Ақпараттық қауіпсіздік

Қатынас құрудың ағымдағы жағдайы ерікті басқару кезінде матрица түрінде көрсетілді. Қатарларында – субъектілер, бағандарында – объектілер, ал матрицаның түйіндерінде қатынас құру құқығының құру (оқу, жазу, орындау және т.б.) кодасы көрсетіледі.

Операциялық жүйелердің және дерекқор жүйелерінің көпшілігі осы ерікті басқаруды жүзеге асырады. Оның негізгі жағымдағы – икемділігі, ал негізгі кемшіліктері – басқарудың бытыраңқылығы және орталықтандырылған тексерудің күрделігі, сондай-ақ, қатынас құру құқығының деректерден бөлек қарастырылуы (қаскүнемдер осыны пайдалана отырып құпия ақпараттарды жалпы қол жеткізерлік файлдарға көшіріп алуы мүмкін).

Объектілерді қайтадан пайдаланудың қауіпсіздігі. Бұл элемент құпия ақпаратты “қоқтықтан” кездейсоқ немесе әдейі шығарып алудан сақтайтын қатынас құруды басқаратын құралдардың маңызды қосымшасы болып табылады.Объектілерді қайтадан пайдаланудың мүмкін болатын 3 қаупі мыналар: жедел жадыны қолдану. сыртқы сақтау құрылғыларын қайтадан пайдалану және ақпарат енгізу/шығару құрылғыларын қайтадан пайдалану.

Қорғаныш тәсілдерінің бірі – құпия ақпаратпен жұмыс  істегеннен кейін жедел жадыны немесе аралық жадыны тазалау. Жақсы әдіс деп  тегерішті (дискіні) нығыздау программаларын қолдануды да санауға болады.

Мәселен, принтердің аралық жадында (арашықта) құжаттың бірнеше беті сақталып қалуы мүмкін. Олар басу үрдісі аяқталған соң да жадыда қалып қояды. Сондықтан оларды арашықтан шығарып тастау үшін арнаулы шаралар қолдану қажет. Әдетте кездейсоқ биттер тізбегін үш дүркін қайталап жазу жеткілікті болады.

“Субъектілерді қайтадан пайдаланудың қауіпсіздігі” жайында да  қамдану керек. Пайдаланушы ұйымнан кеткен кезде оны жүйеге кіру мүмкіншіліктерінен айыру және барлық объектілерге оның қатынас құруына тиым салу керек.

Қауіпсіздік тамғасы. Қатынас  құрудың мәжбүрлі басқаруы кезінде субъектілер және объектілер қауіпсіздік тамғасы арқылы байланысады. Субъектінің тамғасы оның шүбәсіздігін сипаттайды. Объектінің тамғасы оның ішіндегі сақталатын ақпараттың жабықтық деңгейін көрсетеді.

Қауіпсіздік таңбасы  екі бөліктен тұрады: құпиялық деңгейі (дәрежесі) және категориялар (санаттар).

Құпиялылық деңгейі  реттелген жиынтық құрайды және әр түрлі жүйелерде құпиялық деңгейлер  жиынтығы әр түрлі болуы мүмкін. Қазақстан Республикасының заңнамасында мемлекеттік құпия құрайтын мәліметтердің үш құпиялылық дәрежесі тағайындалған және осы дәрежелерге сәйкес аталған мәліметтердің тасуыштарына мынадай құпиялық белгілері берілген: “ аса маңызды”, “өте құпия” және “құпия”, ал қызметтік құпия құрайтын мәліметтерге “құпия” деген құпиялық белгісі беріледі.

Санаттар реттелмеген  жиынтық құрайды. Олардың міндеті  – деректер жататын аймақтың тақырыбын  сипаттау.

Қауіпсіздік таңбалардың  тұтастығын қамтамасыз ету оларға байланысты негізгі проблемалардың біреуі болып  табылады. Біріншіден, тамғаланбаған  субъектілер мен объектілер болмау керек. Әйтпесе тамғалық қауіпсіздікте саңылаулар пайда болады және қаскүнем осы жағдайды пайдаланып қорғанылатын ақпаратқа заңсыз қол жеткізуі мүмкін. Екіншіден, қорғанылатын деректермен қандай да болмасын операция орындалмасын, қаупсіздік тамғалары өзгермей қалуы керек.

