- •Қазақстан Республикасының ұлттық ақпараттық инфрақұрылымын қорғау жүйесінің қызметіне жалпы талап
- •2.1. «Электрондық үкімет» құрамдас бөлігінің ақпараттық қауіпсіздік саясаты
- •Персоналдың қауіпсіздігі
- •Әкімшілендіру
- •2.4. Жалпы қол жеткізуімен ақпаратты қорғау
- •2.5.Ақпараттық қауіпсіздік қақтығыстарын басқару
- •3.Қауіпсіздіктің ұлттық саясаттағы негізгі бағыттары
- •3.1. Саяси-құқықтық салада:
Ақпараттық қауіпсіздік саясаты
Қауіпсіздік саясаты - мекеменің ақпаратты қалайша өңдейтінін, қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі бір деректер жинағымен жұмыс істей алатынын көрсетеді. Қауіпсіздік саясатын құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға қарсы әрекет шаралары кіретін қорғаныштың белсенді сыңары деп санауға болады.
Қауіпсіздік саясатының құрамына ең кемінде мына элементтер кіруі керек: қатынас құруды ерікті басқару, объектілерді қайтадан пайдаланудың қауіпсіздігі, қауіпсіздік тамғасы және қатынас құруды мәжбүрлі басқару.
Кепілдік - жүйенің сәулетіне және жүзеге асырылуына көрсетілетін сенім өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің дұрыстығын көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын қадағалауға арналған, белсенсіз сынары деп сипаттауға болады. Кепілдіктің екі түрі болады: операциялық және технологиялық. Біріншісі жүйенің сәулеті және жүзеге асырылу жағына, ал екіншісі - құрастыру және сүйемелдеу әдістеріне қатысты.
Есепберушілік (немесе хаттамалау тетігі) қауіпсіздікті қамтамасыз етудің маңызды құралы болып табылады. Сенімді жүйе қауіпсіздікке байланысты барлық оқиғаларды тіркеп отыруы керек, ал хаттаманы жазу-жүргізу тексерумен (аудитпен - тіркелу ақпаратына талдау жасаумен) толықтырылады.
Сенімді есептеу базасы (СЕБ) - компьютерлік жүйенің қауіпсіздік саясаты жүзеге асыруға жауапты қорғаныш тектерінің жиынтығы. Компьтерлік жүйенің сенімділігіне баға беру үшін тек оның есептеу базасын қарастырып шықса жеткілікті болады. СЕБ негізгі міндеті - қатынасым мониторының міндетін орындау, яғни, объектілермен белгілі бір операциялар орындау болатындығын бақылау.
Қатынасым мониторы - пайдалынушының программаларға немесе деректерге әрбір қатынасының мүмкін болатын іс - әрекеттер тізімімен келісімдігі екендігін тексеретін монитор. Қатынасым мониторынан үш қасиеттің орындалуы талап етіледі:
- оңашаландық. Монитор өзінің жұмысы кезінде аңдудан қорғалуға тиісті;
- толықтық. Монитор әрбір қатынасу кезінде шақырылады. Бұл кезде оны орай өтуге мүмкіндік болмау керек;
- иландырылатындық. Мониторды талдауға және тестілеуге мүмкін болу үшін ол жинақы болуы керек.
Қазақстан Республикасының ұлттық ақпараттық инфрақұрылымын қорғау жүйесінің қызметіне жалпы талап
2.1. «Электрондық үкімет» құрамдас бөлігінің ақпараттық қауіпсіздік саясаты
Ақпараттық қауіпсіздік саясаты стратегияны хабарлайды және құрамдас бөлігінің ақпаратық қауіпсіздігін басқаруға қатынасын сипаттайды. Ол ұстауы тиіс:
ақпараттық қауіпсіздікті, оның негізгі мақсаттарын, ақпаратты бірлесіп пайдаланудың кепілдік механизмі ретінде қауіпсіздіктің маңыздылығын анықтайды;
шешілген міндеттерге сәйкес ақпараттық қауіпсіздіктің мақсаттары мен ұстанымдарын қолдау жөніндегі шаралар;
мақсаттарға және басқару құралдарына, оның ішінде тәуекелдерді бағалау, сондай-ақ тәуекелдерді басқару құрылымдарына жетістікке жету жөніндегі іс-шаралар;
нормативтік, құқықтық, шарттық актілердің талаптарына сәйкес ұстанымдарды, стандарттарды түсіндіру;
ақпараттық қауіпсіздікті басқару, оның ішінде ақпараттық қауіпсіздіктің қақтығысы туралы хабарлау жөніндегі жалпы және арнаулы міндеттерді анықтау;
қауіпсіздік саясатын қолдай алатын құжаттамаларға сілтеме (пайдаланушылардың сақтауы тиіс қауіпсіздіктің рәсімдерін немесе қауіпсіздік ережесін егжей-тегжейлі баяндау).
