Курстық жұмыс: Экономика | Қорғалатын объектілі жүйелерге бағытталған тәсілдерді қолдану
Мазмұны
I. Кіріспе………………………………………………………………….3
II. Негізгі бөлім
2.1. Ақпараттық қауіпсіздіктің объектілері мен әдістері туралы мәліметтері …………………………………………………………………..5
2.2 Ақпараттық қауіпсіздік жүйесіндігі ақпараттық тәсiлдерге жататындар………………………………………………………………………………..6
2.3 Ақпараттық қауiпсiздiктi қамтамасыз етудiң негiзгi бағыттары………………………………………………………………………………….8
2.4 Қорғалатын объектілі жүйелерге – бағытталған тәсілдерді қолдану……………………………………………………………………………………….9
2.5 Ақпараттық қауіпсіздіктің негізін құраушылар және олардың жағымсыз жағдайлары…………………………………………….12
2.6 Ақпараттық қауіпсіздікке объектілі- бағытталған қатынасының қажеттілігі туралы түсінік……………………………….13
2.7 Объектілі – бағытталған қатынастың негізгі түсініктері…………………………………………………………………………………14
2.8 Объектілік көзқарас тұрғысынан ақпараттық қауіпсіздіктің дәстүрлі тәсілінің кемшіліктері………………………………………………..16
III. Қорытынды бөлім
IV. Қолданылған әдебиеттер тізімі
2.1. Ақпараттық қауіпсіздіктің объектілері мен әдістері туралы мәліметтері.
Қазақстан Республикасының ақпараттық қауiпсiздiк объектiлерiне:
• жеке және заңды тұлғалардың, мемлекеттiң ақпарат алуға, таратуға және пайдалануға, құпия ақпаратты және зияткерлiк меншiктi қорғауға арналған құқықтары;
• сақтау нысандарына байланыссыз, мемлекеттiк құпияларды, коммерциялық құпияны және басқа құпия ақпаратты, сондай-ақ ашық (жалпыға қолжетiмдi) ақпаратты қамтитын мәлiметтерi бар ақпараттық ресурстар;
• әртүрлi класстағы және әртүрлі мақсаттағы ақпараттық жүйелерді, кiтапханаларды, мұрағаттарды, деректер қорлары мен банктерiн, ақпараттық технологияларды, ақпарат жинау, өңдеу, сақтау және беру регламенттерi мен рәсiмдерiн, ғылыми-техникалық және қызмет көрсететiн персоналды қамтитын ақпараттық ресурстарды қалыптастыру, сақтау, тарату және пайдалану жүйесi;
• бұқаралық ақпарат және насихат құралдарына негiзделетiн қоғамдық сананы (дүниетаным, саяси көзқарастар, моралдық құндылықтар және өзгелер) қалыптастыру жүйесі;
• арнайы мақсаттағы телекоммуникация желiлерi, сондай-ақ байланыстың спутниктiк жүйелерi;
• жаңалықтар, патенттелмеген технологиялар, математикалық және технологиялық алгоритмдер, өнеркәсiп үлгілерi, пайдалы моделдер мен эксперименттiк жабдық;
• күрделi зерттеу кешендерiн басқару жүйелерi (ядролық реакторлар, қарапайым бөлшектердi жеделдетушiлер, ғарыш кешендерi және т.б.);
• ақпараттандыру құралдары мен жүйелерi (есептегiш техника құралдары, ақпараттық-есептеу кешендерi, желiлерi мен жүйелерi), бағдарламалық құралдар (операциялық жүйелер, дерекқорларды басқару жүйелерi, басқа да жалпыжүйелiк және қолданбалы бағдарламалық қамтамасыз ету), автоматтандырылған басқару жүйелерi, мемлекеттiк құпияларды қамтитын ақпарат қабылдауды, өңдеудi, сақтауды және берудi жүзеге асыратын мемлекеттiк органдар мен ұйымдардың байланыс және деректер беру жүйелерi;
• саяси шешiмдердi қабылдау жүйелерi жатады.
