін жедел немесе сыртқы жадының басқа салаларына көшіру қабілеті бар;

  • ақпараттандыру объектісінің жедел жадында бағдарламалардың (одан өзгеше) кодын бұзу (еркін түрде бұрмалау) қабілетіне ие.

Зиянды бағдарламаларды шартты түрде:

  • компьютерлік вирустар;

  • "бағдарламалық құрт", "трояндық жылқы" және "логикалық бомбалар" типті бағдарламалар»;

  • бағдарламалық бетбелгілер немесе бағдарламалық әсерлерді бұзатын.

Компьютерлік вирус — бұл арнайы жазылған шағын мөлшері бойынша бағдарлама, ол "приписывать" өзіне басқа бағдарламалар (яғни "оятуы" олардың), сондай-ақ орындауға түрлі жағымсыз әрекеттер компьютерде (мысалы, бүлдіруге, файлдарды немесе кестені орналастыру файлдарды дискіде, "засоряя" жедел жады). Мұндай әрекеттер жылдам орындалады және экранға ешқандай хабар берілмейді. Одан әрі вирус өзі тұрған бағдарламаға басқаруды береді. Зарарланған бағдарламаның сыртқы жұмысы жұқтырмаған сияқты көрінеді.

Вирустың кейбір түрлері осы вирусты жұқтырған бағдарламаны бірінші іске қосқаннан кейін вирус үнемі компьютер жадында қалады (дәлірек ОЖ қайта жүктелгенге дейін) және уақыт өте келе файлдарды жұқтырып, компьютерде басқа да зиянды әрекеттерді орындайды. Осы сәтте, әдетте, бағдарламалардың көпшілігі вирусты жұқтырған, ал кейбір файлдар мен дискілер бүлінген. Сонымен қатар, зарарланған бағдарламалар дискет көмегімен немесе жергілікті желі арқылы басқа компьютерлерге көшірілуі мүмкін.

Құрт-желі арқылы таратылатын және магнитті тасымалдағышта өз көшірмесін қалдырмайтын бағдарлама. Мұндай бағдарламалар вирустарға ұқсас, олар басқа бағдарламаларды жұқтырады, ал олар өзін-өзі қалпына келтіру қабілетіне ие емес. B Троян атынан айырмашылығы, құрт пайдаланушының білуінсіз жүйеге кіреді және желінің жұмыс станцияларында өз көшірмелерін жасайды. Құрттан қорғаудың ең жақсы тәсілі-желіге рұқсатсыз кіруге қарсы сақтық шараларын қабылдау.

Трояндық жылқы-негізгі, яғни жобаланған және құжатталған әрекеттерге қосымша, құжаттамада сипатталмаған қосымша әрекеттерді орындайтын бағдарлама. Трояндық жылқы-сол немесе басқа түрде бастапқы зиянсыз бағдарламаға салынған, содан кейін АЖ пайдаланушыларына берілетін (беріледі, сатылады, ауыстырылады) командалардың қосымша блогы. Бұл блок командалардың кейбір жағдай туындаған кезде жұмыс істей алады (күндері, уақыты, команда бойынша сырттан және т.б.). Мұндай бағдарламаны іске қосқан адам өз файлдарына да, жалпы барлық ақпараттық жүйеге де қауіп төндіреді.

"Логикалық бомбалар". Логикалық бомба-файлдардың немесе компьютерлердің зақымдалуына әкелетін компьютерлік бағдарлама. Барлық файлдар толық өшірілгенге дейін және/ немесе машинаны зақымдағанға дейін ақпаратты бұрмалау немесе жою үшін пайдаланылады, сирек олардың көмегімен ұрлық немесе алаяқтық жасалады. Қисынды бомбалармен манипуляциялармен әдетте осы ұйымнан кетуге жиналған наразы емес қызметкерлер айналысады, бірақ бұл белгілі бір саяси наным-сенімдері бар кеңесшілер және т. б. болуы мүмкін.

Бағдарламалық бетбелгі-бұл қорғау жүйесінің қасиеттерін түрлендіру жолымен жүйенің сол немесе өзге ресурстарына (атап айтқанда, құпия ақпаратқа) рұқсатсыз қол жеткізуді (ЖТС) жүзеге асыруға зиянкеске мүмкіндік беретін қорғалған жүйеге арнайы жасырын енгізілген бағдарлама (немесе пайдаланушылық бағдарламаның арнайы қосымша жазылған фрагменті).

