ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 12.01.2024
Просмотров: 59
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
2 апта
№2 дәрістің тақырыбы: АҚ аймағындағы стандарттарға жалпы шолу
Мақсаты: АҚ аймағындағы стандарттар туралы түсінік беру
Сағат 1
Негізгі сұрақтар. Қауіпсіздік саласындағы халықаралық және отандық стандарттар.
Соңғы жылдары электрондық ақпараттық қызметтерге сұраныс өсуіне және де компьютерлік жүйелермен желілердің дамуына байланысты ақпаратты қорғау мәселелері күрделене түсті. Ақпараттық қауіпсіздікті қамтамасыз ету, ұсынылып жатқан шешімдерді тиімді бағалау АТ (ақпараттық технологиялар) – құралдарын өңдеушілерге, қолданушыларға және эксперттерге – жалпы айтқанда АТ-субъектілеріне стандарттау сұрақтарын өзекті қылып отыр. АҚ стандарттарының маңызды міндеті болып АТ-өнімдерін қолдануда қауіпсіздік шараларын бағалауда жоғарыда аталған АТ-субъектілердің өзара әрекеттесу негізін бекіту болып келеді.
Тарихта белгілі ең алғашқы стандарттардың бірі – 1983 жылы АҚШ әскери министрлігінің басқаруымен компьютерлік қауіпсіздік саласында стандарттар жүйесін анықтайтын «Компьютерлік жүйелердің қауіпсіздігін бағалау өлшемі (критерийлері)» атты құжат жасалынды. Бұл құжат баспанада шыққан мұқаба түсіне байланысты «Қызғылт сары кітап» деп аталып кетті. Бұл құжатта төрт қауіпсіздік деңгейі (кластары) анықталған, олар: D, C, B және A.
С және В сенім деңгейлерінің біртіндеп өсуі бойынша кластарға (С1, C2, B1, B2, B3) бөлінеді. Қауіпсіздіктің алты класы бар - C1, C2, B1, B2, B3, A1. Сертификация кезінде жүйені белгілі бір кластарға жатқызу үшін, оның қауіпсіздік саясаты мен кепілдеме деңгейі маңызды талаптарды қанағаттандыру қажет.
Кесте 1 – Ақпараттық қауіпсіздік кластары
Қауіпсіздік кластары | Қауіпсіздік кластың аталуы |
С1 класы | Дискретті қорғау |
C2 класы | Қатынауды толық басқару |
В1 класы | Мандатты қорғау |
В2 класы | Құрылымданған қорғау |
В3 класы | Қауіпсіздік домендер |
А класы | Верификацияланған қауіпсіздік |
Сертификациялау процедурасы нәтижесінде жүйе аталған деңгейлердің біреуіне кіретіні анықталып, оның қауіпсіздік деңгейі, қауіпсіздік талаптарының орындалуы
нақтыланады.
Соңғы кезде ақпаратты қорғау аймағында стандарттардың жаңа, халықаралық топтамасы, өмірге келді. Бұл топтамада АҚ басқару стандарттары ISO 15408:1998, ISO/IEC 177999:2002, ISO/IEC 27001:2005 компанияның
ақпараттық қауіпсіздігін басқаруының практикалық сұрақтарына арналған, ал IEE 802.11:1997 стандарты сымсыз желілерге арналған.
