Ақпараттық қауіпсіздік

12) ақпараттық технологиялар - ақпаратты жинауды, құруды, сақтауды, жинақтауды, өңдеуді, іздеуді, шығаруды, көшірмесін түсіруді, беру мен таратуды қамтамасыз ететін технологиялық кешенге біріктірілген әдістердің, өндірістік процестер мен бағдарламалық-техникалық құралдардың жиынтығы;

13) ашық кілттер инфрақұрылымы - Қазақстан Республикасының электрондық құжат және электрондық цифрлық қолтаңба туралы заңнамасына сәйкес тіркеу куәліктерін басқаруға бағытталған ақпараттық жүйелер, ұйымдастырушылық және техникалық іс-шаралар кешені;

14) бағдарламалық өнім - ақпаратты өңдеу жүйесінің компьютерлік бағдарламаларының, рәсімдерінің, әдістерінің, ережелері мен ілеспе құжаттамасының жиынтығы;

15) веб-сайт - ақпараттық-телекоммуникациялық желіде бір домендік атаумен біріктірілген және ортақ навигациясы бар деректер мен бағдарламалық-техникалық құралдардың жиынтығы;

16) дербес деректер (дербес сипаттағы электрондық ақпараттық ресурстар) - жеке тұлға өміріндегі фактілер, оқиғалар, мән-жайлар туралы мәліметтер және (немесе) оның жеке басын сәйкестендіруге мүмкіндік беретін деректер;

17) домендік атау - Интернет желісіндегі адресаттың ережелеріне сәйкес қалыптастырылған, желінің объектісіне атаулы жолданымға арналған және белгілі бір желілік мекенжайға сәйкес нышандық (әріптік-цифрлы) белгі;

18) интерактивтік қызметтер көрсету - электрондық ақпараттық ресурстарды пайдаланушыларға олардың сұрауы бойынша немесе тараптардың келісімі бойынша беру жөніндегі, өзара ақпарат алмасуды талап ететін қызмет;

19) Қазақстан Республикасының ақпараттандыру саласындағы жұмыстарды үйлестіру жөніндегі ведомствоаралық комиссиясы - «электрондық үкіметті» қалыптастыру және мемлекеттік органдарды ақпараттандыру саласындағы жұмыстарды үйлестіруді жүзеге асыратын, Қазақстан Республикасының Үкіметі жанындағы консультативтік-кеңесу органы;

20) құжатталған ақпарат - материалдық тасымалдағышта тіркелген, өзін сәйкестендіруге мүмкіндік беретін реквизиттері бар ақпарат;

21) құпиялы электрондық ақпараттық ресурстар - мемлекеттік құпияларды қамтымайтын электрондық ақпараттық ресурстар, оларға қол жеткізу Қазақстан Республикасының заңдарына сәйкес немесе оны Қазақстан Республикасының заңнамасында көзделген жағдайларда меншік иесі немесе олардың иеленушісі шектейді;

22) «Мекенжай тіркелімі» ақпараттық жүйесі - мекенжайлар және олардың құрамдас бөліктері туралы мәліметтерді құруға, жинақтауға және өңдеуге және Қазақстан Республикасының мекенжай алаңын бір ізге салуға арналған аппараттық-бағдарламалық кешен;

23) мемлекеттік органдардың бірыңғай көлік ортасы - «электрондық үкіметтің» электрондық ақпараттық ресурстарының және ақпараттық жүйелерінің өзара іс-қимылын қамтамасыз етуге арналған ведомствоаралық ақпараттық-коммуникациялық жүйе;

24) пайдаланушы - өзіне қажетті электрондық ақпараттық ресурстарды алу үшін ақпараттық жүйеге өтініш жасайтын және оларды пайдаланатын субъект;

25) төлем шлюзі - транзакциялық қызметтер көрсету кезінде төлемдерді жүзеге асыруға арналған ақпараттық жүйе;

26) транзакциялық қызметтер көрсету - электрондық ақпараттық ресурстарды пайдаланушыларға олардың сұрауы бойынша немесе тараптардың келісімі бойынша беру жөніндегі, өзара ақпарат алмасуды талап ететін, электрондық цифрлық қолтаңбаны пайдалана отырып төлемдер мен өзге де іс-әрекетті жүргізу жөніндегі қызмет;

27) электрондық ақпараттық ресурстар - электрондық түрде сақталатын (ақпараттық деректер қоры), ақпараттық жүйелерде қамтылатын ақпарат;

28) электрондық ақпараттық ресурстарды, ақпараттық жүйелерді иеленуші - аталған объектілерді олардың меншік иесі айқындаған шекте және тәртіппен иелену, пайдалану және оларға билік ету құқығын іске асыратын субъект;

29) электрондық ақпараттық ресурстарды, ақпараттық жүйелерді қорғау - ақпаратты алу, көшірмесін түсіру, тарату, бұрмалау, жою немесе оны құрсаулау жөніндегі заңсыз іс-әрекеттерді қоса алғанда, электрондық ақпараттық ресурстарды, ақпараттық жүйелерді сақтауға, оларға заңсыз қол жеткізуді болғызбауға бағытталған құқықтық, ұйымдастырушылық және техникалық іс-шаралар кешені;

30) электрондық ақпараттық ресурстардың, ақпараттық жүйелердің меншік иесі - электрондық ақпараттық ресурстар мен ақпараттық жүйелерді иелену, пайдалану және оларға билік ету құқықтарын толық көлемде іске асыратын субъект;

31) электрондық ақпараттық ресурстар мен ақпараттық жүйелердің мемлекеттік тіркелімі - электрондық ақпараттық ресурстар мен ақпараттық жүйелер сипаттамаларының жиынтығын қамтитын жүйеленген тізбе;

32) «электрондық әкімдік» - жергілікті атқарушы органдардың электрондық қызметтер көрсетуді ұсыну жөніндегі жұмыс істеу тетігі;

33) электрондық қызмет көрсету - ақпараттық технологияларды пайдалана отырып жеке және заңды тұлғаларға ақпараттық, интерактивтік және транзакциялық қызмет көрсетуді ұсыну;

34) «электрондық үкімет» - мемлекеттік органдардың электрондық қызмет көрсетулерді ұсыну жөніндегі жұмыс істеу тетігі;

35) «электрондық үкімет» веб-порталы - «электрондық үкіметтің» барлық электрондық қызмет көрсетулері мен электрондық ақпараттық ресурстарына қол жеткізудің бірыңғай нүктесін беретін ақпараттық жүйе;

36) «электрондық үкімет» инфрақұрылымының жобалық интеграторы - «электрондық үкіметтің» ведомствоаралық ақпараттық жүйелерінің өзара іс-қимылын қамтамасыз ету жөніндегі жобалық-ұйымдастырушылық және техникалық іс-шараларды жүзеге асыратын ұйым;

37) «электрондық үкімет» шлюзі - электрондық қызметтер көрсетуді іске асыру шеңберінде «электрондық үкімет» ақпараттық жүйелерін интеграциялауға арналған ақпараттық жүйе. 

2-бап. Қазақстан Республикасының ақпараттандыру туралы заңнамасы

1. Қазақстан Республикасының ақпараттандыру туралы заңнамасы Қазақстан Республикасының Конституциясына негізделеді, осы Заңнан және Қазақстан Республикасының өзге де нормативтік құқықтық актілерінен тұрады.

2. Егер Қазақстан Республикасы ратификациялаған халықаралық шартта осы Заңдағыдан өзгеше ережелер белгіленсе, онда халықаралық шарттың ережелері қолданылады.

3. Осы Заң авторлық құқық пен аралас құқықтар, өнеркәсіп меншігінің объектілері, селекциялық жетістіктер, интегралдық микросхемалардың топологиялары, азаматтық айналымға, жұмыстарға, тауарлар мен қызмет көрсетулерге қатысушылардың даралау құралдары туралы, сондай-ақ бұқаралық ақпарат құралдары туралы Қазақстан Республикасының заңнамасында реттелетін қатынастарды регламенттемейді.

4. Осы Заңның күші ақпараттың мазмұны мен таратылу тәсілдеріне қолданылмайды.

5.3 Ақпаратты тасымалдаудың қаржылық  автоматтандырылған жүйесі (АТҚАЖ)

АТҚАЖ жүйесі жүйе клиенттері арасында қорғалған ақпараттармен алмасуды ұйымдастыру үшін, жүйеде қабылданған  стандарттармен электрондық құжаттар айналымын ұйымдастыру үшін немесе пайдаланушының дербес электрондық құжат айналымын құру үшін арналған. 
Жүйеде мәліметтерді қорғаудың келесі механизмдер жиынтығы белгіленген:

• жүйеге енуде клиенттерді криптографиялық аутентификациялау;
• берілетін мәліметтерді автоматты тығыздау;
• берілетін мәліметтер құпиялылығы ( мәліметтерді «Клиент-Клиент» етіп шифрлау);
• берілетін мәліметтердің тұтастығын қамтамасыз ету (мәліметтерді «Клиент-Орталық» имитоқорғау);
• бағдарламамен қамтамасыз етудің тұтастығын бақылауды қамтамасыз ету;
• кілттік ақпараттарды автоматты тіркеу мен бөлу;
• РЕ-ден қорғау (клиенттердің ену құқығы, access-парақтар, парольдер және т.б.).

Жүйеде ақпараттармен алмасу АТҚАЖ  сервері арқылы жүзеге асады, ал қорғалған  алмасуда ақпараттық өлшем бірлігі файл болып саналады. Қорғалған мәліметтермен алмасу FTP (File Transfer Protocol, RFC959) хаттамасына негізделген мамандандырылған хаттама бойынша жүзеге асады. Бұл хаттама жүйеге ену үшін «Клиент-Сервер» және «Сервер-Клиент» екі жақты аутентификациялауды қамтиды және ақпараттарды имитоқорғауға негізделген мәліметтерді жеткізуге кепілдікті қамтамасыз етеді.Ақпараттарды беруде оны «Клиент-Орталық» имитоқорғайды, ал ол мәліметтерді өзгертулер енгізу мен жабысудан қорғауды қамтамасыз етеді, әрі алмасу хаттамасы Орталық имитоендірме тексергеннен кейін ғана ақпараттар берілген болып есептелетіндей етіп құрылған, ол мәліметтерді жеткізу кепілдігін қамтамасыз етеді. Берілетін мәліметтер клиент-жіберушіден клиент-алушыға шифрленеді және тек осы клиенттерге ғана түсінікті, яғни берілетін мәліметтердің құпиялылығы «Клиент-Клиент» түрі бойнша қамтамасыз етіледі. Жүйені пайдаланушы атын кейінге сақтап қорғау жүйесіне, жүйеге ену үшін бірегей бағдарламалық құрал кешеніне және электрондық цифрлік қол қою механизмін іске асыру үшін қорғалған ақпаратпен алмасуды ұйымдастыратын қондырылған құралға ие. Бағдарламамен қамтамасыз ету жүйесін құру негізінде әр түрлі компоненттер арасында мәліметтерді өңдеу бойынша қызметті бөлуді қамтамасыз етуші бөлінген модель қабылданған:

• Серверді бағдарламамен қамтамасыз ету;
• Жүйе әкімін бағдарламамен қамтамасыз ету;
• Есептеу мен тарифтеуді бағдарламамен қамтамасыз ету;
• Кілттерді бөліп беру орталығын бағдарламамен қамтамасыз ету;
• Клиентті бағдарламамен қамтамасыз ету.

«АТҚАЖ» жүйесінде «Тұмар» бағдарламалық кешенін қорғау механизмінің 7.0 түрі пайдаланылады, олардың арасында:

• кілттік ақпараттарды ашық тарату;
• пайдаланушыларды жүйеге ену үшін аутентификациялау;
• берілетін ақпаратты имитациялық қорғау (мәліметтердің тұтастығына кепілдік беру, яғни кездейсоқ немесе қасақана бұрмаланудан қорғау);
• берілетін ақпаратты шифрлау (мәліметтердің құпиялылығына кепілдік беру, яғни рұқсатсыз енуден қорғау);
• электрондық цифрлік қол қою (ЭЦҚ) механизмін пайдалану қағаздық құжат айналымын электрондық құжаттарды алмасу механизмімен толық ауыстыруға және электрондық құжаттарды аутентификациялауға байланысты кез келген даулы жағдайларды шешуге мүмкіндік береді;
• бағдарламалық қамтамасыз етудің тұтастығы мен мәліметтер жиынтығын бақылауды қамтамасыз етеді, ол кездейсоқ бұрмалаулар енгізуден немесе қасақана мүлік салудан қорғауды ұйымдастыруға мүмкіндік береді;
• әртүрлі қосымшаларда қорғанған түрде сақталған парольдермен енуді ұйымдастыру;
• мәліметтерді тығыздау, бинарлық (екі бөлімнен тұратын) ақпарат конверторлары және басқалары.

 

 

Дәріс №6

 

6 Рұқсатсыз енуден қорғау жүйелері

6.1 Рұқсатсыз  ену жолдарын анықтау 

6.2 Компьютерлік вирустар  және олардан ақпараттарды қорғау  құралдары

6.1 Рұқсатсыз ену жолдарын анықтау

Жүйеге ену үшін қажет:

• жүйе туралы мәлімет жинау;
• жүйеге кіріп байқап қарау.

Әр түрлі мақсатпен  мәлімет жинауы мүмкін:

• қатысушылырды таңдау;
• құжатты, ведомоствалық бюллетенді, басылымды талдау;
• электронды поштаны алып қалу;
• телефонның, телекстің, екеу-ара әңгімелерін тыңдау;
• ұрлықты ұйымдастыру;
• бопсалушылық және парақорлар.

Ақпарат алу арнайы журналдардан, газеттерден басқа да басылымдардан  мақалаларды оқып жинақтау арқылы іске асады. Электрондық поштаны жолдан алып қалу - есептеу жүйесінде ақпарат  алмасу құралы сияқты. Көптеген анықтамалық жүйелер хакерлердің үлкен көлемді мәліметтерді, қолданушылар парольдерін алуына мүмкіндік жасайтын блокпен жабдықталған. Сонымен қатар хакерлер өздері блоктар орнатып, сол арқылы ақпарат алып отырады.

Байланыс арнасынан  хабарламаны алып қалу келесі әрекеттерді қамтиды:

• таратқыш қондырғы көмегімен ауызша мәліметтерді тосып алу;
• телефон, телекс хабарламаларын тыңдау;
• дисплейдің электронды сәулеленуін бақылау;
• ұсақ толқынды және жерсеріктік хабарларды тосып алу.

Коммуникациялық байланыс каналы желісінің дамуы жеткізілетін ақпаратты ұрлау мақсатында оған қосылуға мүмкіндік береді.

      Жүйеге кіру әдістері

Хакер алдын-ала көлемді  ақпарат жинап болғаннан соң  жүйеге енуге тырысады. Жүйеге ену  құралын таңдау қолда бар ақпараттарға, яғни телефон нөміріне, байланыс жолына қол жеткізуге, жүйе жұмысының хаттамасына, қолданушы кодымен пароліне тәуелді . Ол төмендегілерді пайдалана алады:

• байланыстық автотергіштер;
• байланыс хаттамалары;
• атауландыру  жұмыстары;
• пайдаланушының идентификаторы (сәйкестендіргіш);
• парольдер.

      Жүйені маниплуляциялау (иелену, билеу)

Жүйені манипуляциялау. Компьютерлік жүйеге енуге қол жеткізген хакердің төмендегідей мүмкіндігі бар: