Коммерциялық емес акционерлық коғам

АЛМАТЫ ЭНЕРГЕТИКА ЖӘНЕ БАЙЛАНЫС УНИВЕРСИТЕТІ

Электроника кафедрасы

 

                                                                                                               

 

АҚПАРАТТЫ  ҚОРҒАУДЫ  ҰЙЫМДАСТЫРУ ЖӘНЕ БАСҚАРУ

 5В071900 – Радиотехника, электроника және телекоммуникациялар мамандығына бойынша оқудың барлық түріндегі студенттер үшін

дәрістер жинағы

  

 

 

Алматы 2012

Құрастырған: С.Қ. Оразалиева. Ақпаратты қорғауды ұйымдастыру және басқару. 5В071900 – Радиотехника, электроника және телекоммуникациялар мамандығы бойынша барлық оқу түрінің студенттеріне арналған   дәрістер жинағы – Алматы: АЭжБУ, 2011. – 33 б.

  

         Дәрістер жинағында ақпарат қауіпсіздігі және қорғаныс қызметтерін құру және талдауға қатысты негізгі ұғымдар келтірілген. Жүйелердің ақпараттық тәуекелдері мәселелері қарастырылған.

 

Дәрістер жинағы  5В071900 – Радиотехника, электроника және телекоммуникациялар мамандығы бойынша оқитын студенттерге арналған.

Кесте.3, әдеб.көрсеткіші – 5 атау.

  

Пікір беруші: техн.ғыл.канд.,  аға оқытушы Д.Р. Шагиахметов.

 

«Алматы энергетика және байланыс университеті» коммерциялық емес акционерлік қоғамының 2011 жылғы жиынтық жоспары бойынша басылады.   

  

 

© «Алматы энергетика және байланыс университеті» КЕАҚ, 2012 ж.

 

2011 жылы негізгі жоспары, реті 370

    

1 Дәріс №1. Кіріспе. Ақпараттық қауіпсіздіктің функционалды қызметтері

 

Дәріс мазмұны:

-        кіріспе;

-        кәсіпорынның ақпараттық қауіпсіздігі

-        АҚ механизмі;

-        АҚ құралдары.

Құнды мәліметтерді қорғау мәселесі адамзат қоғамын ертеректен мазалады. Соңғы уақытта бұл мәселе көптеген  кәсіпорын басшылары мен техникалық мамандарды мазалап отыр. Аз уақыт бұрын құнды мәліметтерді сақтаудың ең тиімді шешімі ретінде  мыналар есептелді: құжаттарды өртенбейтін сейфке, одан дұрысы жауапкершілікті басқалардың мойнына жүктеп банк ұяшығына салу. Қазіргі уақытта ақпаратты сақтаудың ең сенімді тәсілі келесі түрде (қалжың): ақпарат бір ғана данада брондалған сейфте орналасқан компьютерде болуы керек және ол компьютер барлық желілерден ажыратылған болуы керек.

Қазіргі заманғы ақпараттық қоғамда ақпарат өте құнды. Ақпараттың нақты немесе потенциалдық иесі қандай да бір ұтыс алуға, материалдық, саяси, әскери және т.б.  мүмкіндік беретін ақпарат құнды болады.

Ақпаратты алумен әр кезде арнайы қызметтегілер айналысатын. Соңғы жылдары бүкіл әлем арнайы қызметкерлерінің аз көлемдегі арнайы технологиялық ақпаратқа деген қызығушылықтары артып отыр. Бұл бірнеше фактормен байланысты. Бір жағынан, соңғы жылдары мемлекеттік инновация құны өсті және ірі корпорациялар зерттеушілік қызметке көп қаржы салуға мәжбүр.

Ақпаратты қорғаудың сапасын жақсарту жөніндегі барлық маңызды шешімдер белгілі және міндетті ережелер ретінде көрсетілген, бірақ іс жүзінде бұл ережелер сақталмайды. Бұл шарттарда компания басшыларына ақпаратты жіктеу және өте маңызды ақпаратты бөліп көрсету қажет: өнім өндірісі технологиясына өте маңызды себеп, ғылыми зерттеу жұмыстарын өткізу, қаржылық операцияларды іске асыру және маркетингтік стратегияны жүзеге асыру. Бұл ақпарат сенімді қауіпсіздіктің  кепіл болу керек. Және де компания басшылары қауіпсіздік қауіпінің бар екенін әр кез естен шығармай, оны қамтамасыз ету үшін барлық шараларды қодануы керек. Компания тыңшылық қызметтің, бәсекелестердің, қылмыстық ұйымдар немесе хакерлердің басты қызығушылық обьектісі болмаған жағдайда да бағындырған белестерді тұрақты түрде ұстап тұруға көмек көрсетеді.

Қазіргі кездегі өндірістік тыңшылықтың негізгі әдістерін екі негізгі топқа бөлуге болады: құрбан болу мақсатында фирмаға кіруді талап етушілер және ондайды талап етпеушілер. Бірінші топқа келесі әдістер: құпия мәліметтерге электронды рұхсат, кабельді желілерге жалғану арқылы тыңдау, офисте тыңдайтын аппаратураны орнату, ұялы телефон қоңырауларын тарту; желіге кіру арқылы компьютерлік жүйеге рұқсат алмай кіру, ақпараттық немесе жабдықтық қамтамасыздандыруды бұзу; құпия мәліметтерге қол жеткізу; жасырын визуалды бақылауларды, сурет немесе бейне түсірілімдерін қолдану; құжаттарда, сызбаларда, дискета немесе компакт дисктердегі ақпаратты ұрлау; «отырғызылған үйрек» әдісін қолдану (фирма қызметкерлерімен құпия ақпартты алу мақсатынды тығыз байланыс орната алатын әйел немесе ер кісі); фирма қызметкерлерін сатып алу; фирма қызметкерлерінің биліктілік деңдейін тексерген сыңай танытып, құпия ақпаратты алу.

Әдістердің екінші тобы тыңшылық техникаға жатпайды, яғни ол тек қана ресми қол жететін ақпаратты қолдану болып табылады.  

Ақпаратты қорғаудың қажетті деңгейін қамтамасыз ету мәселесі өте қиын болды. Өз шешімін табу үшін жай ғана кейбір ғылыми, ғылыми техникалық және ұйымдастыру іс шаралары, арнайы әдістер мен құралдарды қолданудың қосындысы емес, ұйымдастырушылық іс шаралар жүйесін толығымен құру және ақпаратты қорғау үшін арнайы құралдар мен әдістерді қолдану болып табылады.

Қоғамдағы айналыстағы ақпарат көлемі тұрақты түрде өсіп келеді. Бүкіл әлемдік желі Интернеттің әйгілілігі соңғы жылдары ақпараттың әр жылда екі есе ұлғаюына септігін тигізіп отыр. Жаңа мыңжылдық қарсаңынды адамзат ақпараттық өркениетті құрды. Ақпаратты өңдеу әдісінің жақсы жұмыс істеуінен адамзаттың амандығы және осы қалпында қалуы байланысты. Осы уақытта болған өзгрістерді келесі түрде сипаттауға болады:

-            жарты ғасыр ішінде өңделетін ақпарат көлемі бірнеше есе өсті;

-            белгілі мәліметтерге қол жеткізушілік айтарлықтай материалды және қаржылық құндылықтарды бақылауға мүмкіндік береді; ақпараттың құны бар, оны есептеуге де болады;

-            өңделетін мәліметтер сипаты жағынан әр түрлі және де тек тексттік мәліметтер түрінде ғана емес;

-            ақпарат түгелімен «жүзінен айырылды», яғни,   оның материалды ерекшеліктері өзінің мәнін жоғалтты (өткен ғасыр хаты мен қазіргі замандағы электронды почтадан жіберілген жолдаманы салыстырыңыз);

-            ақпараттық қарым қатынастардың сипаты өте қиындай түсті. Мәтіндік хабарламалардың рұқсат етілмеген оқылуы және бұзылуы сияқты қорғаныстың классикалық мақсатымен қатар ақпаратты қорғаудың жаңа мақсаттары пайда болды. Олар қолданылып жүрген  «қағаздық» технологияның алдынды тұрған және шешіліп жатқан мәселелері болатын, мысалы, электронды құжаттың астынан қол қою;

-            ақпараттық процесстердің субъектілері ретінде тек адамдар емес, олардың өздерімен жасалған дайындалған бағдарлама бойынша жұмыс жасайтын автоматтық жүйелер;

-            қазіргі заман компьютерлерінің есептеу қабілеттері бұл уақытқа дейін өзінің жоғары қиындығына байланысты арман болып есептелген шифрларды іске асыру және аналитиктердің оларды бұзу мүмкіндіктері мүлдем жаңа деңгейге көтерілді.

  

1.1       Кәсіпорынның ақпараттық қауіпсіздігі (АҚ)

 

1.1.1 АҚ мақсаты. АҚның мақсаты  келесі мәселелерді ( үш кит - КЦД) шешу үшін кәсіпорынды іс шаралыр комплексімен қамтамасыз ету болып табылады:

-       құпиялылықпен қамтамасыз ету – ақпаратпен (өлшемі емес, маңыздылығы бар мәліметтер) танысу мүмкіндігі тек қана сондай құқығы бар адамдарда бар;

-       бүтіндігін қамтамасыз ету  – ақпаратқа өзгерістер енгізу мүмкіндігі тек қана сондай құқығы бар адамдарда ғана болу керек;

-       қол жетушілікті қамтамасыз ету  – жұмыс уақытында арнайы құқығы бар адам қол жеткізе алу мүмкіндігі.

Бұл схемада шешілуі керек қосымша факторалар.

Ұйым ішінде қойылған мақсаттарға қол жеткізу үшін келесі пункттер бойынша қосымша алдын ала келісім орындалуы керек:

-       есеп, яғни, барлық рұқсат етілген әрекеттер жазылуы және болжануы қажет  (яғни, бас штабта барлығы «қалың» дәптерде тіркелуі керек);

-       бас тартпаушылық (егер ұйымда электронды ақпаратпен ауысу жүзеге асса), яғни, бір адамға ақпарат берген адам бұл факттен бас тартпауы керек.

 

1.1.2 АҚ механизмі. Ақпараттық қауіпсіздік, кәсіпорын өмір сүруінің бір мақсаты ретінде, қамтамасыз етіледі, егер белгілі шарттардың барлығы орындалса (принциптер немесе механизмдер). «Бас штаб және оған сәйкес барлау басқармасы» келесі механизмдерді қолдануын қарастыруы тиіс:

-       идентификация  – АҚ түсінігі қолданылмас бұрын ақпараттық қарым қатынастың әр бір қатысушысын тану;

-       аудентификация  – әрбір қатысушының көрсеткен идентификатор иесі екендігіне сенімділік қамтамасыз ету;

-       қол жеткізушілікті бақылау  – әрбір қатысушыға қол жеткізушілікке рұқсат және қол жектізушілік деңгейін анықтайтын ережелерді ойлап табу және қолдау;

-       авторизация – бақылау ережелерінен  ақпараттық ауысу құқығының тұрпатының қалыптасуы;

-       аудит және мониторинг  – барлық іс шараларды күнделікті бақылау;

-       жайсыз жайларға назар аудару  – АҚ-ның бұзылуы кезінде болатын барлық іс шаралардың қосындысы;

-       конфигурацияны басқару  – АҚ талаптарына сәйкес функционалды ортаны сақтап отыру;

-       тұтынушыларды басқару  – ақпараттық ауысу ортасында тұтынушыларға жұмыс жағдайымен қамтамасыз ету;

-       тәуекелділікті басқару және тұрақтылықты сақтаумен қамтамасыз ету  – АҚның істен шығуына байланысты мүмкін болатын жоғалтулар және қауіпсіздік құралдарының қуаты арасындағы сәйкестікті қамтамасыз ету (оларды құруға кеткен шығындар).

