Ақпараттық қауіпсіздікті қамтамасыз етудің
негізгі бағыттары
Ақпараттық қауіпсіздік — мемлекеттік ақпараттық ресурстардың, сондай-
ақ ақпарат саласында жеке адамның құқықтары мен қоғам мүдделері
қорғалуының жай-күйі.
Ақпаратты қорғау — ақпараттық қауіпсіздікті қамтамасыз етуге
бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп
деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын
ақпарат пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек
болса, жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау -
ақпараттың сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың,
өзгертудің, маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың,
бұғаттаудың алдын алу үшін жүргізілетін шаралар кешені.
Қауіпсіздікті қамтамасыз ету кезін қойылатын шектеулерді қанағаттандыруға
бағытталған ұйымдастырушылық, программалық және техникалық әдістер
мен құралдардан тұрады.
Ақпаратты өңдеудің автоматтандырылған жүйесі (АЖ) ретінде келесі
объектер жиынтығын түсіну керек:
-есептеуіш техника құралдарын;
-программалық жасауды;
-байланыс арналарын;
-түрлі тасушылардағы ақпараттарды;
-қызметшілер мен жүйені пайдаланушыларды.
Тәжірибе жүзінде ақпараттық қауіпсіздік қорғалатын ақпараттың келесі
негізгі қасиеттерінің жиынтығы ретінде қарастырылады:
-конфиденциалдылық (құпияланғандық), яғни ақпаратқа тек заңды
пайдаланушылар қатынай алатындығы;
-тұтастық, біріншіден, тек заңды және сәйкесті өкілдігі бар пайдаланушылар
ғана өзгерте алатын ақпараттың қорғалуын, ал екіншіден ақпараттың ішкі
қайшылықсыздығын және (егер берілген қасиет қолданыла алатын болса)
заттардың нақты жағдайын бейнелеуін қамтамасыз ететіндігі;
-қатынау қолайлығы, қорғалатын ақпаратқа заңды пайдаланушыларға
бөгетсіз қатынаудың кепілі болуы.
Ақпаратты қорғау құралдары – мемлекеттік құпия болып табылатын
мәліметтерді қорғауға арналған техникалық, криптографиялық,
программалық және басқа да құралдар, олар жүзеге асырылған құралдар,
сондай-ақ, ақпарат қорғаудың тиімділігін бақылау құралдары.
Ақпараттық қорғау жүйесі жобалау әр түрлі жағдайда жүргізілуі мүмкін және
бұл жағдайларға негізгі екі праметр әсер етеді: ақпарат қорғау жүйесіне
арнап әзірленіп жатқан деректерді өңдеудің автоматтандырылған жүйесінің
қазіргі күй-жағдайы және ақпаратты қорғау жүйесін жасауға кететін қаржы
мөлшері.
Ақпаратты қорғау жүйесін жобалау мен әзірлеу келесі тәртіп бойынша
жүргізуге болады:
- қорғанылуы көзделген деректердің тізбесін және бағасын анықтау үшін
деректер өңдеу жүйесін қойылған талдау жасау;
- ықтимал бұзушының үлгісін таңдау
- ықтимал бұзушының таңдап алынған үлгісіне сәйкес ақпаратқа заңсыз қол
жеткізу арналарының барынша көбін іздеп табу;
- пайдаланылатын қорғаныш құралдарының әрқайсысының беріктілігін
сапасы мен саны жағынан бағалау;
- орталықтанған бақылау мен басқару құралдарын әзірлеу;
- ақпарат қорғау жүйесінің беріктілігінің сапасын бағалау.
Ақпараттық қауіпсіздік — мемкелеттік ақпараттық ресурстардың, сондай-ақ
ақпарат саласында жеке адамның құқықтары мен қоғам мүдделері
қорғалуының жай-күйі.
Ақпаратты қорғау—ақпараттық қауіпсіздікті қамтамасыз етуге бағытталған
шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп деректерді енгізу,
сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат пен қорлардың
тұтастығын, қол жеткізулік оңтайлығын және керек болса, жасырындылығын
қолдауды түсінеді. Сонымен, ақпаратты қорғау – ақпараттың сыртқа
кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің,
маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың,
бұғаттаудың алдын алу үшін жүргізілетін шаралар кешені.
