Ақпараттық қауіпсіздік

Егер ақпараттың ұрлануы, сыртқа таралу мүмкіндіктері  жоқ болса, қызметкерлер құпия құжаттармен өз жұмыс орнында істей алады. Мұндай жағдайлар жоқ болғанда қызметкерлер дәстүрлі және электронды құжаттармен, дерекқорлармен, істермен арнайы бөлінген жабдықталған бөлмелерде жұмыс істейді.

Құпия ақпартпен  жұмыс істеу үшін қызметкер тұрақты жұмыс орнымен, жеке сейфпен, құпия құжаттарды сақтау және бір жерден екінші жерге апару үшін арналған кейспен, номерлік жеке металдан жасалған мөрменен қамтамасыз етілуі керек. Орындаушының жұмыс орнын оның столындағы құжаттарға басқа адамдардың көзі түспейтіндей орналастыру керек. Компьютердің экраны келушілерге, басқа қызметкерлерге терезеден, есіктен көрінбеуі тиіс. Құпия  ақпарат өңделетін үй – жайда техникалық барлауға қарсы қорғаныш болу керек. Жұмыс столында қызметкер жұмыс істеп жатқан құжат және оған қатысты материалдар ғана жатады, ал басқа құжаттар сейфте жатуы тиіс.

Қызметкерлерге  құпия құжаттарды, дискеталарды, істерді  жұмыс столында, жұмыс столының жәшіктерінде, бейімделмеген сейфтерде сақтау рұқсат етілмейді. Сейф, кейс кілттері, мөр қызметкердің өзінде, ал олардың дубликаттары ақпаратты қорғау маманында сақталады.

Құжаттың оқылған  беттері үнемі мәтіні төмен қарап  жатуы тиіс. Қызметкер құпия құжатпен жұмыс істеп отырған кезде  оның қасына басқа қызметкер келсе, жұмыс істелініп отырған парақ мәтіні төмен қарап аударылып қойылады. Егер қызметкер сыртқа шықса, кез – келген уақытқа, онда құжаттардың барлығы сейфке жабылып, компьютер блокқа салынып, бөлме құлтталынады.

Орындалған  және орындалмаған құжаттар папкаларда сақталады. Ол папкаларда ішіндегі құжаттардың мазмұнын ашатындай ешнәрсе жазылмауы тиіс, тек папкалардың тағайындалуы ғана жазылуы керек: “таныстыру үшін”, “келістіру үшін”, “жедел”, “қайтарылуы тиіс”, “іске тігілу үшін”, “мынадай күнге дейін”, т.с.с . Құжаттарды  шашылған түрде сақтауға болмайды. Белгілі бір қызметкерге бекітілген істер қызметкерге берілген түспен белгіленеді.

Құпия құжаттармен  жұмыс істейтін мекеменің барлық қызметкерлеріне рұқсат етілмейді:

• құпия ақпараттарды басылымдарда, ашық құжаттарда, баяндамаларда, интервьюларда, жарнамалық материалдарда және т.б. ақпарат көздерінде жариялауға,
• құпия ақпаратты біреуге (қызметтес адамдарына, туыстарына, т.с.с) жеткізуге (жазбаша, ауызша), рұқсатсыз біреуге беруге,
• құпия ақпаратты қамтитын келіссөздерді қорғалмаған байланыс линиялары бойынша, бейімделмеген үй – жайларда, бөтен адамдар болған жағдайда жүргізуге,
• құпия сұрақтарды бұқаралық пайдаланыстағы орындарда(транспортта, т.б ) талқылауға,
• бірінші басшының рұқсатынсыз басқа қызметкерлердің құжаттарымен, дерекқорларымен, істерімен танысуға және олардың компьютерлерімен жұмыс істеуге,
• құжаттардағы ақпаратты жеке күнделіктерге, жазба кітапшаларына жазып алуына, ЭЕМ-нің ашық ақпараттық массивтеріне көшіруге,
• мекеме ішіне фото-, видеоаппаратурасын, компьютерлерін, аудиотехникасын, сөйлесу құралдарын,  техникалық ақпарат тасуыштарын (дискета, т.б. ), көшірме аппараттарын кіргізіп, пайдалануға,
• мекеме үй – жайынан кез – келген құжаттарды бірінші басшының рұқсатынсыз алып шығу,
• құпия ақпаратты ашық ақпаратпен бірге сақтауға   (бір істің ішінде, т.б. ),
• қызметкерлердегі құжаттар, олардың сақталуы туралы мәліметті жария етуге.