ISO/IEC 27001:2005 «Ақпараттық технологиялар. Қорғау әдістері. Ақпаратты қорғау менеджмент жүйелері» халықаралық стандарты ақпараттың құпиялылығын, тұтастығын және қол жетімділігін сақтау арқылы кәсіпорынның ақпараттық активтерін қорғау менеджментіне қойылатын талаптарды ұсынады. Менеджмент жүйесі ұйымдастыру құрылымын, саясатты, жоспарлауды, жауапкершілікті, процедураларды, процестерді және ресурстарды қамтиды. Ақпараттық қауіпсіздік менеджмент жүйесін (бұдан кейін – АҚМЖ) ендіру жоспарын іске асыру тәуекелдерді, қауіптерді басқару және ақпараттық қауіпсіздік саласындағы заңнамалық және нормативтік талаптарға сәйкес болу арқылы ақпараттық активтердің қорғалуын қамтамасыз етеді. АҚМЖ аясындағы ақпараттық қауіпсіздік саласындағы саясат және мақсаттар мүдделі тараптардың сенімін арттырады. Халықаралық ISO/IEC 27001:2005 стандарты «Ақпараттық технологиялар – Қорғау әдістері – Ақпаратты қауіпсіздікті басқару жүйесі – Талаптар» британдық BS 7799-2:2002 стандарт негізінде стандартизациялау бойынша Халықаралық ұйыммен (ISO) және Халықаралық электротехникалық комиссиясымен дамытылған. ISO/IEC 27001:2005 стандарты ұйымның ақпараттық қаржыларын қорғау қабілеттерін жариялау үшін ақпараттық қауіпсіздікті басқару жүйеге (бұдан кейін – АҚБЖ) талаптарды бекітеді. Аталмыш стандарттың талаптары жалпы қамттылған және барлық ұйымдар олардың түріне, көлеміне, меншіктік формасына сәйкес қолдана алады.
2010 жылдың 9-шы тамызында БТА Банкі халықаралық ISO/IEC 27001:2005 стандартқа сәйкес әзірленген АҚБЖ–ін енгізді. Үшінші сертификациялық аудитті өткізу нәтижесінен кейін ISO/IEC 27001:2005 стандартының сертификаты расталып, Банктің АҚБЖ құрылымы стандарттың барлық талаптарына сәйкес толық қабылданды. БТА Банкі халықаралық ISO/IEC 27001:2005 стандартқа сәйкес АҚБЖ енгізуді соңына жеткізген бірінші қазақстандық банк. АҚБЖ-нің әрекет ету саласы «БТА – оnline» заңды тұлғаларын қашықтан банктік қызмет көрсету жүйесімен қызмет етеді, яғни сертификацияның нәтижесінде халықаралық сарапшылар жоғары деңгейдегі қорғалған сервис деп қабылдады. БТА Банкіне ISO/IEC 27001:2005 сертификатын алу инвестициялық компаниялар тарапынан сенімді ұлғайтады, сонымен қатар АҚБЖ үшінші жақтың бекітілмеген қолжетімділігін болдырмау және ақпараттарды құпия ұстау арқылы клиенттердің Банк жұмысына сенімділігін бекітеді. Халықаралық ISO/IEC 27001:2005 стандартқа сәйкес АҚБЖ-ны жетілдіру Банктің IT-стратегиялық дамуының маңызды бір бөлігі болып табылады.
Әр ақпаратты пайдаланушы заңнамалы немесе физикалық тұлға өз қауіпсіздік саясатын стандарттарда бекітілген талаптарға сәйкес қалыптастыру тиімді екенін түсіну қажет. Тек сол жағдай да ғана оның қауіпсіздік деңгейі қанағаттанарлық деп саналып, оны бағалау мүмкіншілігі бар. Халықаралық стандарттар аймағында жұмыс ұйымдастыру ақпараттық жүйенің кең ақпарат кеңістігінде қауіпсіздік талаптарын орындауға мүмкіншілігі болып, сенімді жүйелер қатарында даму өте абыройлы.
Ақпараттық ресурстарға рұқсат етілмеген қатынас жасаудан қорғау, ақпараттық жүйенің қауіпсіздігін қамтамасыз ету әр мекеменің маңызды ақпараттық қауіпсіздік кешендерінің бірі. Ақпараттық жүйенің қауіпсіздігі – бұл компьютерлік жүйеде қалыпты қызмет істеуге немесе ақпаратты иелену құқығын бұзатын оқиғаларды, әрекеттерді болдырмауға бағытталған ұйымдастырушылық және техникалық шаралар жүйесінің қызмет көрсету жәй- күйі.
Компьютерлік жүйеге төнетін қауіптер:
-
Табиғи қауіптер (дауыл, су тасқыны, өрт, және т.б.), бұлар компьютерлік жүйенің физикалық зақымдануына, не ақпараттың жойылуына әкеліп соғады; -
Техникалық ақаулар. Оған қоректену мәселелері, аппаратураның істен шығуы, электромагниттік сәуленің әсері, байланыс арналарының кедергілері; -
Абайсызда жіберілген қателер. Бұл операторлар мен әкімшілердің байқамай қате жіберуі, осының нәтижесінде ақпараттың жоғалуы немесе жүйе жұмысында кідірістің болуы; -
Әдейі жасалған (заңсыздық) қатынау. Зиян келтіру үшін қасақана әрекет жасалуы мүмкін.
Қауіпсіз жүйенің жұмысы ақпараттық қауіпсіздік саясатына негізделіп және де кепілдік беруші нақты қорғау механизмдер арқылы жүзеге асады. Маңызды қорғау механизмдерінің бірі – сенімді есептеу базасының сапалық қызметі. Бұл қызмет жүйедегі қатынауды бақылау (қатынаулар мониторы), үрдістерді қадағалау, сұраныстарды тексерумен анықталған. Сенімді жүйе барлық қауіпсіздікке байланысты оқиғаларды тіркеп отыруға жауапты. Сапалы есептеу базасының келесі қасиеттері болуға тиіс:
-
Оқшауланғандық. Монитордың жұмысын қадағалау мүмкіндігін алдын- ала хабарлау қажет. -
Толықтылық. Монитор әрбір қатынауға талпыныс жүргізілгенде шақырылуға тиісті, оны елеумеу тәсілі болмау керек. -
Тексерілетіндік (верифицируемость). Монитор талдауға, тестілеуге және де тестілеудің толықтылығына сенімді болуға жағдай жасауға тиісті.
Қарым-қатынас (қатынаулар) мониторы практикада «қауіпсіздік ядросын» құрайды. Қауіпсіздік ядросы өзінің өзгеріссіз екендігіне кепілдік бере алу керек.
Қазақстандық ҚР СТ ГОСТ Р ИСО/МЭК 15408-2-2006 стандарт, Ресей Федерациясы стандартымен сәйкестендірілген. Осы стандартты қолдану барысында, Ресей Федерациясының ұлттық стандартына жасалған сілтемелердің орнына Р қосымшасында берілген мәліметтер бойынша мемлекеттік стандарттардың сілтемелері қолданылған. Бұл стандартта ақпараттық технологиялардың қауіпсіздігін бағалаудың жалпы өлшемдері берілген және белгілі бір ережелер бойынша бөлшектеп талдау және мағынасын ашу мүмкін болатын қауіпсіздіктің функционалдық талаптарының жүйеленген әмбебап каталогы ұсынылған.
Кластардың сипаты қауіпсіздік мақсаттарына жетуге атсалысатын кластар тобын тұтас қамтиды. Функционалдық кластарды анықтау, талаптарды арнайы дайындау барысында ешқандай ресми таксономиясы көрсетілмейді.
Ақпараттық қауіпсіздігін қамтамасыз етуде мекеменің ақпараттық тәуекелін талдау және оларды басқару есептеріне көп көңіл бөлінеді. Ақпараттық қауіпсіздігін қамтамасыз ету режимі жұмыстарын және тәуекелдерді басқару және талдау есептерін орны мен рөлдерін қарастырайық. Мекеме өлшемі мен оның ақпараттық жүйесінің сипатына қарамастан ақпараттық қауіпсіздік режимін қамтамасыз ету жұмыстары әдетте келесі кезеңдерден тұрады:
-
қауіпсіздік саясатын қалыптастыру; -
ақпарат қауіпсіздігі жүйесінің саласын анықтау және оның құрылу мақсаттарын нақтылау; -
тәуекелдерді бағалау; -
ақпараттық қауіпсіздік режимін қамтамасыз ететін шараларды таңдау; -
тәуекелдерді басқару; -
ақпарат қауіпсіздігін басқару жүйесінің аудитін ұйымдастыру;
Ереже бойынша қауіпсіздік саясатын анықтауда бір қатар тәжірибелік қадамдар келтіріледі.
-
қадам. Ақпараттық қауіпсіздік саласында ұлттық халықаралық жетекші құжаттар мен стандарттарды таңдау. Олардың негізінде мекеменің ақпараттық қауіпсіздік саясатының қосымшалары мен негізгі талаптарын қалыптастыру:
-
есептеу техникасы құралдарына программалар мен мәліметтерге қатынасты және антивирустық қорғауды басқару; -
қосымша көшіру сұрақтары; -
жөндеу және қалпына келтіру жұмыстарын жүргізу; -
ақпараттық қауіпсіздік саласындағы келеңсіз оқиғалар жөнінде ақпарат беру.
-
қадам. Ақпараттық тәуекелдерді басқаруды қалыптастыру және компьютерлік ақпараттық жүйелердің (КАЖ) қорғалу деңгейін талдау жөнінде шешім қабылдау. Осы қауіпсіздік деңгейлеріне ақпараттық тәуекелдерді талдаудың минималды және толық нұсқасы сай келеді. -
қадам. Келесі негізгі деңгейлер бойынша ақпаратты қорғау жөнінде шарларды реттеу: басқарушылық, процедуралық және бағдарлама техникалық. -
қадам. Ақпараттық қауіпсіздік саласындағы стандарттарға сәйкес КАЖ сертификация мен акредитация қатарын орнату.
Соңғы жылдары технологиясы дамыған әртүрлі елдердің кәсіпорындарында ақпараттық қауіпсіздік режимінің тәжірибелік сұрақтарына арналған ақпараттық қауіпсіздік стандарттарының жаңа буындары пайда болды.
Бұл алдымен ақпарат қауіпсіздігінің бағалауы және оны басқаруының халықаралық, мемлекеттік стандарттары – ISO/IEC 15408, ISO/IEC 17799, COBIT, SAC, COSO, SAS 55/78 және т.б.
Кез-келген компанияның ақпараттық қауіпсіздік режимі жоғарыдағы стандарттарға сай келесілерден тұрады.
-
Біріншіден, компаниядағы ақпараттық қауіпсіздігін қамтамасыз ету мақсатын анықтау. -
Екіншіден, ақпарат қауіпсіздігі мен тиімді басқару жүйесін құру. -
Үшіншіден, мақсаттар ақпарат қауіпсіздігіне сай бағалау үшін мөлшерленген және сапалы көрсеткіштердің бөлшектенген жиынтықтарын есептеу. -
Төртіншіден, ақпарат қауіпсіздігін қамтамасыз ету және оның ағымдағы жағдайын бағалау аспаптарын қолдану. -
Бесіншіден, тәуекел талдауының үрдісінде және істің ағымдағы жағдайын объективті бағалауға мүмкіндік беретін басқарулар әдістемесін (жүйелік критерийлер және ақпарат қауіпсіздігін қамтамасыз ету өлшемінің түсініктемесі) қолдау.
Халықаралық ISO/IEC 17799-2005 стандартына балама болып, Қазақстан Республикасының мемлекеттік стандарты ҚР СТ ИСО/МЭК 17799-2006 құрылды. Осы мемлекеттік стандарт ұйымда ақпараттық қауіпсіздігін қолдауға, іске асыруға және басшылығын жетілдіруге арналған негізгі жетекші қағидаттарды белгілейді. Стандартта берілген мақсаттар ақпараттық қауіпсіздікті басқарудың жалпы қабылданған міндеттерді шешу жөніндегі жалпы басшылықты қамтамасыз етеді. Осы стандарттың мақсаттары және бақылау шаралары тәуекелді бағалаумен сәйкестендірілген талаптарға сәйкес келу мақсатында іске асыруға арналған.
Сурет 1 – Ақпараттық қауіпсіздікті бақылау ұсыныстары
Осы бақылау шаралары көптеген ұйымдарда және көптеген ортада қолданады. Осы стандарттағы барлық бақылау шаралары маңызды болғанда да және ұйымдағы ерекше тәуекелдерінен қарағанда кез келген бақылау шараларының перменділігі есептелген болуын белгілеу қажет болады. Сондықтан, жоғары айтылған жақындау жақсы жөнелтілген жері болып саналса да, ол тәуекелді бағалауда негізделген бақылау шаралардың таңдауын ауыстырып қоймайды. Тәжірибеде көрсеткендей, ұйымның ішінде ақпараттық қауіпсіздіктің тиімді іске асырылуы үшін жиі сыни факторлар болады.