Ақпараттық қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады: қол
жеткізерлік (оңтайлық), тұтастық және жасырындылық.
Қол жетерлік (оңтайлық) – саналы уақыт ішінде керекті ақпараттық қызмет
алуға болатын мүмкіндік. Ақпараттың қол жеткізерлігі – ақпараттың,
техникалық құралдардың және өңдеу технологияларының ақпаратқа
кедергісіз (бөгетсіз) қол жеткізуге тиісті өкілеттілігі бар субъектілердің оған
қол жеткізуін қамтамасыз ететін қабілетімен сипатталатын қасиеті.
Тұтастық – ақпараттың бұзудан және заңсыз өзгертуден қорғанылуы.
Ақпарат тұтастығы деп ақпарат кездейсоқ немесе әдейі бұрмаланған
(бұзылған) кезде есептеу техника құралдарының немесе автоматтандырылған
жүйелердің осы ақпараттың өзгермейтіндігін қамтамасыз ететін қабілетін
айтады.
Жасырындылық – заңсыз қол жеткізуден немесе оқудан қорғау.
1983 жылы АҚШ қорғаныс министрлігі қызғылт сары мұқабасы бар «Сенімді
компьютерлік жүйелерді бағалау өлшемдері» деп аталатын кітап шығарды.
Қауіпсіз жүйе – белгілі бір тұлғалар немесе олардың атынан әрекет жасайтын
үрдістер ғана ақпаратты оқу, жазу, құрастыру және жою құқығына ие бола
алатындай етіп ақпаратқа қол жеткізуді тиісті құралдар арқылы басқаратын
жүйе.
Сенімді жүйе – әр түрлі құпиялық дәрежелі ақпаратты қатынас құру құқығын
бұзбай пайдаланушылар тобының бір уақытта өңдеуін қамтамасыз ету үшін
жеткілікті ақпараттық және программалық құралдарды қолданатын жүйе.
Жүйенің сенімділігі (немесе сенім дәрежесі) екі негізгі өлшемі бойынша
бағаланады: қауіпсіздік саясаты және кепілділік.
Желілік қауіпсіздік сервистері деп - есептеуіш жүйелерде және желілерде
өңделетін ақпараттың қорғау механизмдерін береді.
Инженерлік-техникалық әдістер деп - өзінің мақсаты ретінде техникалық
арналар арқылы ақпараттың жайылып кетуінен ақпараттың қорғалуын
қамтасыз етуді қарастырады.
Ақпаратты қорғаудың құқықтық және ұйымдастырушылық әдістері деп -
нормалар үлгілерін жетілдіру үшін ақпараттық қауіпсіздікті қамтамасыз
етуге байланысты әр түрлі қызметтерді ұйымдастырады.
Ақпараттық қауіпсіздікті қамтамасыз етудің теориялық әдістері деп - өз
кезегінде екі негізгі мәселені шешеді. Біріншіден, ақпараттық қауіпсіздікті
қамтамасыз етуге байланысты әр түрлі процесстерді формализациялау.
Ақпарат қорғанысының негізгі қауіптеріне және ақпараттық жүйенің
қарапайым функциялануына келесілер жатады:
-құпия ақпараттың ағып кетуі;
-ақпаратты компрометациялау;
-ақпараттық ресурстарды бекітілмеген жолмен қолдану;
-ақпараттық ресурстарды қателесіп қолдану;
-абоненттердің арасында бекітілмеген ақпарат алмасу;
-ақпараттан бас тарту;
Идентификация дегеніміз – қатынасатын субъектке арнайы идентификатор
(қайталанбайтын) тағайындау және оны мүмкін болатын идентификатор
тізімімен салыстыру операциясы.
Аутентификация дегеніміз – қатынасатын субъект пен оның
идентификаторының сәйкестігін тексеру әрі растау операциясы.