Бетбелгі қолданбалы бағдарламаға немесе деректерге қатысты қандай да бір әрекеттерді орындай алуы үшін, ол өзіне басқару алуы тиіс, яғни процессор бетбелгі кодына қатысты командаларды орындай бастауы тиіс. Бұл 2 Шартты бір мезгілде орындаған кезде ғана мүмкін:

- бетбелгі бағдарлама жұмысы басталғанға дейін жедел жадта болуы тиіс, ол бетбелгі әсерінің мақсаты болып табылады - демек, ол осы бағдарламамен бір мезгілде немесе бұрын жүктелуі тиіс;

- бетбелгілер белгілі бір жалпы, бетбелгі үшін де, оқиға бағдарламасы үшін де іске қосылуы тиіс, яғни бағдарламалық-аппараттық ортада бірқатар шарттарды орындау кезінде басқару "бетбелгі"бағдарламасына берілуі тиіс. Бұл оқиға Белсенді деп аталады.

Ұйымның ақпараттық жүйесі үшін жанама ЖТЖ үлгілік сипаты мынадай: бұзушы төлем жүйесінің "штаттық" бағдарламалық-аппараттық ортасын бастапқы түрлендіруді жүргізеді. Бірінші кезеңде ол жүйеге банк жүйесінде айналмалы ақпаратты жинақтау немесе талдау модулін орнатады, яғни іс жүзінде кейбір ақпаратты ұстайды. Тәртіп бұзушы құпия ақпаратты екі деңгейде жинай алады:



  • клиенттердің тікелей ақпараты (парольдер, (пластикалық карталар үшін ПИН-кодтар), шоттардың нөмірлері мен шоттардың сомалары және т. б.);

  • жауапты орындаушылардың дербес ақпараты (жеке парольдер, карталардың немесе дербес кіру құрылғыларының мазмұны).

Қызықтыратын ақпаратты алғаннан кейін қаскүнем жұмыс ортасын бастапқы жағдайға қалпына келтіреді, ал ұстап алынған ақпаратты өзі пайдаланады немесе үшінші тұлғаларға береді. Осылайша, жанама ЖТС жүзеге асыру (бетбелгілерді қолдану арқылы) бірнеше жағдайларды талап етеді, атап айтқанда: банк жүйесінің аппараттық компоненттеріне физикалық қол жеткізу, жеткілікті уақыт, тәртіп бұзушының жоғары біліктілігі. Бұдан, заң бұзушы ұйымның бағдарламалық қамтамасыз етуге және ПЭЕМ-ге рұқсаты бар қызметкері немесе ақпараттандыру және телекоммуникация, техникалық қызмет көрсету және жөндеу қызметтерінің қызметкері болуы мүмкін.
2.4 Коммерциялық тыңшылық
Кәсіпкерлікті қалыпты жүзеге асыру үшін ең қауіпті заңсыз қызмет түрлерінің бірі коммерциялық тыңшылық болып табылады. Коммерциялық тыңшылық-бұл тұлғалардың қорғалудағы коммерциялық ақпаратты заңсыз алуға бағытталған әрекеттері. Коммерциялық тыңшылық өнеркәсіптік тыңшылық, өндірістік, ғылыми-техникалық және т.б. қамтиды. Бұған дейін айтылғандай, оған іскерлік, ғылыми-техникалық, өндірістік, ұйымдық-басқару, маркетингтік, қаржылық, фирманың персоналы, бағдарламалық қамтамасыз ету туралы ақпарат жатады. Бұл ақпараттың жылыстауы фирма үшін нақты шығындарға, немесе жіберілген пайдаға немесе бірден екі зардаптарға әкелуі мүмкін.

Көбінесе коммерциялық тыңшылық жүзеге асырылады:



  • бәсекелестер;

  • қылмыстық құрылымдармен;

  • заңсыз жолмен алынған мәліметтерді қайта сатудан табыс алуға ұмтылған тұлғалар.

Бәсекелестер өндірістің құпиялары, жаңа ғылыми әзірлемелер, басқа фирмалардың жоспарлары туралы ақпарат алып, оны бәсекелестік күресте артықшылықтарды алу үшін, ұқсас өнімді шығару үшін не өзінің "қарсыластары" қызметінің жетістігіне тікелей әсер ету үшін (мәмілелердің үзілуі, бәсекелестердің бірігуіне жол бермеу және т.б.) пайдалана алады.

Қылмыстық құрылымдар көбінесе заңсыз табыс табу мақсатында бопсалау үшін ақпаратты пайдаланады.