1.1.3 АҚ құралдары. Жоғарыда айталған механизм іске асуы мүмкін болатын құралдарды қарастырайық. Және де «тауар неғұрлым жақсы болса, оның бағасы соғұрлым жоғары» дегенді есімізден шығармайық (біздің жағдайда құрал сайман неғұрлым қымбат, соғұрлым жүйеміз берік):

-            қызметкер – АҚ-ны өңдеу жолымен, орналастыру, қолдау көрсету, бақылау және орындауды қамтамасыз ететін адамдар;

-            құқықтық жазықтықпен қамтамасыз ететін нормативті қамтамасыздандыру (құжаттар);

-            қауіпсіздік модельдері  – берілген нақты ақпараттық жүйеге орналастырылған сұлбалары және АҚ-ның қамтамасыздандыру механизмдері.

 

Қауіпсіздік модельдері келесі  элементтерден тұруы мүмкін:

-            криптография  – ақпаратты рұқсат етілмеген операцияларды орындауға қиындық туғызатын түрлерге түрлендіру әдістері мен құрадары;

-            желі аралық экрандар  – бір ақпараттық желіден екіншісіне өтуді бақылау құрылғысы;

-            антивирустық қамтамасыз ету  – қауіпті кодты анықтау және жою үшін қолданылатын құралдар;

-            қауіпсіздік сканерлері  – қауіпсіздік моделінің сапасын бақылау құралы;

-            шабуылдарды табу жүйесі  – ақпараттық ортада белсенділік мониторингінін құралы;

-            резервті көшірме резервтеу  – ақпараттық ресурстардың артық көшірмелерінің сақталуы;

-            қайталау (сақтау ) - талғаулы құрылғылардың жасалуы;

-            апат жоспары - егер оқиға ережеде көрсетілгендей емес, басқаша пайда  болғанда қолдануға арналған шаралардың жиыны.

 

2 Дәрістер  № 2-3. АҚ қызметін ұйымдастыру қағидалары мен тапсырмалары

 

Дәріс мазмұны:

-              ақпараттық қауiпсiздiк қызметiнiң тиiмдiлiгiнiң бағасы;

-              қауiпсiздiктiң қызметiнiң жасалуы;

-              қызметтiң құрамы.

Ақпараттың қарастырылатын бiр бөлiгi қызмет құрастыруының бюрократтық процесстерi үшiн "наны" немесе осы қызметтердi дамытумен  шұғылданатындар үшiн стратегия болып табылады. Ең алдымен талдау қажет  мүмкiн сұрақтардың келесi топтарын ерекшелейік:

-              қауіпсіздік қызметін қайда орналастыру ( этаж, қажетті аумақ);

-              оның басқа қызметтермен өзара әрекеттесуі;

-              бағыну иерархиясы (кімге есiкті аяқпен ашып кіруге болады?).

Бұл сұрақтардың жауаптары бойынша  көптеген ұсыныстар бар.  Қатты регламенттеулердің болуы мүмкін емес, кәсіпорынның ішкі құрылымының құрастырылуына байланысты жауаптарды құрастыра аламыз және оларды келесі сұрақтарға жауап беру арқылы да ала аламыз.

Қауiпсiздiк қызметi (ҚҚ) немен айналысуы  керек?

-              қауiпсiздiктiң бар құралдарын басқару      (тор аралық перделер, антивирустік пакеттер, шабуылдарды табу жүйесi);

-              ақпаратты қорғаудың сұлбалары мен үлгілерін ойлап табу, жаңа құралдар сатып алу;

-              ақпараттық кеңiстiктiң қолданушыларының жұмысын басқару;

-              ҚҚ ның негізгі назарын қайта бағыттауды анықтау – ішкі қолданушыларға ма, әлде сыртқы кеңiстiктің рұқсатынан қорғауға ма.

 

2.1 Ақпараттық қауiпсiздiк қызметiнiң тиiмдiлiгiн бағалау

 

Бұл сұрақ ерте ме, кеш пе әйтеуiр басқарушыларды қызықтыруы тиіс. Егер де  АҚ қызметімен әрқайсысының қауібі 20 мың доллар потенциалдық қауiбi бар 10 шабуыл жасалатыны туралы  дәлел көрсету мүмкiн болғанда, онда қорытындылар түсiнiктi болар еді. Ал егер де ешқандай инциденттер болмаса ше?

ҚҚ ның нәтижелiк бағасы әдiсінің бiрi тәуекелдердi басқару технологиясына негiзделген.

АҚ  қызметінің жұмысын басқарғысы келетіндерге ең алдымен кәсiпорынның құрылымымен және  ондағы ҚҚ-ның алатын орнымен  танысуы қажет. Және де  басқару кезінде жоғарыда  сипатталған сұрақтарға жауап беруге тиіс: ҚҚ қандай құрылым шеңберінде жұмыс істейді, ақпараттық жобаларды жасауға араласада ма, дәрежені қалай басқарады және т.б..

 

2.2 Қауiпсiздiк қызметiнiң жасалуы

 

Қызметтi жасау қажеттiлiгінің белгiлерi. Бұл қызмет қажет болатынын уақытты қалай анықтаймыз? Бұл көптеген себептер мен шарттарға байланысты, мысалы,бiрiншi кезең келесi баптардың үйлесімділігімен анықтала алады:

-              сіздің ұйымыңызда әр түрлi бөлмелер бойынша таралған компьютелер саны 10 нан көп;

-              сiздiң ұйымыңыз жергiлiктi жүйеге қосылған;

-              сiздiң ұйымыңыздағы компьютердің бiреуi модеммен жалғанған;

-              сiздің компьютеріңізде таралуы залал әкелетін  ақпарат сақталған.

Ақпараттық қауiпсiздiк қызметiнiң құрамы.

"Нөлден"  мұндай қызметтi қалай жасауға болады және оның құрамына кімдер кiру керек? Әрине, бұл сұрақтарға жауап ұйымның өзінен, оның мақсаттарынан, шарттарынан және тағы басқа факторларға тәуелдi болады. Үлгi ретiнде сипатталатын есептері және АҚ қызметінің әртүрлі жұмысшылары арасында үлестіріліп бере алатын функциялары бар барынша үлкен кәсіпорын қарастырылады. Сыпайы серiктестiктер үшін әр түрлi рөлдер қызметкерлердiң кiшi санымен немесе біреуімен біріктірілуі мүмкін.

 

1 кесте  – АҚ қызметінің сертификациясы

Квалификациялық

жеке куәлік

Орташа, %

Азиялықынық мұхиттық аудан,%'

Еуропа, Шығыс, Африка %

Америкалық континент, %

АҚ қауіпсіздігі бойынша сертификацияланған маман

 

8

3

3

8

8

 

14

«Ақпараттық қауіпсізідк» мамандығы бойынша университет дипломы

 

5

4

4

5

5

 

7

Қорғау өнімдірін шығарушының сертификациясы

 

7

6

6

8

8

 

7

Басқа да құжатар

 

7

 

3

 

9

 

8

 

Қызметтiң құрамы

Жекеменшік қызметтiң жетекшiсi болу керек – оның ортақ стратегиясы мен тактикасын анықтау, басшылыққа есеп беру, жедел шешім қабылдау және олар үшін жауапкершілікте болу үшін керек. Бұл маман өте даярланған  болу керек және ол мiндеттi:

а) қолданылатын ақпараттық қамтамасыз етудің техникалық ерекшеліктерінің ортақ сипатын білу керек (аппараттық және программалық қамтамасыз етулердi, кәсіпорынның ақпараттық кеңістіктегі  қабылданған жұмыстың де-юре және де-факто әдістемесін). Әйтпесе ол өзінің қол астындағылардың не істеп жатқанын түсінбейтін болады, ал олар өз кезегінде жетекшілерін қолданатын болады;

б) көптеген қауіпсіздік механизмдердің енгізілуі жобалық жұмысты қажет еткендіктен жобаларды басқару және қадағалау функцияларын формализацияланған функциялар ретінде қолдану (мысалға, техникалық шешімдерді қабылдау және енгізу сияқты);

в) қызметкерлердiң психологиясын білу, дауларды шеше білу керек (өйткенi ҚҚ- ның өзі  жиi жазалау немесе шектеушi әсерге арналған негiзбен қызмет етеді). Ұйымдағы қызметкерлердің әлсіз немесе күшті жағын қолдануы да мүмкін;

г) қазiргi заңның негiзiн бiлу. Мүмкiн, "Мәлiметке деген жеке меншiк", "Айғақ және дәлел", "куәлiк қағаз" және т.б. құқығы бар ұғымдары бар тергеу жүргізуге тура келеді;

д) басқа да ұйымдардағы әрiптестерiмен байланысты  түзету, соның iшiнде тиiстi салаға сәйкес өз серiктестiгiнiң мүдделерiн қорғайтын  жоғарғы ұйымдармен де;

е) басқарушылардың сенiмiне кiру , өйткені қалаған кезде  мынадай ситуация құруға болады, ҚҚ да көп нәрсе түйық болғанда ҚҚ ның жетекшісі өзінің дәрежесін өзінің жекебасының қызығушылығына қолданатындай мүмкіндік береді.  Жоғарыда айтылған "Тамаша" жетекшiлердің  қол астындағылары әртүрлі мүмкін белгілер бойынша жиналған мамандар болады. Ең алдымен олар орындауға тиісіті функциялардың сипатын ескеру керек:

-              Операциялық. Мұндай желі мониторингі және жеке сервистердің (қосымшалардың) күнделікті шараларын орындау, қолданушылардың инструктажы және тiркелуi, шараларды орындауды бақылау (мысалы, резервті көшіру)  тергеулердi өткiзуді  және т.б. жатқызуға болады.

-              Зерттеу. Жалпы дүниеде ең жақын ақпараттық кеңістіктің ағымдағы жағдайын,  жаңа мүмкiндiктер және осалдықтарды талдау осыған кіреді.

-              Әдiстемелiк. Функцияларының осы жиыны бірінші және екінші функцияларды өзара байланыстырушы болып табылады. Технологияларды енгiзу бойынша бiтiрiлген жоба ескiлiктi iс күн сайынғы жұмыс жасаудың тәртібіне орнату керек, яғни тиiстi процедуралармен, реттермен, нормативтiк және техникалық құжаттамамен қамтамасыз ету керек. Бұл топтар тәуекелдерге талдау да жасай алады.

Жетекшiлер және мамандар таңдалғаннан кейін, жұмысты бастай беруге болады, дұрысы - жұмысқа әзiрлiктi бастай беруге болады. Сонымен бiрге мыналарды анықтау керек:

-          сiздiң қорғауыңыздың стратегиясы және тактикасын;

-          сiздің қалай қорғайтыныңыз және неден;

-          ол үшiн қажет құралдар;

-          қажеттi нормативтiк кеңiстiк.

 

2  кесте – ҚҚ мәселелеріне жетекшілерді енгізу дәрежесі

Ұйым қызметінің бағыттары

       Енгізу дәрежесі, %

Қаржы саласы

60

Өндірістік және сауда саттық

43

Коммуникация және қызмет саласы

52

Мемлекеттік сала және инфрақұрылым

42

 

Мамандардың әзiрлену деңгейі

Жетекшiлер және қызметкерлердің оларға жүктелген есептердi орындауда  жеткiлiктi дайындалған дайындалмағанын қалай анықтауға болады?

Квалификациялы қызыметшiлермен қамтамасыз ететін  қызмет орындарына маман тәжірибесін сұрау туралы кеңес бере аламыз. "Information security" кілттік сұранысы арқылы жұмысқа орналастыру бойынша бiрнеше iрi агенттiктерге кiрiп-шығу жеткiлiктi (мысалы, олардың интернет сайттары) және де кандидаттарға қойылған талаптардың тiзiмінен "CISSP preferred" деген тiркестi жиi байқауға болады.

Бұл сөз Information Systems Security Certification Consortium, Ins (Ақпараттық қауiпсiзік облысындағы сертификация бойынша Халықаралық консорциум) деген, АҚ мамандарын серитификациялаумен және тестілеумен айналысатын арнайы ұйымның атауын бiлдiредi, ал CISSP - бұл Certified Information Systems Security Professional (Ақпараттық қауiпсiздiк облысындағы сертификацияланған маман). Сертификация жүргізілетін басқа бір категория, ол - SSCP - Systems Security Certified Practitioner (жүйелердiң қауiпсiздiгi бойынша сертификацияланған   тәжірибеленуші маман).

Тестілеу жүргізілетін тiзiмді қысқаша қарап шығайық:

-          рұқсат етуді басқару жүйесі,әдістеме;

-          телекоммуникациялар және желілік қауiпсiздiк;

-          қауiпсiздiкті тәжірибелік басқару;

-          қосымшалар және жүйелердi өңдеудегі қауiпсiздiк;

-          криптография;

-          архитектура және қауiпсiздiктiң үлгiсi; операциялардың қауiпсiздiгi;

-          өндiрiстiк қызмет жалғасының  жоспарлануы  және апаттан кейiн қайта құру;

-          тергеудi өткiзудегi заңдылық және әдеп;

 

3 Дәрістер №4-5. Ақпараттық жүйелердің хатталуы және жіктелуі

 

Дәріс мазмұны:

-            субьект классификациясының қарапайымдатылған моделі;

-            субьект классификациясының толық моделі.

 

3.1 Субьект классификациясының қарапайымдатылған моделі

 

Субьект классификациясының қарапайымдатылған моделін қарастырайық. Ақпараттық кеңістікте мекемелерде келесі түрдегі субьекттер болады:

-            нысанды құрушылар;

-            нысанды қолданушылар;

-            нысанды басарушылар (яғни басқа субьектілердің обьектілерінің жұмыс ортасын қамтамасыз етушілер);

-            нысандарды субьект ретінде қолдануды басқарушылар.

Кез келген нақты субьект өзінің бойында келтірілген жіктеме негіздердің бірнешеуін немесе барлығын жинақтауы мүмкін.

Ақпаратпен жұмыс жасау тәсіліне байланысты келесі топтарды анықтайық.

А тобы. Бір субьект ақпаратқа ие болып, оны басқа субьектке жібермей-ақ, өз бетінше өңдейді. Бұл жағдайда ол ақпараттың жіктелуі мен жұмыс тәсілдерін өзі басқара алады.

Б тобы. Бір субьект ақпаратқа ие болып, оны басқа субьект не субьектілер тобы қолдануы үшін таратады. Бұл жағдайда ол ақпарат классификациясын жүзеге асыруы, оның қолданылу ережелерің анықтауы және тұтынушыларды сол ережелермен таныстырып немесе осы әрекеттерді орындайтын басқа субьектіні тағайындап қоюы қажет.

В тобы. Субьектілер тобы дәл сол ақпараттық обьектіні немесе бір субьектіні иелену құқығы жоқ обьектілердің жиынтығын қолданады. Бұл жағдайда субьектілер заң берушілік кеңістік аумағындағы иесімен анықталған ақпаратты қолдану ережелеріне бағынады.

Д тобы. Субьектілер тобы кең және анықталмаған рұқсатты ақпараттық обьектілерді қолданады. Бұл жағдайда заң берушілік кеңістік аумағында обьектілермен жұмыс шектеусіз жүргізіледі.

Бізге үлкен қызығушылықты тудыратын Б тобы болып саналады. Аталған топтарға сәйкес ақпараттық өмірлік стадиясы бойынша субьектілердің келесі міндеттерін ажыратамыз.

Әкімші-субьектілер (ары қарай жай ғана әкімшілер) қолданушы субьектілермен (ары қарай жай ғана қолданушылар) анықталған тапсырмаларға сәйкес нысандарды құру, таратуын қолдану және сақтау шарттарын қамтамасыз етуі керек, және де администраторлар жағынан сияқты бақылаушы субьектілерінің (ары қарай жай ғана бақылаушылар) жағынан да қолданушылардың іс-әрекеттеріне бақылау жасау үшін шарттарды құру. Әкімшілер өз жұмысында қолданушылардың нысандарымен жұмыс істейтін құрылған ережелерімен жүруі керек. Сонымен бірге олар ақпараттық нысандарды жіктеп, қолданушылардың ережелермен және жіктелумен танысуын қамтамасыз етіп, және де осы ережелердің орындалуын бақылауы тиіс.

 

3.2 Субьект жіктелуінің толық моделі

 

Ақпарат иесі – мекеменің ақпараттық белсенділігіне жауапты бизнес менеджер. Міндеттері келесі түрдегідей:

-            ақпараттың біріншілік жіктелуін орнату және осы жіктелудің өндірістік тапсырмаларға жауап бере алу мүмкіндігін периодты түрде тексеру;

-            жіктелу негізінде жұмыс механизмінің қауіпсіздігін анықтау;

-            ақпараттық белсенділікке рұқсат құқығының мәнін талдау;

-            келесі амалдарды орындау немесе орындаушыны тағайындау: басқа бизнес-бөлімшелерден рұқсат сұранысын бекіту, резервті көшіру, мәліметтерді қалпына келтіру, қауіпсіздіктің бұзылу фактілері бойынша әртүрлі іс-әрекеттерді бекіту.

Ақпарат сақтаушы – әдетте негізгі тапсырмасы – мәліметтерді резервті көшіру мен қалпына келтіру болып табылатын ақпараттық технология маманы. Міңдеттері келесі түрдегідей:

-            орнатылған ақпарат иесінің талабына сәйкес резервті көшіруді жүзеге асыру;

-            қажет жағдайда жоғалған не бүлінген мәліметтерді қалпына келтіру;

-            резервтік көшірме мәліметтерінің сақталуы мен қол жетімді болуын қамтамасыз ететін міндетті шараларды жүзеге асыру;

-            ақпарат иесінің талаптарына сәйкес тіркемелердің сақталуын қамтамасыз ету.

Үстеме (приложения) иесі – үстемемен қызмет көрсетілетін өндірістік және де басқа да функциялардың орындалуына толығымен жауапты бизнес-бөлімше басқарушысы.

Міндеттері келесі түрдегідей:

-            тұтынушылардың рұқсат (доступ) критерийлерін орнату және үстеме үшін рұқсаттылықты талап ету;

-            қосымшаның қауіпсіздік механизмін қолданатын барлық құралдарды  басқару;

-            келесілерді орындау, не бұйрық беру:

1)       күнделікті қауіпсіздікті администрациялау;

2)       жеке рұқсат (доступ) сұраныстарын қарастыру;

3)       қауіпсіздік бұзылған жағдайда талдау жасау;

4)       нақты жүйеге орнатылғанға дейін қосымша өзгерістерін қарастыру және растау;

5)       қосымшалар аясында тұтынушылардың рұқсат құқығының өзектілігін растау.

Тұтынушылар әкімшісі – жұмысшылардан тыс басқарушы. Оның толық жауапкершіліктері – тұтынушының тіркеме мәліметтері және мекеме жұмысшыларының ақпараттық қорлары (яғни жүйелер, үстемелер, мәліметтер т.б ). Міндеттері:

-            тұтынушының босатылуы жөнінде оның тіркеме жазбасын өшіру, сөндіру немесе уақытша бекіту (блокирования) үшін қауіпсіздік әкімшісіне хабарлау;

-            тұтынушының қызметтік орын ауыстыруы жөнінде егер ол рұқсат құқығының не формасының өзгерісіне алып келетін болса, қауіпсіздік әкімшісіне хабарлау;

-            ИБ жүйесіне барлық қауіпсіздік оқиғалары жөнінде немесе осындай оқиғаларға күмән болған жағдайда есеп беру;

-            жаңа тұтынушылар үшін біріншілік парольдерді ұсыну және форматтау;

-            қауіпсіздік саясатының сұрақтарымен тұтынушыларға сабақ жүргізу.

Қауіпсіздік әкімшісі – рұқсат басқару жүйесінде сәйкес мүмкіндіктерге ие болатын мекеме жұмысшысы. Ол қауіпсіздік механизмін орнатады, тұтынушылардың тіркеме жазбаларын және ақпараттық қор рұқсатына құқығын басқарады. Ол не бизнес-бөлімшеге, не ИБ жүйесіне есеп береді. Келесі міндеттерге ие болады:

-            әртүрлі орталарда мәліметтерді өңдеу және нәтижесінде оларға деген рұқсаттылықты ұсынуды талдайды;

-            рұқсат сұраныстарының қауіпсіздік ережелері мен ақпаратты қолданудың жалпы жолымен сәйкес келу дерегін бақылап отыру;

-            рұқсат құқығының ақпарат иесі құрған критерийлермен сәйкес келуін басқару;

-            тұтынушылар администраторы орнатқан тұтынушылардың тіркеме жазбаларын құру және өшіру;

-            функционалдық міндеттер мен өз жұмысының аумағындағы жүйені басқару;

-            қауіпсіздік жағдайы бұзылғаны туралы есеп берулерді зерттеу;

-            жаңа тұтынушылардың бастапқы құпия сөздерін олардың бастығы арқылы бағыттау.

Қауіпсіздік талдаушысы – ақпаратты бақылау және қорғау ақпарат маңыздылығына, компрометация мен жоғалу тәуекеліне негізделген сенімді қамтамасыз етілу мәліметтерінің ( стратегиялар, процедуралар, ережелер) қауіпсіздігінің дамуын анықтауға жауапты қызметші. Міндеттері:

-            ақпаратты басқару процедурасының қауіпсіздігінің жетекшілігін көрсету;

-            ақпараттық негіздегі жұмыстың негізгі принциптерінің түсінігін қамтамасыз ету;

-            мәліметтерді қорғау жүйесінде орындалған талдауды және кеңес беруді қамтамасыз ету.

Басқару модификациясының талдаушысы АҚ модификация инфрақұрылымының сұранысына жауапты қызметші.

Мәліметтер талдаушысы – мәліметтер құрылымының орындалу бизнес талаптарына талдау жасайды, мәліметтер стандарты мен оларға тән физикалық платформаларды ұсынады. Міндеттері:

-            бизнес талаптарына сәйкес мәліметтер құрылымын жасау;

-            мәліметтер базасының физикалық құрылымын жасау;

-            бизнес талабы негізінде мәліметтердің логикалық моделін құру және қолдау;

-            мәліметтер архитектурасы жасалу кезінде ақпарат иесін техникалық қолдауды қамтамасыз ету;

-            метамәліметтерді (мәліметтердің сақталуы туралы) мәліметтер кітапханасына жазу;

-            мәліметтерді тиімді тарату үшін метамәліметтерді құру, қолдану және қолдау.

