Басқару жүйелеріндегі ақпаратты қОРҒау әдістері


Дәріс №4. Халықаралық стандарттар мен техникалық шарттар Мақсаты



бет6/16
Дата08.02.2022
өлшемі496,19 Kb.
#98583
1   2   3   4   5   6   7   8   9   ...   16
Байланысты:
Kea5ilW4GV3qDMTB7JhbtHZCfUINY8

Дәріс №4. Халықаралық стандарттар мен техникалық шарттар Мақсаты: халықаралық стандарттармен және спецификацияларымен

танысу.


Мазмұны:


  1. Стандарттар мен спецификациялардың екі тобы.

  2. Халықаралық стандарт түсінігі.

  3. Стандарттау бойынша ең маңызды халықаралық ұйымдар.

  4. «Қызғылт кітабы».

Жоғары деңгейде бір-бірінен айтарлықтай ерекшеленетін стандарттар мен спецификациялардың екі тобы бар:



  • қауіпсіздік талаптары бойынша қорғау құралды және ақпараттық жүйелерді бағалауға және реттеуге арналған бағалау стандарттары;

  • қорғау құралдары мен әдістерін енгізудің және пайдаланудың түрлі

аспектілерін реттейтін спецификациялар.
Бағалау стандарттары ақпараттық жүйелердің ақпараттық қауіпсіздік көз қарасынан ең маңызды аспектілерін, түсініктерін сипаттайды. Қалған спецификациялар ұсынылған архитектуралы АЖ-ны қалай құруға болатынын анықтайды және ұйымдық талаптарды орындайды.
Халықаралық стандарттау – барлық елдердің тиісті органдары үшін ашық, стандарттау.
Стандарттау нақты және ықтимал тапсырмаларға қатысты әмбебап және қайталап қолдану ережелерін орнату арқылы нақты облыста тәртіпке қол жеткізуге бағытталған іс - әрекеттер. Бұл іс - шаралар стандарттарды құру, қолдану жолдарын жариялаумен іске асырылады.
Халықаралық стандарт – бұл халықаралық ұйым қабылдаған стандарт. Стандарт деп өнімнің сипаттамалары, пайдалану, сақтау, тасымалдау, сату және жою, жұмыстарды орындау немесе қызмет көрсету жолы жазылған құжат. Стандартта терминологияға, символдарға, орауышқа, таңбалауға немесе белгілерге және оларды қолдану ережелеріне қойылатын талаптар келтірілуі мүмкін. Тәжірибеде халықаралық стандарттарға ғылыми- техникалық қоғамдар құрған әлемнің түрлі елдерінің нормалары ретінде қабылданған стандарттар, аймақтық стандарттар кіреді.
Халықаралық стандарттардың негізгі мақсаты - халықаралық деңгейде жаңа сапа жүйелерің құру үшін бірыңғай әдістемелік негізін ұсыну немесе қолданып отырған сапа жүйелерін, олардың спецификацияларын жетілдіру.
Стандарттау бойынша ең маңызды халықаралық ұйымдар:

  1. Стандарттау жөніндегі халықаралық ұйым, ИСО (International Organization for Standardization, ISO) - стандарттарды жасаумен айналысатын халықаралық ұйым.

Қазақстан Республикасы 1994 жылдан бастап ИСО-ның толық құқылы мүшесі.

  1. Халықаралық электробайланыс одағы.