Өткір бәсекелестік күрес жағдайында нарықта жұмыс істейтін әрбір фирма екі мәселені шешу қажеттілігімен сөзсіз бетпе-бет келеді.

Біріншісі бәсекелестердің қызметі туралы ақпарат алуға және мүмкіндігінше толық, дәл және уақтылы алуға байланысты. Мұндай ақпарат болмайынша компанияның өндірістік, ғылыми, техникалық, қаржылық, нарықтық стратегиясы мен тактикасын құру мүмкін емес. Әсіресе, коммерциялық құпия ақпарат маңызды. Көбінесе мұндай ақпаратты алу компанияға ғылыми-зерттеу және тәжірибелік-конструкторлық жұмыстарға үлкен көлемде ақша үнемдеуге мүмкіндік береді. Егер ақпарат алу тәсілдері заңмен рұқсат етілмеген шеңберден тыс болса (мысалы, қызметкерлерге пара беру, компьютерлік жүйеге заңсыз кіру), онда бұл әрекетті коммерциялық тыңшылық деп санауға болады.

Екінші мәселе-құпия ақпаратты қорғау. Фирманың өзі басқалардың құпиясын білуге ұмтылады, сондай-ақ оның бәсекелестері де бірдей. Демек, әрбір фирма бір мезгілде объект ретінде де, коммерциялық тыңшылық субъектісі бола алады.

Дамыған елдерде коммерциялық тыңшылық субъектісі бәсекелестер-фирмалардың өздері емес, қызметінің негізгі мақсаты құпия ақпаратты алу немесе қорғау болып табылатын мамандандырылған коммерциялық ұйымдар болып табылады. Бұл елдерде тіпті мемлекеттік арнайы қызметтер жеке фирмалардың аса маңызды коммерциялық ақпаратын Халықаралық экономикалық шпионаждан қорғауды қамтамасыз етуге мәжбүр.


3 Ақпаратты қорғау әдістері мен құралдары
3.1 Коммерциялық ақпаратты қорғау
Кәсіпкерлік қауіпсіздігін қамтамасыз ету жөніндегі қызметтің бір бөлігі ретінде коммерциялық ақпаратты қорғау коммерциялық ақпаратқа құқыққа қайшы қол сұғушылықтар әртүрлі бағыттар бойынша жүргізілуі мүмкін деп болжайды. Осыған байланысты ақпаратты тиімді қорғау қызмет бағыттарының тұтас жүйесін көздеуі тиіс, олардың әрқайсысына өзінің қорғау тәсіліне сәйкес келеді.

Мұндай бағыттардың бірі құпия ақпаратқа жіберілген қызметкерлермен жұмыстың үш негізгі кезеңін қамтитын персонал тарапынан фирманың экономикалық қауіпсіздігін тиімді қорғауды ұйымдастыру болып табылады:



  • алдын ала (жұмысқа қабылдау алдындағы кезеңде);

  • ағымдағы (қызметкердің жұмыс кезеңінде);

  • қорытынды (қызметкерді жұмыстан шығару кезінде).

Алдын ала кезең ең жауапты және тиісінше, неғұрлым күрделі болып табылады. Ең алдымен лауазымдық нұсқаулық пен қызмет ерекшеліктері негізінде лауазымға үміткерге қойылатын талаптар әзірленеді. Олар тек формальды талаптарды ғана емес: жынысы, жасы, білімі, жұмыс тәжірибесі, сондай-ақ үміткер болуы тиіс моральдық-психологиялық қасиеттер қатарын да қамтиды. Бұл фирмаға қандай қызметкер қажет екенін анықтауға, ал үміткердің өзіне өз сапасын талап етушілермен салыстыруға мүмкіндік береді.

Содан кейін бос лауазымға кандидаттарды іріктеу жүргізіледі. Кандидат таңдау әдістері әртүрлі болуы мүмкін. Теріс пиғылды адамдардың ену мүмкіндігін азайтатын немесе бәсекелестердің немесе қылмыстық құрылымдардың мүдделерін білдіретін әдістерге артықшылық беру керек. Оларға жатады:



  • жұмыспен қамту қызметіне, жұмыс күшін жалдау жөніндегі агенттіктерге және өзге де ұқсас ұйымдарға жүгіну;

  • жоғары оқу орындарының студенттері мен түлектері арасында кандидаттарды іздеу;

  • серіктес фирмалардың ұсынымдары бойынша Кандидаттарды іріктеу;

Кандидаттардың тікелей фирмаға кездейсоқ өтініш жасауына негізделген іріктеу болашақта оның экономикалық қауіпсіздігіне қауіп төндіруі мүмкін.

