«Компьютерлік жүйеде ақпаратты қорғау» пәнінен оқу-әдістемелік кешен



бет30/62
Дата06.02.2022
өлшемі3,39 Mb.
#33471
1   ...   26   27   28   29   30   31   32   33   ...   62
Сур.2 - Қазақ алфавитіне арналған Виженер кестесі

Шифрлау былайша жүзеге асырылады: шифрланатын мәтіннің әрбір әрпінің астына кілттің әріптері жазылады; кестенің жоғарғы қатарынан ашық мәтіннің кезекті әрпімен оның астында орналасқан кілттің әрпін байластыратын сызықтардың қиылысқан жерінде тұрған кестенің әрпі табылады; шифрланатын мәтіннің әрпі кестенің осы әрпімен ауыстырылады. Осылайша шифрмәтіннің келесі әрпі табылады. Мысал ретінде “Тізбек” кілтіне арналған жұмыс матрицасы 7-суретте келтірілген.


Ашық мәтін – “ЖҮЙЕНІ ЖОБАЛАУ”, кілт-“Тізбек”





а

ә

б

в

г

ғ

д

е

ж

з

и

й

к

қ

л

м

н

ң

о

ө

п

р

с

т

у

ұ

ү

ф

х

һ

ц

ч

ш

щ

ъ

ы

і

ь

э

ю

я

т

у

ұ

ү

ф

х

һ

ц

ч

ш

щ

ъ

ы

і

ь

э

ю

я

а

ә

б

в

г

ғ

д

е

ж

з

и

й

к

қ

л

м

н

ң

о

ө

п

р

с

і

ь

э

ю

я

а

ә

б

в

г

ғ

д

е

ж

з

и

й

к

қ

Л

м

н

ң

о

ө

п

р

с

т

у

ұ

ү

ф

х

һ

ц

ч

ш

щ

ъ

ы

з

и

й

к

қ

л

м

н

ң

о

ө

п

р

с

т

у

ұ

ү

ф

Х

һ

ц

ч

ш

щ

ъ

ы

і

ь

э

ю

я

а

ә

б

в

г

ғ

д

е

ж

б

в

г

ғ

д

е

ж

з

и

й

к

қ

л

м

н

ң

о

ө

п

Р

с

т

у

ұ

ү

ф

х

һ

ц

ч

ш

щ

ъ

ы

і

ь

э

ю

я

а

ә

е

ж

з

и

й

к

қ

л

м

н

ң

о

ө

п

р

с

т

у

ұ

Ү

ф

х

һ

ц

ч

ш

щ

ъ

ы

і

ь

э

ю

я

а

ә

б

в

г

ғ

д

к

қ

л

м

н

ң

о

ө

п

р

с

т

у

ұ

ү

ф

х

һ

ц

Ч

ш

щ

ъ

ы

і

ь

э

ю

я

а

ә

б

в

г

ғ

д

е

ж

з

и

й


Хабар

Ж

Ү

Й

Е

Н

І

Ж

О

Б

А

Л

А

У










Кілт

т

і

з

б

Е

к

т

і

з

б

е

к

т










Шифрмәтін

Ч

Р

П

З

Т

Е

Ч

Қ

Й

Б

Ф

К

Д












Сур.3 - Вижинер кестесінің көмегімен шифрлау


4. Уитстонның “қос квадрат” шифры.


1894 жылы ағылшын ғалымы Ч.Уитстон “қос квадрат”деп аталатын биграммдармен шифрланатын жаңа әдісті тапты. «Қос квадрат» шифры Плейфейр шифрындағы сияқты биграммдармен шифрлау жүргізілетін екі кестені бірден қолданады.
Осы шифрмен шифрлауға мысал келтірейік (11-сурет). Қазақ алфавитінің кездейсоқ орналасқан символдары бар екі кесте берілсін. Шифрлау алдында бастапқы хабарды биграммдарға бөледі.
Әрбір биграмма бөлек шифрланады. Биграмманың бірінші әрпі сол жақтағы кестеден, ал екінші әрпі-оң жақ кестеден алынады.
Мәселен, БҮ негізгі мәтіннің биграммасы дейік. Б әрпі сол жақтағы кестенің 5-ші бағаны мен 7-ші қатарында, ал Ү әрпі оң жақтағы кестенің 3-ші бағаны мен 5-ші қатарында орналасқан. Тіктөртбұрыштың төбелері 5-ші және 7-ші қатарларда, сондай-ақ, сол жақтағы кестенің 5-ші және оң жақтағы кестенің 3-ші бағандарында орналасқан. Сондықтан, шифрмәтінінің биграммасына оң жақтағы кестедегі 3-ші баған мен 7-ші қатарда орналасқан І әрпі және сол жақтағы кестедегі 5-ші баған мен 5-ші қатарда орналасқан Ч әрпі кіреді.
Егер бастапқы хабар биграммасының екі әрпі де бір бағанда жатса, онда шифрмәтін әріптері де осы бағаннан(қатардан) алынады.
Бастапқы хабар БY ГІ Н_ ЖА ҢБ ЫР ЛЫ _К YH
Шифрмәтін ІЧ ЕФ СЕ УЭ ИУ ШЕ ИА РЙ УР

1

2

3

4

5




1

2

3

4

5

Р

А

М

,

Һ

1

Л

.

Н

Ы

П

Ү

Ш

Ж

П

Қ

2

Ә

М

У

Б

Ұ

З

Й

.

У

Н

3

С

К

З

:

Ф

І

С

Э

Ұ

Ы

4

Ч

Ш

А

Һ

О

Ң

Л

Ө

Х

Ч

5

Х

,

Ү

И

Ң

В

Ь

К

Я

:

6

Ъ

Щ

Д

Ц

Э

Ә

Ф

О

И

Б

7

Ғ

Й

І

Т

Ж

Щ

_

Д

Ю

Е

8

_

Р

Ь

Ө

Я

Т

Г

Ц

Ъ

Ғ

9

Қ

Ю

Е

Г

В



Сур.3 - "Кос квадрат" шифрына арналған қазақ алфавитінің кездейсоқ орналасқан символдары бар екі кесте


5. Бippеттілік шифрлау жүйесі, Вернам шифры.


Бірреттілік шифрлау жүйесінің ерекшелігі кілттік тізбектің бip рeт қолданылуы болып табылады. Бұл шифрлау жүйесі Х=(Х0, Х1,..., хn-1) бастапқы ашық мәтінді мынадай Yі = (Xі + Kі) mod m, 0 ≤ i ≤ n-1 Цезарь ауыстыруын қолдана отырып Y=(Y0, y1, ..., yn-1) шифрмәтініне түрлендіреді. Бұл жерде Kі - кездейсоқ кілттік тізбектің i-шi элементі.
Шифрды ашу процедурасы мына теңдікке сәйкес орындалады
X = (Yi - Кі) mod m.
Бірреттілік шифрлау жүйесін 1917 жылы Дж.Моборн және Г.Вернам ойлап тапкан. Вижинер шифрлау жүйесшінің m=2 болған кездегі түpi Вернам шифрлау жүйесі деп аталған. Ол кезде, K=(ko, k1, k2 ..., kn-1) екілік кілттердің кездейсоқ тізбегі алдын ала қағаз таспаға жазылатын болған. Алты қосымша символдармен кеңейтілген ағылшын {A,B,C,D...,Z} алфавитіндегі бастапқы мәтінің әрбір әрпі алдымен Бодо телеграф кодасын қолдана отырып 5-битік символға (b0, b1, ..., b4,) аударылған. Одан кейін осы Бодо мәтініне екі модулі бойынша кілт қосылады, яғни шифрмәтін символдары: у = х  k. Шифрды ашу шифрмәтіннің сол k кілттер тізбегі мен у символдары екі модулі бойынша қосылуынан анықталады: y  k = x  k  k = x.
Бұл ауыстыру жүйесін іске асыру үшін бірреттілік блокнот пайдаланылады. Екінші дүниежүзілік соғыс кезінде шифрлау үшін қағаздан жасалған блокнот кеңінен қолданылған және Вернам шифрын “бірретілік блокнот” деп атау қалыптасып кеткен. Блокнот парақтарының әрқайсында Kі кездейсоқ сандар (кілттер) басылған. Блокноттың бірдей екі данасы жасалынады. Хабар жіберуші әр мәтінін блокноттың бірінші парағы арқылы шифрлайды. Хабарды шифрлап біткен соң ол пайдаланылған парақты жояды да шифрланған ақпаратты екінші абонентке жібереді. Қабылдаушы жақ келген хабарды кері шифрлап біткеннен кейін блокноттың пайдаланылған парағын жояды. Сөйтіп, хабардың әрбір символы үшін Kі кілті тек бір рет қолданылады. Жаңа хабарды шифрлау үшін жаңа парақтан бастайды.


ЖҰМЫСТЫ ОРЫНДАУ РЕТІ



  1. Теориялық мағлұматпен танысу.

  2. Теориялық мағлұматқа талдау жасау.

  3. Бақылау сұрақтарына жауап беру.

  4. Жеке тапсырмаға талдау жасап, мысалдар келтіру.



БАҚЫЛАУ СҰРАҚТАРЫ

  1. Плейфердің биграммды шифрында ақпаратты шифрлау қалай орындалады?

  2. Гронсфельд шифры ақпаратты қалай түрлендіреді?

  3. Вижинер шифрлау жүйесі қалай орындалады?

  4. Уитстонның “қос квадрат” шифры ақпаратты қалай түрлендіреді?

  5. Бippеттілік шифрлау жүйесі, Вернам шифрының қалайша орындалады?

ЖЕКЕ ТАПСЫРМАЛАР
Барлық келтірілген шифрлау түрлеріне мысалдар келтіріп, түрлендіріңіздер.
Практикалық сабақ № 5
Тақырыбы: «Ақпараттарды заң жүзінде қорғау мәселелері»
Қазақстан Республикасының ұлттық ақпараттық инфрақұрылымын қорғау жүйесінің қызметіне жалпы талап


Жұмыстың мақсаты: ақпараттық қауіпсіздік саясаты, ақпаратты криптографиялық қорғау құралдарына байланысты қызметті лицензиялар берудің шарттарымен тәртіптері жөнінде түсінік беру.


Теориялық мағлұмат
1. «Электрондық үкімет» құрамдас бөлігінің ақпараттық қауіпсіздік саясаты
Ақпараттық қауіпсіздік саясаты стратегияны хабарлайды және құрамдас бөлігінің ақпаратық қауіпсіздігін басқаруға қатынасын сипаттайды. Ол ұстауы тиіс:

  • ақпараттық қауіпсіздікті, оның негізгі мақсаттарын, ақпаратты бірлесіп пайдаланудың кепілдік механизмі ретінде қауіпсіздіктің маңыздылығын анықтайды;

  • шешілген міндеттерге сәйкес ақпараттық қауіпсіздіктің мақсаттары мен ұстанымдарын қолдау жөніндегі шаралар;

  • мақсаттарға және басқару құралдарына, оның ішінде тәуекелдерді бағалау, сондай-ақ тәуекелдерді басқару құрылымдарына жетістікке жету жөніндегі іс-шаралар;

  • нормативтік, құқықтық, шарттық актілердің талаптарына сәйкес ұстанымдарды, стандарттарды түсіндіру;

  • ақпараттық қауіпсіздікті басқару, оның ішінде ақпараттық қауіпсіздіктің қақтығысы туралы хабарлау жөніндегі жалпы және арнаулы міндеттерді анықтау;

  • қауіпсіздік саясатын қолдай алатын құжаттамаларға сілтеме (пайдаланушылардың сақтауы тиіс қауіпсіздіктің рәсімдерін немесе қауіпсіздік ережесін егжей-тегжейлі баяндау).

2. Персоналдың қауіпсіздігі
Персоналдың рөлі мен міндеті
Ақпараттық қауіпсіздік саясатына сәйкес, қызметкерлердің, келісім шарт жасайтын агенттің және үшінші тарап пайдаланушыларының рөлдері мен міндеттері құжаттандырылуы тиіс.
Қауіпсіздік жөніндегі рөлі мен міндетін талап етуге қосуы тиіс, қатысты:

  • ақпараттық қауіпсіздік саясатына сәйкес іс-қимылдар;

  • оларды пайдалану үшін рұқсатсыз қол жеткізуден, ашудан, өзгертуден, жоюдан немесе кедергіні құрудан ресурстарды қорғау;

  • ақпараттық қауіпсіздікке байланысты анықталған үдерістерді және іс-шараларды орындау;

  • жұмыстарды орындаған кезде бөлек тұлғаларға тапсырылған міндеттерді кепілді орындау;

  • қауіпсіздіктің оқиғалары немесе басқадай қауіпсіздіктің тәуекелдері туралы хабарлама.

Құзыреттілік, оқыту және тренингтер
Құзыреттіліктің ең аз деңгейін анықтау қажет, онда бар пайдаланушы есебінде ақпараттық жүйелермен жұмыс жасауға қол жеткізуді жорамалдайды.
Ақпараттық жүйелерге қызмет көрсетумен айналысатын қызметкерлердің құзыреттілігіне, біліктілігіне, білімі мен тәжірибесіне талап етуді анықтау. Қызметтік міндетті орындау үшін ақпараттық жүйелермен және өз білімін үнемі жаңғыртуға жұмыс жасау үшін барлық қызметкерлердің сәйкес білім деңгейі болуы тиіс.
Қауіпсіздік талаптарына, заңдылық міндеттерге және өндірістік қызметті басқару құралдарына оқытуды жалғастырумен, қауіпсіздік саясаты жүйесімен танысу үдерісінен бастап құзыреттілік деңгейіне жету мақсатында қажеттілік болған кезде оқыту кезеңін әкелу.
3. Әкімшілендіру
Жұмыс рәсімдері мен міндеттер
Құралдармен ақпараттардың өңдеуін басқару бойынша және олармен жұмыс жасау жөніндегі міндеттерді анықтау, сәйкес жұмыс рәсімдерін әзірлеу.
Жұмыс рәсімдерін құжаттандыру
Жұмыс рәсімдері құжаттандырылуы тиіс, олардың қызмет көрсетілуін және оларға қол жеткізу мен барлық пайдаланушыларын беруді мезгілінде жүргізу.
Құжаттандырылған рәсімдер, байланыс құралдарымен және ақпараттарды өңдеу құралдармен жұмыс жасаған кезде жүйелермен орындалатын операцияларға дайын болуы тиіс. Жұмыс рәсімдерінде әрбір міндеттерді орындау бойынша нақты нұсқамалар келтірілуі тиіс:

  • ақпаратты өңдеу және онымен айналысу;

  • ақпаратты резервтік көшіру, мерзілімділігі;

  • жоспарлауға, оның ішінде басқадай жүйелермен өзара байланыс, жұмыстың ең ерте басталуы мен ең кеш аяқталуының уақытына талап;

  • қателерді өңдеу немесе басқадай ерекше жай-күй жөніндегі нұсқама, ол міндеттерді орындау, оның ішінде жүйелік қосалқы бағдарлама пайдалануға шектеу барысында пайда болуы мүмкін;

  • күтпеген операциялық немесе техникалық қиыншылықтар пайда болған жағдайда байланыстарды қолдау;

  • арнайы ақпаратты шығару және ақпаратты алып жүрушіге қатынасу жөніндегі нұсқама, мысалға, сәтсіз аяқталған міндеттер үшін қортынды нәтижелерін қауіпсіз жою жөніндегі рәмідерді қоса алғанда, баспа құрылғылары немесе жабық қортындыны басқару жөніндегі үшін арнаулы қағазды пайдалану бойынша;

  • жүйенің істен шығуынан кейін падаланылатын қайта жіберу және жүйені қалпына келтіру;

  • аудиттің есеп беруін және жүйе туралы ақпараттар жөніндегі есеп беруді басқару.

Жүйелердің операцияларын құжаттандыратын жұмыс рәсімдері нысандық құжаттар есебінде айтылуы тиіс және оларда өзгерістер енгізілуі тиіс емес. Онда ол техникалық орындалатын ақпараттық жүйелер, бірдей рәсімдерді, аспаптық құралдар мен пайдакүнімделікті пайдаланумен біркелкі басқарылуы тиіс.
Резервтік көшіру
Олардың мезгілінде қалпына келтіру үшін көшіру саясатын және деректердің резервтік көшірмелерін беру стратегиясын анықтау.
Келісілген көшіру саясатымен сәйкес деректердің резервтік көшірмесі және бағдарламалық қамтамасыз етуі үнемі құрылуы және тестіленуі тиіс.
Ақпаратты немесе апатты алып жүрушінің бас таруынан кейін барлық ақпараттар мен бағдарламалық қамтамасыз етуді кепілді қалпына келтіретін резервтік көшіру үшін сәйкес құралдарды анықтау.
Деректерді көшірген кезде мынадай факторларды ескеру қажет:

  • резервтік көшіруге жататын ақпараттар құрамын анықтау;

  • резервтік көшіру бойынша дәл және толық есеп берулерді шығару, көшіру рәсімдерін құжаттандыру және ақпараттарды қалпына келтіру;

  • резервтік көшірудің көлемін (толық немесе таңдаулы резервтік көшіру) және оның орындалу жиілігін анықтау;

  • жұмыс деректерін қалпына келтіру рәсімдерінің жұмыс жасауы үшін, тағайындалған мерзімге аяқталуына олардың тиімділігі мен мүмкіншілігін кепілдендіру үшін, ақпараттарды қалпына келтіру рәсімдерін тестілеу және рәсімдеу мүмкіншілігі;

  • резервтік көшірмелер шифрлаумен қорғалуы тиіс;

  • үздіксіз жұмыс жасау талаптарына сәйкес оларды кепілдендіру үшін, тестілеу мерзімділігіне көшіру жүйелерінің тізбегін анықтау;

  • зілзала нәубеті немесе апаттан кейін жүйені толықтай қалпына келтіру үшін (резервтік көшіру барлық ақпараттық жүйені, қосымшаны, деректерді қамтуы тиіс) қажетті резервтік көшірудің тәртібі;

  • ақпараттарды сақтау, сондай-ақ әрдайым сақталатын мұрағаттық көшірмелер үшін уақыт мерзімін анықтау.