Шешімдер провайдері – шешімдерді құруда және бизнес шешімдерді айналдыру процесінде қатысатын қызметші, әртүрлі ақпараттық жүйелерде интегратор, қосымша құрушылар, ақпараттық технология провайдері деп аталады.

Міндеттері:

-                қосымшалар мен мәліметтердің бірлесіп жұмыс істеуіне сенімділікті қамтамасыз ету үшін мәліметтер талдаушысымен жұмыс істеу;

-                мәліметтер талдаушысына техникалық талап жіберу.

Соңғы тұтынушы – өз жұмысы аумағында ақпараттық жүйелер мен қорларды қолданатын мекеменің иесі немесе келісім шартпен жұмыс жасайтын жұмысшы. Міндеттері:

-                рұқсат құпия сөздерін жасырын сақтау;

-                ақпарат қауіпсіздігі оның күтімі болатынын түсіну;

-                белгілі басшылықты мекеменің бизнес активтері мен ақпараттық қорларын пайдалану;

-                АҚ стандартында саясат қауіпсіздігінің, іс шараның барлық аспектілерін бақылау;

-                АҚ-пен байланысты іс-шара есеп берулерін басшылық сұранысы бойынша таныстыру.

Процесс иесі – белгілі өндіріс мұқтаждықтарына сәйкес процестің тұрақты жақсартылуына, басқарылуына және ендірілуіне жауапты қызметші.

 

4 Дәрістер 6-7.  Физикалық рұқсат бақылауының жүйелері

 

 Дәріс мазмұны:

-            физикалық рұқсат бақылауының механизмдері;

-            потенциалдық бұзушының тәртіп моделі;

-            қарапайым қорғаныс моделі;

-            аймақты күзету жүйесі;

-            кіруге рұқсат басқару жүйесі.

 

4.1 Физикалық рұқсат бақылауының механизмдері

 

4.1.1 Жалпы мағлұматтар. Физикалық рұқсат бақылауын қамтамасыз ететін механизмдер басқа да АҚ механизмдеріне ұқсас, атап айтқанда субьект нысанға ену үшін тіркелген, авторластырған болуы керек. Бұл жағдайда субьектінің нысанмен электрондық жұмыс жасауынан  ерекшелігі, ол адамның әрекеттері уақыт бойынша барынша таралуы және құқыққа қарсы әрекеттер болған мезетте қауіпсіздік қызметінің келгенге дейінгі нақты уақыт шамасына жуық тәртіпте адамдармен бақылануы.

Физикалық рұқсат бақылауының қазіргі заманғы әдістерін әдетте мынадай топтарға бөлінеді:

-            периметрді қорғау жүйелері;

-            рұқсатты басқару және бақылау жүйелері;

-            бейнебақылау жүйелері;

-            күзеттік сигнализация жүйелері (бұл жүйе периметрді қорғау жүйесімен қосылған болуы мүмкін);

-            сақтау жүйелері (сейфтер). Егер нысан қауіпсіздігін қамтамасыз етуге бөлінетін қаражат жетсе, онда келтірілген жүйелерді ғимаратты басқару жүйесі деп аталатын бірлік жүйеге топтастыруға болады.

Барлық зияткерлік ғимараттардың осындай жүйелерін енгізу және жобалау жұмыстары айтарлықтай күрделі және әдетте басқа компаниялармен атқарылады.

 

4.2 Потенциалдық бұзушының тәртіп моделі

 

Қасақана рұқсатсыз енудің болған уақытын және орнын білу мүмкін емес, сондықтан ең қауіпті жағдайларды жорамалдап, потенциалдық бұзушының тәртіп моделін келес түрде елестету орынды:

а) бұзушы автоматты жүйенің периметрінің кез келген жерінде және кез келген уақытта пайда болуы мүмкін;

б) бұзушының біліктілігі мен хабардарлығы берілген жүйені жасаушының деңгейінде болуы мүмкін;

в) жұмыс жүйесінің принципі туралы тұрақты сақтаулы және құпиялы ақпарат бұзушыға белгілі;

г) өзінің мақсатына жету үшін бұзушы қорғануына барынша осал буынды таңдайды;

д) бұзушы тек бөгде тұлға емес, сонымен қатар жүйенің заңды тұтынушысы болуы мүмкін;

е) бұзушы жалғыз әрекет жасайды.

Берілген модель қорғануды құру үшін бастапқы мәліметтермен анықталуға және оның негізгі құрылу принципін белгілеуге рұқсат береді.

«а» пунктіне сәйкес міндетті түрде қорғалатын заттың айналасында тұрақты әрекет ететін тұйық контурын тұрғызу керек.

«б» пунктіне сәйкес қорғанысты құратын бөгеттің құрамы мүмкіндігінше бұзушының күтілетін біліктілігі мен хабардарлығына сәйкес болуы керек.

«в» пунктіне сәйкес заңды тұтынушының жүйеге кіруі үшін тек оған белгілі өзгермелі құпиялы ақпарат керек.

«г» пунктіне сәйкес қорғаныс контурының қорытынды төзімділігі оның осал буынымен анықталады.

«д» пунктіне сәйкес бірнеше заңды тұтынушылардың орындалатын функциялары мен өкілеттілігіне сәйкес олардың ақпаратқа рұқсатын шек қоюын қамтамасыз еткен пайдалы, сонымен қоса егер олардың ішіндегі біреуінің жауапсыз орны болған жағдайда шығынды шегеру мақсатымен әрбір тұтынушының аз хабарлылығының принципін растау. Осыдан, қорғаныстың беріктілік есебі бұзушының екі мүмкін бастапқы жағдайы үшін шығарылуы керек: бақыланатын шекарадан тыс және соның ішінде.

«е» пунктіне сәйкес сонымен бірге әдетте бастапқы алғы шарт ретінде  бұзушыны жалғыз деп санайды, өйткені бұзушылар тобынан қорғаныс – келесі зерттеу сатысының тапсырмасы. Алайда бұл осы текті тапсырманың айтарлықтай қиындығына қарамастан бұл жағдай түрінен ұсынылған әдістер мен амалдар арқылы қорғану мүмкіндігін жоққа шығармайды. Осының арқасында бұзушылар тобының негізімен жалпы басшылықпен бір тапсырманы орындайтын тұлғалар тобы түсіндіріледі.

Алайда, өндірілетін ақпарат құндылығының әртүрлі тағайындалған қорғаныс жүйесінде «қауіпті» потенциалдық бұзушының тәртіп моделі де әртүрлі болуы мүмкін. Яғни әскери жүйе үшін – профессионал-барлаушы деңгейі, ал коммерциялық жүйе үшін – маманданған тұтынушы деңгейі.

Айтылғандар негізінде бұзушының бастапқы тәртіп моделін таңдау үшін дифференциалдық әдіс орынды. Сондықтан потенциалдық бұзушының мамандануы – қауіпсіздіктің төрт класы негізінде қабылдау мүмкіндігіне қатысты түсінік:

1-ші класс тұтынушы үшін өмірлік маңызды ақпараттарды үлкен жоғалтуларға алып келетін модификация, қирату, жоғалудан қорғау үшін ұсынылады.

2-ші класс бірнеше тұтынушылардың жұмысы кезінде әртүрлі мәліметтер массивіне рұқсаты бар, басқа тұтынушылар үшін қол жетімсіз құнды ақпараттарға қатысты қорғанысты қолдануды ұсынады. Қорғаныс беріктілігі профессионал бұзып түсуші ұрыға емес, жоғары маманданған бұзушыға есептелініп жасалуы керек.

3-ші класс құнды ақпаратқа қатысты қорғануды ұсынады, тұрақты бекітілмеген рұқсат жолы өте құнды ақпараттардың жоғалуына алып келуі мүмкін. Мұнда да қорғаныс беріктілігі профессионал бұзып түсуші ұрыға емес, жоғары маманданған бұзушыға қатысты есептелініп жасалынған.

4-ші класс маңызды бұзушылар үшін қызуғышылық тудырмайтын қарапайым ақпараттарды қорғау үшін ұсынылады.

Келтірілген қауіпсіздік деңгейлердің іске асырылуы потенциалдық бұзушының күтілетін класымен сәйкес бекітілмеген рұқсаттың мүмкін каналдарының белгілі санын жабатын қорғаныс әдістеріне сәйкес жиынтығымен қамтамасыз етілуі керек. Класс ішіндегі қорғаныс қауіпсіздігінің деңгейі қорытындысы төменінде келтірілген, есептеу формуласымен анықталатын қорған беріктігінің сандық бағасымен қамтамасыз етіледі.

 

4.3 Қарапайым қорғаныс моделі

 

Қорғаныс заты бөгет деп аталатын тұйық және біртекті қорғаныс қабығында орналасқан. Қорғаныс беріктілігі бөгет құрамына тәуелді. Бөгеттің қағидалық рөлді ойнайтын әрекетке қарсы тұру мүмкіндігі – оның иесі мен бұзушыны еліктіру мүмкіндігі. Қорғаныс нысанны тартымдылығы оның бағасында. Қорғаныс затының бұл ерекшелігі есептеуіш жүйелерде және ақпаратты қорғау бағасында кең қолданылады. Сондықтан, егер потенциалдық бұзушының игеретін күтілетін шығын құны қорғалатын ақпарат құнынан асып кетсе, онда құрылған бөгеттің беріктілігі жеткілікті деп есептелінеді. Алайда басқалай да әдіс болуы мүмкін.

Уақыт өте келе ақпарат өзінің тартымдылығын жоғалтып ескіретіні белгілі, ал жеке жағдайда оның бағасы нөлге дейін түсуі мүмкін. Ақпараттың өмір сүру уақыты кезінде қорғаныстың жеткілікті шарты үшін бұзушының бұзушының бөгетті игеруіне кеткен уақытын өсіру керек. Егер бұзушының бөгетті игеру ықтималдығын Рсзи деп, ақпарат өмірінің уақытын tж, ал бұзушының бөгетті игеруінің күтілетін уақытын tн, және бұзушының бөгетті орағытып өту ықтималдығын Робх десек, онда ақпараттың ескіру жағдайы үшін қорғаныстың жеткіліктік шартын келесі қатынас түрінде аламыз:

 

Рсзи =1, егер tж <  tн  және Робх =0.

 

Робх =0, нольге теңдігі, қорғаныс затының айналасында бөгеттің тұйықталуының қажеттілігін көрсетеді. Егер tж >  tн , ал Робх =0, онда

 

Рсзи =(1- Рнр),

мұндағы Рнр-tж уақытынан аз уақытта бұзушының бөгетке төтеп беру ықтималдығы.

Шынайы жағдай үшін tж>tн және Робх>0, қорғау төзімділігі келесі түрде

Pсзи=(1-Рнр)(1-Робх).

Бірақ бұл жағдай бұзушы екеу болғанда әділетті, яғни біреуі бөгетке төтеп береді, ал екіншісі оны айналып өтеді. Біз бұзушы біреу деп шарт қойғандықтан, бөгетті өтудің бір әдісін – ең оңайын таңдайды. Сонда жоғарыда көрсетілген формулада «немесе» формуласын қолданамыз:

Pсзи=(1-Рнр)٧ (1-Робх),

мұндағы ٧ - «немесе» белгісі.

Демек, бөгеттің төзімділігі (1-Рнр) ٧(1-Робх) шамаларын анықтау мен салыстырғаннан кейін оның ең аз мәніне тең болады.