Әсіресе кандидатты кездейсоқ таңдау кезінде оның моральдық-іскерлік қасиеттерінің сипаттамасын, сондай-ақ өтелген соттылық туралы деректерді алу мақсатында алдыңғы жұмыс орнына сұраныс жасаған жөн.

Кандидаттың құжаттарымен танысқаннан кейін фирманың кадр қызметінің қызметкері кандидатпен әңгімелеседі. Кандидат сауалнаманы толтырады, сұрақтарға, соның ішінде кәсіби және психологиялық тест сұрақтарына жауап береді. Үміткердің психологиялық қасиеттері кәсіби қасиеттерден кем емес екенін атап өткен жөн. Психологиялық іріктеу үміткердің моральдық-этикалық қасиеттерін, оның әлсіздігін, психикасының тұрақтылығын, сондай-ақ оның мүмкін болатын қылмыстық бейімділігін, құпияларды сақтай білуін анықтауға мүмкіндік береді.

Кандидат тексеруден табысты өткен және оның тиісті лауазымы танылған жағдайда екі құжатқа қорытынды (қол қою) жүзеге асырылады:



  • еңбек шарты (келісім-шарт). Келісім-шартта қызметкердің құпия ақпаратты (коммерциялық құпияны) жария етпеу және қауіпсіздік шараларын сақтау міндеті туралы тармақ міндетті түрде болуы тиіс;

  • құқықтық құжат болып табылатын құпия ақпаратты (коммерциялық құпияны) жарияламау туралы шарттар (міндеттемелер), онда бос лауазымға үміткер өзінің фирмада жұмыс істеген кезінде белгілі болатын мәліметтерді жария етпеуге, сондай-ақ оларды жария еткені немесе қауіпсіздік ережелерін сақтамағаны үшін жауапкершілік туралы (келісім-шартты бұзу және сот талқылауы) уәде береді.

Жаңадан қабылданған қызметкердің тікелей қызметі, оның атқаратын лауазымына сәйкестігін және құпия ақпаратпен жұмыс істеу ережелерінің сақталуын тексеру мақсатында сынақ мерзімінен басталуы тиіс,оның соңында үміткерді тұрақты жұмысқа қабылдау туралы түпкілікті шешім қабылданады.

Тұрақты жұмыс процесінде қызметкерлердің құпия ақпаратқа (коммерциялық құпия) қол жеткізу тәртібін анықтау қажет. Құпия ақпаратпен ісі бар фирманың (кәсіпорынның) барлық қызметкерлері соңғысымен тек олардың қызметтік міндеттерімен көзделген және жұмыс істеу үшін талап етілетін көлемде танысуға құқылы. Осыған байланысты әрбір лауазым құпия ақпараттың белгілі бір көлемін алу құқығын көздеуі тиіс, ол үшін шығу міндеттерді бұзу болып саналады және фирманың қауіпсіздігіне белгілі бір қауіп төндіреді. Бұл тізбенің мөлшерін фирманың басшысы немесе арнайы комиссия анықтайды. Оған сәйкес әрбір қызметкер рұқсат алады құпия ақпаратты белгілі бір деңгейі.

Үшінші кезең-құпия ақпарат ісі бар қызметкерді жұмыстан босату да экономикалық қауіпсіздікке қатер төндіруі мүмкін. Жұмыстан шыққан қызметкер фирманың алдында міндеттерін орындамай, бағалы мәліметтермен бәсекелестермен, қылмыстық құрылымдармен бөлісе алады. Жұмыстан босатылған кезде мұндай салдардың қауіптілігін төмендету үшін қызметкер мәліметтерді өз мүддесінде немесе басқа адамдардың мүддесінде пайдалануға тыйым салу туралы ескертіледі және жұмыстан босатылғаннан кейін белгілі бір мерзім ішінде құпия ақпаратты (коммерциялық құпияны) жария етпеу туралы қолхат береді. Әйтпесе, ақпаратты жария ету салдарынан кәсіпкерге келтірілген барлық шығындар сот тәртібімен өндіріп алынуы мүмкін.

Ерекшелікті назарға ала отырып, кәсіпкерлер пайдалана алатын ақпаратты қорғаудың мынадай негізгі тәсілдері бөлінеді:

Заңнамалық. Кәсіпкердің Ресей заңнамасында қамтылған құпия ақпаратқа құқықтарын сақтауға негізделген. Кәсіпкердің ақпараттың меншік иесі, иесі немесе пайдаланушысы ретінде құқықтарының бұзылуы анықталған кезде бұзылған құқықтарды қалпына келтіру, шығындарды өтеу және т. б. үшін тиісті органдарға (ІІМ , прокуратураға, сотқа) жүгіну болуы тиіс.