Ақпаратты қалпына келтіру және резервтік көшіру үдерістерін оңайлату үшін резервтік көшіру бойынша операциялардың тізбегі автоматтандырылуы мүмкін. Іске асыру мен үнемі орындалудың алдында осындай автоматтандырылған шешім жеткілікті дәрежеде тестіленуі тиіс.
4. Жалпы қол жеткізуімен ақпаратты қорғау
Қол жетімді ақпараттың тұтастығы рұқсатсыз өзгертуден қорғалуы тиіс. Ақпараттық жүйеде жалпыға қол жетімді жасалған тұтастықты талап ететін, бағдарламалық қамтамасыз ету, деректер, басқадай ақпарат сәйкестендірілген механизмдермен қорғалуы тиіс. Жалпы пайдаланатын жүйе ақпаратын пайдаланар алдында онда осал орынның бар болуына және тұрақтылықтан бастартуға тестіленуі тиіс.
Соған дейін, ақпарат жалпы қолжетімді болғанда, осы қол жетімділіктің рұқсат етілетін нысандық үдерісі орындалуы тиіс. Одан басқа, сыртқы жүйеден келіп түскен барлық кіріс ақпараты тексерілуі және рұқсат етілуі тиіс.
5. Оқиғаларды тіркеу журналы
Оқиғаларды тіркеу журналы (және шартта әдейі ескертілген мерзім бойына сақталуы) құрастырылуы тиіс, онда пайдаланушының операциясы, ерекше жай-күйі, ақпараттық қауіпсіздік оқиғаларының ақпараты тіркеледі. Оқиғаларды тіркеу журналдарының есеп берулері мынадай ақпараттарды қосуы тиіс (қажет болған кезде):

  • пайдаланушылардың идентификаторлары (растаулары);

  • негізгі оқиғалар туралы уақыты, күні және нақты ақпараты, мысалға жүйеден шығуының тіркелуі;

  • терминалдың идентификаторы немесе орналасқан орны, егер бұл мүмкін болса;

  • жүйеге қол жеткізудің табысты және табыссыз әрекет жасау бойынша есеп беру;

  • табысты алынған деректер мен ауытқыған деректер бойынша және басқадай ресурстарға қол жеткізуге әрекет жасау бойынша есеп беру;

  • жүйенің кескін үйлесімінде өзгертулерге;

  • артықшылығы барды пайдалану бойынша;

  • қосымшаларды және жүйелік қосалқы бағдарламаны пайдалану;

  • қол жеткізуі және қол жеткізудің түрі жүзеге асырылған файлдар;

  • желілік адрестер және хаттамалар;

  • қол жеткізуді басқару жүйесімен құрылғанды хабарлау;

  • активтену және қорғау жүйесінің жұмыс жасауының тоқтауы, мысалға, антивирустік жүйелер, басып кіруін айқындау жүйелері;

  • аудиттің есеп беруі ішкі, жасырын жеке деректерді ұстауы мүмкін, олардың құпиялығын қорғау жөніндегі сәйкес шаралар қабылдануы тиіс;

  • жүйелік әкімшілер өз бастамасы бойынша журналдардағы есеп берулерді кетіруге немесе олардың құрылуын үзіп тастауға рұқсат алуы тиіс емес.

6. Жүйелерді пайдалану мониторингі
Құралдарды, ақпараттарды өңдеуді бағдарламалық қамтамасыз етуін, пайдалану мониторингінің сәйкес рәсімі әзірленуі және іске асырылуы тиіс. Әрбір құрал үшін талап етілетін мониторинг деңгейі техно-жұмыстық жобалау барысында анықталуы тиіс. Ақпараттық қауіпсіздік пен мониторингке қолданылатын қолданыстағы нормативтік құқықтық актілердің барлық талаптары сақталуы тиіс. Мынадай мәселелерді назарыңызға қабылдауыңыз қажет:

  • қол жеткізуді, оның ішінде тіркеудің нақты ақпаратын бекіту:

    • пайдаланушының идентификаторы (ID);

    • негізгі оқиғалардың күні мен уақыты;

    • оқиғалардың түрлері;

    • қол жеткізуі жүзеге асырылған файлдар;

    • пайдаланған бағдарламалар мен жүйелік қосалқы бағдарлама;

  • барлық ерекше артықшылық операциялар:

  • ерекше артық есеп жүргізу жазбаларын пайдалану, мысалға, супервизорды, (root) әзірлеушісін, әкімшіні;

  • жүйені іске қосу және тоқтату;

  • енгізу – шығару құрылғыларын бекіту және босату;

    • рұқсат етілмейтін қол жеткізудің әрекет етулері:

    • пайдаланушының сәтсіз немесе ауытқыған операциялары;

    • деректермен және басқадай ресурстармен сәтсіз немесе ауытқыған операциялары;

    • желілік шлюздер және желіаралық экрандар үшін қол жеткізу және хабарлама құқығының бұзылуы;

    • басып кіруін айқындаған жүйелердің ескертуі;

  • ескерту немесе жүйелердің істен шығуы, мысалға:

    • консольға шығарылған ескерту немесе хабарлама;

    • жүйенің айрықша жай-күйі бойынша есеп берулері;

    • желілерді басқаруды жүйелерге ескерту;

    • қол жеткізуді басқару жүйесімен құрылғанды хабарлау;

  • қауіпсіздік жүйелерін және басқару құралдарын күйге келтіруді өзгерті немесе өзгертуге әрекет қылу.

Мониторинг нәтижелерінің қарау жиілігі тартылған тәуекелдермен анықталуы тиіс. Тәуекелдің факторы қаралуы тиіс, оның ішінде:

  • қосымшалар үдерістерінің сыншылдығы;

  • ақпараттарды талдаудың маңыздылығы, сезімталдығы, және сыншылдығы;

  • жүйеге енудің және оны жөнсіз пайдаланудың өткен тәжірибесі, пайдалану жиілігінің ақсайтын жері;

  • жүйелер байланыстығының дәрежесі (әсіресе жалпы пайдаланудағы желілермен);

  • пайдалануы тоқтатылған құралдардың есеп беруі.

Құрылған есеп берудің тексеруі қатерлердің талдауын, онымен қақтығысқан қорғау Жүйесін және олардың пайда болу табиғатын қосуы тиіс.
7. Оқиғаларды тіркеу журналында деректерді қөорғау
Оқиғалар және құралдар журналдарындағы ақпараттар қастандық жасайтындардың жасанды көшірмесінен және рұқсатсыз қол жеткізушілерден қорғалуы тиіс. Басқару құралдары есеп берулерге рұқсатсыз өзгеріс енгізуден және есеп берулерді құру құралдарының жұмыс жасауына кедергілерден қорғауды қамтамасыз етуге талпынуы тиіс, оның ішінде

  • тіркелген хабарлама түрлерінің өзгеруі;

  • есеп беру файлдарын редакциялау және жою;

  • онда есеп берулер сақталатын ақпараттарды алып жүрушілердің сыйымдылығын арттыру, нәтижесінде оқиғалар жазбаларының немесе соңғы тіркелген оқиғаларының қайта жазбаларының істен шығуының неден болуы;

  • есеп беру жазбаларын сақтау ережелерімен сәйкес (немесе ақпараттарды растайтындарды жинау және сақтау жөніндегі талаптарды орындау үшін) аудиттің кейбір есеп берудің мұрағаттануын жасайды;

  • екінші есеп беруге хабарламалардың сәйкестендірілген түрлерін автоматтық түрде көшірілуі немесе сәйкестендірілген жүйелік қосалқы бағдарламаларды пайдаланылуы немесе есеп берулер файлдарының талдауын орындау үшін аудиттің аспаптық құралдары мүмкіншілігін қарастыру;

  • жүйелік есеп берулер, себебі өзгерген немесе олардағы деректерді жойған кезде қорғалуы тиіс, қолданыстағы есеп берулер қауіпсіздік туралы жалған әсер құруы мүмкін.

8. Әкімшінің және оператордың журналы
Журналдар жасалуы тиіс, онда жүйелердің әкімшісімен және операторымен орындалған операциялар тіркеледі.
Есеп берулер ұстауы тиіс:

  • оқиға болған уақыт (операциялардың табысты немесе табыссыз аяқталуы);

  • оқиғалар туралы ақпарат (мысалға, кері файлдар) немесе өзі туралы (мысалға, қате болды, және оны түзету бойынша операциялар қабылданды);

  • қандай есеп жүргізу жазбасы пайдаланылғаны немесе қандай әкімші немесе оператор сәйкес операциаларды орындалғаны туралы мәлімет;

  • қандай үдерістер пайданылғаны туралы мәлімет.

Жүйенің және желінің әкімшісімен орындалған операциясы әдептілігінің мониторинг жүйесін қарап шығу, онда басып кіруді анықтайтын жүйе пайдалануы мүмкін, ол жүйенің сырттан басқарылатыны, онда жүйенің және желінің әкімшісімен басқарылады.
9. Істен шыққандарды тіркеу журналы
Істен шыққандар тіркелуі тиіс, талдаудың нәтижесі бойынша істен шыққандарға сәйкес шаралар қабылдауы тиіс. Ақпараттарды немесе байланыс жүйелерін өңдеу проблемаларына байланысты істен шығу журналдары жасалуы тиіс, ол туралы пайдаланушылар мен жүйелік бағдарламалар хабарлады. Істен шыққанды өңдеудің айқын ережесі әзіпленуі тиіс, ескеретіндер:

  • себебі, істен шығудың қанағаттандырарлық жойылғанына кепілдік беретін істен шығуларды тіркеу есеп берулерін тексеру;

  • басқару құралдары қатерлердің астында қойылған жоқ және себебі рұқсат етіліп, бекітілген шаралар қабылданды дегенге кепілдік беретін жағдайды түзеу жөніндегі шараларды тексеру.

Істен шыққандар бойынша есеп берулерді қосу және өшіру мүмкіншіліктері болуы тиіс және бұл жүйелік қызмет әкімші үшін қол жетімді болуы тиіс.
Жазбаларды жасау сәйкес біліктілігі бар персоналмен белсендірілуі тиіс, есеп берулерді құрудың көлемі мен деңгейі нақты жүйелер үшін жүйелер сипаттамасының нашарлауын ескере отырып тәуекелдер бағалауының негізінде анықталуы тиіс.
Жүйелік сағаттардың үйлесімділігі
Компьютерлік сағаттардың дұрыс орнатылуы аудиттің есеп беру дәлдігін кепілдендіру үшін маңызды, ол зерттеуді жүргізген кезде және сот талқылауында немесе тәртіптілік үдерістерінде куәгер ретінде талап етілуі мүмкін. Аудиттің дәл емес есеп берулері осындай зерттеулерге кедергі жасауы және куәгерлерге сенімді азайтуы мүмкін.
«Электрондық үкімет» инфрақұрылымының сағаты дәл уақыт дерегімен сәйкес үйлесімді болуы тиіс. Осыған байланысты «электрондық үкіметтің» инфрақұрылымы жергілікті уақыт стандартымен келісілген сағаттарды салыстырып тексеру және кез келген ауытқуды түзетуге сәйкес белгіленген бірыңғай қорғалған көліктік ортада мақсатқа сай нақты уақыт сағатын пайдалануда жұмыс жасайтын болады.
Негізгі сағаттар есебінде радиохабарларын тарату желілері арқылы берілген дәл уақыт дабылымен байланысты тіркеу жүйелері үшін сағат пайдаланылуы мүмкін, ол өз кезегінде атомдық сағаттың ұлтттық стандартының көрсеткішіне тіркеулі. Негізгі сағаттармен барлық серверлердің үйлесімділігін қолдау үшін уақытты қою желілік хаттамасы қолдануы мүмкін.
Уақытқа және нақты күнге уақыт жазбаларының сәйкестігін қамтамасыз ету үшін уақыт пен күннің дұрыс талдауы маңызды.
Ақпаратты криптографиялық қорғау құралдарына (АКҚҚ) байланысты қызметті лицензиялау. Лицензиаттар туралы ақпарат.
Лицензиаттар туралы ақпарат
Бұл ақпарат ақпаратты криптографиялық қорғау құралдарын (АКҚҚ) әзірлеу, шығару, жөндеу, сату, экспорттау және импорттау саласындағы қызметті лицензиялаудың негізгі принциптері мен ережелерінен тұрады.
Лицензиаттар туралы ақпараттың мазмұны:
1. АКҚҚ саласындағы заңнамалық және нормативтік базасының тізбесі;
2. Лицензиялар: түрлері, нысандары мен мазмұны;
3. Лицензия берудің шарттары мен тәртіптері;
4. Лицензияны ресімдеу үшін қажетті құжаттар тізбесі;
5. Лицензия беруден бас тарту;
6. Лицензияның қолданылуын тоқтату, күшін жою және оны кері қайтарып алу;
1. Ақпаратты криптографиялық қорғау құралдарын лицензиялау саласындағы заңнамалық және нормативтік база
1. «Лицензиялау туралы» Қазақстан Республикасының 1995 жылғы 17 сәуірдегі № 2200 Заңы;
2. «Қазақстан Республикасы Президентінің 1995 жылғы 17 сәуірдегі № 2201 қаулысын іске асыру туралы» Қазақстан Республикасы Үкіметінің 1995 жылғы 29 желтоқсандағы № 1894 қаулысы;
3. «Қазақстан Республикасында арнайы жедел іздестіру шараларын жүргізуге арналған ақпаратты қорғаудың криптографиялық құралдарын, арнаулы техникалық құралдарын әзірлеу, шығару, жөндеу және сату саласындағы қызметті лицензиялаудың тәртібі және біліктілік талаптары туралы ережені бекіту туралы» Қазақстан Республикасы Үкіметінің 1997 жылғы 13 маусымдағы № 967 қаулысы;
4. «Қызметтің жекелеген түрлерімен айналысуға құқық беру үшін лицензиялық алым ставкаларын бекіту туралы» Қазақстан Республикасы Үкіметінің 2002 жылғы 24 қаңтардағы № 100 қаулысы;
5. «Қазақстан Республикасында тауарлардың (жұмыстар мен қызмет көрсетулердің) экспорттары мен импорттарын лицензиялау туралы» Қазақстан Республикасы Үкіметінің 1997 жылғы 30 маусымдағы № 1037 қаулысы;
6. «Қазақстан Республикасындағы ақпаратты криптографиялық қорғау құралдарын депозитке салу ережелерін бекіту туралы» Қазақстан Республикасы ҰҚК Төрағасының 2001 жылғы 22 маусымдағы № 86 бұйрығы.
Ақпаратты криптографиялық қорғау құралдарына (бұдан әрі – АКҚҚ) кез-келген аппараттық, бағдарламалық және аппараттық-бағдарламалық құралдар мен кешендер, ақпаратты шифрлеу және аутентификациялау, сондай-ақ шифркілттерді әзірлеу мен бөлу жолымен оның мазмұнын жасыру және (немесе) оның тұтастығын бақылау мақсатында ақпаратты қайта өзгерту алгоритмдері мен әдістері жатады.
«Лицензиялау туралы» Қазақстан Республикасының 1995 жылғы 17 сәуірдегі № 2200 Заңының 9-бабына сәйкес ақпаратты криптографиялық қорғау құралдарын, қосалқы бөлшектерін, олардың жинақтаушы элементері мен аспаптарын, егер олар басқа салада пайдаланылмайтын болса, сондай-ақ монтаждауды, түзеуді, пайдалануды, сақтауды, жөндеу мен сервистік қызмет көрсетуді қоса есептегендегі оларды шығаруға арналған арнайы материалдар мен қондырғыларды әзірлеу, шығару, жөндеу және сату бойынша кәсіпкерлік қызметті жүзеге асыру үшін лицензияның бар болуы талап етіледі.
2. Лицензиялар: түрлері, нысандары мен мазмұны
Лицензия оның иесінің (заңды немесе жеке тұлғаның) ақпаратты криптографиялық қорғау құралдарына байланысты лицензияланған қызметті белгілі бір аумақтық шекараларда көрсетілген мақсатқа сәйкес белгіленген мерзім ішінде лицензияға енгізілген талаптар мен шарттарды орындаған жағдайда жүзеге асыру құқығын куәландыратын құжат болып табылады.
Қызметтің әрбір түріне лицензиялаудың құрылымына сәйкес жеке лицензия беріледі. Кәсіпкерлік қызметтің бірнеше түрін жүргізуге бір лицензия берілуі мүмкін.
Лицензиялар ажырағысыз болып табылады, яғни лицензиат оларды басқа заңды немесе жеке тұлғаларға бере алмайды. Лицензияның күші лицензиатпен шарттық қарым-қатынастағы үшінші адамға тарамайды.
Лицензиялардың қолданылу мерзімі: лицензиялар мерзіміне қарай бас лицензия және бір жолғы лицензия болуы мүмкін.
Лицензияның нысанын Қазақстан Республикасының Үкіметі белгілейді.
«Қазақстан Республикасы Президентінің 1995 жылғы 17 сәуірдегі № 2201 қаулысын іске асыру туралы» Қазақстан Республикасы Үкіметінің 1995 жылғы 29 желтоқсандағы № 1894 және «Қазақстан Республикасында арнайы жедел-іздестіру шараларын жүргізуге арналған ақпаратты қорғаудың криптографиялық құралдарын, арнаулы техникалық құралдарын әзірлеу, шығару, жөндеу және сату саласындағы қызметті лицензиялаудың тәртібі және біліктілік талаптары туралы ережені бекіту туралы» Қазақстан Республикасы Үкіметінің 1997 жылғы 13 маусымдағы № 967 қаулыларына сәйкес республика аумағында ақпаратты криптографиялық қорғау құралдарына байланысты қызметті лицензиялауды Қазақстан Республикасының Ұлттық қауіпсіздік комитеті жүзеге асырады.
АКҚҚ саласында қызметтердің мынадай түрлері лицензиялауға жатады:
• ақпаратты криптографиялық қорғау құралдарын әзірлеу, сату (оның ішінде және өзге де беру) және сақтау;
• ақпаратты криптографиялық қорғау құралдары саласындағы ғылыми-зерттеулік қызмет;
• ақпаратты криптографиялық қорғау құралдарын шығару, сату (оның ішінде және өзге де беру) және сақтау;
• ақпаратты криптографиялық қорғау құралдарын жөндеу, техникалық қоса алып жүру және сақтау;
• ақпаратты криптографиялық қорғау құралдарын сату (оның ішінде және өзге де беру) және сақтау;
• коммерциялық деңгейдегі ақпаратты криптографиялық қорғау құралдарын пайдалану және сақтау;
ақпараттық-анықтамалық, жарнамалық көрсету мен консультативті қызметтер ұсыну.
Қазақстан Республикасы Үкіметінің 1997 жылғы 13 маусымдағы № 967 қаулысының 3-тармағына сәйкес мемлекеттік құпиялар санатына кіретін ақпаратты криптографиялық қорғау құралдарын әзірлеуге, шығаруға, жөндеуге және сатуға байланысты қызметті заңды және жеке тұлғалар Қазақстан Республикасының мемлекеттік билік және басқару органдарының мүддесінде ғана жүзеге асырылуы мүмкін.
Қазақстан Республикасының мемлекеттік құпияларын құрамайтын мәліметтерді қорғауға арналған АКҚҚ пайдалануға байланысты қызмет Қазақстан Республикасы ҰҚК «Қазарнаулыкәсіпорын» республикалық мемлекеттік кәсіпорнында басты және техникалық құжаттаманы міндетті түрде депозиттаумен жүзеге асырылады.
3. Лицензия беру шарттары мен тәртіптері
АКҚҚ саласындағы қызметті жүзеге асыруға құқық беретін лицензия біліктілік деңгейі осы Ережеде баяндалған талаптарға сай келетін заңды немесе жеке тұлғаға (бұдан әрі өтініш берушіге) беріледі.
Лицензия беруге өтініш барлық құжаттар, құқық қорғау органдарының арнайы тексеріс, кәсіпорынның біліктілік деңгейі мен ұйымдастырушылық-техникалық жағдайларына оң баға беру бойынша оң қорытындысы болған кезде тіркеледі. Құжаттарды тіркеген сәттен бастап 30 күн ішінде өтініш берушіге өтініш білдірген қызмет түрін жүзеге асыруына лицензия беріледі немесе одан бас тарту жөнінде жазбаша жауап жіберіледі.
4. Лицензияны ресімдеу үшін қажетті құжаттар тізбесі
Ақпаратты криптографиялық қорғау құралдарына байланысты қызметті жүзеге асыруға лицензия алу үшін «Қазақстан Республикасында арнайы жедел-іздестіру шараларын жүргізуге арналған ақпаратты қорғаудың криптографиялық құралдарын, арнаулы техникалық құралдарын әзірлеу, шығару, жөндеу және сату саласындағы қызметті лицензиялаудың тәртібі және біліктілік талаптары туралы ережені бекіту туралы» Қазақстан Республикасы Үкіметінің 1997 жылғы 13 маусымдағы № 967 және «Қазақстан Республикасы Президентінің 1995 жылғы 17 сәуірдегі № 2201 қаулысын іске асыру туралы» Қазақстан Республикасы Үкіметінің 1995 жылғы 29 желтоқсандағы № 1894 қаулыларымен белгіленген құжаттар топтамасын Қазақстан Республикасы ҰҚК-на дайындап және беру қажет:
1. Белгіленген үлгідегі өтініш. otinish.pdf
2. Белгіленген үлгідегі сауалнама. saualnama.pdf
3. Жарғы мен құрылтай шартының көшірмелері (заңды тұлғалар үшін).
4. Заңды тұлғалар үшін мемлекеттік тіркеу туралы куәліктің көшірмесі.
5. Статистикалық карточка көшірмесі.
6. Есептесу шотының бар екендігі туралы қызмет көрсету банкінің растауы.
7. Тіркеу туралы салық комитетінің растауы.
8. Санитарлық бақылау органдары қорытындысының көшірмесі.
9. Мүлікке шаруашылық иемденуге меншіктік құқық беретін құжаттар, мүлікті жалға алу шарты (көшірмелері).
10. Ақпаратты криптографиялық қорғау құралдарымен жұмыс істеуге тікелей қатысы бар қызметкерлердің тізімі.
11. Келген қызметкерлердің белгіленген үлгідегі сауалнамалары мен өмірбаяндары.
12. Келген қызметкерлерде тиісті білімі мен кәсіби дайындығының бар екендігі туралы құжаттардың көшірмесі.
13. Келген қызметкерлерге қатысты белгіленген тәртіпте тексеріс іс-шараларын өткізуге олардың келісімін растайтын құжаттар.
14. Мемлекеттік құпияны қорғауды қамтамасыз ету, қызметтік құпияны құрайтын ақпаратты жария етпеу жөніндегі талаптарды қызметкерлердің орындау міндеттемелеріне қатысты еңбек шарттарының (келісім-шарттарының) көшірмелері (заңды тұлғалар үшін).
15. Лицензиялық алымды төлегені туралы құжаттардың көшірмесі (Қазақстан Республикасы Үкіметінің 2002 жылғы 24 қаңтардағы № 100 қаулысына сәйкес лицензиялық алым ставкасы 9 ең төменгі есептеу көрсеткіштерін құрайды).
16. Экологиялық бақылау органдары қорытындысының көшірмесі.
5. Лицензия беруден бас тарту
Лицензиялаушы орган, егер:
1. Барлық талап етілген құжаттар ұсынылмаса;
2. Өтініш беруші ұсынған құжаттарда жалған немесе бұрмаланған ақпарат болса;
3. Өтініш беруші Ережемен белгіленген біліктілік талаптарына сай болмаса;
4. Лицензия бергені үшін алым төленбесе;
5. Арнайы тексерудің теріс нәтижелері болса; 6. Өтініш берушіге қатысты соттың қызметтің осы түрімен айналысуына тыйым салатын шешімі болса, лицензия беруден бас тартуға құқылы.
Лицензия беруден бас тартылғандығы туралы хабар өтініш берушіге өтініш берілген күннен бастап бір ай мерзім ішінде жазбаша нысанда, бас тартудың себептері көрсетіле отырып ұсынылады.
Егер лицензия мерзімінде берілмесе немесе бас тарту өтініш берушіге негізсіз болып көрінсе, ол бір ай мерзім ішінде бұл әрекеттерге сот тәртібімен шағымдануға құқылы.
6. Лицензияның қолданылуын тоқтату, күшін жою және оны кері қайтарып алу
Лицензиар мынадай жағдайларда:
1.Лицензиаттан тиісті өтініш түскенде;
2.Лицензиардың немесе уәкілетті органның қызметке тексеру жүргізуінің нәтижесінде лицензия шарттарының бұзылғандығы анықталғанда;
3. Лицензия алу үшін ұсынылған құжаттардан жалған деректер табылғанда;
4. Лицензиядағы лицензия ережелері мен талаптарының сақталуына бақылау жасау үшін қажетті мәліметтерді лицензиарға ұсынудан бас тартылған жағдайда лицензияның күшін алты айға дейінгі мерзімге тоқтатуға құқылы.
Тоқтатылған уақыт лицензия күшінде болатын жалпы мерзімге кіреді.
Лицензиат лицензия күшін тоқтату туралы шешімге сот тәртібімен шағымдануға құқылы.
Лицензияның күші тоқтатылған себептер жойылғаннан кейін (бірақ алты айдан кешіктірмей) лицензия қайта күшіне енеді. Лицензия лицензиялаушы орган тиісті шешім қабылдағаннан кейін қайта күшіне енген болып есептеледі, бұл туралы лицензиат пен салық қызметі органдарына үш күн мерзім ішінде хабарланады.
Лицензия тек:
1. Лицензия берілген мерзім аяқталғанда;
2. Лицензия берілген әрекеттер толық көлемде орындалғанда;
3. Лицензия кері қайтарылып алынғанда;
4. Азамат кәсіпкерлік қызметін тоқтатқанда, заңды тұлға қайта ұйымдастырылғанда немесе таратылғанда ғана өз күшін жояды.
Заңды тұлға қайта тіркелген кезде лицензия мерзімі аяқталғанға дейін сақталады.
Лицензия күшінің жойылуына байланысты дауларды сот шешеді.
Егер заңнамалық актілерде өзгеше көзделмесе, мынадай жағдайларда:
1. Лицензиат лицензияда көрсетілген талаптарды орындамағанда;
2. Сот лицензиатқа лицензия берілген қызмет түрімен айналысуға тыйым салғанда;
3. Лицензиар лицензияның күшін тоқтатқан себептер жойылмағанда лицензия сот тәртібімен кері қайтарылып алынуы мүмкін.
Лицензияның күші тоқтатылған кезде лицензия беру үшін төленген алым қайтарылмайды.
Лицензияның күші тоқтатылған жағдайда лицензиар (лицензиялық комиссия) мұндай шешім қабылдағаннан кейін бір апта мерзім ішінде лицензия иелеріне тоқтату себептерін көрсете отырып, жазбаша нысанда хабарлайды.