Қауіпсіздік тамғаларының тұтастығын қамтамасыз етуші құралдардың  біреуі – құрылғыларды көпдеңгейлік және бір деңгейлік деп бөлу. Көпдеңгейлік құрылғыларда әр түрлі құпиялық деңгейлі ақпарат, ал бірдеңгейлік құрылғыларда тек бір құпиялық деңгейі бар ақпарат сақталады.

Қатынас құруды мәжбүрлі басқару. Қатынас құруды мәжбүрлі басқару деп атаудың себебі – қатынас құру мүмкіндігі субъектінің ерігіне тәуелді емес. Мұндай басқару субъектінің және объектінің қауіпсіздік тамғаларын салыстыру негізінде жүргізіледі.

Егер субъектінің құпиялық деңгейі объектінің құпиялық деңгейінен кем болмаса, ал объектінің қауіпсіздік  тамғасында көрсетілген барлық санаттар субъектінің тамғасында болса, (яғни, осындай екі шарт орындалған болса), онда субъект объектіден кез келген ақпаратты оқи алады. Мысалы, “өте құпия” субъект “өте құпия” және “құпия” файлдарды оқи алады.  Бұл жағдайда “субъектінің қауіпсіздік тамғасы объектінің қауіпсіздік тамғасынан басым” деп айтады.

 

Дәріс №2

2 Автоматтандырылған жүйелерідегі (АӨАЖ) қорғау әдістері

2 1 Қорғау құралдары мен әдістері

2.2 Жеке қорғау құралдары

Қорғау дегеніміз-жалпы  түсінік. Қорғау-жүйенің объектілерін қоршаған ортадан қорғайтын механизмдерді  сипаттау. Қорғау тетіктеріне тән  белгілер:

• Бір пайдаланушының екінші пайдаланушыға кедергі келтіруіне жол бермеу;
• Пайдаланушының бағдарламасымен деректеріне қорғаныс құралдарын ұсыну.

Қорғау тетіктері (механизмы) төмендегідей бірқатар мәселелерді  шешеді:

1. Заң шығару нормаларымен анықталатын, дербес қол жеткізуді реттеуші жеке  

      ақпарат  құпиясын қорғау.

2. Ақпаратқа қол жеткізу ережесін анықтайтын ақпарат құпиялылығын сақтау.
3. Құпиялылықтың сақталуын қамтамасыз ететін әдістер мен құралдардың

      ақпарат  қауіпсіздігіне жол ашуы.

Алғашқы сатыда ақпараттың қорғалуы бағдарламалық әдіспен шешіледі. Тәжірибе көрсеткендей ақпараттың қорғалуына бағдарламалық құралдар кепіл бола алмайды. Сондықтан бағдарламалық құралдар ақпаратқа қол жеткізуді, сақтау ережесін анықтайтын ұйымдастыру шараларымен толықтырылды.

Келесі саты-мәліметтерді қорғау бойынша жүйе және техникалық құралдар құру болып табылады. Қорғаудың  кешенді әдісі жоғары нәтиже береді. Ақпаратты қорғаудың барлық әдістері мен құралдарының жиынтығын төмендегідей түрде топтастыруға болады:                    (1- сурет)

 

 

Қорғау құралдарының классификациясы

                 формальды

                                          

 

 

 

 

                       техникалық

 

 

 

 

 

 

                      формальды емес

 

1-сурет- Қорғау құралдарының  классификациясы

 

Мәліметтерді тасымалдауға, бөлмедегі, аумақтағы қорғалған  мәліметтерге қол жеткізудің физикалық  кедергісі-бұл тосқауыл. Жүйе ресурстарын (техникалық, бағдарламалық) реттеу әдісімен қорғау арқылы пайдалану қол жеткізуді басқару болып табылады. МБ элементтеріне, тасымалдаушыға бағдарламалық құралдарды пайдаланудың техникалық тұлғасына, пайдаланушыларға арналған жұмыс кестесі белгіленеді.