Физикалық қорғау - күзет, өткізу режимі, бөгде адамдарға арналған арнайы карточкалар, жабылатын үй-жайларды, сейфтерді, шкафтарды және т. б. пайдалану.

Ұйымдастыру. Ол қамтиды:


  • белгілі бір ақпаратты құпия санатқа жатқызу, осы ақпаратқа қол жеткізу және пайдалану ережелерін сақтау үшін жауапты лауазымды енгізу немесе қызмет құру;

  • құпиялылық дәрежесі бойынша ақпаратты бөлу және құпия ақпаратқа тек қызметке сәйкес немесе басшылықтың рұқсатымен рұқсат беруді ұйымдастыру;

  • ақпаратқа қол жеткізу және пайдалану ережелерінің сақталуын бақылаудың тұрақты жұмыс істейтін жүйесінің болуы (бақылау визуалды, құжаттамалық және т. б. болуы мүмкін).

Техникалық. Сигнал беретін құрылғылар, бейнекамералар, микрофондар, сәйкестендіру құралдары, сондай-ақ компьютерлік жүйелерді рұқсатсыз кіруден қорғаудың бағдарламалық құралдары сияқты бақылау және қорғау құралдары пайдаланылады.

Кадрлармен жұмыс. Фирманың кадр қызметтерінің қызметкерлерді қабылдау, тексеру, оқыту, орналастыру, жылжыту, ынталандыру бойынша белсенді жұмысын болжайды. Персоналға құпия ақпаратты пайдалану ережелерін сақтау қажеттілігі туралы және бұзушылық үшін жауапкершілік туралы үнемі нұсқау беру қажет.

Бұл тәсілдердің бір бөлігі елеулі қаржылық шығыстарды болжайды, осыған байланысты барлық тәсілдерді бір уақытта қаражат бойынша жеткілікті түрде ірі және төлем қабілеті бар фирмаларға ғана пайдалану.

3.2 Ақпаратты қорғаудың криптографиялық әдістері


Криптография ежелгі грек тілінен аударғанда "құпия" дегенді білдіреді. Оның мәні, беруге дайын, бастапқы ашық және қорғалмаған Ақпараттық хабарлама шифрланады және сол арқылы шифрограммаға, яғни құжаттың жабық мәтініне немесе графикалық бейнесіне өзгертіледі. Мұндай түрде хабар байланыс арнасы бойынша, тіпті қорғалмаған. Рұқсат етілген пайдаланушы хабарламаны алғаннан кейін оны криптограмманы кері түрлендіру арқылы ашады, соның салдарынан рұқсат етілген пайдаланушыларға қабылдау үшін қол жетімді бастапқы, ашық хабарлама түрі алынады.

Криптографиялық жүйеде түрлендіру әдісіне арнайы алгоритмді қолдану сәйкес келеді. Мұндай алгоритмнің әрекеті әдетте шифрлаушы кілт деп аталатын бірегей санды (бит тізбектілігі) іске қосады.

Бұл жүйе үшін кілттің генератор схемасы нұсқаулар мен командалар жиынтығы немесе аппаратураның торабы, не компьютерлік бағдарлама, не мұның бәрі бірге болуы мүмкін, бірақ кез келген жағдайда шифрлеу (шифрлеу) процесі тек осы арнайы кілтпен іске асырылады. Шифрланған деректермен алмасу жіберушіге де, алушыға да сәтті өту үшін дұрыс кілтті орнатуды білу және оны құпия сақтау қажет.

Кез келген жабық байланыс жүйесінің тұрақтылығы онда пайдаланылатын кілттің құпиялылық дәрежесімен анықталады. Дегенмен, бұл кілт шифрланған хабарламалармен еркін алмасу үшін басқа желі пайдаланушыларына белгілі болуы тиіс. Бұл мағынада криптографиялық жүйелер қабылданған ақпаратты аутентификациялау (түпнұсқалығын анықтау) проблемасын шешуге көмектеседі. Бұзушының хабар ұстап қалған жағдайда тек шифрленген мәтінмен ғана жұмыс істейтін болады, ал шынайы алушы өзіне белгілі және жіберушіге кілтпен жабылған хабарламаларды қабылдай отырып, мүмкін болатын дезинформациядан сенімді қорғалады.

Ақпаратты криптографиялық қорғаудың көптеген алгоритмдері бар. Олардың арасында des, Rainbow (CIIJA); FEAL-4 және FEAL-8 (Жапония); В-Crypt (Ұлыбритания) алгоритмдері; ГОСТ 28147 — 89 (Ресей) бойынша шифрлау алгоритмі және шетелдік және отандық бағдарламалық және аппараттық қорғау құралдарын жеткізушілер жүзеге асырған басқа да бірқатар Алгоритмдер атауға болады.

Деректерді криптографиялық қорғаудың ең перспективалы жүйелері бүгінгі күні ашық кілтті жүйелер деп аталатын ассимметриялы криптожүйелер болып саналады. Олардың мәні шифрлеу үшін қолданылатын кілт шифрлеу кілтінен ерекшеленетін. Бұл жағдайда шифрлау кілті құпия емес және жүйенің барлық пайдаланушыларына белгілі болуы мүмкін. Дегенмен, белгілі шифрлау кілті арқылы шифрлеу мүмкін емес. Шифрды шешу үшін арнайы, құпия кілт қолданылады. Ашық кілтті білу құпия кілтті анықтауға мүмкіндік бермейді. Осылайша, хабарламаны осы құпия кілтке ие алушы ғана аша алады.

Асимметриялық криптожүйелер неғұрлым перспективалы, өйткені оларда кілттерді басқа пайдаланушыларға беру пайдаланылмайды және олар аппараттық және бағдарламалық тәсілдермен оңай іске асырылады

Ақпаратты қорғау, шифрлеу және дешифрлеу процестері кодталатын объектілер мен процестермен, олардың қасиеттерімен, орын ауыстыру ерекшеліктерімен байланысты. Мұндай объектілер мен процестер материалдық объектілер, ресурстар, тауарлар, хабарлар, ақпарат блоктары болуы мүмкін. Кодтау қорғау мақсаттарынан басқа, деректерге қол жеткізу жылдамдығын арттыра отырып, тауар мен өнімнің кез келген түріне, өндіруші елге және т.б. жылдам анықтауға және шығуға мүмкіндік береді.

Жиынтығында деректерді кодтау, шифрлеу және қорғау нақты өндірістік-шаруашылық процестердің ақпараттық көрсетілуінің, материалдық, қаржылық және басқа ағындардың қозғалысының бұрмалануын болдырмайды, сонымен басқару шешімдерін қалыптастыру мен қабылдаудың негізділігіне ықпал етеді
3.3 Ақпаратты қорғау тәсілдерінің бірі ретінде қол жетімділікті басқару
Ақпаратты қорғау тәсілдерінің бірі ретінде қатынауды басқару - бұл жүйенің барлық ресурстарын (техникалық, бағдарламалық құралдарды, деректер базасының элементтерін) пайдалануды реттеу арқылы ақпаратты қорғау тәсілі. Қатынауды басқару келесі қорғаныс функцияларын қамтиды:


  • белгіленген регламентке сәйкес уақытын, ресурстарын және процедураларын тексеруден тұратын өкілеттіктерді тексеру;

  • белгіленген регламент шегінде (және тек қана шегінде) жұмыс істеуге рұқсат беру және жағдай жасау;

  • қорғалатын ресурстарға өтініштерді тіркеу (хаттамалау) ;

  • санкцияланбаған әрекеттер кезінде әрекет ету (жұмысты кешіктіру, ажырату, Дабыл беру).

  • жүйенің пайдаланушыларын, персоналын және ресурстарын сәйкестендіру, бұл ретте сәйкестендіру деп әрбір объектіге дербес сәйкестендіргіш (аты, коды, пароль және т. б.) беру және Субъектіні немесе объектіні ұсынылған сәйкестендіргіш бойынша анықтау (түпнұсқалығын анықтау) түсініледі;

Шынайылықты анықтаудың ең көп тараған әдісі құпия сөз әдісі болып табылады. Ол іске асыру мен пайдаланудың қарапайымдылығымен және төмен құнымен сипатталады. Пароль-пайдаланушы енгізетін (басып шығару, пернетақтада теру) таңбалар жолы. Егер пароль жадта сақталатын болса, пайдаланушы оған рұқсат етілген барлық ақпаратты пайдалана алады. Сондай-ақ, құпия сөзді, файлдарды, жазбаларды, жазба ішіндегі деректер өрістерін және т. б. қорғау үшін пайдаланушыдан тәуелсіз пайдалануға болады. Парольдердің бірнеше түрі ерекшеленеді: қарапайым пароль, бір рет қолданылатын пароль, "сұрау-жауап" әдісі негізіндегі пароль, белгілі бір алгоритм негізіндегі пароль.

