Бақылау сұрақтары Ақпараттық жүйенің негізгі қасиеттері?
Методология концепциясын тәжірибеде жүзеге асатын оның негізгі идеялары?
Техникалық құралдар кешені?
Техникалық қамтамасыз етудегеніміз не?
Құжаттамалаудың түрлері?
Ақпараттық қамтамасыз етуді құру үшін нелер қажет?
10-дәріс. ДӨАЖ-дегі ақпараттарды қорғау Қауіпсіздік саясаты (ұйымдастыру тұрғысынан қарағанда) есептеу және қатынас қорларын пайдалану тәсілін, сондай - ақ, қауіпсіздік режимін бұзудың алдын алу және мән беру процедураларын дұрыс анықтайды. Қауіпсіздік саясатын қалыптастыру іс - әрекетін келесі кезеңдер түрінде қарастыруға болады:
Ұйымдастыру мәселелерін шешу. Бұл кезеңде ақпараттық қауіпсіздік қызметі құралады, ақпараттық қауіпсіздік тұрғысынан қарағанда пайдаланушылардың санаттары, пайдаланушылардың барлық санаттарының жауаптылық деңгейлері, құқықтары және міндеттері анықталады.
Қатерге талдау жасау. Қатерді талдау үрдісі нені қорғау керек, неден қорғау керек және қалай қорғау (істеу) керек деген сияқты сұрақтардың жауабын анықтайды. Мүмкін болатын қатерлердің бәрін қарастырып шығу керек және оларды келтіретін зиянының ықтимал мөлшеріне байланысты жіктеу керек. Қорғанышқа жұмсалатын қаржы қорғалынатын объектінің құнынан аспауға тиісті.
Жеңілдіктерді анықтау. Қорларды пайдалану құқықтары, қорларды қолдану ережелері, әкімшілік жеңілдіктер пайдаланушылардың құқықтары мен міндеттері, жүйелік әкімшілердің құқықтар мен міндеттері, жасырын ақпаратпен жұмыс істеу тіртіптері және тағы басқа анықталады.
Қауіпсіздік саясатының бұзылуына жауап қайтару шараларын анықтау. Қауіпсіздік режимін бұзушыларды табуға және жауапкершілікке тартылуға бағытталған әрекеттер, сонымен қатар, ақпаратты бұрынғы қалпына келтіру және бұзулардың зардаптарын жою шаралары анықталады.
Ұйымдастыру-өкімгерлік құжаттарды дайындау. Қауіпсіздік саясатының негізгі жайлары әр түрлі нұсқауларда, қағидаларда, ережелерде және өкімдерде келтіріледі.
Қауіпсіздік саясаты ақпарат қорғау жүйесінің қауіп-қатерлерге қарсы әрекет жасауға бағатталған құқықтық нормалардың, ұйымдастырушылық (құқықтық) шаралардың, программалық-техникалық құралдар және процедуралық шешімдер кешенінің жиынтығын анықтайды.
Ақпарат қауіпсіздігінің жоғарғы дәрежесіне қол жеткізу тек тиісті ұйымдастыру шараларын қолдану негізінде ғана мүмкін болады. Ұйымдастырушылық шаралар кешенінің құрамына ақпараттық қауіпсіздік қызметін құру, жасақтау және оның іс-әрекеттерін қолдау, ұйымдастыра-өкімгерлік құжаттар жүйесін дайындау жұмыстары, сонай-ақ, қорғаныш жүйесін құруға және оның жұмысын сүйемелдеуге арналған бірқатар ұйымдастырушылық және ұйымдастыру-техникалық шаралар кіреді.
Ұйымдастырушылық және ұйымдастыру-техникалық шаралар жүргізу ақпараттың сыртқа кететін жаңа арналарын дер кезінде табуға, оларды бейтараптандыру шараларын қолдануға, қорғаныш жүйелерін толық жетілдіруге және қауіпсіздік режимін бұзу әрекеттеріне жедел қарсы шара қолдануға мүмкіндік береді.Қатерге талдау жүргізу қауіпсіздік саясатын қалыптастырудың негізгі кезеңі болып табылады.
Ұйымдастыру мәселелерін шешілгеннен кейін программалық-техникалық проблемалардың кезегі келеді - таңдалған қауіпсіздік саясатын іске асыру үшін не істеу керек? Қазіргі уақытта құны атқаратын міндеті және сапасы жағынан әртүрлі болатын ақпарат қорғау құралдарының көптеген түрі бар. Олардың ішінен нақты объектінің ерекшелігіне сай келетінін таңдап алу күрделі мәселелердің бірі болып саналады.
Қауіпсіздік саясаты мынадай элементтерден тұрады: қатынас құруды ерікті басқару, объектілерді қайтадан пайдаланудың қауіпсіздігі, қауіпсіздік тамғасы және қатынас құрудың мәжбүрлі басқару.
Қатынас құрудың ерікті басқару - жеке субъект немесе құрамына осы сцубъект кіретін топтың тұлғасын ескеру негізінде жасалған объектілерге қатынас құруды шектеу. Ерікті басқару - белгілі бір тұлға (әдетте, объектінің иесі) өзінің қарауынша басқа субъектілерге өзінің шешімі бойынша объектігі қатынас құру құқығын бере алады.
Қатынас құрудың ағымдағы жағдайы ерікті басқару кезінде матрица түрінде көрсетіледі. Қатарларында - субектілер, бағандарында - объектілер, ал матрицаның түйіндерінде қатынас құру құқығының (оқу, жазу, орындау және т.б.) кодасы көрсетіледі.
Операциялық жүйелердің және дерекқор басқару жүйелерінің көпшілігі осы ерікті басқаруды жүзеге асырады. Оның негізгі жағымды жағы - икемділігі, ал негізгі кемшіліктері - басқарудың бытырыңқылығы және орталықтандырылған тексерудің күрделілігі, сондай-ақ, қатынас құру құқығының деректерден бөлек қарастырылуы (қаскүнемдер осыны пайдалана отырып құпия ақпараттарды жалпы қол жеткізерлік файлдарға көшіріп алуы мүмкін).
Объектілерді қайтадан пайдаланудың қауіпсіздігі. Бұл элемент құпия ақпаратты «қоқтықтан» кездейсоқ немесе әдейі шығарып алудан сақтайтын қатынас құруды басқаратын құралдардың маңызды қосымшасы болып табылады. Объектілерді қайтадан пайдаланудың мүмкін болатын 3 қаупі бар: жедел жадыны қолдану, сыртқы сақтау құрылғыларын қайтадан пайдалану және ақпарат еңгізу/шығару құрылғыларын қайтадан пайдалану.
Қорғаныш тәсілдерінің бірі - құпия ақпаратпен жұмыс істегеннен кейін жедел жадыда немесе аралық жадыны тазалау. Жақсы әдіс деп тегерішті нығыздау программаларын қолдануды да санауға болады.
Мәселен, принтерлердің аралық жадында құжаттардың бірнеше беті сақталып қалуы мүмкін. Олар басу үрдісі аяқталған соң да жадыда қалып қояды. Сондықтан оларды арашықтан шығарып тастау үшін арнаулы шаралар қолдану қажет. Әдетте кездейсоқ биттер тізбегін үш қайталап жазу жеткілікті болады.
«Субъектілерді қайтадан пайдаланудың» қауіпсіздігі жайында да қамдану керек. Пайдаланушы ұйымнан кеткен кезде оны жүйеге кіру мүмкіншіліктерінен айыру және барлық объектілерге оның қатынас құруына тиым салу керек.