ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 11.12.2023
Просмотров: 75
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
- қауіпсіздікті камтамасыз ету;
- Қорғаныс - Қорғаныс министрлігі;
- шетелдік барлау;
- техникалық барлауға жэне ақпараттың техникалық қорғалуына қарсы әрекет;
- басқа органдар.
Құпия ақпарат - құқықтық режимі мемлекеттік, коммерциялық,өнеркәсіптік жэне басқа да қоғамдық қызмет саласында қолданыстағызаңнаманың арнайы нормаларымен қүрылған күжатталған ақпарат. Бұл ақпарат түрлі мекемелерге, үйымдарға жэне жеке түлғаларға тиесілі. Мемлекет басшысының «Құпиялы ақпараттар тізбесі» туралы
Жарлығында құпия ақпарат алты түрге бөлінеді:
- тергеу және сот ісін жүргізу құпиясы;
- қызметтік құпия;
- кәсіптік құпия;
-
АҚПАРАТТЫ ҚОРҒАУДЫҢ ӘДІСТЕМЕСІ
2.1 Ақпараттық қауіпсіздік жүйесін қүру
принциптері мен қүру бағыттары
Ақпараттық қауіпсіздік жүйесін қүру принциптері
Жүйелік принцип. Жүйелік көзқарас қауіпсіздікті қамтамасыз ету проблемасын түсіну мен шешу үшін маңызы бар барлық өзара байланысты, езара әрекеттесетін және уақытша өзгеретін элементтер,жағдайлар мен факторларды ескеру қажеттілігін білдіреді.
Кешенділік принципі қауіп-қатерлерді іске асыру үшін болуы мүмкін барлық арналарды жабатын және жеке қүрамдас бөліктерінің бірігуінде әлсіз нүктелерден күрылмайтын түтас ақпараттық кауіпсіздік жүйесінің қүрудагы эртүрлі қүралдарды келісілген қолдануды білдіреді.
Қоргаудың үздіксіздік принципі. Ақпаратты қоргау - бүл бір-ақ рет жүргізілетін шара емес, сонымен қатар ақпараттық жүйе емірлік циклінің барлық кезеңдеріне (жүмыс істеу кезеңінде гана емес, бастапқы жобалау кезеңдерінен бастап) сәйкес тиісті шараларды қабылдауды қамтитын үздіксіз мақсатты үрдіс.
Ақылга жеткілікті принципі. Абсолютті шешілмейтін қауіпсіздік жүйесін қүру мүлдем мүмкін емес. Мүмкін болатын шығындардың, қауіпқатердің және ықтимал залалдың мөлшері дүрыс болатын қорғаудың жеткілікті деңгейін таңдау маңызды.
Басқару мен қолданудың икемділік принципі. Қабылданған шаралар мен орнатылған қорғау қүралдары, әсіресе олардың жүмыс істеп түрған алғашқы кезеңінде, шамадан тыс және жеткіліксіз қауіпсіздікті қамтамасыз етуі мүмкін. Бүл принцип сыртқы жағдайлар мен уақыт бойынша талаптардың өзгеруіне байланысты қоргау деңгейін өзгерту мүмкіндігін білдіреді.
Қорғау алгоритмдері мен механизмдерінің ашықтық принципі. Бүл принциптің мәні мынада, бүл қорғаныс тек қана қүрылымдық үйымның қүпиялылыгы мен оның кіші жүйелерінің жүмыс істеу алгоритмдері есебінен қамтамасыз етілмеуі керек. Қорғаныс жүйесінің алгоритмдерін білу тіпті оны қорғауды эзірлеуші адамға жеңуге мүмкіндік бермейді.
Қорғау шаралары мен қүралдарын пайдаланудың қарапайымдылық принципі. Қорғаныс жабдығын пайдалану арнайы тілдерді білуімен немесе заңды пайдаланушылардың қалыпты жүмысында елеулі қосымша жүмыс күшін талап ететін іс-әрекеттерді жүзеге асырумен байланысты болмауы керек жэне пайдаланушыға түсініксіз күнделікті операцияларды орындауды талап етпеуі керек.
АҚЖ (ақпараттық қауіпсіздік жүйесі) күру бні ыттары
АҚЖ-нің дамуы үш параллельді бағыт бойынша жүргізілуі керек:эдістемелік, үйымдастырушылық және техникалық.
Әдістемелік нүеқаулық келесі мәселелерді шешуге мүмкіндік береді:
- Ақпараттық ағындарды (АА) анықтау жэне синаттау әдістемесін
әзірлеу, яғнн, ақпаратпен жүмыс іетеу тәртібін ресми және нақты сипаттау;
- қүпия ақпарат санаттарын анықтау және осы санагтар бойынша ақпаратты жіктеуді дамыту;
- қүпиялылық матрицасын қүру;
- қүпия ақпаратты жариялаудың ықтимап жолдарын анықтау, яғни қауіпті модельдер;
- әрбір қауіп пен шабуыл үшін бүзушы моделін анықтау;
- барлық қүпиялылық матрицасы үшін қауіп деңгейлерін анықтау,
яғни, әр шабуылдың жүзеге асырылу ықтималдығы мен әрбір шабуылдың шығындарының мүмкіндіғін анықтау.
Ұйымдастыру жүмысының аясында ережелер жиынтығы (басқару қүжаттары) жасалады, олар үсыну нысанына қарамастан ақпаратпен жұмыс жасаудағы қызметкерлердің жүмыс реттейді.
¥йымдастыру бағыты:
- кәсіпорынның ақпараттық қүрылымын талдау;
- қауіпсіздікпен қамтамасыз ету ережелерін эзірлеу;
- қызметкерлермен жұмыс істеу кезінде әдіснаманы қолдану;
- жүйенің қауіпсіздіғінің сипаттамаларына қойылатын талаптарды нақтылау жөніндегі жүмыс;
- ақпараттық қатынастардың субъектілерінің жэне объектілерінің қүпиялылық санаттары бойынша жіктеу;
- олардың өзара әрекеттесуінің қолжетімді нысандарын анықтау және т.б.
Қауіпсіздікті қамтамасыз ету туралы ереже - оны өңдеудің фазасына жэне қүпиялылық санатына қарай қүпия ақпаратты (ҚА) өңдеу ережелерін реттейтін қүжаттар жиынтығы. Ережелерде эдіетемелік, экімшілік жэне техникалық шарапар кешені аныкталуы тиіс, соның ішінде:
- ҚА-ты қамтамасыз ету үшін жауапты бөлімше құру;
- қызметкерлердің КД-ға қолжетімділік ретін жэне оларға жүктелген міндеттерді, шектеулер мен шарттарын анықтау;
- ҚА-қа жіберілген кызметкерлерді анықтау;
- ҚА классификациясы жэне онымен санаттар бойынша жұмыс істеу;
- жұмыстар мен ақпараттардың құпиялылық санатын өзгерту тэртібі;
- санаттар бойынша қүпия жүмыстар жүргізілетін жэне ҚА өңделетін бөлмелерге қойылатын талаптар;
- құпия іс жүргізуге қойылатын талаптары;
2.2 Ақпараттық қауіпсіздікті қамтамасыз етудің
әдістері мен қүралдары
АҚ-ті қамтамасыз ету эдістері
Қолжетімділікті басқару - барлық АЖ ресурстарын пайдалануды реттеу арқылы ақпаратты қорғау эдісі. Қолжетімділікті басқару келесідей қорғау қызметтерін қамтиды:
- жүйенің пайдаланушыларын, қызметкерлерді жэне ресурстарды сэйкестендіру,
- объектілер мен субъектілердің түпнүсқалылығын,
- субъекттің қауіпсіздік ережелеріне сай келетін өкілеттігін тексеру,
- регламенттердің шеңберінде еңбек жагдайларына рүқсат ету және құру,
- қорғалатын ресурстарға өтініштерді тіркеу,
- рұқсатсыз іс-шараларға жауап беру (өтініштен бас тарту, жұмысты кешіктіру, өшіру, дабыл).
Кедергі - АЖ ресурстарына зиянкестердің жолын физикалық түрде кедергі жасау эдісі.
Бүркемелеу - крипографиялық жэне стиганографиялық қоргау әдісі.
Регламентация - рүқсатсыз қол жеткізу мүмкіндігі барынша азаюға үшырайтын, қорғалатын ақпаратты автоматтандырылган өңдеу, сақтау жэне беру ортасын жасайтын ақпаратты қорғау әдісі.
Мәжбүрлеу - бұл пайдаланушылар мен АЖ қызметкерлері материалдық, экімшілік немесе қылмыстық жауапкершілік қаупі бар қорғалған ақпаратты өңдеу, беру және пайдалану ережелерін сақтауға мәжбүрлейтін қорғау эдісі.
Қозғау салу (побуждение) - пайдаланушылар мен жүйелік қызметкерлерді белгіленген моральдық нормаларды бұзбауга шақыратын қоргау эдісі.
Қауіпсіздікті қамтамасыздандырудың аталган эдістері іс жүзінде эр түрлі қорғаныс қүралдарын пайдалану арқылы іске асырылады, олар екі класқа бөлінеді:
Формальды - адамның тікелей қатыеуынсыч алдын-ала белгіленген рәсімге сәйкес корғау функцияларын орындау;
Бейресми - адамның мақсатты қызметі арқылы анықталады немесе осы қызметті реттейді.
Ақпаратты қорғау құралдары:
Техникалық күралдар электрлік, элекгромеханикалық және электронды қүрылғылар түрінде жүзеге асырылады. Аппараттық және физикалық болып бөлінеді.
Аппараттық қүралдар деп тікелей АЖ ендірілген қүрылғылар немесе стандартты интерфейсті (электрондық кілттер, аппараггық шифрлау схемалары) пайдаланып, осы жабдықпен тіркелетіи құрылғыларды түсінеміз.
Физикалық қүралдар автономдық құрылғылар мен жүйелер (дабыл жабдығы, есіктер, торлар) түрінде жүзеге асырылады.
Бағдарламалық қүрал ақпараттық қауіпсіздік функцияларын орындау үшін арнайы жасалған бағдарламалық қамтамасыздандыру болып табылады. Бұл құралдар ақпараттық қауіпсіздік технологияларын дамытудың бастапқы сатыларында қорғау механизмдерінің негізін құрды.
Бағдарламалық құралдар қызметтері бойынша былай бөлінеді:
- қолжетімділікті бақылау құралдары,
- аудит құралдары,
- шабуылды бұғаттау құралдары (желіаралық экрандар),
- осалдығын іздеу құралдары (қауіпсіздік сканерлері),
- бағдарламалық кодтарды талдау құралдары.
Қоргаудың ұйымдастыру құралдары АЖ-нің өмірлік циклінің (үйжайлардың құрылысы, АЖ-ні тестілеу, монтаждау жэне күралжабдықтарды жөндеу, тэжірибеден өткізу жэне пайдалану) барлық кезеңдерінде жүзеге асырылатын ұйымдастырушылық-техникалық және ұйымдастырушылық -құқықтық іс-шаралар болып табылады.
Құқықтық қорғау қүрапдары қүпия ақпаратты пайдалану, өндеу жэне беру ережелерін реттейтін жэне де ережелерді бүзу жөніндегі жауапкершіліктерді белгілейтін заңдармен жэне басқа да күжаттармен анықталады.
Моральды-этикалық қорғау қүралдары АТ-ның дамуының мүмкіндігіне қарай пайда болатын нормативтік құқықтық нысандары күйінде жүзеге асырылады. Бүл ережелер заңдар сияқты міндетті емес, бірақ олардың сақталмауы ұйымның немесе адамның беделінің жоғалуына экелуі мүмкін.
Қазіргі уақытта АҚН құралдарын дамытудың келесі үрдістері бар:
- негізгі қоргау функцияларын аппараттық жүзеге асыру,
- бірнеше қорғаныш функцияларын орындайтын кешенді қорғаныс құралдарын қүру,
- алгоритмдерді жэне техникалық құралдарды біріктіру және стандарттау.
3 АҚПАРАТТЫҚ ҚАУІПСІЗДІК МҒХАНИЗМДЕРІ
3.1 Идентификация және аутснтификация
Ақпараттық қауіпсіздіктің төмендегідей концептуалды механизмдері бар: идентификация және аутентификация; енуді бақылау және басқару; протоколдау және аудит; шифрлау; тұтастылықты бақылау; экрандау.
Ақпаратты сенімді қорғау үшін жоғарыда аталған механизмдер кешенін жүзеғе асыру қажет. Олардың кейбіреулері толығымен іске асуы мүмкін, ал басқалары - жоқ. АЖ-ны қорғау бірінші кезекте идентификация және аутентификация механизмін іске асыруға байланысты
Идентификатор - берілғен жүйеде объектіғе немесе субъектіге сәйкес келетін символдар жиынтығы.
Идентификация - ақпараттық өзара байланыс үрдісінің қатысушысын, оған қандай да бір ақпараттық қауіпсіздік аспектілерін қолданбай түрып тану.
Пароль - үсынылатын идентификаторға субъектінің сэйкестігін растауға мүмкіндік беретін қүпия символдар жиынтығы.
Аутентификация - ақпараттық өзара байланыс қатысушысының дүрыс анықталуына сенімділікті қамтамасыз ету.