Ақпараттық қауіпсіздік

Скачать



Мазмұны
Кіріспе
І. Ақпараттық қауіпсіздік режимін қалыптастыру
1.1. Ақпараттық қорғау жүйесі
1.2. Қауіпсіздік саясаты және оның негізгі элементтері
1.3. Ақпараттық қауіпсіздікті қамтамасыз ету жүйесін дамыту, оны ұйымдастыруды
ІІ. Операциялық жүйелерде рұқсат етілмеген қол жетімділіктен ақпаратты қорғау
2.1. Операциялық жүйелердегі қауіпсіздік саясатын басқару
2.2. Ақпаратты рұқсат етілмеген қол жетімділікен қорғау жүйелері
2.3. RealSecure – желілік қауіпсіздікті қамтамасыз ететін жүйе
Қорытынды
Пайдаланылған әдебиеттер тізімі
Кіріспе
Қазақстан өз егемендігін алған сәтінен бастап, әлемдік қауымдастыққа ықпалдасу
Қазіргі таңда бүкіл әлемде болып жатқан кең ауқымды қайта
Қазақстанның «индустриалды» қоғамнан «ақпараттық қоғамға» өтуі ақпараттық теңсіздікті жеңуі,
Хабарлар тасымалданатын байланыс арналары көбінесе қорғалмаған болып келеді және
І. Ақпараттық қауіпсіздік режимін қалыптастыру
1.1. Ақпараттық қорғау жүйесі
Ақпараттық қорғау жүйесі жобалау әр түрлі жағдайда жүргізілуі мүмкін
Ақпаратты қорғау жүйесін жобалау мен әзірлеу келесі тәртіп бойынша
- қорғанылуы көзделген деректердің тізбесін және бағасын анықтау үшін
- ықтимал бұзушының үлгісін таңдау;
-ықтимал бұзушының таңдап алынған үлгісіне сәйкес ақпаратқа заңсыз қол
- пайдаланылатын қорғаныш құралдарының әрқайсысының беріктілігін сапасы мен саны
- орталықтанған бақылау мен басқару құралдарын әзірлеу;
- ақпарат қорғау жүйесінің беріктілігінің сапасын бағалау.
Ақпараттық қауіпсіздік
Ақпараттық қауіпсіздік — мемкелеттік ақпараттық ресурстардың, сондай-ақ ақпарат саласында
Ақпаратты қорғау — ақпараттық қауіпсіздікті қамтамасыз етуге
Қауіпсіздікті қамтамасыз ету кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық,
Ақпараттық қауіпсіздік режимін қалыптастыру кешендік мәселе болып табылады. Оны
Ақпараттық қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады:
Қол жетерлік (оңтайлық) - саналы уақыт ішінде керекті ақпараттық
Тұтастық - ақпараттың бұзудан және заңсыз өзгертуден қорғанылуы. Ақпарат
Жасырындылық - заңсыз қол жеткізуден немесе оқудан қорғау.
1983 жылы АҚШ қорғаныс министрлігі қызғылт сары мұқабасы бар
Қауіпсіз жүйе - белгілі бір тұлғалар немесе олардың атынан
Сенімді жүйе - әр түрлі құпиялық дәрежелі ақпаратты қатынас
Жүйенің сенімділігі (немесе сенім дәрежесі) екі негізгі өлшемі бойынша
Ақпаратты қорғау құралдары - мемлекеттік құпия болып табылатын мәліметтерді
Ақпараттық қауіпсіздікті қорғау ұлттық заңнаманың шығарылған ақпараттың зияткерлік меншігін
1. 2. Қауіпсіздік саясаты және оның негізгі элементтері
Қауіпсіздік саясаты - мекеменің ақпаратты қалайша өңдейтінін, қорғайтынын
Қауіпсіздік саясатының құрамына ең кемінде мына элементтер кіруі керек:
Кепілдік - жүйенің сәлетіне және жүзеге асырылуына көрсетілетін сенім
Есепберушілік (немесе хаттамалау тетігі) қауіпсіздікті қамтамасыз етудің маңызды құралы
Сенімді есептеу базасы (СЕБ) - компьютерлік жүйенің қауіпсіздік
Қатынасым мониторы - пайдалынушының программаларға немесе деректерге әрбір қатынасының
- оңашаландық. Монитор өзінің жұмысы кезінде аңдудан қорғалуға тиісті;
- толықтық. Монитор әрбір қатынасу кезінде шақырылады.