2.2 Ақпараттық қауіпсіздік жүйесіндігі ақпараттық тәсiлдерге жататындар:
• мекенжайдың және ақпараттық алмасу уақытының бұзылуы, заңға қарсы ақпарат жинау және пайдалану;
• ақпаратқа және ақпараттық ресурстарға рұқсат етiлмеген қолжетiмдiлiк, ақпарат саласындағы деректердi заңсыз жою, түрлендiру және көшiру;
• ақпаратқа рұқсат етiлмеген әсер ету немесе ақпаратпен айла-амалдар жасау (терiс ақпарат, ақпаратты жасыру немесе бұрмалау);
• ақпараттық жүйелердегi деректердi заңсыз көшiру;
• бұқаралық ақпарат құралдарын адам, қоғам және мемлекет мүдделерiне қайшы келетiн ұстанымда пайдалану;
• кiтапханалардан, мұрағаттардан, деректер банктерiнен және қорларынан ақпарат ұрлау;
• ақпарат өңдеу технологиясын бұзу жатады.
Бағдарламалық-математикалық тәсiлдер:
• вирустар бағдарламаларын енгiзудi;
• бағдарламалық және аппараттық салынған қондырғыларды орнатуды;
• ақпарат жүйелерiндегi деректердi жоюды және түрлендiрудi қамтиды.
Физикалық тәсiлдер:
• ақпарат өңдеу және байланыс құралдарын жоюды немесе бұзуды;
• ақпарат тасығыштардың машиналық немесе басқа түпнұсқаларын жоюды, бұзуды немесе ұрлауды;
• бағдарламалық немесе аппарат кiлттерiн және криптографиялық ақпарат қорғау құралдарын ұрлауды;
• персоналға әсер етудi қамтиды.
Радиотехникалық тәсiлдер:
• қорғау объектiсiне жақын орналастырылған не байланыс арналарына немесе ақпарат өңдеудiң техникалық құралдарына қосылған техникалық құралдарды пайдалану арқылы ақпарат қармау;
• техникалық құралдарда және үй-жайларда ақпарат қармаудың электрондық қондырғылары;
• деректер беру және байланыс желiлерiнде жалған ақпаратты қармау, цифрды жай жазуға айналдыру және таңу;
• Парольдық — кiлт жүйелерiне әсер ету;
• байланыс желiлерi мен басқару жүйелерiн радиоэлектрондық тұмшалау болып табылады.
Ұйымдастырушылық-құқықтық тәсiлдер:
• жетiлмеген немесе ескiрген және сәйкестiгiн растаудан өтпеген техникалық құралдар мен ақпараттандыру құралдарын сатып алуды;
• заңнама талаптарын орындамауды және ақпарат саласында қажеттi нормативтiк құқықтық актiлер қабылдауды кешiктiрудi;
• тұтынушыларға сенiмсiз, толық емес, бұрмаланған ақпаратты қасақана немесе жауапсыз берудi;
• жеке және заңды тұлғалар үшiн маңызды ақпаратты қамтитын құжаттарға қолжетiмдiлiктi заңсыз шектеудi қамтиды.
Ақпараттық қауiпсiздiктi қамтамасыз ету әдiстерi мен құралдары мемлекет қызметiнiң түрлi салалары үшiн ортақ болып табылады және былайша топтастырылады:
1) құқықтық: қоғамдағы ақпараттық қатынастарды регламенттейтiн нормативтiк құқықтық актiлер кешенiн, ақпараттық қауiпсiздiктi қамтамасыз ету жөнiнде басшылыққа алынатын және нормативтiк-әдiстемелiк құжаттар әзiрлеу;
2) бағдарламалық-техникалық:
• рұқсат етiлмеген қол жеткiзудi немесе оған әсер етудi болдырмау жолымен жанама электромагнит сәулелерi мен нысаналар есебiнен өңделетiн ақпараттың сыртқа шығып кетуiн болдырмау;
• ақпараттың бұзылуын, жойылуын, бұрмалануын немесе ақпараттандыру құралдары жұмысында iркiлiстер тудыратын арнайы әсер етудің алдын алу;
• енгiзiлген бағдарламалық немесе аппараттық салынған қондырғыларды анықтау;
• ақпарат өңдеудiң техникалық құралдарын техникалық барлау құралдарынан арнайы қорғау;
• ақпарат қорғаудың криптографиялық әдiстерi мен құралдарын қолдану;
3) ұйымдастырушылық-экономикалық:
• құпия және жасырын ақпаратты қорғау жүйелерiнiң жұмыс iстеуiн қалыптастыру және қамтамасыз ету;
• ақпараттық қауiпсiздiк саласындағы қызметтi лицензиялау;
• ақпараттық қауiпсiздiк саласында техникалық реттеу;
• қорғалған ақпарат жүйелерiнде персоналдың iс-әрекеттерiн бақылау және дәлелдеу (экономикалық ынталандыру, психологиялық қолдау және басқа);
• ақпараттық жүйелердi және ақпарат ресурстарын қорғауды және оған қол жеткiзу режимiн қамтамасыз ету;
• халықтың қоғамдық пiкiрiн, қатер көздерiн, олардың пайда болуына әсер ететiн шарттар мен факторларды зерделеу жөнiнде әлеуметтiк зерттеулер (мониторинг) жүргiзу.