Қарапайым қорғау мысалы ретінде, бірінші формуламен есептелетін ақпаратты криптографиялық қорғауды атауға болады, онда Рнр шамасы кілт кодын таңдау ықтималдығын бағалаумен анықталады, ол арқылы осы жолмен жабық ақпаратты келесі формуланы қолданып, дешифрлеуге болады:

 ,

мұндағы  n – кілтті таңдау әрекетінің саны;

А – кілт кодының таңдалынған алфавитіндегі белгі саны;

S – белгі санындағы кілт кодының ұзындығы.

Робх  шамасы таңдалынған шифрлеу тәсілі, қолдану амалынан, ақпарат мәтінінің жабылу енінен, криптоталдау тәсілінің бар-жоғынан, сондай-ақ кілт кодының шын мәнін сақтау жолы және оны иеленушісінде жаңаға ауыстыру периодына тәуелді.

Робх белгілі мәнін таңдау мен анықтауды алғашқыда мамандардың тәжірибесінің негізінде өткізуге болады. Робх шамасы 0 мен 1 аралығында болады. Робх=1 болғанда қорғау барлық мағынасын жоғалтады. Қорғауға жататын ақпарат ескірмесе немеес периодты түрде жаңарып тұрса, яғни  tж>tн теңсіздігі тұрақты немесе tн>tж теңсіздігін қамтамасыз ету мүмкін емес болса, онда әдетте объектті қорғау немесе затқа бұзушыны көріп калу және кіруді рұқсат етпейтін бөгет тұрақты түрде қолданылады. Бұндай қорғау ретінде адам немесе адам басқаратын көріп қалу арнайы автоматтандырылған жүйесі қолданылады.

Бөгетті рұқсатсыз енуді көріп қалу және оны тоқтату қабілеттілігі – есептеу формуласындағы (1-Рнр)-дің орнына Робл – рұқсатсыз енуді көріп қалу және оны тоқтату ықтималдығын енгізу жолымен  төзімділігін бағалау кезінде ескерілу қажет.

Автоматтандырылған бөгеттің жұмыс істеу принципі бұзушыны көріп қалу көрсеткіші периодты бақылау түрінде басқару блогымен жүргізіледі. Бақылау нәтижесі адаммен бақыланады. Автоматпен сұралатын көрсеткіш периодтылығы секундтың мыңнан бір бөлігіне дейін жете алады. Бұл жағдайда бұзушының бөгетке төтеп беру күтілетін уақыты көрсеткіштің сұраныс периодынан едеуір асып кетеді. Сондықтан жиі мұндай бақылауды тұрақты деп атайды. Бірақ бақылауды автоматты басқаратын адамға  бұзушыны анықтау үшін көрсеткіштің аз периодты сұранысы аздық етеді. Сондай-ақ үрейлі сигнал беруді өндіретін сигналға уақыт керек. Әдетте бұзушының әрекеттерін тоқтату үшін үрей сигналы да жеткілікті екенін тәжірибе көрсетті.

Бұзушының жүйенің көріп қалу және бітеуден айналып өтудің бір жолы – жасырын түрде көріп қалу жүйесін өшіру (мысалы, бақылау тізбектерін үзу немесе тұйықтау, бақылау сигналына ұқсас сигналды қосу, сигналды жинау бағдарламасын жинау). Бұндай оқиғаның болу ықтималдығы жүйенің жұмысы мен құрылу принципін талдау негізінде баға беру әдісімен 0 мен 1 аралығында анықталады.

 

4.4 Аймақты күзету жүйесі

 

Қай жерді күзет ету және онда нысандардың қандай түрі болу керек екенін анықтау үшін субъекті табу тәртібін анықтау керек. Мысал ретінде, дуалмен қоршалған ғимаратты, оның ішінде серверлік бөлмесі бар техникалық қабаты бар. Әрине, дуал сыртында кез келген адам болуы мүмкін, бірақ дуалға өте жақын келгенде және мекеменің сыртында бөтен адамдар тек өте шектеулі уақыт қана (жанынан өткенде) болуы мүмкін – басқа жағдайлар қауіпсіздік қызметінің назарын аудартуы тиіс.

4.4.1 Күзетудің дәстүрлі жүйесі. Бұл жүйелер терезе әйнегі мен есік ойығында (коммутациялық жүйелер) орналасқан түйіндерге тартылған, тоқ өткізетін желілерде немесе сейф бұзуы, сөре, төбенің, қабырғаның сынуы туралы сигнал беретін дыбыстық қысым көрсеткішінде, не болмаса күзетілетін нысанға адам жақындағанын сезетін сыйымдылықты көрсеткіштерде жүзеге асады.

 


4.5 Кіруге рұқсатты басқару жүйесі

 

Кіруге рұқсат басқаруын шартты түрде екіге бөлуге болады – күзетілетін аумаққа алғашқы өтуді басқару және күзетілетін аумақ бойынша орын ауысуды басқару.  Егер күзетілетін аймақ ішінде басқасы болса және ол бұдан қатаңырақ күзетілсе, онда сәйкесінше бөліну саны екі еселенеді.

Алғашқы бақылаудың тапсырмасы – авторлау ережелерін  қолдануға болмайтындарға, яғни аумаққа кіруге ешқандай құқығы жоқтарды кесіп тастау; аумаққа тыйым салынған заттарды алып кірмеуін, сондай-ақ алдын ала тәртіппен белгіленген басқа функцияларды қамтамасыз ету. Берілген жағдайда келесі механизмдер пайдаланылуы мүмкін:

-       адамдар тобының бөлінуін қамтамасыз ететін турникеттер мен металл қақпалар;

-       шығарып салушы адамның авторланған қызметкерді бақылау қақпалары арқылы бірге кіруге мәжбүр ету мүмкіндігінсіз, қатаң түрде тек 1 адам ғана өтетін шлюзді кабиналар;

-       кілттер будасын пышақтан айыру үшін алып кіретін заттардың габариттін икемдеу мүмкіндігі бар металл іздеушілер;

-       жарық шығаратын құрылғылар – бұл құрылғы жарыққа және металлға сезімтал материалдарға қауіпсіз немесе керісінше осындай материалдарға істен шығаратынын анықтауға ғана керек.

-       егер кіріс/шығыс қашық жерде жүзеге асатын болса, қолданылатын келіссөздер құрылғысы (бұнда домофондар, бейнедомофондар, интерфондар жатады).

 

5 Дәрістер 8-9. Қауіпсіздік жүйесі шектерінде жұмысшылармен (персоналмен) және құрылғымен жұмыс жасау

 

Дәріс мазмұны:

-            қызметкерлермен жұмыс жасау;

-            қызметкерлермен әдістемелік жұмыс;

-            құрылғымен жұмыс.

 

Қолданылатын құрылғының барлық қызметтерін мұқият зерттеу және жұмысшылармен әдістемелік жұмыс жасау ақпараттық қауіпсіздікте өте маңызды сақтандыратын шара болып табылады.

 

5.1 Қызметкерлермен айналысу

 

Жұмысшылардың қауіпсіздігі туралы сөз қозғағанда, екі түсінікті түсіну керек – ақпараттық ресурс және адами ретінде жұмысшылар қауіпсіздігін және бастау ретінде жұмысшылардан қорғау немесе ақпараттық жүйелерде қаскүнемдік әсерлер негізі.

Алапат жағдайында жұмысшыларды қорғау сұрағына бөлек назар аударылады. Қаскүнемдердің жұмысшыларға шабуыл, қауіп-қатер, бопсалау және т.с.с. әсерлері – бұл қылмыстық құқық нысаны және ол өкілетті мемлекеттік органдардың қызмет бабында, олар кез келген жағдайда екінші дәрежелі рөлді ойнайтын АҚ қызметімен бірге жұмыс істей алады. Белгілі бір жағдайды ұйымдастыру үшін басқаша болуы мүмкін және мұндай сұрақтар өзіндік қауіпсіздік қызметімен шешіледі, бірақ бұл жағдайда барлық шаралар өтетін курстың шегінен шығып кетеді.

Басқа көзқарасты жұмысшыларға ақпараттық жүйелерге деген қаскүнемдік әсерлердің көзі ретінде тарату керек немесе жұмысшылардың жете білмеушілік, қате, немқұрайлық немесе басқа ықпалдары ұйымның қауіпсіздігіне қатер болып табылады.

 Жұмысшылар талдаудың басы жұмысқа қабылдаудан басталады. Жұмысшылармен айналысатын бөлімшеде адамдарды қабылдауда өзіндік талаптары бар, бірақ ҚҚ белсенді қатысуы керек. Бұл кезде қабылданатынның мүмкін бағасы екі бөлімнен тұруы керек – алдыңғы тәжірибесінен және қазіргі ақпараттан.

Алдыңғы тәжирибесі туралы ақпаратты жинау жүйесі (кәсіптік тәжірибе, білім, жеке қасиеттер, алдыңғы жұмыс орнынан ресми және ресми емес мінездемелер), мүмкіндігінше, үміттенушінің алдыңғы жұмыс орнынан СБ қызметтерімен байланыстары; ақпаратты талдау – қандай қасиеттер оң, ал қандай қасиеттер теріс болып табылады. Айталық, үміттенушінің алдыңғы жұмыс орнында ұйымның өндіру ерекшеліктерімен бөлісу. Бұл оң мінездеме ме, әлде теріс пе? Бір жағынан, ол барлық жиған-терген тәжірибесін жаңа жұмыс орнында қолданады деп күтіледі, ал екінші жағынан, келесіде жұмыс ауыстырғанда жұмыс істеген ұйымы туралы айтып бермейтініне кепіл жоқ.

Үміттенушінің қазіргі статусы оның техникалық дайындығы және ақпараттық жүйелермен жұмыс жасай алу қабілеті жағынан тексерілуі керек, сондай-ақ тұлғаның дамуы барысында психологиялық құрылымы мен мінез-құлығының дамуы (соның ішінде ұжымда қатынас кезінде ыңғайсыздықтар, жауыздық ниеттер). Бұл процесске психологтың қатысуы мүмкін.

Үміттенушінің қабілеттерін тексеру тестінің бірі болып құпия сөзге тест болып табылады. Ақпараттық жүйелерде парольді енгізуге шақыруды боямалайтын бағдарламалық қамтамасыз ету болып табылады, ол парольді сақтайды және қауіпсіздік қызметінің өкіліне көрсетуі мүмкін. Үміттенушіге сынақ алдында пайдаланушылар парольдеріне деген ұйымның талаптарымен танысуы мүмкін. Ары қарай үміткерге өзі ойлап тауып, парольді енгізу ұсынылады (мысалы, себеп ретінде жүйеде тесттік жұмыс мүмкіндігі көрсетіледі). Парольді енгізгеннен кейін үміткерді жүйеге қайта кіруін сұрауы мүмкін. Бұл кезде жүйе оған қате, қауіпсіздік қызметінен көмек сұрауы туралы немесе жаңа ғана жасалған кіруі соңғы жасалған кіруіне сәйкес келмейтіні туралы немесе соңғы кіруден кейінгі парольді екі-үш рет енгізу дұрыс болмағаны туралы хабар шығарады. Бұл жағдайдағы сақ болу факторлары төмендегідей:

-       Құпия сөз ойлап табу бойынша өте ұзақ ойлау. Жұмыс тәжірибесі бар пайдаланушы құпия сөзді 30-60 секундта ойлап табады.

-       «Құпия сөз таңдауға көмектесіңізші» деген сияқты сұраныстары. Бұл-тұтынушының құпия сөздің құпияда сақталуы қажетінің маңыздылығын аңғармайтынын көрсетеді.

-       Құпия сөз мақұлдау кезіндегі қателер. Егер тұтынушы екі рет 10 символдан тұратын парольді қатесіз енгізуге шамасы жетпесе бұл негативті белгі.