Бұл үшін пайдаланушылардың  жұмыс уақыты және қол жеткізу тәртібі мен ресурстар жүйесі тізімінің техникалық персоналға арналған түрін регламенттейді. Берілген, ұсынылған ресурстар тізбесімен пайдаланушылар тізімі жасалынады.

Пайдаланушы тізімінде  МБ элементіне арналған қол жеткізуге  болатын рәсімдер тізімі белгіленеді. Мәліметтерді тасымалдауға арналған тұлғалар үшін қол жеткізу құқығы бар тұлғалар және оны тұрақты сақтау орны анықталады.

Қол жеткізуді басқару  қорғаудың мынадай қызметінен тұрады:

• ресурсты, дербес пайдаланушыны сәйкестендіру бесаспап идентификатор тағайындау және оны таңдау арқылы жүреді;
• өкілеттігі, яғни қабілеттігін тексеру іске қосқан уақытынан бастап ресурстарды сұрағанмен аяқталады;
• белгіленген регламент негізінде ақпаратқа қол жеткізуге рұқсат беру және жағдай жасау;
• сақталған ренсурстардың айналымын тіркеу;
• бекітілмеген жұмыстар түріне әрекет жасаудың нәтижесі.

Кодалау-бұл мәліметтерді криптографиялық түрлендіру әдісімен қорғаудың бір түрі. Қорғау әдісі  пайдаланушы үшін тиімді болып саналса, онда ақпараттарды өңдеу және сақтау барысында, әрі мәліметті байланыс желісімен тарату кезінде пайдаланылып,  ақпаратты қорғаудағы тиімді әдіс болып есептеледі.

Регламенттеу-мәліметтерді өңдеу және сақтаудың, бекітілмеген мәліметке қол жеткізудің мүмкіндігі болатындай жағдай туғызатын шаралар жиынтығын тарату және өңдеу болып табылады.

Мәжбүрлеу-бұл дербес және пайдаланушының мәліметтерді қылмыстық, әкімшілік, материалдық жауапкершілік  қауіптен сақтаудың, өңдеудің ережесі, яғни пайдаланушыларды әкімшілік, құқықтық, материалдық жауапкершілік қаупінен ақпаратты қорғауға, сақтауға мәжбүрлеу.

Ұйымдастыру құралы дегеніміз  – деректердегі ақпаратты өңдеу  жүйесін пайдалану және оның қызметі  барысында (жобалау, монтаждау және құралдарды жапсыру, сынау, тексеру, пайдалану) жүзеге асатын ұйымдастыру-құқықтық және ұйымдастыру-техникалық шаралары.

Заң шығарушы құралдарға қол жеткізуді шектеуші мәліметтерді өңдеу, пайдалану ережелері және ережені бұзған жағдайдағы жауапкершілік  шаралары қарастырылатын еліміздің  құқықтық актілері жатады.

Моральдық (адамгершілік)-этикалық құралдарға даму кезеңінде қалыптасқан және қоғамдағы ақпарат технологиясы таратқан дәстүрлік норма жатады. Бұл нормаларды сақтау міндетті емес, бірақ оны сақтамау телуге әкеліп соғады. Ұйғарымдама, ережелер жинағы түрінде болады. Мысалы, АҚШ, ЭЕМ пайдаланушылар Ассоциациясы мүшелерінің кәсіптік тәртіп кодексі.

Барлық қорғау құралдары  формальды және формальды емес болып  бөлінеді. Қорғаудың формальды формаларына  адамның қатысуынсыз алдын-ала  жұмыста қарастырылған қорғау қызметін атқаратын құралдар жатады. Формальды емес қорғау құралдарына адамдардың мақсаткерлік қызметтері немесе сондай қызметті регламенттеу жатады.