Қарапайым құпия сөз. Қарапайым пароль схемасы пайдалану үшін өте оңай: пайдаланушы тек қана сұраныстан кейін пернетақта паролін енгізеді, ал компьютерлік бағдарлама (немесе арнайы микросхема) оны кодтайды және ЭЕМ жадында сақталған эталонмен салыстырады. Бұл әдістің артықшылығы-құпия сөзді жазудың қажеті жоқ. Кемшілік-қарапайым әдіс, қорғау оңай жойылады. Бұл әдісті аз мәні мен құны бар деректер қорғалған жағдайларда пайдалану ұсынылады.

Бір рет қолдану паролі. B бір реттік пароль схемасында пайдаланушыға ЭЕМ жадында сақталатын N парольден тізім беріледі (әдетте шифрленген түрде). Пайдаланғаннан кейін пароль жадында жойылады, тізімнен сызылады. Бұл жағдайда құпия сөзді ұстап қалу мағынасыз болады - оның мәні қайталанбайды. Бұл әдістің артықшылығы-ол үлкен қауіпсіздік дәрежесін қамтамасыз етеді, бірақ ол одан да күрделі. Әдіс кемшіліктерден бос емес. Bo-біріншіден, парольдер тізімін бір жерде сақтау керек, оны есте сақтау мүмкін емес. B. тарату процесінде қате болған жағдайда пайдаланушы қиын жағдайда көрсетіледі: ол оған сол парольді беру немесе келесі парольді жіберу керектігін білмейді. Bo-екіншіден, таза әкімшілік қиындықтар туындайды: тізім ЭЕМ-де жадының үлкен көлемін алуы мүмкін, оны үнемі өзгерту және т. б. қажет.

"Сұрау салу – жауап"әдісі.B "сұрау-жауап" әдісі пайдаланушы ЭЕМ жадында сақталатын және операциялық жүйемен басқарылатын сұрақтардың жиынтығына дұрыс жауап беруі тиіс. Кейде пайдаланушыларға көптеген сұрақтар қойылады және олардан өздері таңдаған жауаптарды талап етеді. Бұл әдістің артықшылығы-пайдаланушы сұрақтарды таңдай алады, ол жұмысқа қосу процесінде өте жақсы қауіпсіздік дәрежесін береді.

Алгоритм негізіндегі Пароль. Пароль ЭЕМ жадында сақталған және пайдаланушыға белгілі алгоритмнің негізінде анықталады. Бұл жиі "қол алысу" процедурасы деп аталады. Бұл әдіс, жүйе кездейсоқ санды экранға шығарады, содан кейін пайдаланушы бір жағынан және екінші жағынан ЭЕМ-ді белгілі бір алгоритм бойынша паролді есептейді. "Қол алысу" режиміндегі рәсімдер көптеген басқа схемаларға қарағанда қауіпсіздіктің үлкен деңгейін қамтамасыз етеді, бірақ сонымен бірге пайдаланушы үшін неғұрлым күрделі және қосымша уақыт шығындарын талап етеді.

Құпия сөз әдістері ақпаратты қорғау жүйесінде жиі қолданылады. Олар қарапайымдылықпен, төмен өткізу құнымен, Машина уақытының аз шығынымен сипатталады және аз жад кеңістігін алады. Құпия қорғау өте кең таралған, бірақ жиі жеткілікті нәтижеге қол жеткізілмейді.


Қорытынды

Статистика барлық елдерде зұлымдық әрекеттерден болған шығындар үздіксіз өсіп келе жатқанын көрсетеді. Бұл ретте шығындардың негізгі себептері қауіпсіздік құралдарының жетіспеушілігімен және олардың арасындағы өзара байланыстың жоқтығымен байланысты. Ақпаратты толыққанды қорғауды жүзеге асыру үшін барлық қауіпсіздік құралдарының үйлесімді жұмысы қажет. Тек кешенде ғана олар құнды деректерді толыққанды қорғауды қамтамасыз ете алады. Сондықтан кешенді қорғау құралдарын озық қарқынмен жетілдіру қажет.

Әрине, көрсетілген қорғаныс құралдары әрдайым сенімді емес, өйткені бүгінгі күні техника (біздің жағдайда компьютерлік) жылдам қарқынмен дамып қана қоймай, ақпараттың өзі ғана емес, сонымен қатар осы ақпаратты өндіруге мүмкіндік беретін әдістер де үнемі жетілдіріліп отырады.