-       Өте қарапайым енгізілген құпия сөз. Егер үміткер  ұйымның құпия сөзге деген талабымен таныса отырып, бәрібір оларды орындамаса бұл негативті тенденция.

-       Жүйеге қайта кірген кездегі дабыл хабарламаларына реакцияның жоқ болуы. Егер жүйе тұтынушыға қателік жайында ақпарат беріп кейін, оны жіберіп соңғы кіруінің дұрыс емес уақыты мен күнін берсе, онда қауіпсіздік қызметіне хабарлау керек.

Егер кандидат жұмысқа қабылданып және тұтынушы – ақпараттық кеңістік субъектісі болса, онда ақпараттық қауіпсіздік қызметі өзіне осы тұтынушыны бақылап, қателіктерін ескере алатындай деңгейде құқықтық кеңістік құруы тиіс. Ол үшін келесі шараларды орындау керек:

-       ақпараттық қауіпсіздік саласындағы бар нормативтермен таныстырып, кейін олардың білмегеніне сілтеме жасамайтындай жағдай жасап, қолхат алған дұрыс; егер үміткер ұйыммен келісім шартқа отырған болса, онда ақпараттық қауіпсіздіктің бірнеше пункті қосылуы тиіс. Мысалы, субъект меңгерушінің цифрлық қолын қағаздағыдай етіп мойындауға міндеттенеді;

-       егер ұйым өз ақпаратының конфиденциалдылығын алға тартса, субъект қол қоятын қосымшалар тізіміне енгізген жөн. Алайда мемлекет заңдарының сақталуында қадағалаған жөн, себебі, субъектке атылатын міндеттер оның коституциялық құқықтарын бұзбауы тиіс;

-       егер ұйым қызметкердің жұмыс барысына араласқысы келсе, мысалы, элетронды поштасын тексеру, интернет сайттарында болуы т.с.с.,  онда қызметкер ол жайында ескертілуі тиіс;

-       егер қызметкер құзырына бір персоналды компьютер берілсе, онда оған бұл бірлік ұйым меншігі және оны қолдану саясатын ұйымның анықтайтынын жеткізу керек. Осында компьютерге оқу бағдарламалары, музыка және ойындардың орнатылуы ұйым мақсаттарына сәйкес емес.  Ал осы қызметкер берілген компьютерге жауапты болғандықтан нормативтерге сәйкестігін және ақпараттық қауіпсіздіктің сақталуын орындауы тиіс;

-       егер бұл компьютерде екі  немесе одан да көп адам жұмыс істесе, берілген компьютердегі ақпараттық қауіпсіздіктің сақталуы талаптарын орындауға бір жауапты адамды қойған дұрыс.

5.2 Қызметкерлермен әдістемелік жұмыс

 

Кәсіпорынның ақпараттық кеңістігі бір орында тұрмайтындықтан, қызметкерлерді  жаңа ақпараттық жүйелер жұмысына және сол жүйелердегі қауіпсіздік шараларына  ұдайы  оқытуды талап етеді. Сондай-ақ, қастандық ойлаушылар қолданатын технологиялардың дамуы тұтынушылардан шабуылдар жайында  қосымша, анағұрлым жетік білім талап етуі мүмкін. Бұл қызметкерлерге осы тақырыпта әрдайым семинарлар өткізіп, қажетті іс-шаралар жайында оперативті хабарлау жүйесін ойластыру керек  дегенді білдіреді. Үлкен тармақталған коорпарациялар үшін осындай әдістемелік материалдарды дайындап, сол материалдармен  қызметкерлердің міндетті түрдегі танысуы әдісін қолданған жөн.

Қызметкерлердің жұмысының сапасына қарамастан олардың жұмысын периодты түрде тексеріп отыру керек. Тексерулер «таңдамалы» болуы мүмкін. Тексеру көлемінің диапазоны әртүрлі болуы мүмкін. Осындай тексерулер барысында, тұтынушылардың жұмысындағы қандай да бір қателіктер, соның ішінде тұтынушы күнәсінен болмайтын қателіктер, табылуы мүмкін. Инцидерттердің зерттелуі қалай жүргізілетіндігін кейінірек қарастырамыз. Қандай болмасын бұзушылықтағы тұтынушының күнә деңгейін  және жазалау көлемін нақты ұйымның құзырлы өкілдері анықтау керек. Кішкентай қателік үшін әрдайым үлкен жаза беру - әрдайым мәселенің жақсы шешімі бола бермейді. Мынандай мазмұндағы электрондық хат жақсы профилактика болуы мүмкін: «Сіз кеше WWW.XXX.COM сайтында  болып онда жұмыс уақытының 42 минутын жұмсадыңыз. Жағымсыздықтар болмас үшін сіздің жұмысыңызға қатысы жоқ  сайттарды қолданбауыңызға кеңес береміз. Қауіпсіздік қызметі». – осындай хат жақсы профилактика болады.

Алайда, осындай инцидент формальді түрде «кешірілсе» де, ол қандай да бір «қара тізімде» белгіленуі керек.

Қызметкерлермен жұмыс істеген кездегі ең басты сұрақтардың бірі өзара қарым-қатынас кезіндегі  жұмысшыны идентификациялау. Бірнеше ондаған  адамы бар  ұйымда,  қауіпсіздік қызметкері  әр қызметкерді жеке білуі мүмкін, ал бірақ персонал саны 1000 және одан да көп болатын үлкен ұйымдарда, әсіресе жаңа қызметкерлер үшін тұлғаны тану  сұрағы  қауіпсіздік қызметі жұмысында қолданылуы мүмкін осал тұстары болып табылады. Мысалы, телефонмен тұтынушының парольді ауыстыру жайындағы өтініші.  Шын тұтынушы мен аталған есім арасындағы сәйкестікті қалай тексеруге болады? Мұндай кезде уақытша парольдер жүйесін қолдануға болады, Интернетте мәселенің  екі шешім жолы ұсынылады:

-            Тексеру сұрағы. Тұтыушының  тіркеу жазбасын тіркеген кезде, рұқсат тек қана әкімшіде ғана бар, сұрақ және соған сәйкес жауап, жауабын тек қана тұтынушы біледі, енгізіледі. Сондай жағдайда құпия сөзді ауыстыру алдында әкімші тұтынушыны тексеру сұрағына берген жауабы бойынша аутентификациялайды.

-            Балама кері байланыс. Тұтынушы қоңырауынан кейін әкімші телефон номерін  тіркеп, оның дұрыстығын тексереді және тұтынушыға өзі қоңырау соғады.

Уақытша құпия сөздің ерекше болғанының маңыздылығын ескерген жөн.

 

5.3 Кәсіпорынның бұрынғы кадрлық қызметкерлері

 

Ұйымнан кеткелі жүрген қызметкермен  қарым-қатынас мәселесі маңызды сұрақ күйінде қалып отыр. Осындай жағдайда,  қызметкердің тікеу номерін берілген информациялық  жүйенің тұтынушысы ретінде блоктау мен өшіру  мәселелері бойынша біраз  техникалық іс-шаралар өткізілуі тиіс. Бірақ ол үшін ақпараттық қауіпсіздік қызметі (АҚҚ) кемінде осы  қызметшінің жұмыстан шығатыны жайында ақпараттану керек. Содай-ақ осы жағдайда қызметкерлермен жұмыс жайындағы бөлімшемен байланысу керек.

 

5.4 Құрылғымен жұмыс

 

Құрылғының  қауіпсіздігі мынандай нұсқалардан құрылады: құрылғы өзі қауіпті болып табылады немесе құрылғыға қауіп бағытталуы мүмкін.

Ақпараттық технологиялар құрылғысын сатып алған ұйым оған сенуге мәжбүр, себебі көп жағдайда бұл ұйым күрделі аппараттың құжатталмаған кемшліктерін анықтауға арналған техникалық мүмкіндіктерінің болмауымен байланысты. Мұндай кемшліктердің болуының басты себебі – кәсіпорындар арасындағы бәсекелестік және кейбір елдердің саясатымен байланысты. Ұйымда жоғарғы мамандандырылған ақапараттық технологиялар немесе ақпараттық қауіпсіздік мамандары болған кезде де, олар аппаратық кемшіліктердің барын немесе жоғын мақұлдай бермейді. Ақпараттық кемшіліктерді анықтауда арнайы әдістер мен құралдардан басқа жоғары арнайы мамандандаырылған мамандары бар зертханалар қажет.

Осы себепті құрылғыларды  мемлекеттің құзырлы орындары сертификаттағаннан  кейін сатып алған дұрыс, алайда ондай орын жоқ болған жағдайда, өз беделі үшін жұмыс істейтін және апататтың дұрыс істемеуіне байланысты дау-жанжалдарды қаламайтын белгілі өндірушілерден  (бреэнд) сатып алған дұрыс. Берілген жағдайдағы тауар бағасының өсуі -  кәсіпорын ішіндегі «бесінші коллоннасы» болмағандықтан төленетін кепілдік деп түсінген дұрыс.

Егер құрылғының ішінде қасақана оймен істеліген жиынтықталмаған мүмкіндіктері жоқ деп есептегеннің өзінде, ақпараттық қауіпсіздікте әлсіз тұсы да болуы мүмкін. Осындай әлсіздікке әдетте ПЭМИН (БЭСЖБ) – бөгде электромагниттік сәуллену және бағыттау терминін қолданады. Бұл құбылыс құрылғы өз жұмысы барысында қоршаған ортаға  бақылаусыз түрде қандай да бір түрде ақпарат бөлуіне негізделеді, және сол ақпаратты қағып алуға, өңдеуге және заңсыз түрде қолдануға болады. Тұтынушылардың мониторлары жұмыс істеп тұрғандағы генерацияланатын және деректерді беру ортасында (желілер, сымдар, кабельдер және т.б.) пайда болатын БЭСЖБ ақпараттық технологияларда үлкен назар  аудартып отыр. Алайда, БЭСЖБ-дан қорғау үшін күрделі және қымбат құрылғыны сатып алмастан бұрын, тәукелдерге талдау жүргізу керек:

-       байланыс желілерімен беру кезінде деректерді шифрлау жеткілікті болуы мүмкін. Осы жағдайда электромагнитті бағыттауларды қағып алатын күрделі жабдық түгіл, қастандық ойлаушының тікелей пакеттерді қағып алушыны енгізуі де ешқандай нәтиже бермейді;

-       қашықта отырып  монитор экранынан ақпаратты қағып алу үшін өте қымбат құрылғы қажет. Бас жүйелік әкімшінің иығы арқылы қарағанның өзінде де, бәсекелес не алуы мүмкін?

Мүмкін, бұл ақпаратты бұдан да қарапайым жолмен алуға болатын шығар.

Әдетте бұл жағдай орташа кәсіпорын үшін сарапталатынын ескерген жөн. Егер мысалы, «мемлекттік құпия» классындағы ақпарат электронды түрде сақталатын  қорғаныс министрлігі жайында айтатын болсақ, онда әңгіме басқаша болмақ.

Ұйым құрылғыларына  сенімді және қажетті деңгейде жұмыс істеп тұруына жағдай жасалды делік. Алайда, кәсіпорынның ақпарат кеңістігіне қызметкерлер мен қонақтар алып келетін бөгде құрылғының ену мүмкіндігі бар. Берілген жағдайда,  қорғанысты екі сатымен эшелондау керек: ғимаратқа құрылғының енгізілуін қадағалау керек және ақпараттық желіге бөгде қосылулардың  болуын тексеру.