ЖҰМЫСТЫҢ ОРЫНДАЛУ РЕТІ
1.Теориялық материалды оқу
2. Теориялық материалды талдау
3. Бақылау сұрақтарына жауап беру


ЕСЕПКЕ ҚОЙЫЛАТЫН ТАЛАП
Есеп бақылау сұрақтарына жауап беріле отырып, қысқаша теориялық мағлұматты қамтуы тиіс.


БАҚЫЛАУ СҰРАҚТАРЫ
1. «Электрондық үкімет» құрамдас бөлігінің ақпараттық қауіпсіздік саясатының міндеті.
2. Персоналдың рөлі мен міндеті.
3. Жұмыс рәсімдерін құжаттандыру.
4. Деректерді көшірген кезде сақтау керек факторлар.
5. Жалпы қол жеткізуімен ақпаратты қорғау.
6. Жүйелерді пайдалану мониторингі не үшін қажет?
7. Әкімшінің және оператордың журналы не үшін қажет?
8. Істен шыққандарды тіркеу журналы не үшін жүргізіледі?
9. "Лицензиялау туралы" туралы заңның маңызы.
10. Лицензия беру шарттары мен тәртіптері.


Практикалық сабақ №6


Достарыңызбен бөлісу:
1   ...   26   27   28   29   30   31   32   33   ...   62




©engime.org 2024
әкімшілігінің қараңыз

    Басты бет