27. Ақпараттық жүйелерді басқаруды автоматтандырудағы ақпаратты қорғау құралдары
Қорғау дегеніміз-жалпы түсінік. Қорғау-жүйенің объектілерін қоршаған ортадан қорғайтын механизмдерді сипаттау. Қорғау тетіктеріне тән белгілер:
Бір пайдаланушының екінші пайдаланушыға кедергі келтіруіне жол бермеу;
Пайдаланушының бағдарламасымен деректеріне қорғаныс құралдарын ұсыну.
Қорғау тетіктері (механизмы) төмендегідей бірқатар мәселелерді шешеді:
Заң шығару нормаларымен анықталатын, дербес қол жеткізуді реттеуші жеке ақпарат құпиясын қорғау.
Ақпаратқа қол жеткізу ережесін анықтайтын ақпарат құпиялылығын сақтау.
Құпиялылықтың сақталуын қамтамасыз ететін әдістер мен құралдардың ақпарат қауіпсіздігіне жол ашуы.
Алғашқы сатыда ақпараттың қорғалуы бағдарламалық әдіспен шешіледі. Тәжірибе көрсеткендей ақпараттың қорғалуына бағдарламалық құралдар кепіл бола алмайды. Сондықтан бағдарламалық құралдар ақпаратқа қол жеткізуді, сақтау ережесін анықтайтын ұйымдастыру шараларымен толықтырылды. Келесі саты-мәліметтерді қорғау бойынша жүйе және техникалық құралдар құру болып табылады. Қорғаудың кешенді әдісі жоғары нәтиже береді. Ақпаратты қорғаудың барлық әдістері мен құралдарының жиынтығын төмендегідей түрде топтастыруға болады.
Қорғау құралдарының классификациясы
Қорғау тәсілдері: кедергі, басқару, кодтау, регламенттеу, ықтиярсыз, қозғаушы.
Қорғау құралдары: Формалды – физикалық, аппараттық, техникалық, бағдарламалық; Формалды емес – ұйымдастыру, заң, адамгершілік-этикалық.
Қорғау құралдары төмендегі категорияларға ажыратылады: өзіндік қорғау; ЕЖ құрамында қорғау; сұрау салу арқылы ақпаратты қорғау; активті қорғау; пассивті қорғау.
Өзіндік қорғау: құжаттау; машиналық код; сүйемелдеу; шектеулі қолданыс; тапсырыспен жобалау; авторлық құқық.
Сұрау салу арқылы ақпаратты қорғау: пароль, шифр, сигнатура, аппаратура арқылы ақпаратты қорғау.
Парольдер – жүйеге ену үшін қажетті кілттер ретінде қарастырылады және ақпарат тұтастығын сақтауды қамтамасыз етеді бірақ, олар басқа мақсаттар үшін де қолданылады, мысалы, дискіенгізгіште жазуды бұғаттауда, мәліметтерді шифрлеу командаларында, т.б.
Парольдерді 7 негізгі топтарға бөледі:
қолданушы орнататын парольдер;
жүйемен генерацияланатын парольдер;
енудің кездейсоқ кодтары;
жартылай сөз;
кілттік фазалар;
“сұрақ -жауап” түріндегі интерактивті тізбек;
“қатаң ” парольдер.
Шифрлер - ақпаратты түрлендіруге арналған криптографиялық әдістерді пайдалану. Шифрлер криптоаналитиктер үшін қарапайым болу керек, бірақ кәдімгі пайдаланушылар үшін файлға қол жеткізуді қиындатады. Бағдарламаларды, идентификациялық белгілерді шифрлеуге болады. Бағдарламаны қорғауға арналған шифрдың негізгі сипаттамасы - кілттік шифрдың үзындығы болып саналады.
Сигнатуралар – қорғаныс үшін пайдаланылатын және бағдарламалық тәсілмен тексерілетін электронды есептеуіш машинаның бесаспап сипаттамасы.
Қорғау аппаратурасының көмегімен бағдарламны қорғаудың негізгі принципі – тұрақты есте сақтау құрылғысымен оперативті есте сақтау құрылғысынан бағдарламаларды рұқсатсыз көшіру кезінде бағдарламның өздігінен жойылып кетуіне арналған сигналдарды өндіру. Олар – Арнайы микропроцессорлар (МП), Электр интеллектісімен қорғау, Тікелей қорғау құралдары және т.б.
Активті қорғау құралдары екі топқа бөлінеді: компьютер құрамындағы және оған қатысты емес ішкі және сыртқы активті қорғау құралдары. Ішкі құралдар бағдарламаны бұғаулайды немесе жояды. Сыртқы құралдары - жалпы қабылданған дабыл сигналдары, авторлық этикетті басып шығару, дыбыстық ескертулер, бақылау, иемденуші жөнінде деректерді басып шығару сияқты белгілерден тұрады.
Пассивті қорғау құралдарына сақтандыру, алдын-ала ескерту, бақылау, сондай-ақ қолайсыз жағдайды болдырмау үшін көшіруді дәлелдейтін және айғақ іздейтін бағыттағы әдістер жатады.