Сыртқы тасушылар (құрылғы қатарына қосуға болатын), содай-ақ  сытрқы тасушыларға жазуға/оқуға арналған және осындай құрылғыларды сыртқы қосылуларға арналған  порттар ерекше назарға ие болу керек. Осы жағдайда сырқы тасушылар қауіпті информациялық объекттер/субъекттерді құпия ақпаратты  ала отырып, ақпараттық кеңістікке енгізуші болуы мүмкін. Еркін порттарды (COM, LPT, USB инфрақызыл байланыс т.с.с.), оқу/жазу құралдарын  өшіру/блоктау  немесе физикалық түрде өшіру  сенімді болмақ.  Алайда, бір немесе бірнеше сыртқы тасушылармен жұмыс істеуге құзыры бар бөлек қызметті құрған жөн. Қызметтің міндеттеріне мыналар кіреді:

-            алып келінген сыртқы тасушыда қауіпті элементтердің (вирустар, троян бағдарламалары, бөгде бағдарламалық қамтамазсыз ету т.б.) барын тексеру;

-            ақпарат бағытталған тұтынушыға, серверге, станцияға, сыртқы тасушыдан ақпаратты электронды түрде ғана жеткізу немесе көшірмесін беру;

-            тұтынушыдан, ұйымнан сытрқы тасушыда шығаруға бағытталған ақпаратты алу;

-            шығаруға арналған ақпарат құрамында құпия ақпарат болмауын тексеру және ақпаратты сыртқа тасушыға жазу.

Бұл қызмет үшін жалғыз рұқсат  критикалық ақпаратты резервті көшірмесін алуға арналаған жұмыс регламенті бөлек қызмет қана ерекшелік болуы мүмкін.

Ақпарат бағыты бойынша жеткізілгеннен кейін, сытрқы тасушылардан ақпаратты өшіру мәселесі маңызды болып отыр. Жойылған ақпаратты сыртқы тасушыдан қалпына келтіруге арналған шығын мәселесі қалпына келтіруге тиіс ақпараттың құнына байланысты. Қандай жағдай болса да, көп рет қайта жазу немесе корпустың физикалық бұзылуы тіпті ең көп жазылатын беттің өзінде де ақпаратты қалпына келтіру кепілдігі бола алмайды. Егер ақпаратты кепілді түрде жою мәселесі маңызды болса, арнайы аппаратура сатып алу мәселесін сараптау керек.

Ақпараттық технологиялар құралғыларының басқа маңызды ерекшелігі ақпараттық қауіпсіздікке әсер ететін сипаттамалары бар: олар өзіндік құнды, яғни басқа құрылғыға қарағанда өзіндік құны бар, көптеген ұсақ бөлшектерінің болуы.

 

 

6 Дәрістер 10-11.  Тәукелдерді басқару

 

Дәріс мазмұны:

-            кәсіпорынның ақпараттық қауіпсіздігі мәселесі;

-            негізгі ұғымдар;

-            тәуекелді басқарудың жалпы әдістемесі;

-            сапалы бағалау моделі;

-            тәуекелдің сандық моделі.

 

6.1 Кәсіпорынның ақпараттық қауіпсіздігі мәселесі

 

Кәсіпорынның ақпараттық қауіпсіздігі мәселесін административті деңгейде, яғни ұйымның басшылығы атқаратын  шараларды қарастырайық. Административті деңгейдегі барлық шараладың негізінде, әдетте кәсіпорынның ақпараттық қауіпсіздігі саясаты деп аталатын құжат жатыр. Ақпараттық қауіпсіздік деп ақпараттық ресурстарды қорғауға бағытталған шаралар мен басқарушылық  құжаттық шешімдер жиынтығы түсіндіріледі.

Ақпараттық  қауіпсіздікті қамтамазсыз етудің мұқият ойластырылуынан басқарудың басқа да деңгейлерінің: процедуралық, бағдарламалы-техникалық, әсерлігі байланысты. Берілген құжатты құрастырғандағы басты қиындық – бөгделердің тәжірибесін қолданудың мәселелігі, себебі, қауіпсіздік саясаты өндіргіш қорлар мен берілген кәсіпорынның функционалды байланыстарымен тығыз байланысты. Сондай-ақ Қазақстан мемлекет ретінде ондай типті құжат жоқ. Осы ойға ең жақын «ҚР ақпараттық қауіпсіздік доктринасын» алсақ болады, алайда ол өте жалпы сипатта.

Осыған байланысты ақпараттық қауіпсіздіктің саясатын құрастыруға шет елдер тәжірибесін қолданған жөн.  Осы аспект егжей-тегжейлі 2.0 нұсқалы 22 мамыр 1998 ж. Британ BS779:1995 стандартының «Ақпараттық технологиялардың қауіпсіздігін бағалайтын жалпы талаптарында» құрастырылған.   Онда ұйымның ақпараттық қауіпсіздігін сипаттайтын құжатқа келесі  пункттерді қосу ұсынылады:

-бастапқы, жоғарғы басшылықтың ақпараттық  қауіпсіздік мәселелеріне қызыуын растайтын;

- ұйымдастырушылық,  ақпараттық қауіпсіздік саласындағы жұмыстарға жауапты бөлімшелердің, комиссиялардың, топтардың және т.б. сипаттамаларын қосатын;

-жіктелу, кәсіпорындағы материалды және ақпаратты ресурстар және олардың қажетті қорғаныс деңгейі;

-штатты, қызметкерлерге қолданылатын қауіпсіздік шараларын сипаттайтын (ақпараттық қауіпсіздік деңгейінде қарастырғандағы лауазымдар сипаты, оқудың жүргізілуі, режимнің бұзылуына әсер ету тәртібі және т.б.);

-ақпараттың физикалық қорғалуын мәлімдейтін бөлім;

-басқару бөлімі, деректерді беру желілері мен компьютерді басқару жолдарын сипаттайтын;

-өндірістік ақпарат шекралары ережелерін айқындайтын бөлім;

-жүйелердің құралуы мен енгізілу тәртібін сипаттайтын бөлім;

-ұйымның үздіксіз жұмысын қамтамазсыз етуге бағытталаған шаралар сипаты бөлімі;

- ақпартаттық қауіпсіздік саясатының  ағымдағы заңдарға сәйкестігін растайтын, заңгерлік бөлім.

Ақпараттық қауіпсіздік саясатын құрудың шетелдік құжаттардың негіз ретінде ұсынылуы түсініспеушіліктерге алып келуі мүмкін.

BS779:1995 стандарты нұсқаулығынан көрініп тұрғандай, олар жалпы сипатта және үй салудың барлық ережелері бірдей болатындығы сияқты тек ағымдағы заңдар мен ереже, нормалар және т.с.с  сәйкес толықтырылады сондықтан, бұл нұсқаулықтар жердің кез-келген нүктесіндегі кәсіпорындарға қолданыла алады. Сондай-ақ нұсқаулықтың соңғы бөлімі ақпараттық қауіпсіздік саясаты соның негізінде құралатын  елдің ағымдағы заңдарына қайшы келмейтіндігін растайды.

Сонымен, кәсіпорынның ақпараттық қауіпсіздік саясаты бұл соның негізінде қауіпсіздікті қамтамазсыз етеу жүйесі құрылатын құжат. Өз кезегінде құжат тәуекелдерді сараптау негізінде құралады, сараптау түгел жүргізілген сайын құжат та тиімді болады.  Сараптау барлық негізгі ресурстарда, соның ішінде, материалдық базамен адам ресурстарында да жүргізіледі. Қауіпсіздік саясаты кәсіпорын ерекшеліктері мен мемлекеттің заңшығарушылық негізіне сәйкес құрылады.

 

 

6.2 Негізгі ұғымдар

 

Әр жүйенің немесе өнімнің артықшылықтары мен кемшіліктеріне тоқталмай-ақ, мынаны ескеру қажет – ақпараттық ресурстарды қорғау ойластырылу керек және оның эффективті болуы шарт. Себебі ол белгілі бір деңгейде ұйымның ресурстарын сақтауға бағытталған, соның ішінде финанстық ресурстарды. Осы мәселеде жақсы жарнамаланған қымбат ақпараттық қауіпсіздік құылғысын сатып алу, ақпараттық қауіпсіздікке қатысты кәсіпорын мақсаттарына қайшы келуі мүмкін.

Әдетте компьютерді қорғауға кеткен қосынды сомма компьютердің операциялық жүйесімен  қосқандағы  өз бағасынан да асып түседі. (Құпия құжаттармен жұмыс істейтін оператордың қауіпсіздік қазметі сол құрылғыға жұмсаған соммасынан ондаған есе аз соммаға ақпарат беруге дайын екендігін ескерген жөн) Сонымен құпия деректерді таратуға байланысты шығын еш жерде айтылмайды.

Кейбір ақпараттық қауіпсіздікке байланысты  басқарушы құжаттар   қажетті қорғаныс деңгейінің анықталуының негізгі принциптерін жанама немесе  формальді түрде ғана көрсетеді. Әдетте былай құрылады: «қорғауға кеткен шығындар соммасы шабуылдан тиген шығыннан аспауы керек».  Басқа принцип  сирек қолданылады: «Қорғанысты бұзуға кеткен қастандық ойлаушылардың шығындары, бұл шабуылдар нәтижесінің пайдасынан асуы керек». Бірінші қағида пайда табуға негізделген коммерциялық органдарға лайық, ал екіншісі мемлекеттік құпиялармен жүмыс істейтін ұйымдарға лайық.

Ақпаратты қорғауға бағытталған құрылғыларды сатып алуға кеткен шығындарды ескерсек өндірістік шығындарды есептеу оңайырырақ, ал қауіпсіздікті қаматмызсыз етуге кететін шығындарды есептеу қиынырақ.   Бәрімен қоса бұл жерде өзінің спецификасы бар. Егер, батыс саясаткерлерін әшкерелейтін ақпараттар олардың жұмыстан кетуіне алып келсе, ТМД елдерінде керісінше саясаткерге танымалдылық қосуы мүмкін.

Тәуекелділікті басқарумен тек қана ғаламдық модификацияны жоспарлау кезінде емес, сондай-ақ одан да кіші жағдайларда жасаған дұрыс. Мысалы, ұйым шет елдік ұсынушыдан автоматтық жүйені сатып алды, ал бірақ  ол модификацияға ашық.  Ақпараттық қауіпсіздікті қамтамазсыз етудің элементтерінің бірі жүйенің тіркеу журналын тексеру болып табылады. Алайда жүйенің стандартты түсімі келесідей болады: журнал толық емес және қосымша ақпаратты подсистемалардан жинап, қосымша жұмыс істеуге тура келеді. Берілген мәселенің келесідей балама шешімдері мүмкін:

-            қажетті жұмыстарды орындау үшін операторды жұмысқа алу;

-            өндірушіден кең тіркеу журналы бар жүйенеің жаңаруын а тапсырыс беру;

-            өз програмисттеріне қосымша модуль құруды тапсыру.

Берілгеннен қажетті нұсқаны тек қана жүйені тіркеу журналының  сараптауынынан кейін ғана таңдаған жөн. Себебі шабуыл кезіндегі жобалардың іске асырылуы шабуылдан кейін келетін шығындардан асуы мүмкін.