Аутентификацияның әдістерін үлкен 4 топқа бөлуге болады:
Белгілі бір құпия ақпаратты білуге негізделген әдістер - бұл әдістің бәрімізге
таныс мысалы – парольдік қорғаныс. Қолданушы жүйеге кірер кезде пароль,
яғни таңбалардың құпия тізбегін, енгізу керек болады. Аутентификацияның
бұл әдісі ең кең таралған болып табылады.
Қайталанбайтын зат (нәрсе) қолдануға негізделген әдістер -
қайталанбайтын зат ретінде түрлі смарт карталар, токен, электрондық
кілттерді айтуға болады.
Адамның биометриялық белгісіне негізделген әдістер - іс жүзінде
биометриялық белгілердің келесідей түрлері қолданылады: Саусақтың ізі,
Көздің торлы қабықшасы не мөлдір қабықшасының суреті, Қолдың жылулық
суреті, Беттің фотосуреті не жылулық суреті, Жазу (қолтаңба), Дауыс
Қолданушымен байланысты ақпаратқа негізделген әдістер - бұндай
әдістердің мысалы ретінде қолданушының GPS арқылы алынған
координаттарын айтуға болады.
Қауіпсіз жүйе - белгілі бір тұлғалар немесе олардың атынан әрекет жасайтын
үрдістер ғана ақпаратты оқу, жазу, құрастыру және жою құқығына ие бола
алатындай етіп ақпаратқа қол жеткізуді тиісті құралдар арқылы басқаратын
жүйе.
Сенімді жүйе - әр түрлі құпиялық дәрежелі ақпаратты қатынас құру құқығын
бұзбай пайдаланушылар тобының бір уақытта өңдеуін қамтамасыз ету үшін
жеткілікті ақпараттық және программалық құралдарды қолданатын жүйе.
Жүйенің сенімділігі (немесе сенім дәрежесі) екі негізгі өлшемі бойынша
бағаланады: қауіпсіздік саясаты және кепілділік.
Қауіпсіздік политикасы:
- жүйе дәл анықталған қауіпсіздік политикасын ұстануы тиіс.
- субъекттің объектке қолжетушілік мүмкіндігі олардың ұқсастығы және
қолжетушілікпен басқару ережелерінің жиынтығы негізінде анықталуы
керек.
- объектімен қолжетушілікті бақылау процедуралары үшін бастапқы
информация есебінде қолданылатын қауіпсіздік белгілері бір-біріне ұйқасуы
керек.
Қауіпсіздік саясаты - мекеменің ақпаратты қалайша өңдейтінін,
қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп
нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі
бір деректер жинағымен жұмыс істей алатынын көрсетеді. Қауіпсіздік
саясатын құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға
қарсы әрекет шаралары кіретін қорғаныштың белсенді сыңары деп санауға
болады.
Кепілдік - жүйенің сәлетіне және жүзеге асырылуына көрсетілетін сенім
өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің
дұрыстығын көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын
қадағалауға арналған, белсенсіз сынары деп сипаттауға болады.
Қауіпсіздік кластары:
С1 - Дискретті қорғау
Кластың талабы: пайдаланушы ұсынылған қорғау құралдарын қолдану
мүмкіншілігі бар. Қорғау бірнеше үзінді «нүктелі» элементтерден
ұйымдастырылады.
Тиісті критерийлары:
- авторизациялау сервері болу керек
- аппараттық және программалық құралдары болуы керек
- қауіпсіздік ережелерін сақтау талабы қойылады
- қорғаныс механизмдері тестіленіп отыруы керек
- идентификация және аутентификация
С2 - Қатынауды тиімділеу бағытта, ұсыныстар, кеңестер беріледі. Жүйеге
қадағалау енгізіле басталады.
Тиісті критерийлары:
- объектілердің қайта қолдануы
- жүйеде орындалған әр іс-әрекет нақты пайдаланушымен байланысты
- тіркелетін ақпарат қорғалуға тиісті
В1 - Мандатты басқару – (ағылш. Mandatory access control, MAC) —
субъектілердің объектілерге қолжетімділігін берілген құқыққа немесе
(мандатқа, рұқсатқа) сәйкес ұйымдастыру. Кейбір жерлерде оны Еріксіз
басқару деп аударады.
