Дәріс №2. Ақпараттық қауіпсіздік қатерлері
Мақсаты: қауіп-қатер тұжырымдамасымен танысу, ақпараттық қауіпсіздікке қауіп-қатерлерді жіктеу.
Мазмұны:
Ақпараттық қауіпсіздіктің қауіп-қатерлері.
Ақпараттық қауіпсіздік аспектісі жіберілетін қауіп-қатерлері.
Құпиялылық қауіптері (ақпаратқа заңсыз қол жеткізу).
Ақпараттық қауіпсіздіктің қаупі - ақпарат қауіпсіздігінің бұзылу қаупін тудыратын жағдайлар мен факторлар жиынтығы.
Қауіп (жалпы алғанда) бұл біреудің мүдделеріне зиян келтіруі мүмкін ықтимал оқиға, әрекет (әсер), процесті немесе құбылысты білдіреді.
Ақпараттық қауіпсіздіктің қауіп-қатерлері әртүрлі критерийлерге сәйкес жіктелуі мүмкін:
ақпараттық қауіпсіздік аспектісі жіберілетін қауіп-қатерлер бойынша;
құпиялылық қауіптері (ақпаратқа заңсыз қол жеткізу).
Құпиялықты бұзу қаупі ақпаратқа құқы жоқ адамдардың оған жол жеткізуі болып табылады. Бұл компьютер жүйесінде сақталған немесе бір жүйеден екіншісіне жіберілген кейбір құпия ақпаратқа қол жеткізу мүмкіндігі туса орын алады. Құпиялылықты бұзу қаупіне байланысты «жайылап кетуі» термині қолданылады. Мұндай қауіптер «адам факторы» (мысалы, басқа пайдаланушының артықшылықтарын кездейсоқ түрде бір немесе басқа қолданушыға беру), бағдарламалық және аппараттық қамтамасыз ету бұзылулары салдарынан туындауы мүмкін;
тұтастық қаупі (деректерді қате өзгерту).
Тұтастықты бұзу қаупі - ақпараттық жүйеде сақталған кез-келген ақпаратты өзгерту мүмкіндігіне байланысты қатерлер. Тұтастық бұзу түрлі факторларға байланысты болуы мүмкін:
қызметкерлердің қасақана әрекеттерінен құрал-жабдықтардың істен шығуына дейін;
қол жетімділік қаупі (ақпараттық жүйенің қол жеткізуді жектеу немесе қиындату әрекеттерді жүзеге асыру).
Қауіп-қатер көздерінің орналасқан жері бойынша:
ішкі (қауіп көздері жүйенің ішінде);
сыртқы (қауіп көздері жүйеден тыс). Зақым мөлшері бойынша:
жалпы (қауіпсіздік объектісінің тұтастай зақымдалуы, елеулі залал келтіреді);
жергілікті (қауіпсіздік объектісінің белгілі бір бөліктеріне зиян келтіру);
жеке (қауіпсіздік объектісінің элементтерінің жеке қасиеттеріне зиян келтіру).
Ақпараттық жүйеге әсер ету деңгейі бойынша:
пассивті (жүйенің құрылымы мен мазмұны өзгермейді);
белсенді (жүйенің құрылымы мен мазмұны өзгеруі мүмкін). Өту сипаты бойынша:
объективті физикалық процестердің немесе адамның еркіне тәуелді емес табиғи құбылыстардың ақпараттық ортаға әсер етуінен туындаған табиғи (объективті);
адамның ақпараттық саласына әсер ететін жасанды (субъективті). Жасанды қауіптердің арасында, өз кезегінде:
әдейі емес (кездейсоқ) қауіп-қатерлер – бағдарламалық қамтамасыз етудің, қызметкерлердің, жүйелік ақаулардың, есептеуіш және байланыс жабдығының сәтсіздіктерінің қателері;
әдейі (қасақана) қатерлер - ақпаратқа рұқсатсыз қол жеткізу, заңсыз қол жеткізу үшін пайдаланылатын арнайы бағдарламалық жасақтама әзірлеу, вирустық бағдарламаларды әзірлеу және тарату және т.б.
Ақпараттық қауіпсіздіктің барлық қауіп-қатер көздерін үш негізгі топқа бөлуге болады:
субъектінің іс-әрекеттерімен шартталған (антропогендік көздер) - ақпараттың қауіпсіздігінің бұзылуына әкелуі мүмкін субъектілердін әрекеттері, бұл әрекеттер әдейі немесе кездейсоқ қылмыстарға жатқызылуы мүмкін. Ақпараттың қауіпсіздігін бұзуға алып келуі мүмкін көздер сыртқы және ішкі болуы мүмкін. Бұл көздерді алдын ала болжамдап, тиісті шаралар қабылдауға болады;
техникалық құралдармен шартталған (техногендік көздер) - қауіптердің осы көздерін болжамдау мүмкін емес, технологияның қасиеттеріне тікелей байланысты, сондықтан ерекше назар аударуды талап етеді. Ақпараттық қауіпсіздік қатерлерінің бұл көздері де ішкі немесе сыртқы болуы мүмкін;
аппаттық көздер - бұл топ жанжалды күштер (табиғи апаттар немесе алдын- ала болжамдауға мүмкіндік бермейтін жағдайлар) болып табылатын мән-
жайларды біріктіреді, бұл барлық жағдайға объективті және абсолютті әсер етеді.
Рұқсатсыз қол жеткізу - қызметкердің ресми өкілеттіктерін бұза отырып, ақпаратқа қол жеткізу, ақпаратқа қол жеткізуге рұқсаты жоқ адамдардың қол жеткізуі жатады. Кейбір жағдайларда рұқсат етілмеген қолжетімділік деп осы ақпаратқа қызметтік міндеттерін атқару үшін қажет көлемде қол жеткізу құқын асыра қолданғандықты да атайды.
Ақпараттық жайылып кету арналары- ақпарат жүйесінен ақпараттардың жайлып кету жолдары мен әдістері; ақпараттық тасымалдаушылардың паразиттік (жағымсыз) тізбегі, олардың біреуі немесе бірнешеуі құқық бұзушы немесе оның арнайы жабдықтары болуы мүмкін.
Ақпараттың жайылып кету барлық арналарын жанама және тікелей деп бөлуге болады. Жанама арналар ақпараттық жүйенің техникалық құралдарына тікелей қол жеткізуді талап етпейді. Тікелей арналары, ақпараттық жүйенің аппараттық құралдарына және деректеріне қол жеткізуді талап етеді.
Жанама жайылып кету арналар мысалдары:
ақпараттық тасымалдаушыларды ұрлау немесе жоғалту, жойылмаған қоқысты зерттеу;
қашықтықтан суретке түсіру, тыңдау;
электромагниттік сәулелерді қолға түсіру. Тікелей жайылып кету арналар мысалдары:
инсайдерлер (адам факторы);
коммерциялық құпияларды сақтамау салдарынан ақпараттың жайлып
кетуі;
Ақпараттардың жайылып кету арналары физикалық қасиеттері және
жұмыс жасау қағидаттарына бойынша бөлінеді:
акустикалық - дыбыстық жазба, жасырын тыңдау және тыңдау;
акустикалыэлектрлік - дыбыс толқындары арқылы ақпаратты қолға түсіріп электрқуатты желілер арқылы оны әрі қарай жіберу;
қорғалатын ғимараттардың құрылыстық құрылымдарына және инженерлік-
техникалық байланысына әсер еткен кезде ақпараттық акустикалық сигнал түрлендіру арқылы туындайтын виброакустикалық сигналдар;
ақпараттық акустикалық сигнал қорғалатын үй-жайлардың құрылыстық құрылымдарына және инженерлік-техникалық байланыстарына әсер еткен кезде түрлендірілгенде туындайтын виброакустикалық сигналдар;
оптикалық-көрнекі әдістер, суретке түсіру, бейне түсіру, байқау;
электромагниттік- индуктивті іріктеуді алу негізінде өрістерді көшіру;
ақпараттық сигналмен модуляцияланған техникалық құрылғыларға және қорғалатын үй-жайларға енгiзiлген дауыстық ақпаратты алуға арналған
«енгiзiлген қондырғылардың» радио-сәулелену немесе электр сигналдары;
заттық - қағаз немесе басқа физикалық тасымалдаушылардағы ақпарат.
Достарыңызбен бөлісу: |