Ақпаратты қорғау маманы үнемі қызметкерлер  компьютерлерінің программалық қамтамасын, жабдықтарын, басқа да техникалық құралдарды тексеріп тұруы керек. Бұл тексерістің мақсаты – беймәлім программаларды, техникалық жабдықтарды табу.

Магниттік тасуыштардағы  барлық құжаттардың резервті көшірмесі  ақпаратты қорғау маманында жатуы  тиіс. Ол көшірмелерді іске қосу бірінші  басшының рұқсатымен  ақпаратты  қорғау маманы жүргізеді.

Жұмыс күнінің  соңында орындаушылар өз  компьютерлеріндегі барлық құпия ақпаратты иілгіш тасуыштарға  түсіріп, ақпаратты компьютерлерден  өшіріп, барлық құпия құжаттардың  бүтіндігін, тұтастығын тексеріп, ақпаратты  қорғау маманына тапсыру керек. Көлемі жағынан көп құпия ақпараты бар, иілгіш дискілерге көшіруге келмейтін компьютерлер 2 мөрмен – орындаушының және қорғаныш қызметі өкілінің, мөрленеді. Мөрлерді жұмыс күнінің басында шешу аталған адамдармен жүргізіледі. Мөрлердің бүлінген жағдайында бірінші басшы мен ақпаратты қорғау маманы хабардар етіледі, ал олар тиісті шаралар қолданады.

Құпия құжаттарды немесе олардың көшірмелерін жұмыс  столында қалдыруға болмайды. Құпия  құжаттарды үздіксіз жұмыс орнында  ұстау ерекше құқына тек бірінші  басшы және ол бекіткен адамдар ие бола алады.

Ақпаратты қорғау маманына құпия ақпаратты тапсыру  үшін дайындалғаннан кейін орындаушы  ЭЕМ – ді өшіреді, оны өзінің жеке кілтімен бекітеді. Үй – жайдағы  электроэнергия сөндіріледі, есік құлыпталынады, мөрленеді, ал үй – жай күзетке тапсырылады. Мұндай үй – жайлар міндетті түрде техникалық қорғаныш құралдарымен жабдықталуы керек.

Жұмыс бөлмелерінің жабылуы, үй – жайдың күзетке берілуі  туралы жазба арнайы журналға түсіріледі. Жұмыс бөлмелерінің негізгі кілттері және олардың көшірмелері күзет үй – жайында арнайы пеналдарда сақталады. Пенал үй – жайға жауапты адаммен жабылып, мөрленеді. Мұндай үй – жайларды жинау тек бекітілген адам қатысуымен жүргізіле алады.

МӨАЖ (мәліметтерді өңдеудің автоматтандырылған жүйелері) ақпаратты қорғауды ұйымдастыру шараларының негізгі мәні дайындық және жүйені эксплуатациялау кезінде әкімшіліктік және ұйымдастырушылық-техникалық шараларды өңдеуде және іске асыруда.

Шет елдік мамандардың  айтуынша ұйымдастырушылық шаралар  қорғаныш жүйесінің маңызды бөліктерінің бірі болып табылады (~50%). Жүйені қорғау бойынша ұйымдастырушылық шараларға дайындық кезінде және оларды іске асыру кезінде олар ұйымның басшылығы – жүйені пайдаланушы қабылдайтын барлық шешімдер мен іс-әрекеттерді қамтиды. Бірақ олардың кейбіреулері сыртқы факторлармен, мысалға заңдармен немесе үкіметтің шешімдерімен де анықталуы мүмкін.

