Қайталау сұрақтары:
- Ақпараттық жүйелердегі ақпараттық қауіпсіздіктің барлық қатерлері қалай бөлінеді?
- Пассивті қауіп-қатерлер дегеніміз не?
- Белсенді қауіптер дегеніміз не?
- Қасақана қауіптер қалай жіктеледі?
- Ішкі қатерлер дегеніміз не?
- Сыртқы қауіп-қатерлер дегеніміз не?
- Ақпараттық қауіпсіздікке және АЖ-нің қалыпты жұмысына негізгі қатерлерге не жатады?
- Құпия ақпараттың сыртқа шығуы дегеніміз не?
- Рұқсат етілмеген қол жетімділік дегеніміз не?
- Ақпаратқа рұқсат етілмеген қол жетімділіктің кең таралған тәсілдерін атаңыз?
Курс тақырыбы: Ақпараттық қауіпсіздік архитектурасы
Сабақ тақырыбы: Қауіпсіздік архитектурасы ұғымы
Ақпараттық жүйелер (АЖ) қауіпсіздік архитектурасы тәуекел моделі мен кәсіпорынның ұйымдастырушылық құрылымына байланысты. Оңтайлы жүйені құру міндеті қойылған мақсаттарға жету және артықтықтан бас тарту негізінде шешіледі.
АЖ қауіпсіздігі архитектурасы туралы түсінік және оның міндеттері
Ұйым негізгі бизнес мақсаттарына негізделген идеалды желілік архитектураны құру мәселесін шешеді. Бір шешім сауда компаниясы үшін қолайлы, ал екінші жаһандық цифрландыру мәселесін шешетін отын-энергетикалық корпорациялар үшін қолайлы болады: нейрондық желілерді қолданудан бастап мұнай бұрғылау қондырғылары мен ұңғымалардың сандық модельдерін құруға дейін. Екі жағдайда да бизнес мақсаттары мен арнайы ресурстардың мөлшері негізгі факторларға айналады.
Қалыпты жағдайда, дамыған бизнесті цифрландыру стратегиясы болмаған кезде, ақпараттық жүйелердің оңтайлы архитектурасын құру проблемасы келесі жағдайда туындайды:
• әр түрлі ведомстволардың ІР саласындағы міндеттері келісілмеген, бұл тәуекелдерді бақылау мен басқарудың бірыңғай жүйесінің болмауына байланысты бағдарламалық қақтығыстарды тудырады;
• Пайдаланушылар мен басшылық IP жүйесін оңтайлы деп санамайды;
• деректерді қорғау құралдарын енгізу құнын және оларды пайдаланудың қаржылық нәтижесін есептеу қажет;
• ақпараттық жүйені дамытуға арналған идеология жоқ, оның даму мақсаттары мен бағыттары, қажетті бағдарламалық жасақтама түрлері немесе оны жаңарту туралы түсінік жоқ.
Егер ақпараттық жүйелер үшін қауіпсіздік архитектурасын құрудың бірыңғай стратегиясы жасалмаса, бірқатар мәселелер туындайды:
• IT бөлімі қаржыландырылмайды, бұл компаниядағы мәселелерді шешудің жалпы тиімділігін төмендетеді;
• пайдаланушылар мен менеджерлер негізгі міндеттер шешілмей жатқандығына, мәліметтердің дұрыс қорғалмағанына, бақылау жүйелерінің болмауына байланысты үнемі ақаулар орын алатындығына, негізгі модульдердің дұрыс жұмыс істемеуінен маңызды ақпараттардың жоғалып кетуіне, пошта сүзгілеу жүйелерінің конфигурацияланбағанына наразы;
• жүйе жеке деректерді қорғау саласындағы реттеушілердің талаптарына сәйкес келмейді;
• жүйе бизнес мақсаттарына сәйкес келмейді, мысалы, өндірістік жабдықтардың датчиктерін немесе тұрғын үй-коммуналдық шаруашылық жүйелерін қашықтықтан басқару мәселесі шешілмеген;
• әр түрлі бөлімдердің жұмысындағы сәйкессіздік ақпараттық қауіпсіздік мәселелерін шешуге және кідіріске әкеледі.
Қосымша тәуекел - бұл желілік архитектураның жеке элементтерін құруға салынған инвестициялардың тиімсіздігі.
Идеал архитектураны құру әдістері
Ақпараттық жүйелер қауіпсіздігі архитектурасы екі компонентке негізделген: тұтастай алғанда ақпараттық қауіпсіздік архитектурасы және кәсіпорынның ұйымдастырушылық құрылымы. Бірақ оның ұйым үшін әзірленген қауіп моделімен байланысты ерекше ерекшеліктері бар. Мұнда тәуекелдер ескеріледі:
• вирустық қауіптер және хакерлік шабуылдар;
• жеке мәліметтердің ағып кетуі;
• құпия ақпараттың таралуы;
• мемлекеттік құпиялардың сақталуы;
• технологиялық немесе бағдарламалық құралдың ақауларына байланысты бүкіл жүйенің немесе оның элементтерінің ақаулығы.
Электрондық және қағаз жүзіндегі ақпарат қорғауға жатады. Маңызды ақпарат бейнеконференцияларда, дауыстық қосымшаларда және IP телефониясында қамтылған. Жүйе осы тәуекелдерді ескеріп, келесілерден қорғауды қамтамасыз етуі керек:
• инсайдерлердің әрекеттері;
• қолданушылардың немесе жүйелік әкімшілердің ойланбаған қателіктері;
• сыртқы тәуекелдер.
Сарапшылар ақпараттық қауіпсіздік тәуекелдерінен қорғау жүйесін дамыту бизнестің жалпы ақпараттық технологиясының архитектурасын дамытудан тәуелсіз болуы керек деп санайды, бұл нақты міндеттерді шоғырландырып, маңызды міндеттерді бөлек шешуге мүмкіндік береді. Қауіпсіздік пен бизнес мақсаттарының сәйкес келмеуі келесі жағдайларда болады:
• маңызды деректерді жоғалту немесе ағып кету қаупін арттыратын бұлтты технологияларды қолдануға деген қызығушылық;
• жауапты қолданушыны анықтауға мүмкіндік бермейтін маңызды шешімдермен жұмыс жасаудың дизайндық және топтық әдістерін қолдану;
• бірнеше пайдаланушылар мен топтар үшін бірыңғай байланыс арналарын қолдану;
• ақпараттық қауіпсіздік тәуекелдерін ескермей клиенттермен белсенді өзара әрекеттесу.
Мұның бәрі бірыңғай жалпы қауіпсіздік периметрін құру мүмкіндігін жоққа шығарады, ал іске асырылған шешімдер бизнесті дамытудың жалпы бағытына қайшы келеді. Ақпараттық қауіпсіздік қызметі оған қарамастан емес, бизнес үшін бар екенін жиі ұмытады. Дәлсіздіктер:
• брандмауэрдегі хаттамалардың қабаттасуы;
• жеке қызметкерлер үшін Интернетке кіру қиындықтары;
• бизнес үшін маңызды веб-сайттарға кіруді бұғаттау.
Нәтижесінде ақпараттық қауіпсіздік бөлімдері бизнестің алдын алу деп атала бастады, яғни олар бизнеске кедергі келтіреді, оған үлес қоспайды. Іске асырылған ақпараттық қауіпсіздік жүйесі үшін кәсіпорынның ұйымдастырушылық құрылымын немесе бизнес-процестерді өзгерту мүмкін емес, керісінше, ол оларға ақпараттық қауіпсіздік жүйесімен сәйкес келуі керек.
Достарыңызбен бөлісу: |