- иландырылатындық. Мониторды талдауға және тестілеуге мүмкін
Қауіпсіздік өзегі - қатынасым мониторының жүзеге асырылуы. Қауіпсіздік
Қауіпсіздік периметрі - сенімді есептеу базасының шекарасы. Оның ішіндегі
Объектінің ақпараттық қауіпсіздігін қамтаммасыз етуге арналған жұмыстар бірнеше кезеңге
Даярлық кезең. Бұл кезең барлық келесі шаралардың ұйымдастырушылық негізін
Ақпараттық қорларды түгендеу. Бұл кезеңде, әдетте, объект, ақпараттық ағындар
Қатерді талдау. Келесі шаралардың нәтижелерді ақпараттық қорлардың қорғанылу күй
Қауіп бар жерде қатер пайда болады. Қауіптерді талдау кезеңі
Бұл кезеңнің орындалу нәтижесінде объектідегі қауіп - қатерлер тізбесі
Қорғаныш жоспарын құрастыру. Бұл кезеңде осының алдында жүргізілген талдаудың
Қорғаныш жоспарын құру ақпарат қорғау жүйе,сінің функционалдық сұлбасын әзірлеуден
Қорғаныш жоспарын жүзеге асыру. Бұл кезеңде қорғаныш жоспарында келтірілген
Қауіпсіздік саясаты (ұйымдастыру тұрғысынан қарағанда) есептеу және қатынас қорларын
Ұйымдастыру мәселелерін шешу. Бұл кезеңде ақпараттық қауіпсіздік қызметі құралады,
Қатерге талдау жасау. Қатерді талдау үрдісі нені қорғау
Жеңілдіктерді анықтау. Қорларды пайдалану құқықтары, қорларды қолдану ережелері, әкімшілік
Қауіпсіздік саясатының бұзылуына жауап қайтару шараларын анықтау. Қауіпсіздік режимін
Ұйымдастыру-өкімгерлік құжаттарды дайындау. Қауіпсіздік саясатының негізгі жайлары әр түрлі
Қауіпсіздік саясаты ақпарат қорғау жүйесінің қауіп-қатерлерге қарсы әрекет жасауға
Ақпарат қауіпсіздігінің жоғарғы дәрежесіне қол жеткізу тек тиісті ұйымдастыру
Ұйымдастырушылық және ұйымдастыру-техникалық шаралар жүргізу ақпараттың сыртқа кететін жаңа
Ұйымдастыру мәселелерін шешілгеннен кейін программалық-техникалық проблемалардың кезегі келеді -
Қауіпсіздік саясаты мынадай элементтерден тұрады: қатынас құруды ерікті басқару,
Қатынас құрудың ерікті басқару - жеке субъект немесе құрамына
Қатынас құрудың ағымдағы жағдайы ерікті басқару кезінде матрица түрінде
Операциялық жүйелердің және дерекқор басқару жүйелерінің көпшілігі осы ерікті
Объектілерді қайтадан пайдаланудың қауіпсіздігі. Бұл элемент құпия ақпаратты «қоқтықтан»
Қорғаныш тәсілдерінің бірі - құпия ақпаратпен жұмыс істегеннен кейін
Мәселен, принтерлердің аралық жадында құжаттардың бірнеше беті сақталып қалуы
«Субъектілерді қайтадан пайдаланудың» қауіпсіздігі жайында да қамдану керек. Пайдаланушы
Қауіпсіздік тамғасы. Қатынас мәжбүрлі басқарудың кезінде субъектілер және
Қауіпсіздік таңбасы екі бөліктен тұрып: құпиялылық деңгейі және категориялар.
Құпиялылық деңгейі реттелген жиынтық құрайды және әр түрлі жүйелерде
Санаттар реттелмеген жиынтық құрайды. Олардың міндеті - деректер жататын
Қауіпсіздік таңбалардың тұтастығын қамтамасыз ету оларға байланысты негізгі проблемелардың
Қауіпсіздік тамғаларының тұтастығын қамтамасыз етуші құралдардың біреуі - құрылғыларды
Қатынас құрудың мәжбүрлі басқару. Қатынас құруды басқару мәжбүрлі деп
Ерге субъектінің құпиялылық деңгейіобъектінің құпиялылық деңгейінен кем болмаса, ал
1.3. Ақпараттық қауіпсіздікті қамтамасыз ету жүйесін дамыту,
оны ұйымдастыруды жетілдіру
Бірыңғай ақпараттық кеңістікте құқықтық қамтамасыз етумен қатар субъектілердің ақпараттық
1) ақпараттың тарап кетуінің, жоғалуының, жасандылығының алдын алу;
2) жеке тұлғаның, қоғамның, мемлекеттің ақпараттық қауіпсіздігі қауіп-қатерінің алдын
3) ақпаратты жою, модификациялау, бұрмалау, көшіру, шектеу бойынша қолданылатын
4) жеке меншік объектісі ретінде ақпараттың және құжаттаманың құқықтық
5) азаматтардың ақпараттық жүйедегі бар дербес деректерінің құпиялылығын және
6) құжатталған ақпараттың жасырындылығын және құпиялылығын сақтау;
7) ақпараттық үдерістерде және ақпараттық жүйелерді, ақпараттық технологиялар мен
8) Қазнетке қатысушы ұйымдардың ақпараттық қауіпсіздігі және ақпараттық-аналитикалық қамтамасыз
9) сыртқы теріс әсерден Қазнеттің ақпараттық кеңістігін қорғау;
10) Интернетті құқыққа қарсы мақсаттарда пайдалану фактілерін анықтау мақсатында
Бірыңғай ақпараттық кеңістіктегі субъектілердің өзара іс-әрекет етуін ұйымдастыру ережесі
Бірыңғай ақпараттық кеңістікте аппараттық-бағдарламалық құралдар электрондық өңдеу, сақтау және
Бұдан басқа, киберқылмыспен күресудің табысты кепілі ақпараттық қауіпсіздік саласында
Қазақстан Республикасының Ақпараттандыру туралы Заңында «Электрондық ақпараттық
1. Электрондық ақпараттық ресурстар мен ақпараттық жүйелердi қорғау:
1) электрондық-ақпараттық ресурстардың тұтастығын және сақталуын қамтамасыз ету, оларды
2) қолжетiмдiлiгi шектелген электрондық ақпараттық ресурстардың құпиялылығын сақтау;
3) электрондық ақпараттық ресурстарға қол жеткiзу құқығын iске асыру;
4) электрондық ақпараттық ресурстарды өңдеу және оларды беру құралдарына
2. Электрондық ақпараттық ресурстар мен ақпараттық жүйелердi қорғау:
1) электрондық ақпараттық ресурстарды құрсаулау, яғни ақпараттық жүйеге және
2) электрондық ақпараттық ресурстарды түрлендiру, яғни бағдарламаға, деректер қорына,
3) электрондық ақпараттық ресурсты көшiру, яғни ақпаратты басқа материалдық
4) құқық иесiнiң рұқсатынсыз бағдарламалық өнiмдердi пайдалану;
5) ақпараттық жүйелердiң және (немесе) бағдарламалық өнiмдердiң жұмысын бұзу,
Электрондық ақпараттық ресурстарды қорғауды ұйымдастыру
1. Электрондық ақпараттық ресурстарды қорғауды:
1) жалпыға бiрдей қолжетiмдi электрондық ақпараттық ресурстарға қатысты -
2) қолжетiмдiлiгi заңмен шектелген электрондық ақпараттық ресурстарға қатысты -
3) қолжетiмдiлiгiн олардың меншiк иесi немесе иеленушiсi шектелген электрондық
2. Осы баптың 1-тармағында аталған тұлғалар:
1) электрондық ақпараттық ресурстарға рұқсатсыз қол жеткiзудi болғызбауды;
2) егер мұндай рұқсатсыз қол жеткiзудi болғызбау мүмкiн болмаса,
3) ақпаратқа қол жеткiзу тәртiбiн бұзудың қолайсыз салдарын барынша
4) электрондық ақпараттық ресурстарды өңдеу мен беру құралдарына ықпалды
5) рұқсатсыз қол жеткiзу салдарынан өзгертiлген не жойылған электрондық
Электрондық ақпараттық ресурстар мен ақпараттық жүйелердi қорғау шаралары
1. Электрондық ақпараттық ресурстарды қорғаудың құқықтық шараларына электрондық ақпараттық
2. Электрондық ақпараттық ресурстар мен ақпараттық жүйелердi қорғаудың ұйымдастыру
3. Электрондық ақпараттық ресурстар мен ақпараттық жүйелердi қорғаудың техникалық
4. Электрондық ақпараттық ресурстарды қорғаудың техникалық (бағдарламалық-техникалық) шараларын пайдалану
Дербес сипаттағы электрондық ақпараттық ресурстарды қорғау
1. Дербес деректердi қамтитын электрондық ақпараттық ресурстарды алған ақпараттық
2. Дербес деректердi қамтитын электрондық ақпараттық ресурстарды одан әрi
ІІ. Операциялық жүйелерде рұқсат етілмеген
қол жетімділіктен ақпаратты қорғау
2.1. Операциялық жүйелердегі қауіпсіздік саясатын басқару
Операциялық жүйелердегі қауіпсіздікті қамтамасыз ету жөніндегі ықпалдастырылған шешім вирустарды
Қауіпсіздік негізін – басқару. Қорғаудың дәстүрлі жүйелері әкімшімен белгіленген
Қосымшаны басқару оның өмірлік циклы: орнатумен, күйге келтірумен, штаттық
- орнатылған бағдарламалық қамтамасыз етуді түгендеу құралы және қосымшаларды
- қосымшаларға қол жеткізуді бақылау тетіктері;
- мүмкін болатын осалдықтар мен шабуылдарды айқындау үшін утилиттер;
- қосымшалардың жұмыс мониторингі жүйесі;
- вирустар және тыңшылық бағдарламалар сияқты жүйелік ресурстарды тиімсіз
- жаңарту жүйесі.
Штаттық жұмыстың фазасы анағұрлым ұзақ болғандықтан, оны қорғау үшін
Заманауи корпоративтік қосымшалардың ендігі бір компьютерде жұмыс жасамайтынын, ал
Жүйелік басқару. Қауіпсіздікті басқару жүйесі утилиттердің бөлігін ақпараттық жүйелердің
Management Suite – мынадай міндеттерді орындауға көзделген, кәсіпорынның ақпараттық
- серверлерді басқару (Server Management) құралы;
- операциялық жүйелерді орнату мен күйге келтіру құралдары (OS
- бағдарламалық қамтамасыз етуді орнату (Software Distribution);
- лицензияларды басқару (Software License Monitoring);
- жойылған бақылау және техникалық қолдау (Remote Control/Problem Resolution);
- есеп берулерді даярлау (IT Asset Management);
- жаңартуларды басқару (Patch Management).
Әрбір утилит оған жүктелген міндетті бөлек орындайды, ал барлығын
Базалық функционалдықты кеңейту үшін Patch Manager (Security Suite құрамына
LANDesk Management Suite пакеті ақпараттық жүйелердегі әртүрлі өлшемдерді пайдалануға
2.2. Ақпаратты рұқсат етілмеген қол жетімділікен
қорғау жүйелері
Қол жетерлік (оңтайлық) - саналы уақыт ішінде керекті ақпараттық
Желіде компьютерлерді біріктіру ақпаратты қорғаудың ескі аксиомасын бұзады. Мысалға,
Таяу уақытқа дейін негізінен корпоративтік желілерді қорғаудың тетіктері желіаралық
Шабуылдарды табу мәніне корпоративтік желінің тұрақты (тәулігіне 24 сағат,
Бұзушы - тиым салынған операцияларды қателескендіктен, білместіктен орындауға әрекет
Бұзушының үлгісін зерттеген кезде мыналар анықталды:
- Қатарларында бұзушы болуы мүмкін тұлғалардың санаттары жойында жорамалдар;
- Бұзушы әрекетінің себептері туралы жорамалдар;
- Бұзушының біліктілігі және оның техникалық жабдықтанғандығы жөнінде жорамалдар;
- Бұзушының ықтимал әрекеттерінің сипаты туралы жорамалдар.
2.3. RealSecure – желілік қауіпсіздікті қамтамасыз ететін жүйе
RealSecure™ шабуылды табу жүйесі американдық Internet Security Systems, Inc.
Шабуыл танылған бойда басқару консолі немесе электрондық пошта арқылы
RealSecure™ жүйесінің артықшылығы желілік қауіпсіздікті қамтамасыз ету жүйесінің негізгі
Жүйелік талаптар. Аппараттық қамтамасыз етуге талаптар:
Процессор - Pentium Pro 200 МГц (Pentium II 300
ОЗУ - 64 Мб (128 Мб ұсынылады),
НЖМД - 100 Мб кем емес (дерекқорлар және тіркеу
Желілік интерфейс - Ethernet, Fast Ethernet, Token Ring, FDDI.
Бағдарламалық қамтамасыз етуге талаптар:
Операциялық жүйе
Windows NT 4.0 с SP3,
Solaris - 2.4/2.5 + Motif,
Linux - 1.3 + X Window R11,
Қосымша мәлімет – жүйені пайдалану үшін жұмыс станциясы әкімшісінің
Қорытынды
Ақпараттық жүйедегi өзара әрекеттестiк құқық қорғау органдары мен мемлекеттiк
Мiне солай, құқықтық статистика және арнаулы есепке алу саласына
Қорғаныштың мақсаты - қатынас құруға рұқсат етілмеген арналарды ақпараттың
Қорғаныш жүйесінің міндеттері:
- жасырын және өте жасырын ақпараттарды онымен рұқсатсыз танысудан
- деректер мен программаларды рұқсат етілмеген кездейсоқ немесе әдейі
- деректер мен прогграммалардың бұзылуының салдарынан болатын шығындан көлемін
- есептеу техника құралдарының көмегімен орындалатын қаражаттық қылмыстардың
Сенімді қорғаныс құру үшін мыналар керек:
- ақпарат қауіпсіздігіне төніп тұрған барлық қауіп-қатерлерді айқындау;
- олардың келтіретін залалдарын бағалау;
- нормативті құжаттардың талаптарын, экономикалық мақсатқа лайықтылықты, қолданылатын программалық
- қорғаныштың таңдап алынған шаралары мен құралдарын бағалау.
Ақпараттық қорғау жүйесі - деп белгіленген қорғаныш мәселелерін шешу
Пайдаланылған әдебиеттер тізімі
1. Информатика: Учебник / под ред. Проф. Н.В. Макаровой.
2. Безруков Н.Н. Компьютерные вирусы. - М.: Наука, 1991.
3. Мостовой Д.Ю. Современные технологии борьбы с вирусами //
4. Кент П. ПК и общество / Пер. c
5. Левин В.К. Защита информации в информационно-вычислительных cистемах и
6. Об информации, информатизации и защите информации: Федеральный За-кон
7. «Защита информации в персональных ЭВМ», А.В. Спесивцев.
8. «Вычислительная техника и её применение», В.В. Голубев.
9. «Безопасность компьютера», Эд Тайли.
10. Титоренко Г.А. Автоматизированные информационные технологии в экономике.
11. Быкова Е.В., Стоянова Е.С. Финансовое искусство коммерции.
12. Тихомиров В.П., Хорошилов А.В. Введение в информационный
13. Ковальков В.П. Эффективные технологии в маркетинге. Спб.:
14. Глазьев В.П. Операционные технологии межбанковского финансового
6





Скачать


zharar.kz