Қорғау тұжырымдамасының дамуын мынадай кезеңдерге бөледі:

1. Бағдарламалық құралдар дамуының артықшылығы.
2. Қорғаныс құралдарының барлық кластарының қарқынды дамуы.
3. Қорғау құралдарының 3 даму тенденциясы:

а) қорғаудың негізгі  қызметін аппараттық тарату;

ә) қорғаудың бірнеше  қызметін атқаратын қорғаныс құралдарының жиынтығын құру;

б) қорғаныс құралдарын бірыңғайлау  және стандарттау.

Қорғаудың техникалық құралдарын қолдану өзіндік, яғни өз бетімен  атқарылған шаралар сипатында болады. Көптеген бағдарламалық құралдар (ОЖ, МББЖ) қамтамасыздандарудың жалпы жүйелік  компонеттері (құраушылары) құрамына кіреді. Ұйымдастыру компонеттерінің жиынтығы деректердегі ақпаратты өңдеу жүйесіндегі  ақпараттарды қорғаудың жалпы ұйымдастыру жұмысынан тұрады.

2.2 Жеке қорғау құралдары

Ақпаратты қорғау мәселесі заң шығарушы орындардан бастап нақты  техникалық құрылғыға дейін кең  ауқымды қамтиды. Бағдарламаны өңдеушілер ақпараттың жоғары деңгейде қорғалуын қамтамасыз ететін қорғаудың техникалық құралдары қажеттігін ұсынады. Бағдарламалық құралдарды пайдаланушыларға қорғау құралдары пайдалану тарихында қосымша қиындық туғызады. Бірден-бір қорғау құралы болып табылатын – авторлық құқықты мойындау – яғни бағдарламалық құралдарды сату экономикалық жағынан тиімсіз. Бұдан басқа сақтайтын ақпараттардың ашылу деңгейін көтеру және оны өңдеу әдісін (ноу-хау) жоғарылату тағы бар.

Сауда-саттық қатынасында  қорғалатын ақпараттың көшірмесін алуға қол сұғуды азайту, пайдаланушымен сәйкестендіру, көшірме жасауға тиым салу, қорғау құралдарына қызмет көрсететін ЕЖ ресурстарынның бөлігін пайдалану шектеулі.

Қорғау құралдары пайдаланушыға  ол көшірмесін жасағанша, орындағанға дейін белгісіз болуы керек.

Мұндай әрекет ету  әдісін АҚШ-тағы өңдеу жүйесіне қызмет көрсетудің Ассоциациясы бойынша қорғау комитеті қабылдады, бұл комитет  “үнді перне” атағын алған қорғау аппаратурасының стандартын ұсынды.

Қорғау әдістері деректер мен ЭЕМ-ді қорғаудың әдістері және бағдарламалық жабдықтарды (БЖ) қорғау әдістері болып бөлінеді.

Электронды есептеу  машинасын (ЭЕМ) қорғау – аппаратураға физикалық қол жеткізуді шектеуге және парольдер пайдалануға негізделген. ЭЕМ-ді шағын бөлмеге орналастырып оның сақталу, қорғалуына мүмкіндік береді. Жекелей сатылатын бағдарламалық қамтамасыздандыруды поштамен салып, қорғау құралдарын меңгеретіндігін ұзақ мерзімде сынауға болады.

Қорғау құралдары төмендегі  категорияларға ажыратылады:

• өзіндік қорғау;
• ЕЖ құрамында қорғау;
• сұрау салу арқылы ақпаратты қорғау;
• активті қорғау;
• пассивті қорғау.

Өзіндік қорғау құралдары

Өзіндік қорғау құралдарын төмендегідей сұлба арқылы бейнелеуге болады:

 

Өзіндік қорғау

 

құжаттау      машиналық код      сүйемелдеу      шектеулі      тапсырыспен         авторлық

    қолданыс        жобалау  құқық

 

2-сурет- Өзіндік қорғау

 

Бағдарламалық жабдықты сүйемелдеуші құжат авторлық құқық  субъектісі болып саналып, қорғау функцияларын орындай алады. Бағдарламалық жабдық құжатсыз толық бағалы түрде қолданыла алмайды.