Тиісті критерийлары:
- қауіпсіздік саясат
- архитектураны верификациялау
- қауіпсіздік белгілері
- пайдаланушыны жүйемен жұмыс жасауда құжаттандыру керек
В2 - Құрылымдық қорғаныс
Ақпаратты жіберетін жасырын арналарға бақылау жүргізе отырып,барлық
субъектілерге қолданылатын дискрециялық және мандатты қатынауды
басқаруды ескеретін формалды анықталған және нақты құжатталған
қауіпсіздік моделі.
Тиісті критерийлары:
- сенімді есептеу базасы, өзіне тиесілі жобалардың енуі мен тұрақтылығын
қамтамасыз етуі
- алғашқы идентификациялық,аудентификациялық операцияларды
орындағанда есептеуіш базасына сенімді байланысу жолын қамтамасыз ету
- жады мен алмасу құпия арналарын тіркеу
- тестілер құпия ақпарат алмасу арналарының қатынау қабілеттілігінің
шектеуін құптайды
- есептеу базасы жақсы құрылымданған және тәуелсіз модульдерден тұрады
В3 - Қауіпсіздік домендері
Барлық қорғау механизмдері қауіпсіздік ядросында шоғырлануы керек.Аудит
құралдарының жұмыс істеу жауапкершілігіне және жүйені қалпына келтіруге
администратор жауапты.
Тиісті критерийлары:
- анықталған қауіпсіздік саясатты ұстануы
- аудит құралдарына хабарландырулар енуі тиіс
- қауіпсіздік мониторын қолдау
- қауіпсіздік ядросы ықшамды болып келеді
- есептеуіш базаға сырттан келген шабуылға қарсылық көрсету
- жүйенің жұмыс істеу қабілетін қалпына келтіру құралдарының бар болуы
қажетті.
А - Верификацияланған (тексерілетін) қауіпсіздік
- тестілеу сенімді есептеу базасының формалдық спецификациясының
жоғары деңгейін қадағалап, өндіруі қажет
- формальды спецификациялық жоғары деңгейлі болуы тиіс. Заманауи әдіс
формалды спецификация мен верификациялық жүйені қолданады.
- конфигурациялық механизм басқару жүйесі бүкіл өмір циклін және барлық
жүйе компаненттерін, оған тиесілі қауіпсіздік әрекеттерін қамтамасыз етеді.
Кепілдік түрлері
Кепілдіктің екі түрі болады: операциялық және технологиялық.
1-сі - жүйенің сәулеті және жүзеге асырылу жағына;
2-сі - құрастыру және сүйемелдеу әдістеріне қатысты;
Қатынасым мониторы – пайдалынушының программаларға немесе
деректерге әрбір қатынасының мүмкін болатын іс - әрекеттер тізімімен
келісімдігі екендігін тексеретін монитор.
Қатынасым мониторынан үш қасиеттің орындалуы талап етіледі:
Оңашаландық - монитор өзінің жұмысы кезінде аңдудан қорғалуға тиісті;
Толықтық - монитор әрбір қатынасу кезінде шақырылады. Бұл кезде оны
орай өтуге мүмкіндік болмау керек;
Иландырылатындық - мониторды талдауға және тестілеуге мүмкін болу
үшін ол жинақы болуы керек.
Қауіпсіздік өзегі - қатынасым мониторының жүзеге асырылуы. Қауіпсіздік
өзегі барлық қорғаныш тетіктерінің құрылу негізі болып табылады.