Ақпараттың  қорғанышына байланысты көптеген зерттеулерде және шет елдік басылымдарда көбіне заң мәселелеріне немесе техникалық жағынан пайда болатын мәселелерге  көңіл аударылады. Олармен салыстыра қарасақ, ұйымдастырушылық жайындағы сұрақтарға ондай көңіл аударылмайды.  

Жұмыс барысында  осы кемшіліктерді жоюға ұмтыламыз. Бірақ оны табысты деп айта алмаймыз, өйткені онда тағы да қорғанысты ұйымдастыру бойынша ұсыныстар техникалық әдістерді қоса отырып жалпы жоспарда қаралады. Сонымен қоса, көбіне ұсынылған ұйымдастырушылық шараларда жобалау, өңдеу, жүйені эксплуатациялау және дайындау кезеңдері қарастырылмайды, ал кейде ұйымдастырушылық шаралар құру ұстанымдарымен шатыстырылған болады.

Шаралардың  кез-келген жоспарының құрылымдық бөлігі болып табылады: алдыға қойылған мақсаттардың көрсетілуі, жауапкершіліктің бөлінуі  және қорғанышты ұйымдастырушылық шаралардың тізімі.

МӨАЖ-дегі ақпаратты  қорғау бойынша ұйымдастырушылық шаралар жобалау, өңдеу, дайындау, тәжірибелер, эксплуатацияларға дайындық және жүйені эксплуатациялауды қамту керек.

Ұйымның техникалық тапсырысының талаптары бойынша  ақпаратты қорғау бойынша ұйымдастырушылық шаралар жүйені жасау кезеңінде  енгізілуі тиіс. Жүйені жасау кезеңі дегініміз жүйені жобалау, өңдеу, жасау және сынау болып табылады.

Жүйені жасау  кезіндегі ақпаратты қоғау бойынша  ұйымдастырушылық шараларға мыналар  жатады:

• қажетті аудандарға құпиялық режімдік жұмыстардың жүргізілуін енгізу;
• құпиялылық режімін қамтамасыз ету бойынша қызмет дәрежесінің нұсқауларын елдегі жұмыс істейтін нұсқаулар мен жағдайларға сәйкес өңдеу;
• қажетінше қорғаныс дабылдамасы және өткізушілік жүйесі бар жеке үй-жайлар бөлу;
• орындау және құжаттарды шығару бойынша тапсырмаларды шектеуді алып тастау;
• құжаттарға, материалдарға және аппаратураларға құпиялылық дәрежесін беру және орындаушылардың қатынасын бақылап және ескере отырып оларды жеке орындарда сақтау және қорғау;
• орындаушылардың режімді және сәйкес нұсқауларды бұзбауын үнемі бақылау;
• ақпараттың шығып кетпеуін бақылау үшін белгілі бір адамдарды бөлу және қадағалау;
• белгілі бір жүйені жасау кезіндегі бас құрылмалаушының қоятын басқа да шаралары.

Эксплуатациялау туралы нұсқауда көрсетілетін және ұйымға – қолданушыға ұсынылатын ұйымдастырушылық шаралар дайындық және жүйені эксплуатациялау кезеңдеріне есептелуі қажет. Көрсетілген шаралар ақпаратты қорғау әдістері ретінде ұйымдастырушылық шаралардың жүйесін, толықтырушы және біріктіруші техникалық шараларды толық қамтып ақпараттың қауіпсіздігін қамтамасыз етеді. 

Осы шараларға  қоса құпия құжаттармен жұмыс  істейтін адамдарды белгілі уақыт  өтерде сынақтан өткізу жөн. Бұл сынақ  сол қызметкерлердің атқаратын  жұмыстарына сай екендігін тексеру  үшін қажет. Сынақ нәтижесі қызметкерлердің құпия ақпаратпен ары қарай жұмыс істеуін немесе жұмыс істеуден шектетуін көрсетеді.

Сол сияқты құпия  ақпарат өңделетін үй – жайлар да тексеріліп, жетілдірілуі тиіс. Бұл  тексеріс үй – жайдағы барлық жүйелер, құралдар, жабдықтар дұрыс жұмыс  істеуін, артық құралдардың, барлау техникасының, беймәлім  программалардың, ақпараттың сыртқа шығуының техникалық жолдарының жоқ екендігін тексереді. Ал жетілдіру қорғаныш технологиясын заманға сай жетіліп отыруы үшін керек, мысал үшін 40-шы жылдардағы техникамен бүгінгі күнде ақпаратты қорғау мүмкін емес.