АҚ(ақпараттық қауіпсіздік) бағытының бөлігі ретінде тәуекелдер бағасы – тәуекелдікті басқару, қауіпсіздіктің құрылымындағы маңызды құрал болып саналады. Бірақ бұл құралды тиімді қолдану үшін бірнеше  шарттар қатарын орындау керек. Мысалы, сапалықтан сандық түсініктерге өту. Егер «ақпаратқа рұқсат алу бірлестіктің күйреуіне әкеліп соғады» деген тұжырым жасасақ бұл сапалық түсінік, яғни сапалық сипат. Ал сандық сипаты мынадай бола алады «ақпараттың жариялануы n1 тұтынушыдан төлем қажет, сот үрдістеріне мұнша шығын төленуі керек». Егер бірлестікте активтерді сұрыптау жүргізілсе, бұл процесс біршама жеңілдемек.

Тәуекелдікті басқару – дегеніміз бағаны сараптау, төмендету, жоюды анықтау процесі. Ол өз кезегінде келесі мәселелерді қамтиды немесе келесі сұрақтарға жауап береді.

а) егер бірдеңе болып қалса, онда шығын көлемі қандай болады;

б) ол қаншалықты жиі қайталанады;

в) осы сұрақтың жауабына қаншалықты сенімдіміз;

г) жиілігі мен ықтималдығын төмендету үшін не істеу қажет;

д) қолданатын шара қанша шығын әкеледі;

е) қабылданатын іс шара қаншалықты тиімді,

Тәуекел ықтималдыққа бағынады. Алғашқы үш сұрақ ықтимал болған сайын тәуекел көп, ал ықтималдықтар аз болған сайын тәуекел де аз болмақ. Ақпараттық актив – жұмыста қолданылатын және өзінен кіші жиындардан тұратын ақпараттар жиынтығы. Мүмкін болатын шығындар көлемі сан ретінде бағалануы керек.

-                Ақпарат алмасу құны.

-                Бағдарламалық қамтамасыздандыруды қостаудың алмасу құны.

-                Мақсаттылық, рұқсаттылықтың күйреу құны.

Ақпаратты және бағдарламалық қамтамасыздандырудың бағасы бөлек, қарапайым жүргізіледі.

 

6.3 Тәуекелді басқарудың жалпы әдістемесі

 

Тәуекелдікті басқарумен айналысатын ұйымдардың стандартты әдістемелері:

-       Тәуекелдікті басқарудың саясатын анықтау, оны ақшалай қамтамасыз ету. Еңбегіне төлеуден басқа оны оқыту, автоматты құралдармен қамтамасыз ету, жаңа әдістер мен тәсілдерді игеру керек болады.

-       Тәуекелді бағалауды жүргізуге керекті құралдар мен әдістерді анықтау. Бұл жерде тәуекелді бағасын шығарғанда барлық керекті құралдарды іске қоспас бұын толық сенімді болу керек.

-       Меншіктеу және тәуекелді өлшеу. Бірінші сатыда жұмысты қолдану аясын анықтап алу керек. Яғни туып тұрған қауіптерді, ақпараттық активтер мен олардың мағыналарын білу керек. Сапалы бағалау үшін кесте берілуі мүмкін. Бұл кестенің жолдарында активтер, ал бағаналарында жоғары, орта, төмен тәуекел деңгейлері көрсетіледі.

-       Тәуекел тиімділігінің критерийлерін орнату. Алынған мәліметтер негізінде мамандар басқарушылармен бірге тәуекел тиімділігін қабылданған тәсіл бойынша анықтау керек. Мысалы, 100000 АҚШ долларына тең тәуекелді тиімді емес деп қабылдау.

-       Тәуекелді азайту және одан алыстау. Қабылданған критерийлер бойынша тәуекелдіктің дәлсіздінгін анықтау маңызды. Оны жою тәсілдерін анықтау. Бұған тәуекелдікті жоюдың құралдарын  таңдап алу, құралдардың әрекеттілік бағасын анықтаудан тұрады.

-       Тәуекелді басқару жұмыстарының мониторингісі. Мұнда қолданып отырған тәсілдердің тиімділігін, сыртқы және ішкі жағдайлардың ауысуына байланысты қайта бағалаулардан тұрады.

Тәуекелді басқарудың үш әдісі бар. Олар:

-                Сапалы бағалау әдісі.

-                Дәстүрлі әдіс, сандық модель деп те аталады.

-                Атаулы әдіс «|Миор нәтижесінің жалпы құндық әдісі».

 

6.4 Сапалы бағалау моделі

 

Сапалы бағалау көбіне кестені толтырумен түсіндіріледі. Мұнда ақ, қара, сұр түстер қолданылады.

 

3 кесте –Қауіп салдарының сапалы бағалануы

Шабуыл тәуекелі

Маңызды актив

Критикалық актив

Өмірлік актив

Төменгі

 

 

 

Орташа

 

 

 

Жоғары

 

 

 

 

Кесте толтырушының интуициялық түсінігі, ұйымның білікті қызметкерлерінің анкеталары негізінде артық көру мәліметтерімен толтырылады. Шешім объектіге арналған нақты ұйымдардың тәуелділігімен қабылданады.

Негізгі жолақ деп аталатын қысқартылған әдісті қолдануға да болады. Мұнда бірлестік қауіпсіздік жүйесінің қарастырылу жағдайын талдайды, оны өздері жасаған жүйемен салыстырады. Егер артта қалышылық байқалса, онда жағдайды қалпына келтіру жүргізіледі. Айталық барлық компаниялар электронды поштамен сандық сертификат үшін шығын шығарды. Онда нақты компания оны алудың қиын емес жолын іздеуі қажет емес. Алайда үлкен компания шабуылды анықтаған балса, онда кішірек компания үшін маңызды шығын жасауға негіз жоқ.

Тәуекелді бағалаудағы сапалы бағалау моделінің жағымды жақтары мынада:

-                Есептеу жылдам әрі қысқа.

-                Активке қаржы меншіктеудің маңыздылығы жоқ.

-                Қауіптің пайда болу жиілігі мен оның нақты шығын көлемін есептеудің қажетсіздігі.

-                Ұсынылатын шаралардың тиімділігін көрсетудің қажетсіздігі.

Жағымсыз жағы нақты қауіпсіздіктің шығынын көрсету керек болмаған соң, субъективті талдау қажеттігі.

 

6.5 Тәуекелдің сандық моделі

 

Тәуекелдің сандық моделі мынадай түсініктермен жұмыс жасайды.

-                Істің жылдық жиілігі, былайша айтқанда шығынның пайда болу ықтималдығы(ARO).

-                Күтілетін бірлік шығыны(SLE), яғни нәтижелі жорықтың құны.

-                Күтілетін жылдық шығын(ALE), көлемі.

ALE= ARО* SLE.

ARО – оқиғаның болу жиілігі; егер оқиға 5 жылда 1рет болса, онда ARО 1/5, ал 1 жылда 3 рет болса, онда 3 ке тең.

Мысал, егер бірлестікте 100 адамның 50-і ақпараттық жүйені пайдаланып, олардың 5-і жоғары мүмкіншіліктерге ие бола отырып, мамандануы төменгі деңгейде болғандықтан ай сайын күрделі қателер жіберетін болса, онда бұл жүйе үшін

ARО=5*12=60.

Мысалы, ғимарат 10000000 АҚШ долларынан тұрады. Өрт 30% шығын әкеледі. Өрттің болу ықтималдығы жылына 10 рет болуы мүмкін. Онда SLE=10000000*0,3=300000

ALE=300000*0,1=30000.

Осыған байланысты, егер бірлестік 30000 долларды өрт болмау үшін шығындалса онда бұл тиімді шешім болмақ.

 

6.6 Миордың құндық нәтижелерінің жалпы моделі

 

Миор моделі сандық тәуекелдердің моделі есептеудегі жеңілдіктер үшін ойлап жасалған. Алдыңғы моделдердің негізгі кемшіліктерінің бірі болып құраушылардың ықтималдылығын анықтау схемасы болып табылады. Шынында үлкен шығынмен орындалатын жиі жағдайлар және кішкене шығынмен орындалатын жағдайлар қорғау шараларының анықталуына әр түрлі мүмкіндіктерді талап етеді. Бірақ формуладан көріп отырғанымыздай есептеулерде олар бірдей көрінеді. Мұнадай модель апаттық жағдайларды ескермейді, ол шығын мағынасын бөгеліп қалудан түсіндіреді. Ол жағдайдан кейінгі уақыттың функциясы ретінде қарайды. Әрбір ақпараттық немесе белсенділік белгілеріне ұқсас топтарды категориялар деп атаймыз. олар бірлестікке  әсер етудің бастапқы мерзіміне мүмкін шығындардың өлшемін анықтайды.

Ақпараттық тәуекелділіктің сараптау негізінде қорғаныс қызметінің бірлестігінің стратегиясы және тактикасын анықтауға болады. Ақпараттық тәуелділіктердің технологиясының жалпы идеяларды пайдалану үшін практикада нақты бірлестіктің куәліктері толық болу керек.

Тәуекелдіктердің классификациясын келесідей мәселелер тұрғысынан қарастыру керек:

-       тәуекелділікті өлшеуге болатын критерийлер бойынша;

-       жағдайлардың ықтималдылық бағасымен;

-       өлшеу технологиясымен.

 

Критерийлер

Әр түрлі ақпараттық куәліктерді салыстыру критерийлерін  пайдаланған уақытта алдымен сандық бағалардың жоқтығымен соқтығысамыз және сарапшылардың бағасын пайдалануға тура келеді. Көбіне сарапшылар келесідей анықтамалардың бірін таңдауы керек болады:

-            мұндай ақпараттық деректер мардымсыз құндылықты көрсетеді, фирманың маңызды мәселелерін шеше алмайды және олар тез уақытта қайта қалпына келтіріледі;

-            мұндай ақпараттық куәліктер фирмаға орташа құндылықты көрсетеді, себебі маңызды мәселелерді шешеуге қатысады, мәліметтер қайта қалпына келтіріледі бірақ бағасы құптарлықтай;

-            мұндай ақпараттық мәліметтер фирмаға жоғары құндылықты көрсетеді, себебі өте маңызды мәселелер шешіледі, қайта қалпына келтіру бағасы өте жоғары.

Мұндай дөрекі бағалардан басқа, қасиеттердің градациясы пайдаланылады. Әдетте градациялар бес деңгейге дейін құралады.

 

Жағдайлардың ықтималдығы

Ықтималдылықтың екі түсінігі пайдаланылады: объективті және субъективті ықтималдылық. Субъективті ықтималдылықта алу процесі үш периодтан құралады: дайындықты, баға алу, сараптама периоды.

Дайындықты период зерттеу нысанның қалыптасуын құрайды және субъективті ықтималдылықты анықтауда ыңғайлы тәсілді таңдайды.

Баға алу периоды таңдалған әдіс негізінде сарапшылардан алынған санды теру құраушысын құрайды.

Сараптама периоды белгілі дәлелдемелері бар қайшылық және нәтижелердің ауытқуында сарапшылардың ойы нақтылынады.

 

Әдебиеттер тізімі 

1        О.З. Рутгайзер. Организация и управление службой защиты и безопасности информации – Учебное пособие, АИЭС, Алматы 2006.-76 с.

2        Конеев И.Р., Беляев А.В. Информационная безопасность предприятия– М.: Мастер систем, 2003, -733 с.

3        Мельников В.В.Защита информации в компьютерных системах. - М.: Финансы и статистика; Электроинформ, 1997.-368 с.

4        Ярочкин В.И. Система безопасности фирмы. – М.: Ось-89, 1997-89, 106 с.

5        Петраков А.В., Дорошенко П.С., Савлуков Н.В. Охрана и защита современного предприятия. – М.: Энергоатомиздат, 1999-568 с.