Қатынасым мониторының аталған қасиеттерінен басқа қауіпсіздік өзегі
өзінің өзгерместігіне кепілдік беруі керек. Қауіпсіздік периметрі - сенімді
есептеу базасының шекарасы. Оның ішіндегі сенімді, ал сыртындағы сенімсіз
деп саналады. Сыртқы және ішкі әлемдер арасындағы байланыс ретқақпа
арқылы жүзеге асырылады. Бұл ретқақпа сенімсіз немесе дұшпандық
қоршауға қарсы тұра алуға қабілетті бар деп саналады.Қорғаныш жоспарын
құру ақпарат қорғау жүйесінің функционалдық сұлбасын әзірлеуден
басталады. Ол үшін қорғаныш жүйесінің атқаратын міндеттері анықталады
және нақты объектінің ерекшеліктерін ескере отырып жүйеге қойылатын
талаптар талқыланады.
Жоспарға мынадай құжаттар қосылады:
- қауіпсіздік саясаты;
- ақпаратты қорғау құралдарының объектіде орналасуы;
- қорғаныш жүйесін жұмысқа қосу үшін қажет шығындардың сметасы;
- ақпарат қорғаудың ұйымдастырушылық;
- техникалық шараларын жүзеге асырудың күнтізбелік жоспары.
Объектінің ақпараттық қауіпсіздігін қамтаммасыз етуге арналған жұмыстар
бірнеше кезеңге бөлінеді: даярлық кезеңі, ақпараттық қорларды түгендеу,
қатерді талдау, қорғаныш жоспарын жүзеге асыру. Осы аталған кезеңдер
аяқталған соң эксплуатациялау кезеңі басталады.
Даярлық кезең. Бұл кезең барлық келесі шаралардың ұйымдастырушылық
негізін құру, түпқазық құжаттарды әзірлеу және бекіту, сондай-ақ, үрдіске
қатысушылардың өзара қарым – қатынастарын анықтау үшін қажет. Даярлық
кезеңде ақпарат қорғау жүйесінің ақпараттың міндеттері анықталады.
Ақпараттық қорларды түгендеу. Бұл кезеңде, әдетте, объект, ақпараттық
ағындар автоматтандырылған жүйелердің құрылымы серверлер, хабар
тасышулар, деректер өңдеу және сақтау тәсілдері жайында мәлімет
жиналады. Түгендеу анықталған соң олардың осалдылығына талдау
жасалынады.
Қатерді талдау. Келесі шаралардың нәтижелерді ақпараттық қорлардың
қорғанылу күй – жағдайның қаншалықты толық және дұрыс талдануына
тәуелді болады. Қатерді талдау мыналардан тұрады: талданатын объектілерді
және оларды қарастырудың нақтылану дәрежесін таңдау; қатерді бағалау
әдіснамасын таңдау; қауіптерді және олардың салдарын талдау; қатерлерді
бағалау; қорғаныш шараларын талдау; таңдап алынған шараларды жүзеге
асыру және тексеру; қалдық қатерді бағалау.
Қауіп бар жерде қатер пайда болады. Қауіптерді талдау кезеңі қатерді
талдаудың орталық элементі болып табылады. Қауіптердің алдын алу үшін
қорғаныш шаралары мен қүралдары қажет. Қауіптерді талдау, біріншіден,
мүмкін болатын қауіптерді анықтаудан (оларды идентификациялаудан) және,
екіншіден, келтірілетін болашақ зиянды болжау – бағалаудан тұрады.Бұл
кезеңнің орындалу нәтижесінде объектідегі қауіп – қатерлер тізбесі және
олардың қауіптік дәрежесі бойынша жіктемесі құрастырылады.
Қатынас құрудың ерікті басқару – жеке субъект немесе құрамына осы
сцубъект кіретін топтың тұлғасын ескеру негізінде жасалған объектілерге
қатынас құруды шектеу. Ерікті басқару – белгілі бір тұлға (әдетте, объектінің
иесі) өзінің қарауынша басқа субъектілерге өзінің шешімі бойынша объектігі
қатынас құру құқығын бере алады.
Қатынас құрудың ағымдағы жағдайы ерікті басқару кезінде матрица түрінде
көрсетіледі. Қатарларында – субектілер, бағандарында – объектілер, ал
матрицаның түйіндерінде қатынас құру құқығының (оқу, жазу, орындау және
т.б.) кодасы көрсетіледі.