Сонымен қатар, мемлекеттiң, жеке және заңды тұлғалардың қызметтерi саласының әрқайсында ақпараттық қауiпсiздiктi қамтамасыз етудiң өз ерекшелiктерi бар, бұл ең алдымен, қойылған мiндеттердi шешу ерекшелiгiне, ақпараттық қауiпсiздiктiң әрбiр саласына тән әлсiз элементтер мен осал буындардың болуына байланысты.
Сондықтан, әрбiр сала үшiн арнайы жұмыстарды ұйымдастыру, оның жай-күйiне әсер ететiн ерекше факторларды ескере отырып, ақпараттық қауiпсiздiк.тi қамтамасыз ету нысандары мен тәсiлдерiн пайдалану талап етiледi
2.3 Ақпараттық қауiпсiздiктi қамтамасыз етудiң негiзгi бағыттары:
• нормативтiк құқықтық базаны жетiлдiру, әдiстемелiк және техникалық құжаттар әзiрлеу;
• ақпарат қорғау саласында бiрыңғай техникалық саясат әзiрлеу және жетiлдiру;
• мемлекеттiк құпияларды қорғауды қамтамасыз ету;
• техникалық барлауларға қарсы iс-әрекет ету;
• ақпараттық қарудың әсерiнен қорғау;
• ақпараттық ресурстарды, ақпараттық-телекоммуникациялық жүйелердi және ақпараттық инфрақұрылымды ұйымдастырушылық-техникалық қорғау;
• ақпараттық жүйелер мен ақпараттандыру объектiлерiнiң ақпарат және ақпарат қорғау саласындағы стандарттар мен нормативтiк құқықтық актiлердiң талаптарына сәйкестiгi;
• техникалық құралдардың ақпараттық қауiпсiздiк талаптарына сәйкестiгiн растау;
• ақпараттық қауiпсiздiк қатерлерiнiң көздерiн анықтау, бағалау және болжамдау, техникалық барлау құралдарына қарсы iс-әрекет етудiң барабар шараларын жедел қабылдау;
• ақпарат қорғау және ақпараттық қауiпсiздiктi қамтамасыз ету бағыттары бойынша ғылыми-техникалық қамтамасыз ету және ғылыми-зерттеу қызметi;
• ақпараттық технологиялар мен ақпарат қорғау саласында кадрлар даярлау;
• халықаралық ынтымақтастық.
2.4 Қорғалатын объектілі жүйелерге – бағытталған тәсілдерді қолдану
Объектілі бағытталған тәсілдерді ақпараттық қауіпсіздікте қолданып көрейік.
Ақпараттық қауіпсіздікті қамтамасыз ететін мәселе – комплексті, күрделі жүйелерді қорғаушы және қорғау құралдары да күрделі, сондықтан бізге негізілген түсініктер қажет болады. Алдымен шекара түсігінен бастайық.
Іс — жүзінде үш шекара негізілген болатын бұлар — қолжетімділік, бүтінділік және конфиденциалдылық . Бұлард ы тәуелсіз қатынас ретінде қарастыруымызға болады, және олардың барлығы қорғалған болып есептелінсе, онда Ақпараттық қшауіпсіздік түгел сақтандырылған (онда субъек ретіндегі ақпараттық қатынасқа тимімсіз залал келтірілмейді).
Осы тұрғыда біз өзіміздің мақсатымызды құрылымдай аламыз. Енді оның құралдар жетістігін құрылымдай аламыз. Оған келесі шекараларды енгіземіз:
• Ақпараттық қауіпсіздікті қамтамасыз етудің заңды шекаралары.
• Әкімшілік шаралары (бұйрық және басқа әкімшілік қолдаулар, ақпараттық жүйені сақтандырушымен байланысты).
• Процедуралық шара (адамға бағытталған қауіпсіздік шаралары).
• Программалық – техникалық шаралар.
Ары қарай біз белгіленген шекаралар ткрвалы анығырақ түсінуге болады. Осы жерде айта кететін болсақ, мақсатымыздағыдай деталдану деңгейін түрлендіру қорытындысы ретінде қарастыруымызға болады. (осы себепті біз «заң шығарушы деңгей», «процедуралық деңгей» сөз тіркесін қолданамыз).
Заң және нормативті актілер ақпараттық қатынастың субъектілерне тәуелсіз болуы бағдарланған. Олар тәуелсіз мекемелік керек — жарақтарына (бұлар заңды тұлғаларда болуы мүмкін; әкімшілік шаралар мекемелік шектеулердің барлық субъектілерінде болады; процедуралық — жеке адамдар тұрғысында немесе үлкен емес категориялар субъектісінде). Программалық техникалық – программамен қамтамасыз етуде және жабдықтмаларында.
Осындай айтылымда бір деңгейден екінші деңгейге өтуді ұрпақталуды қолдану арқылы қарастыра аламыз(әрбір деңгей өзгертілмейді ал бір – бірін толықтырып отырады), сонымен қатар полиморфизм (субъектілер бірден бірнеше мағынада бола алады. мысалы, мекемелік шарадағы бастамашы және қарапайым қолданушылар ретінде осы шараларға бағынушылар).
Анығырақ, барлық айқындалған, тәуелсіз щекараларды болдырушы инкапсуляция принцпі. Осымен, қатар, осы екі біріктірушілік шекараны ортагональді деп айтуымызға болады. Осыған орай фиксилденген шекара бір біріктірілушекарасында (мысалы, қолжетімді) басқа да біріктірулерден мүмкін болатын барлық мағыналардан аулақ болу керек (заң шығарушы, мекемелік, процедуралық және программалық – техникалық шараларды қарастыруі керек) ортогональді біріктірілудің көп болуы қажет емес, екі біріктірулер кезінде элеметтер саны ойластырылады, соған қатысты үш және төрт жеткілікті, олар 12 комбинациясын берсе болғаны.
Детальдану деңгейдің түрленуін АҚ сақтандыру кезінде қалай қарастырылатынын қарастырып өтейік.
Қандай да бір мекемеде ақпараттық жүйе айналасында шоғырланған ақпараттық қатынастардың субъектілері қарастырылсын. Екі түрлі аймақта орналасқан өнеркәсіп аумағының әр қайсысында сервер бар делік, олар өздеріне қызмет ететін және сыртқы қолданушылар, сонымен қатар ішкі және сыртқы сервисті қажет етушілер болуы мүмкін. Осы бір аумақ ішкі интернетке қосылымда бола алады.
Нөлдік детальдану деңгейде біз мекеменің ақпараттық жүйесі бар екенін көре аламыз. (1. суретті қараңыз)
1.сурет. 0 детальдану деңгейінде АЖ қарастылымы
Аталған көзқарас мүмкін жағдайда болмауы мүмкін, бірақ ол олай емес. Бұл жерде заңға жүгінуге тура келеді, ақпараттық жүйелерді орналастыру мекемелерге қолдану керек. Мүмкін, қандай да бір ақпаратты сақтау және компьютерде өңдеуге болмайды, егер АҚ белгілі бір сұраныста аттестатталмаса. әкімшілік деңгейде оның мақсаттары жария болуы мүмкін: АЖ кім үшін құрылғаны, жалпы сатылым ережесі, жаңа компьютердің енгізілуі, қанаушылық (эксплуатация) және т.б.
Программалық – техникалық деңгейде аппаратты – программалық платформа және т.б. анықтамасы қолданылуы мүмкін.
Ақпараттық жүйенің декомпозициясына қандай критерийлер енгізіледі, өз қалаулары бойынша жүзеге асады. Бірінші детальдану деңгейін көрініске келтіретін ол — сервис және қолданушылар, анығырақ клиенттің және сервистік бөлімдерге бөлінуі. 2- суретте келтірілген.
2. сурет. АЖ детальдану деңгейінде қарастыру.
Осы деңгейде сервиске қажеттілікті қалыптастыру үшін ( олардың өздерінің падаланушы қолжетімділігі, бүтінділігі және конфиденциалдылығы ақпараттық қызметті қарастырады).
Мазмұндау тәсілі мыналардың орындалуын талап етеді:
Қолданушылардың тәртібінің жалпы ережелерін анықтау, қажетті деңгейдің шамалық дайындығы; бақылау әдісінің тәртібі кеңейтілу тәртібі және жазалануы және т.б. олардың талап етілуі қалыптастырылуы мүмкін және серверлік және клиенттік платформаның қатынасының қалауы болуы мүмкін.
Екінші деңгейде детальдануды біз келесі түрдегідей көре аламыз (3-суреттен көре аламыз)
3- сурет АЖ-ның екі детальдану деңгейінде қарастырылуы.
Бұл деңгейде бізді әлі ақпараттық жүйенің ішкі структурасы қызықтырмайды, ол интернет деталі ретінде қарастырылады. Байланыс арасындағы жүйелер константаланады, қолданушылары бар болса, сонымен қатар қарастыратын және ішкі сервистер болса. Бұл қандай сервис екендігі әзірше маңызды емес.
Екі детальдану деңгейінде бөлу арқылы біз заңды ескеруіміз қажет, мкемелерге қолданатын АЖ ішкі жүйелерге қосылған кезде іске асады. сөз осындай қосылымдарға жіберу туралы болады, оның қорғалымы, қолданушының жауапкершілігі, олардың ішкі сервисіне қарасты және қарапайым мекемелерді ашатын өз сервистері және ішкі қолжетімдері болады. Аналогты бағыттаушы ішкі қосылымдарды есепке ала отырып, олар әкімшілік түрде орындалуы тиіс. Олар процедуралық және программалық – техникалық деңгейде болады.
Назар аударатын болсақ, контейнер (ашып айтсақ компанентті объектілі ортада) «АЖ мекемесі» бақылаушы зона шекарасын береді. Белгілі бір саясатты жүргізу мекемелік шамада болады. Интернет басқа ережемен өмір сүреді, мекемелер оны мәлімет ретінде қолданады.
Детальдану деңгейін кеңейту арқылы екі ендірілген өндірістік аумақты және олар арасындағы байланыс каналы сервистердің таратылымы және ішкі комуникация қауіпсіздігін қамтамасыз ететін құралдар және тұтынушы аумағы, жеке сервистер спецификациясы, әртүрлі категориядағы қолданушылар және т.б. болып табылады. Біз осыған тоқталамыз.
2.5 Ақпараттық қауіпсіздіктің негізін құраушылар және олардың жағымсыз жағдайлары.
Ақпараттық қауіпсіздік — көпжақтық, көп салалы облыстағы жетістіктер жүйелі жетістікке комплексті қатынас жасай алады деуімізге болады.
Субъектіге қызығушылық спектрі ақпараттық жүйені қолданушымен қатысты, оны мынадай категорияларға жіктей аламыз: қолжетімді қамтамасыздандыру; бүтінділікті және конфиденциалды ақпараттық ресурстар және инфрақұрылымдарды қолдаушылар.
Кейде ақпараттың санкциондалмаған көшірмесін ақпараттық қауіпсіздікті құраушылардың басты қорғануына қосылады, біздің көзқарас бойынша бұл өте ерекше аспект, сондықтан біз оны ерекшелей аламыз.
Қолжетімді сөзін анықтайтын болсақ, ол — бүтінділік және кофидециалдық.
Қолжетімділік бұл — шектеулі уақыт ішінде керекті ақпараттық қызметті алу мүмкіндігін айтамыз. Бүтінділік астарында санкциондалған өзгерістер және оны бұзылудан қорғайтын қайшы емес ақпараттар және актуалдылығы анықталады.
Конфидициалдылық бұл — ақпаратқа қолжетімді санкциондалмаған қауіпсіздікті айтамыз.
Шектеулі ақпараттық қызмет алу үшін ақпараттық жүйе құрылады. Ақпараттық қатынас барлық субъектілерге залал келтіреді, бұл белгілі, бұл қызметті белгілі бір себептермен тұтынушыларға беру мүмкін емес. Ақпараттық қауіпсіздіктің басты элементі ретінде бөліп қарастыратын болсақ, сондықтан қолжетімділікті басқа аспектілерге қарсы қоймаймыз. Басқару жүйесі әртүрлі ортада қолжетімді ретінде басты рөл атқарады, мысалы: өндірісте, транспортта, және т.б.
Өте жағымсыз жағдайлар — материалды да, моральдық та – көптеген адамдар қолданатын ақпараттық қызметтердің созылмалы қол жетімсіздігіне …..