28. Ақпараттық жүйелерді басқаруды автоматтандыруды интеграциялау барысындағы қауіпсіздікті қамтамасыз етуге жүйелік жуықтау: технологияларды қолдану талаптары; ақпараттарды қорғау құралдарына қойылатын талаптар
Автоматизацияланған ақпараттық жүйе қауіпсіздігі – автоматизацияланған жүйенің жасырындық , қолжетімділік, тұтастық және оның ресурстарының шынайылығының қорғалған күйі
Әдетте қауіпсіздік модель стандартын үш модель категориясы ретінде көрсетеді:
-Жасырындық(ағл. confidentiality) – ақпаратқа тек оған құқығы бар субъект ғана рұқсатты болатын ақпараттың жағдайы.
-тұтастық(ағл. integrity)- ақпараттың түрөзгертушілік санкциялы еместіктен қашқалақтау.
-қолжетімділік(ағл. Availability)- қолжетімділікке құқұығы бар қолданушыларға уақытша немесе ылғи ақпараттың жасырушылығынан қашқалақтау.
Автоматтандырылған басқару жүйесінің барлық құру, эксплуатация және дамыту стадияларында жеке ішкі жүйелері арасында және жоғары рангілі автоматтандырылған басқару жүйесінде қатынастың көмегімен оның бүтіндігін қамтамасыз етуші жүйелік біріңғайлау принципі жүзеге асуы жүргізіледі.
Кез келген автоматтандырылған басқару жүйесі үшін орталықтандырылудың болуы өзіндік ерекшелігі болып табылады. Сонымен бірге оның функциолануында кейбір факторлар басым жағдай жасайды. Осы факторлардың сәл ғана өзгеруі автоматтандырылған басқару жүйесінің ішкі жүйелерінің айтарлықтай өзгеруіне алып келеді. Жеке ішкі жүйелер сияқты автоматтандырылған басқару жүйесі де функционалдау процесінде түр өзгертуі де басым жағдай болып табылады.
Кейде бұндай автоматтандыруды басқару жүйесінің жетілдіру жүйесін «бөліктік» , «кесінділік» ,«аралдық» деп атайды. Кесінділік автоматтау кезінде кәсіпорынның шынайы көрінісін көру мүмкін емес.Соған сәйкес оның қызметін және финанстық нәтижелерін жоспарлау мүмкін емес. Кесінділік ақпараттық орта нәтижесі болып оның құрамындағылардың, эксплутацияға, жетілдіруге шығындардың артуы, талап етілген бизнес-процестердің ақпараттық –есептік және аналитикалық демеуімен қамтамасыз ете алмау, соған сәйкес бизнестің тиімділігінің жоғалуы жұмысының тиімділігінің төмендігі болып табылады. Бірақ та интеграция мәселесі программалық қамсыздандырумен ғана шектеіп қоймайды, олар корпоративті ақпараттық жүйелердің программалық компоненттерінің ғана емес, сонымен бірге оның ақпарат қолданушыларына және онымен қызмет көрсетілетін бизнес-процестерге икемділік және масштабтылығының жоғалтпай бүкіл ақпараттық технологияның ішкі құрылымын қамтиды.
Ақпараттарды қорғау құралдарына қойылатын талаптар: Ақпаратты қорғау – ақпараттық қауіпсіздікті қамтамасыз етуге бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау – ақпараттың сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің, маңызына тимей түрлендірудің, рұқсатсыз көшірмесін алудың, бұғаттаудың алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету кезі қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық, бағдарламалық және техникалық әдістер мен құралдардан тұрады.
29. Ақпараттық жүйелерді басқаруды автоматтандыруды интеграциялау барысындағы қауіпсіздікті қамтамасыз етуге жүйелік жуықтау: байланыс арналарын қорғау құралдарына қойылатын талаптар; байланыс арналарын криптоқорғау құралдарына қойылатын талаптар;
Ақпараттық жүйелерді басқаруды автоматтандыруды интеграциялау барысындағы қауіпсіздік
Автоматизацияланған ақпараттық жүйе қауіпсіздігі – автоматизацияланған жүйенің жасырындық , қолжетімділік, тұтастық және оның ресурстарының шынайылығының қорғалған күйі
Әдетте қауіпсіздік модель стандартын үш модель категориясы ретінде көрсетеді:
-Жасырындық(ағл. confidentiality) – ақпаратқа тек оған құқығы бар субъект ғана рұқсатты болатын ақпараттың жағдайы.
-тұтастық(ағл. integrity)- ақпараттың түрөзгертушілік санкциялы еместіктен қашқалақтау.
-қолжетімділік(ағл. Availability)- қолжетімділікке құқұығы бар қолданушыларға уақытша немесе ылғи ақпараттың жасырушылығынан қашқалақтау.
