Киберқауіпсіздікке қолжеткізу үшін қорғаныш тетіктері мен стандарттары
Биометриялық деректер – тұтастығы мен қауіпсіздігі жоғары деңгейде қамтамасыз етілуі тиісті дербес деректер болып табылады. Ақпараттық қауіпсіздікті қамтамасыз етуге бағытталған бірқатар физикалық, техникалық, бағдарламалық, криптографиялық және әкімшілік шараларды көздеу қажет.
Бұдан басқа, уәкілетті мемлекеттік органдардың ақпараттық ресурстарында сақталатын биометриялық деректер қорғалған контурдан шықпайтынын ескерген жөн. Осы тәсілді қамтамасыз ету үшін жеке және биометриялық ақпаратты физикалық әр түрлі деректер банкінде сақтауды қамтамасыз ететін, олардың біреуіне қол жеткізу жеке тұлғаның жеке басын анықтауға мүмкіндік бермейтін таратылған қол жеткізу жүйесі құрылады. Бұдан басқа, платформаның барлық компоненттері мемлекеттік органдардың қорғалған контурында орналастырылатын болады.
Бұл тәсіл алаяқтық және өзге де кибер тәуекелдерді барынша азайтуға ықпал етеді.
Биометриялық деректерді беруді қорғауды қамтамасыз ету мақсатында ДД-ға, перифериялық жабдыққа олардың ANSI/INCITS 378-2004, NIST-500-290 сияқты танылған халықаралық стандарттарға сәйкестігі бөлігінде қойылатын талаптар нақты айқындалатын болады.
Сақталатын деректердің конфиденциалдылығын қамтамасыз ету үшін криптографиялық шифрлау алгоритмдерінің әртүрлі нысандарын қолдануға болады. Шифрлау алгоритмдері шифрланған деректерді алу үшін биометриялық мәліметтерге қолданылады және шифрланған деректер биометриялық деректер туралы ақпарат бермейтін етіп жасалған.
Техникалық шаралардан басқа, тиісті саясаттар мен регламенттерді әзірлеуді қамтитын ұйымдастыру шаралары да қабылданатын болады.
Алайда, ақпараттық қауіпсіздікті басқару жүйесі Жалпы құрамдас бөлік болып табылатынын және ҰЦБСБ шеңберінде жүйені әзірлеу ретінде қарастырылмауға тиіс екенін атап өтеміз.
Қосымшалар деңгейінде қауіпсіздіктің 8 негізгі функциясын атап көрсету қажет:
Пайдаланушылардың сәйкестендіруі мен қолжетімділігін басқару. Пайдаланушыларды (супер пайдаланушыларды) сәйкестендіру мен қолжетімділігін басқару цифрлық қауіпсіздіктің негізгі құрамдас бөлігі компоненті болып табылады;
Үшінші тараптардың (қызмет жеткізушілердің) тәуекелдерін басқару;
API қауіпсіздігі (Application Program Interface) - аутентификацияны, қолжетімділікті бақылауды, параметрлерді тексеруді және шифрлауды қоса алғанда, сұратулар немесе транзакциялар үшін ашық API басқаруға және олардың қауіпсіздігін қамтамасыз етуге арналған процестер мен құралдар;
Осалдықтарды басқару – кодты тексеру құралдарынан, енуді тестілеудің және осалдықты анықтау процестерінің бірізділігінен тұратын бағдарлама, бұл әзірлеуден бастап орналастыруға дейінгі қосымшалардың қауіпсіздігін үнемі бағалауға мүмкіндік береді;
Алаяқтықты мониторингтеу – алаяқтық белгілері ретінде бағаланатын пайдаланушылардың іс-әрекетіндегі ауытқуларды анықтау және ескертулерге ден қою үшін бірнеше арналардағы деректерді мониторингтеу. Алаяқтықты мониторингтеу профилактикалық немесе детективтік болуы мүмкін;
Іс-әрекет талдамасы – осы модельдердегі ауытқуларды анықтау мақсатында пайдаланушылар іс-әрекетінің модельдерін түсіну және негізді түрде анықтау. Бұл алаяқтықты анықтау және қосымша деректерді қажет ететін тәуекелі жоғары операцияларды анықтау үшін қолданылады;
Қатерлерді барлау – белгілі қатерлердің индикаторлары болып табылатын ішкі және сыртқы көздерден мәліметтер жинау. Бұл құрылғылар туралы мәліметтер, IP-адрестер туралы ақпарат, жалған электрондық пошта мекенжайлары немесе қатерлерді анықтайтын кез келген басқа ақпарат болуы мүмкін;
Құрылғыларды талдау – құрылғыны сәйкестендіруді, оның тиесілігін, геолокациясын және ОЖ туралы ақпаратты қоса алғанда, қауіпсіздікті қамтамасыз ету үшін анағұрлым тиімді шешімдер қабылдау үшін құрылғы туралы деректерді жинау және өңдеу.
Техникалық реттеу мақсатында халықаралық стандарттарды үйлестіруді қарастыру қажет:
ISO/IEC 19989-1:2020 Information security — Criteria and methodology for security evaluation of biometric systems — Part 1: Framework
ISO/IEC 19989-2:2020 Information security — Criteria and methodology for security evaluation of biometric systems — Part 2: Biometric recognition performance
ISO/IEC 19989-3:2020 Information security — Criteria and methodology for security evaluation of biometric systems — Part 3: Presentation attack detection
ANSI/INCITS 378-2004
NIST-500-290.
Достарыңызбен бөлісу: |