ХЭО (International Telecommunication Union, ITU)- халықаралық телекоммуникация және радио саласындағы ұсыныстарды айқындайтын, халықаралық пайдалану мәселелерін реттейтін ұйым. ХЭО 193 елден және секторлар мен қауымдастықтар бойынша 700-ден астам мүшеден тұрады (ғылыми және өнеркәсіптік кәсіпорындар, мемлекеттік және жеке байланыс операторлары, радиохабар тарату ұйымдары, аймақтық және халықаралық ұйымдар). Стандарттарды (нақты айтқанда, ХЭО терминологиясы бойынша ағылшын Recommendations) орындау міндетті болып табылмайды, оларға бірақ кеңінен қолдау көрсетіледі, өйткені олар коммуникациялық желілер арасында өзара әрекеттесуді жеңілдетеді және провайдерлерге бүкіл әлем бойынша қызмет көрсетуге мүмкіндік береді.
1993 жылдан бастап Қазақстан Республикасы ХЭО-ның толық құқылы мүшесі болып табылады.
Бағаулар стандарттар арасынан АҚШ Қорғаныс министрлігінің «Сенімді компьютерлік жүйелерді бағалау критерилері» стандартын және оның желілік конфигурациясы үшін түсіндірілуін, «Еуропалық елдердің келісілген критерийлері», «Ақпараттық технологиялардың қауіпсіздігін бағалау критерийлері» халықаралық стандарттарын ажырату қажет. Бұл топқа ақпараттық қауіпсіздіктің нақты, бірақ өте маңызды және күрделі аспектілерін реттейтін «Криптографиялық модульдерге арналған қауіпсіздік талаптары» АҚШ Федералдық Стандарты кіреді.
Қазіргі заманғы үлестірілген АЖ-ге қолданылатын техникалық спецификациялар Интернеттегі инженерлік-техникалық топ (Internet Engineering Task Force, IETF) және оның бөлімшесі, қауіпсіздік жұмыс тобымен құрылады. Бұл техникалық спецификациялардың негізі - IP- деңгейдегі қауіпсіздік құжаттары (IPsec). Бұдан басқа, көлік деңгейіның
қауіпсіздігі (Transport Layer Security, TLS), қолданба деңгейі (GSS-API, Kerberos) талданады. Интернет-қоғамдастық әкімшілік және процедуралық деңгейлерінің қауіпсіздігіне де көп көңіл бөледі («Кәсіпорынның ақпараттық қауіпсіздік нұсқаулығы», «Интернет-провайдерді қалай таңдауға болады»,
«Ақпараттық қауіпсіздік бұзушылықтарына қалай жауап беру керек»).
Желілік қауіпсіздік мәселелерін түсіну X.800 «Ашық жүйелерді қосу үшін қауіпсіздік архитектурасы», X.500 «Директориялар қызметі: тұжырымдамалар, модельдер мен қызметтерге шолу» және X.509
«Директориялар қызметі: ашық кілттер мен төлсипаттардың сертификаттарының негіздері» спецификацияларын меңгермеу мүмкін емес.
BS 7799 «Ақпараттық қауіпсіздікті басқару. Тәжірибелік ережелер» британдық стандарты ақпараттық қауіпсіздікті қамтамасыз етуге жауапты ұйымдар мен тұлғалардың басшылары үшін пайдалы, ол ISO / IEC 17799 халықаралық стандартында елеулі өзгерістерсіз қайта жаңғыртылады.
Халықаралық деңгейде танылған және ақпараттық қауіпсіздікті қамтамасыз ету саласында кейінгі оқиғаларға маңызды әсер еткен алғашқы бағалау стандарты АҚШ Қорғаныс министрлігінің стандарты, «Сенімді компьютерлік жүйелерді бағалау критерийлері» (Department of Defense Trusted Computer System Evaliation Criteria, TCSEC, ) «Қызғылт кітабы» деп те аталады.
«Қызғылт кітабында» ақпараттық қауіпсіздіктің тұжырымдамалық негізі келтірілген. Онда келесі тұжырымдамалар көрсетілген: қауіпсіз және сенімді жүйелер, қауіпсіздік саясаты, кепілдік деңгейі, есеп берушілік, сенімді есептеу базасы, үндеу мониторы, ядро және қауіпсіздік периметрі. Қауіпсіздік саясатының ерікті (дискрециялық) және міндетті (мандатты) қол жеткізуді бақылау әдістері, объектілерді қайта пайдалану қауіпсіздігі маңызды аспектілеріне көңіл бөлінген.
«Қызғылт кітабы» жарияланғаннан соң шыққан ең маңызды құжат -
«Желілік конфигурациялар үшін қызғылт кітабының түсіндірмесі» (Trusted Network Interpretation). Ол екі бөліктен тұрады. Біріншісі нақты интерпретацияны қамтиды, екіншісі желі конфигурациясы үшін ерекше маңызды қауіпсіздік қызметтерін сипаттайды.
Бірінші бөлімде ұсынылған ең маңызды тұжырымдама бұл желінің сенімді есептеуіш базасы тұжырымдамасы табылады. Тағы бір маңызды аспект - желі конфигурациясының динамизмін есепке алу. Қорғау тетіктерінің арасында құпиялылық пен тұтастығын сақтауға көмектесетін криптография ерекшеленеді.
Жаңалық болып қол жеткізу мәселеріне жүйелі көзқарас, оны қамтамасыз ету үшін архитектуралық қағидаларды қалыптастыру табылды.




  1. Достарыңызбен бөлісу:
1   2   3   4   5   6   7   8   9   ...   16




©engime.org 2024
әкімшілігінің қараңыз

    Басты бет