Объектілерді қайтадан пайдаланудың қауіпсіздігі. Бұл элемент құпия
ақпаратты «қоқтықтан» кездейсоқ немесе әдейі шығарып алудан сақтайтын
қатынас құруды басқаратын құралдардың маңызды қосымшасы болып
табылады. Объектілерді қайтадан пайдаланудың мүмкін болатын 3 қаупі бар:
жедел жадыны қолдану, сыртқы сақтау құрылғыларын қайтадан пайдалану
және ақпарат еңгізу/шығару құрылғыларын қайтадан пайдалану.
Қорғаныш тәсілдерінің бірі – құпия ақпаратпен жұмыс істегеннен кейін
жедел жадыда немесе аралық жадыны тазалау. Жақсы әдіс деп тегерішті
нығыздау программаларын қолдануды да санауға болады.
Қатынас құрудың мәжбүрлі басқару. Қатынас құруды басқару мәжбүрлі деп
атаудың себебі – қатынас құру мүмкіндігі субъектінің ерігіне тәуелді емес.
Мұндай басқару субъектінің және объектінің қауіпсіздік тамғаларын
салыстыру негізінде жүргізіледі.
Ерге субъектінің құпиялылық деңгейіобъектінің құпиялылық деңгейінен кем
болмаса, ал объектінің қауіпсіздік тамғасында көрсетілген барлық санаттар
субъектінің тамғасында болса (яғни, осындай екі шарт орындалса), онда
субект объектіден кез келген ақпаратты оқи алады. Мысалы, «өте құпия»
субъект «өте құпия» және «құпия» файлдарын оқи алады. Бұл жағдайда
«субъектінің қауіпсіздік тамғасы объектінің қауіпсіздік тамғасынан басым»
деп атайды.
Қорғаныштың мақсаты – қатынас құруға рұқсат етілмеген арналарды
ақпараттың түрін өзгертуге, ақпаратты жоғалтуға және сыртқа келтіруге
бағытталған әсерлерден сенімді түрде сақтауды қамтамасыз ететін өзара
байланысты бөгеттердің біріңғай жүйесін құру. Жүйе жұмысын қалыпты
режимде көзделмеген осындай оқиғалардың біреуінің пайда болуы рұқсат
етілмеген қатынас құру деп саналады.
Қорғаныш жүйесінің міндеттері:
- жасырын және өте жасырын ақпараттарды онымен рұқсатсыз танысудан
және оның көшірмесін жасап алудан қорғау;
- деректер мен программаларды рұқсат етілмеген кездейсоқ немесе әдейі
өзгертуден қорғау;
- деректер мен прогграммалардың бұзылуының салдарынан болатын
шығындан көлемін азайту;
- есептеу техника құралдарының көмегімен орындалатын қаражаттық
қылмыстардың алдын алу және т.б.
Сенімді қорғаныс құру үшін мыналар керек:
– ақпарат қауіпсіздігіне төніп тұрған барлық қауіп-қатерлерді айқындау
– олардың келтіретін залалдарын бағалау;
нормативті құжаттардың талаптарын, экономикалық мақсатқа
лайықтылықты, қолданылатын программалық қамтамамен сайысушылықты
және қақтығызсыздықты ескере отырып қорғаныштың керекті шаралары мен
құралдарын анықтау;
– қорғаныштың таңдап алынған шаралары мен құралдарын бағалау.
Ақпараттық қорғау жүйесі – деп белгіленген қорғаныш мәселелерін шешу
үшін онда көзделетін барлық құралдар, әдістер және шаралардың
ұйымдастырылған жиынтығын айтады.
Ақпарат қорғау жүйесін құрудың жалпы әдістемелік ұстанымдары:
- тұжырымдамалық тұтастық-бірлік,
- талаптарға барабарлық,
- икемділік,
- функционалдық тәуелсіздік
- пайдалану ыңғайлығы, берілетін құқықтарды шектеу,
- бақылаудың толықтығы,
- қарсы әрекет жасаудың белсенділігі
- тиімділік.
Достарыңызбен бөлісу: |