Белгілі уақыт  өткеннен кейін кейбір ақпараттар құпия  болудан қалады, ал кейбіреулерінің  құпиялылығы арта түседі. Сондықтан  үнемі құпия ақпараттың құпиялылық дәрежесін талқылап отыру қажет. Керек болған жағдайында оны арттыру  немесе кемітіп отыру керек.

Айтылғандарға қоса құқылық база жақсы дамыған  болуы, құпия ақпаратпен жұмыстың барлық жағы заңда қарастырылуы қажет. Бұл  құпия ақпаратпен жұмыс істейтін  қызметкерлердің жауапкершілігін  арртырады. Құпия ақпаратты ұрлау, бұзушыларға шара қолдануға, жауапқа тартуға мүмкіндік береді.

Қызметкерлердің жауапкершіліксіз істелген әрекеттері,  техникалық жақсы жабдықталған жүйенің  өзінде әдетте құпия ақпараттың  жоғалуына әкелетінін есте сақтаған жөн. Сондықтан құпия ақпаратпен жұмыс істеген кезде техникалық қорғаныш шараларымен қатар ұйымдастырушылық шараларды ұмытпаған жөн.

 

 

Қорытынды

Ақпараттың қорғанышына  байланысты көптеген зерттеулерде және шет елдік басылымдарда көбіне заң  мәселелеріне немесе техникалық жағынан  пайда болатын мәселелерге көңіл көп аударылады да, ал ұйымдастырушылық  шараларға көбіне көңіл бөлінбейді. Мұндай көзқарас техникалық жақсы жабдықталған жүйенің өзінде әдетте құпия ақпараттың  жоғалуына әкеледі.

Біздің пайымдауымызша, ұйымдастырушылық шаралар қорғаныш жүйесінің маңызды бөліктерінің бірі болып табылады (~50%). Жүйені қорғау бойынша ұйымдастырушылық шараларға дайындық кезінде және оларды іске асыру кезінде ұйымның басшылығы – жүйені пайдаланушы қабылдайтын барлық шешімдер мен іс-әрекеттер қамтылады. Сол сияқты құпия ақпаратты қорғаудың құқылық – заңдық негізі болуы керек. Бұл құпия ақпаратпен жұмыс істейтін қызметкерлердің жауапкершілігін арттырады және заңсыз кол жеткізушілерді жауапқа тартуға мүмкіндік береді.

Міне осы  мәселелерді шешуді біз курстық жобамыздың мақсаты ретінде алдық.

Курстық жобаны жасау барысында алдыға қойылған негізгі мақсаттар мен талаптар орындалды деп есептеуге болады. Оның ішінде ақпаратты қорғауда қойылатын  негізгі талаптар, ережелер, қолданылатын әдіс – тәсілдер және қорғаныштың сенімділігін әлденеше рет арттыру үшін пайдаланылатын ұйымдастырушылық шаралар қарастырылды.

Бұл қарастырылған  шаралар мен әдістерді ақпараттық салада жұмыс істейтін кез – келген ұйым пайдалануына болады.

 

 

Қолданылған әдебиеттер

 

1. Мельников В.В. Защита информации в копьютерных системах.-М.,Финансы и статистика.
2. Щербаков А.Ю.

Введение в  теорию и практику компьютерной безопасности.-М., издатель Молгачева С.В.

3. Работа персонала с конфедициальной информацией// Секретарское дело. № 5. 2002
4. Масленников И., Демин И. Как защитить информационные ресурса банка// Континент. № 3. 2000
5. Стельченко Ю. Некоторые вопросы обеспечения информационной безопасности банка//банковсое дело. №4. 1995
6. Герасименко В.А. защита информации в автоматизированных системах обработки данных.-М., 1994.
7. Сидоров В. Проблемы банковской безопасности//банковсое дело. №4. 1995