Біздің ғасырымыз ақпараттық дәуір деп жиі аталады және ол экономикалық өсумен, технологиялық жаңалықтармен байланысты үлкен мүмкіндіктерді алып келеді. Қазіргі уақытта ақпараттық дәуірдің ең үлкен құндылығына айналған электрондық деректерге ие болу олардың пайдаланылуын бақылау жөніндегі құқықтар мен міндеттерді өз иелеріне жүктейді. Дисктерде сақталатын және байланыс арналары арқылы жіберілетін файлдар мен хабарламалар кейде компьютерлердің, дискілердің өзіне қарағанда үлкен құндылыққа ие. Сондықтан ақпараттық ғасырдың келешегі, егер құпия сипаты бар немесе аса маңызды болып табылатын ақпаратқа ие жеке тұлғалар, кәсіпорындар мен басқа да бөлімшелер өз меншігін әртүрлі қауіптерден тиісті түрде қорғай алатын, сақталатын меншіктің қауіп-қатері мен құндылығының дәрежесін талдауға негізделген қауіпсіздік талаптарына сәйкес келетін қорғау деңгейін таңдай алатын жағдайда ғана іске асырылуы мүмкін.


Әдебиеттер тізімі

  1. Батурин, Ю.М. Компьютерная преступность и компьютерная безопасность / Ю.М. Батурин, А.М. Жодзинский. – М.: Юридическая литература, 2006. – 160 с.

  2. Мельников, Ю.Н. Обеспечение целостности информации в вычислительных системах / Ю.Н. Мельников, В.А. Мясников, Ю.П. Лутковский // Защита информации – 2007. – № 1. – С. 72 – 79.

  3. Ярочкин, В.И. Система безопасности фирмы / В.И. Ярочкин. – М.: Академия, 1998. – с. 8-10.

  4. Медведовский, И.П. Атака через Internet / И.П. Медведовский, П.В. Семьянов, В.А. Платонов; Ред. П.Д. Зегжды. – СПб.: Мир и Семья – 95, 1997 – 296 с.

  5. Жуков, Н.С. Информационная безопасность. Практическое руководство / Н.С. Жуков, А.Ю. Кораблев, Ю.Н. Мельников // Вестник Ассоциации Российских банков – 1999. – №27-33. – С. 45.

  6. Курушин, В.Д. Компьютерные преступления и информационная безопасность / В.Д, Курушин, В.А. Минаев. – М.: Новый юрист, 1998. – 172 с.

  7. Информатика: учеб. пособие / Ю.Н. Мельников; ред. П.Б. Хореев. – М.: Папирус Про, 2003. – 662 с.

  8. Мельников В.В. Защита информации в компьютерных системах. – М.: Финансы и статистика; Электронинформ, 2007. –554–556с.

  9. Степанов, Е.В. "Кроты" на фирме (персонал и конфиденциальная информация) / Е.В.Степанов // Предпринимательское право – 1999. – №4. – С. 54.

  10. Казакевич, О.Ю. Предприниматель в опасности: способы защиты. Практическое руководство для предпринимателей и бизнесменов / О.Ю. Казакевич, Н.В.Конев, В.Г. Максименко и др. – М.: Юрфак МГУ, 1992. – с. 46-47.

  11. Герасименко, В.А. Основы защиты информации / В.А.Герасименко, А.А. Малюк. – М.: Инфо, 1994. – 540с

  12. Алферов, А.П. Основы криптографии / А.П. Алферов, А.Ю. Зубов, Кузьмин, А.В.Черемушкин. – М.: Гелиос АРБ, 2002. – 480 с.

  13. Брассар, Ж.Б. Современная криптология / Ж.Б. Брассар; Ред. А.Н. Лебедева. – М.: Издательско-полиграфическая фирма ПОЛИМЕД, 1999. – 176 с.

  14. Мельников, Ю.Н. Общие принципы защиты банковской информации / Ю.Н. Мельников // Банковские технологии – 2006. – № 7. – С. 21-27.

  15. Мельников, Ю.Н. Защита информации. Лабораторные работы: Методич. пособие / Ю.Н. Мельников, А.А. Теренин, Д.Ю. Иванов, Д.Ю. Мзоков и др. – М.: МЭИ, 2002. – 95 с.

Қосымша
Қосымша 1. RSA шифры



Қосымша 2. Эль-Гамаль шифры



Қосымша 3. ГОСТ 34.10-94



Қосымша 4. FIPS 186









Достарыңызбен бөлісу:




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет