Қазақша рефераттар

Электрондық үкімет

Ақпараттық қауіпсіздік саясаты

Ақпараттық қауіпсіздік саясаты ұйымның стратегиясын нақтылап, оның құрамдас бөлігінің ақпараттық қауіпсіздігін басқаруға деген тәсілін сипаттайды. Бұл құжат қауіпсіздікті ортақ пайдалану кезінде кепілдік беретін негізгі тетік ретінде танып, мақсаттар мен басқару құралдарын бір жүйеге келтіреді.

Нені айқындайды

  • Ақпараттық қауіпсіздіктің мәнін, негізгі мақсаттарын және оның ақпаратты бірлесіп пайдаланудағы маңызын.
  • Шешілетін міндеттерге сәйкес мақсаттар мен ұстанымдарды қолдау шараларын.
  • Тәуекелдерді бағалау және тәуекелдерді басқару құрылымдарын қоса алғанда, мақсаттарға жету іс-шараларын.

Нені бекітеді

  • Нормативтік, құқықтық және шарттық талаптарға сай ұстанымдар мен стандарттарды түсіндіруді.
  • Ақпараттық қауіпсіздікті басқарудағы жалпы және арнаулы міндеттерді, соның ішінде қауіпсіздік қақтығыстары туралы хабарлау тәртібін.
  • Саясатты қолдайтын құжаттамаға сілтемелерді (пайдаланушылар сақтауы тиіс рәсімдер мен ережелер).

Назар аударатын қағида

Саясат қауіпсіздікті «қосымша талап» ретінде емес, ортақ пайдалану мен басқарудың ажырамас бөлігі ретінде қарастыруы тиіс.

2. Персоналдың қауіпсіздігі

Персоналдың рөлі мен міндеттері

Ақпараттық қауіпсіздік саясатына сәйкес қызметкерлердің, келісімшарт бойынша агенттердің және үшінші тарап пайдаланушыларының рөлдері мен міндеттері міндетті түрде құжатталуы тиіс.

  • Саясатқа сәйкес әрекет ету.
  • Ресурстарды рұқсатсыз қол жеткізуден, жария етуден, өзгертуден, жоюдан немесе жұмысына кедергі келтіруден қорғау.
  • Ақпараттық қауіпсіздікке қатысты бекітілген үдерістер мен іс-шараларды орындау.
  • Міндеттердің бөлінуін сақтап, тапсырылған жауапкершілікті дәл орындау.
  • Қауіпсіздік оқиғалары немесе тәуекелдер туралы уақтылы хабарлау.

Құзыреттілік, оқыту және тренингтер

  • Ақпараттық жүйелерге қол жеткізу үшін қажетті ең төменгі құзыреттілік деңгейін анықтау.
  • Жүйелерге қызмет көрсететін персоналға қойылатын білім, біліктілік және тәжірибе талаптарын белгілеу.
  • Барлық қызметкерлердің ақпараттық жүйелермен жұмыс істеу және білімін үнемі жаңарту үшін жеткілікті деңгейде оқытылуын қамтамасыз ету.
  • Қауіпсіздік талаптары, заңнамалық міндеттемелер және өндірістік басқару құралдары бойынша тұрақты оқыту жүргізу.
  • Саясатпен таныстырудан бастап қажетті құзыреттілікке жеткенге дейін оқыту кезеңдерін жоспарлау.

3. Әкімшілендіру

Жұмыс рәсімдері мен міндеттер

Ақпаратты өңдеу құралдарын басқару және олармен жұмыс істеу бойынша міндеттер айқындалып, соған сәйкес жұмыс рәсімдері әзірленуі тиіс.

Рәсімдер міндетті түрде қамтиды

  • Ақпаратты өңдеу және айналымы.
  • Резервтік көшіру және оның мерзімділігі.
  • Жоспарлау талаптары (басқа жүйелермен өзара байланыс, ең ерте басталу және ең кеш аяқталу уақыты).
  • Қателерді өңдеу және ерекше жағдайлар бойынша нұсқаулықтар.
  • Күтпеген операциялық/техникалық қиындықтар кезінде байланыс тәртібі.
  • Арнайы ақпаратты шығару, тасымалдаушыларды пайдалану және нәтижелерді қауіпсіз жою тәртібі.
  • Істен шыққаннан кейін қайта жіберу және қалпына келтіру.
  • Аудит журналдары мен жүйелік есептерді басқару.

Жүйелік операцияларды сипаттайтын жұмыс рәсімдері нысандық құжаттар ретінде рәсімделіп, бақылаусыз өзгертілмеуі тиіс. Рәсімдер бірдей құралдар мен күнделікті пайдалануға арналған тетіктер арқылы бірізді басқарылуы қажет.

Резервтік көшіру

Деректерді уақтылы қалпына келтіру үшін көшіру саясаты және резервтік көшірмелерді беру стратегиясы айқындалуы тиіс. Резервтік көшірмелер мен бағдарламалық қамтамасыз ету келісілген саясатқа сай тұрақты түрде жасалып, тестіленуі қажет.

  • Қандай ақпарат резервтік көшіруге жататынын нақтылау.
  • Көшіру және қалпына келтіру рәсімдерін құжаттау, дәл әрі толық есептілікті жүргізу.
  • Көшіру көлемін (толық/таңдамалы) және жиілігін белгілеу.
  • Қалпына келтіру рәсімдерін тестілеу және нәтижесін рәсімдеу.
  • Резервтік көшірмелерді шифрлау арқылы қорғау.
  • Үздіксіз жұмыс талаптарына сай көшіру тізбегін және тестілеу мерзімділігін анықтау.
  • Апат/зілзаладан кейін толық қалпына келтіру үшін резервтік көшіру тәртібін белгілеу (жүйелер, қосымшалар, деректер толық қамтылуы тиіс).
  • Сақтау мерзімдерін, соның ішінде мұрағаттық көшірмелер үшін бөлек мерзімді анықтау.

Автоматтандыру

Резервтік көшіру мен қалпына келтіруді жеңілдету үшін операциялар тізбегін автоматтандыруға болады. Мұндай шешім іске қосылар алдында жеткілікті деңгейде тестіленуі тиіс.

4. Жалпы қол жеткізудегі ақпаратты қорғау

  • Жалпыға қолжетімді ақпараттың тұтастығы рұқсатсыз өзгерістерден қорғалуы тиіс.
  • Жария ортаға шығарылатын бағдарламалық қамтамасыз ету, деректер және өзге ақпарат сәйкестендірілген қорғаныс механизмдерімен қорғалуы қажет.
  • Жалпы пайдаланылатын жүйелік ақпарат қолдануға берілер алдында осалдықтар мен тұрақтылыққа тестіленуі тиіс.
  • Ақпарат жалпыға қолжетімді болғанға дейін рұқсат етілетін жариялау үдерісі (approval) орындалуы қажет.
  • Сыртқы жүйелерден келетін барлық кіріс ақпарат тексеріліп, рұқсат етілуі тиіс.

5. Оқиғаларды тіркеу журналы

Оқиғаларды тіркеу журналы құрылып, шартта көрсетілген мерзім бойы сақталуы тиіс. Журналда пайдаланушы операциялары, ерекше жағдайлар және ақпараттық қауіпсіздік оқиғалары тіркеледі.

Журнал жазбалары қамтуы мүмкін деректер

  • Пайдаланушы идентификаторлары (ID) және растау деректері.
  • Негізгі оқиғалардың күні, уақыты және нақты сипаттамасы (мысалы, жүйеден шығу фактісі).
  • Терминал идентификаторы немесе орналасуы (мүмкін болса).
  • Қол жеткізудің сәтті және сәтсіз әрекеттері.
  • Деректерді оқу/алу әрекеттері және бас тартылған әрекеттер туралы мәлімет.
  • Жүйе конфигурациясындағы өзгерістер.
  • Артықшылықтарды (privileged) пайдалану фактілері.
  • Қосымшалар және жүйелік қосалқы бағдарламаларды пайдалану.
  • Қол жеткізілген файлдар және қол жеткізу түрі.
  • Желілік адрестер мен хаттамалар.
  • Қол жеткізуді басқару жүйесінің хабарламалары.
  • Қорғау жүйелерінің тоқтауы немесе істен шығуы (антивирус, басып кіруді анықтау жүйелері және т.б.).

Құпиялылық және тұтастық

Аудит есептері ішкі және жасырын жеке деректерді қамтуы мүмкін, сондықтан құпиялылықты қорғау бойынша тиісті шаралар қабылдануы тиіс. Жүйелік әкімшілер журнал жазбаларын өз бастамасымен өшіруге немесе журналдауды тоқтатуға құқылы емес.

6. Жүйелерді пайдалану мониторингі

Құралдарды, ақпаратты өңдеуді және бағдарламалық қамтамасыз етуді пайдалану мониторингі үшін рәсімдер әзірленіп, іске асырылуы тиіс. Әр құралға қажет мониторинг деңгейі техникалық-жұмыстық жобалау кезеңінде анықталады. Ақпараттық қауіпсіздік пен мониторингке қатысты қолданыстағы нормативтік талаптардың барлығы сақталуы қажет.

Тіркелетін деректер

  • Пайдаланушы ID, негізгі оқиғалардың күні/уақыты, оқиға түрі.
  • Қол жеткізілген файлдар, пайдаланылған бағдарламалар және жүйелік қосалқы бағдарламалар.
  • Жүйені іске қосу/тоқтату, енгізу-шығару құрылғыларын бекіту/босату.

Бақыланатын оқиғалар

  • Артықшылықты операциялар және privileged-аккаунттарды пайдалану (root, әкімші, әзірлеуші және т.б.).
  • Рұқсат етілмеген қол жеткізу әрекеттері және сәтсіз операциялар.
  • Желіаралық экрандар/шлюздер бойынша қол жеткізу құқықтарының бұзылуы, IDS ескертулері.
  • Ескертулер мен істен шығулар, консоль хабарламалары, желіні басқару жүйелерінің ескертулері.
  • Қауіпсіздік жүйелерінің және басқару құралдарының баптауларын өзгерту немесе өзгертуге әрекет.

Қарау жиілігі және тәуекел

Мониторинг нәтижелерін қарау жиілігі тәуекел деңгейімен анықталады. Бағалау кезінде қосымшалардың сыншылдығы, деректердің сезімталдығы, өткен бұзушылық тәжірибесі, байланыстылық деңгейі (әсіресе жалпы желілермен) және тоқтатылған құралдардың есептері ескерілуі тиіс. Құрастырылған есептерді тексеру қатерлерді талдауды, қорғаныс жүйелерімен байланысын және пайда болу табиғатын қамтуы қажет.

7. Оқиғалар журналындағы деректерді қорғау

Оқиғалар және құралдар журналдарындағы ақпарат қасақана бұрмалаудан және рұқсатсыз қол жеткізуден қорғалуы тиіс. Басқару құралдары есептерге рұқсатсыз өзгеріс енгізуді және есеп құру тетіктерінің жұмысына кедергіні болдырмауы қажет.

  • Тіркелетін хабарлама түрлерін рұқсатсыз өзгертуге жол бермеу.
  • Есеп файлдарын редакциялау/жою әрекеттерінен қорғау.
  • Тасымалдаушы сыйымдылығын басқару: толып кетудің салдарынан жазбалардың жоғалуын болдырмау.
  • Сақтау ережелеріне сай аудит есептерін мұрағаттау.
  • Екінші репозиторийге автоматты көшіру және аудит құралдарымен талдауды қолдау.
  • Жүйелік есептерді өзгерту/жою кезінде жалған қауіпсіздік әсері пайда болмауы үшін қосымша қорғау енгізу.

8. Әкімші және оператор журналы

Жүйе әкімшісі мен оператор орындаған операциялар міндетті түрде журналдануы тиіс. Бұл жазбалар әкімшілік әрекеттердің заңдылығы мен әдептілігін бақылауға көмектеседі.

  • Оқиға уақыты және операцияның сәтті/сәтсіз аяқталуы.
  • Оқиға туралы мазмұнды ақпарат (мысалы, кері файлдар) немесе қателер және қабылданған түзету әрекеттері.
  • Қай есептік жазба пайдаланылғаны және нақты қай әкімші/оператор орындағаны.
  • Қандай үдерістер немесе құралдар қолданылғаны.

Қосымша бақылау

Жүйе және желі әкімшілерінің әрекеттерін мониторингтеу үшін басып кіруді анықтау жүйелері қолданылуы мүмкін, әсіресе жүйе қашықтан басқарылған жағдайда.

9. Істен шығуларды тіркеу журналы және уақытты синхрондау

Істен шығулар журналы

Істен шығулар тіркеліп, талдау нәтижесіне сәйкес түзету шаралары қабылдануы тиіс. Ақпаратты өңдеу немесе байланыс жүйелеріндегі проблемалар туралы пайдаланушылар мен жүйелік бағдарламалар хабарлаған жағдайда арнайы журнал жүргізіледі.

Өңдеу ережелері

  • Істен шығу себептерін және толық жойылғанын растау үшін тіркеу есептерін тексеру.
  • Қауіпсіздік басқару құралдары тәуекелге ұшырамағанын және бекітілген түзету шаралары орындалғанын бақылау.
  • Есептерді қосу/өшіру мүмкіндігі әкімші үшін қолжетімді болуы.
  • Журналдаудың көлемі мен деңгейі тәуекелдерді бағалау негізінде анықталуы (жүйе өнімділігіне ықпалын ескере отырып).

Жүйелік сағаттардың үйлесімділігі

Компьютерлік сағаттардың дәл орнатылуы аудит жазбаларының нақтылығын қамтамасыз ету үшін маңызды. Дәл емес уақыт белгілері зерттеуге, сот талқылауына немесе тәртіптік үдерістерге кедергі келтіруі мүмкін.

Синхрондау талаптары

  • «Электрондық үкімет» инфрақұрылымының уақыты дәл уақыт дерегімен синхрондалуы тиіс.
  • Жергілікті уақыт стандартымен келісілген уақытты салыстырып тексеру және ауытқуды түзету үшін қорғалған көліктік ортада бірыңғай уақыт қызметін қолдану.
  • Негізгі уақыт көзі ретінде радиохабар тарату желілері арқылы берілетін дәл уақыт дабылына (ұлттық атомдық уақыт стандартына байланған) сүйену мүмкіндігі.
  • Барлық серверлер үшін уақытты қоюдың желілік хаттамасын (NTP) қолдану мүмкіндігі.

Уақыт және күн жазбаларының сәйкестігін қамтамасыз ету үшін уақыт/күн параметрлерін дұрыс өңдеу міндетті.

10. Қол жеткізуді басқару

Ақпаратқа, ақпаратты өңдеу құралдарына және өндірістік үдерістерге қол жеткізу ақпараттық қауіпсіздік саясатының және қол жеткізуді басқару саясатының талаптарына сәйкес басқарылуы тиіс. Егер саясатта тікелей көзделмесе, қол жеткізу берілмеуі қажет.

Қол жеткізуді басқару саясаты

Саясатта қол жеткізуді басқару ережелері және әр пайдаланушының немесе пайдаланушылар тобының құқықтары нақты көрсетілуі тиіс. Логикалық және физикалық қол жеткізуді басқару бірлесіп қаралады.

  • Жекелеген жүйелер мен қосымшалардың қауіпсіздік талаптары.
  • Ақпаратты біріктіру және ортақ пайдаланудағы тәуекелдер.
  • Ақпаратты жіктеу және «тек қажеттілік бойынша білу» қағидасы.
  • Заңнамалық және шарттық міндеттемелер.
  • Негізгі лауазымдар үшін стандартты пайдаланушы профилі.
  • Рөлдерді бөлу: сұрау, рұқсат ету, әкімшілендіру.
  • Қол жеткізуді тұрақты түрде қайта қарап-тексеру және құқықты жою тәртібі.

Негізгі қағида

Ережелер «ашық түрде рұқсат етілмесе — тыйым салынған» қағидасына сүйенуі тиіс. Бұл «ашық түрде тыйым салынбаса — рұқсат» тәсіліне қарағанда әлдеқайда қауіпсіз.

Пайдаланушы қол жеткізуін басқару

Ақпараттық жүйелер мен қызметтерге қол жеткізуді бөліп тарату үшін нысандық рәсімдер әзірленіп, толық өмірлік циклді қамтуы тиіс: жаңа пайдаланушыны тіркеуден бастап, қол жеткізу қажет болмай қалған кезде тіркеуден шығаруға дейін.

Пайдаланушыны тіркеу және тіркеуден шығару

  • Жауапкершілікті бекіту үшін бірегей ID қолдану.
  • Қажет жағдайда топтық ID қолдану мүмкіндігін қарастыру (жүйе ерекшелігіне сай).
  • Тіркеу/айыру рәсімдері рұқсат етілген және құжатталған болуы, ал рұқсат беруді басшы және жүйе иесі деңгейінде растау.
  • Қол жеткізу деңгейі өндірістік қажеттілікке және қауіпсіздік саясатына сай болуы әрі жұмыс тәртібіне қатер төндірмеуі.
  • Пайдаланушыға қол жеткізу шарттарын жазбаша беру және қажет болғанда қол қойдыру.
  • Қол жеткізуді тек тіркеу рәсімі толық аяқталғаннан кейін беру.
  • Тіркелген тұлғалардың нысандық тізілімін жүргізу және өзектілігін сақтау.
  • Лауазымы өзгерген, бөлімшесі ауысқан немесе ұйымнан кеткен пайдаланушылардың құқықтарын дереу жою немесе оқшаулау.
  • Артық ID және есептік жазбаларды анықтау үшін аудит жүргізу, жою/оқшаулау.
  • ID қайта берілген кезде бұрынғы пайдаланушыға қолжетімсіз болуын қамтамасыз ету.
  • Қызметтік міндеттерге сай үлгілік профиль арқылы құқықтарды жинақтап беру мүмкіндігін қарастыру.

Артықшылықты (privileged) басқару

Бөлінген артықшылықтар қатаң шектеліп, басқарылуы тиіс. Артықшылықтарды тарату оларды тіркеу және бақылау үдерістері арқылы басқарылуы қажет. Бұл бөлімнің жалғасында әрбір жүйелік өнімге тән артықшылық түрлері айқындалып, оларды беру/пайдалану/қайтарып алу тәртібі бекітілуі тиіс.