Байланыс арналарын қорғау құралдарына қойылатын талаптар:
Қорғау үшін арналған талаптар:
- модемдер, регенераторлар, Кез келген түрлердің берілулер жүйесі;
- Абоненттік желілердің азканалды жүйеге ығысуы;
- Байланыс желілердің соңғы құрылымы;
- УПАТС-тың аздаған, жедел және диспетчерлік байланыстар жүйелері;
Симметриялық кабелдер бойынша жұмыс істейтін кез келген басқа жабдықтар.
Қауіпті электромагнитті ықпалдардан қорғау талаптары:
- Түнерген әсерлер;
- электроқоректенудің желімен ,байланыстар сызығымен(линии) байланысуы;
- Сілтеулер ЛЭП және электрлендірған транспорттарда;
- Табиғи және жасанды сипаттың басқа қауіпті ықпалдары .
Схемалар және параметрлік құралдардың таңдалуыға тәуелді болады:
- Қауіпті ықпалдардың сипаттары және қарқындылығы;
- Жұмыс кернеу және тоқтар сызықтары;
- ұйымдық әдістері дистанциялық қорек (питание);
- Берілетін сигналдың сызықты код және спектр түрінде
Қорғаулар құрылымдардың конструктивтік орындаулары:
Кез келген жабдықтар,орны мен әдістердің орнатылуы,әр түрлі климаттық шарттар.
Байланыс арналарын криптоқорғау құралдарына қойылатын талаптар:
шифрленген мәлімет тек кілтпен ғана оқылуы керек;
шифрленген мәліметтегі үзіндіні шифрлеуге пайдаланған кілтті анықтауға қажетті және сол ашық мәтінге сәйкес операцияның саны мүмкін болатын кілттердің жалпы санынан кем болмауы керек;
ақпаратты ашу үшін таңдалған барлық кілттердің атқаратын жұмысы қазіргі заманғы компьютердің мүмкіндігінен асып түсуі қажет әрі бағасы төмен болуы керек;
шифрлеу алгоритмінің мәні қорғау беріктілігіне кепілдігіне әсерін тигізбеу керек;
аздаған болар-болмас кілт өзгерісі, бір кілтті пайдаланса да шифрленген
мәліметті түбірімен өзгерте алмайтындай болуы қажет;
шифрлеу алгоритмінің құрылымдық элементтері өзгертілуі керек;
шифрлеу барысында мәліметке енгізілген қосымша биттер түгелдей және шифрленген мәтінде берік әрі құпия сақталуы керек;
шифрленген мәтін ұзындығы бастапқы-шығатын мәтін ұзындығына сай болуы керек;
шифрлеу барысында пайдаланылатын кілттер арасындағы байланыс қарапайым әрі жеңіл бекітілетіндей болуы керек;
көптеген мүмкін болатын кілттер кез-келген ақпараттың берік қорғалуын қамтамасыз етуі керек;
алгоритм таратудың бағдарламалық және аппараттық түрлеріне де жол беріп, осы тарату барысында кілттің ұзындығының өзгеруі шифрлеу алгоритмінің сапасын төмен түсіруге жол бермеуі керек
30. Ақп-ты қорғау ж/е ақп-қ қауіпсіздік обл-ң отандық ж/е хал-қ станд/ы
М
емл-тік
АЖ/ды ж/е мемл-тік АЖ/мен интегр-яланатын
мемл-тік емес АЖ/ды олардың ақп-қ
қауіпсіздік талап/на ж/е ҚР-ның аумағында
қабылданған стандарт/ға сәйкестігіне
аттестаттау
Халықаралық стандарттар
BS 7799-1:2005 — Британдық стандарт BS 7799 1-ші бөлім. BS 7799 Part 1 – Ақпараттық қауіпсіздікті басқару ережелері 127 бақылау механизмін сипаттайды, осы аймақтағы бүкіләлемдік үздік нұсқа негізінде ұйымның ақпараттық қауіпсіздік басқару жүйесін құруға керекті жүйе.
BS 7799-2:2005 — Британдық стандарт BS 7799 стандарттың 2-ші бөлімі. BS 7799 Part 2 — Ақпараттық қауіпсіздікті басқару — ақпараттық қауіпсіздікті басқару жүйелерінің спецификациясын анықтайды.
BS 7799-3:2006 — Британдық стандарт BS 7799 стандарттың 3-ші бөлімі. Ақпараттық қауіпсіздік тәуекелінің басқару аймағындағы жаңа стандарт.
ISO/IEC 17799:2005 — «Ақпараттық технология— қауіпсіздік техологиясы— ақпараттық қауіпсіздіктің тәжірибелік басқару».
ISO/IEC 27000 — Сөздік және анықтама.
ISO/IEC 27001 — «Ақпараттық технология— қауіпсіздік қамтамасыз ету әдісі—ақпараттық қауіпсіздік басқару жүйесі — талаптар».
ISO/IEC 27002 — Қазіргі таңда: ISO/IEC 17799:2005. «Ақп-тық технология— қауіпсіздік техологиясы — ақпараттық қауіпсіздік басқарудағы тәжірибелік ереже/».