Персоналдың қауіпсіздігі
Персоналдың рөлі мен міндеті
Ақпараттық қауіпсіздік саясатына сәйкес, қызметкерлердің, келісім шарт жасайтын агенттің және үшінші тарап пайдаланушыларының рөлдері мен міндеттері құжаттандырылуы тиіс.
Қауіпсіздік жөніндегі рөлі мен міндетін талап етуге қосуы тиіс, қатысты:
ақпараттық қауіпсіздік саясатына сәйкес іс-қимылдар;
оларды пайдалану үшін рұқсатсыз қол жеткізуден, ашудан, өзгертуден, жоюдан немесе кедергіні құрудан ресурстарды қорғау;
ақпараттық қауіпсіздікке байланысты анықталған үдерістерді және іс-шараларды орындау;
жұмыстарды орындаған кезде бөлек тұлғаларға тапсырылған міндеттерді кепілді орындау;
қауіпсіздіктің оқиғалары немесе басқадай қауіпсіздіктің тәуекелдері туралы хабарлама.
Құзыреттілік, оқыту және тренингтер. Құзыреттіліктің ең аз деңгейін анықтау қажет, онда бар пайдаланушы есебінде ақпараттық жүйелермен жұмыс жасауға қол жеткізуді жорамалдайды.
Ақпараттық жүйелерге қызмет көрсетумен айналысатын қызметкерлердің құзыреттілігіне, біліктілігіне, білімі мен тәжірибесіне талап етуді анықтау. Қызметтік міндетті орындау үшін ақпараттық жүйелермен және өз білімін үнемі жаңғыртуға жұмыс жасау үшін барлық қызметкерлердің сәйкес білім деңгейі болуы тиіс.
Қауіпсіздік талаптарына, заңдылық міндеттерге және өндірістік қызметті басқару құралдарына оқытуды жалғастырумен, қауіпсіздік саясаты жүйесімен танысу үдерісінен бастап құзыреттілік деңгейіне жету мақсатында қажеттілік болған кезде оқыту кезеңін әкелу.
Әкімшілендіру
Жұмыс рәсімдері мен міндеттер. Құралдармен ақпараттардың өңдеуін басқару бойынша және олармен жұмыс жасау жөніндегі міндеттерді анықтау, сәйкес жұмыс рәсімдерін әзірлеу.
Жұмыс рәсімдерін құжаттандыру
Жұмыс рәсімдері құжаттандырылуы тиіс, олардың қызмет көрсетілуін және оларға қол жеткізу мен барлық пайдаланушыларын беруді мезгілінде жүргізу. Құжаттандырылған рәсімдер, байланыс құралдарымен және ақпараттарды өңдеу құралдармен жұмыс жасаған кезде жүйелермен орындалатын операцияларға дайын болуы тиіс. Жұмыс рәсімдерінде әрбір міндеттерді орындау бойынша нақты нұсқамалар келтірілуі тиіс:
ақпаратты өңдеу және онымен айналысу;
ақпаратты резервтік көшіру, мерзілімділігі;
жоспарлауға, оның ішінде басқадай жүйелермен өзара байланыс, жұмыстың ең ерте басталуы мен ең кеш аяқталуының уақытына талап;
қателерді өңдеу немесе басқадай ерекше жай-күй жөніндегі нұсқама, ол міндеттерді орындау, оның ішінде жүйелік қосалқы бағдарлама пайдалануға шектеу барысында пайда болуы мүмкін;
күтпеген операциялық немесе техникалық қиыншылықтар пайда болған жағдайда байланыстарды қолдау;
арнайы ақпаратты шығару және ақпаратты алып жүрушіге қатынасу жөніндегі нұсқама, мысалға, сәтсіз аяқталған міндеттер үшін қортынды нәтижелерін қауіпсіз жою жөніндегі рәмідерді қоса алғанда, баспа құрылғылары немесе жабық қортындыны басқару жөніндегі үшін арнаулы қағазды пайдалану бойынша;
жүйенің істен шығуынан кейін падаланылатын қайта жіберу және жүйені қалпына келтіру;
аудиттің есеп беруін және жүйе туралы ақпараттар жөніндегі есеп беруді басқару.
Жүйелердің операцияларын құжаттандыратын жұмыс рәсімдері нысандық құжаттар есебінде айтылуы тиіс және оларда өзгерістер енгізілуі тиіс емес. Онда ол техникалық орындалатын ақпараттық жүйелер, бірдей рәсімдерді, аспаптық құралдар мен пайдакүнімделікті пайдаланумен біркелкі басқарылуы тиіс.