Ақпараттық қауіпсіздік негіздері

1. глоссарий

1. 
   Ақпарат – қоршаған орта туралы және онда өтіп жатқан процесстер туралы мәліметтер, адамдар оны сезеді немесе арнайы қондырғылар арқылы қабылдайды /Ожегов/. Ақпарат ұғымы әдетте, екі обьектінің араында өтеді- ақпарат беріші және ақпаратты қолданушы.Ақпараттарды өңдеу- бір ақпарат негізінде жаңа ақпарат алу
   
2. 
   Мәліметтер – мәліметтермен алмасу; жануарлар мен өсімдіктер арасында сигналдармен алмасу; генетикалық белгілерді беру Санау жүйесі- Сандардың аталу және жазылу тәсілі
   
3. 
   Ақпараттың қауіпсіздігі – бұл, берілетін, жинақталатын, өңделетін және сақталатын ақпараттың қоршаған ортаның әсерінен (адам мен табиғат) және сыртқы қауіптерден сақтайтын – бұзылуға қарсы тұрақтылығы мен кедергілерге қарсы тұратын қасиеттері.
   
4. 
   Қауіпсіздендіруге негізі – ақпарат, компьютерлік жүйелерде берілгенде, бағдарламалар, командалар, мәліметтер және тағы басқалары, оның иесіне және қауіпсіздік тудырушыға құндылығы бар сақталатын ақпарат.
   
5. 
   Ақпараттық ресурстар – жекелеген құжаттар және құжаттар массиві, ақпараттық системаларда адамдар, ұйымдар, жергілікті әкімшіліктер, қоғамдық ұйымдар, мемлекет арасындағы қатынас обьектілері, басқа ресурстар сияқты заңмен қорғалады.
   
6. 
   Техникалық құралдар – сізде өңдеуге не сақтауға арналған ақпараттың оған санкциясыз басқалардың енуін болдырмайтын, оған жол бермейтін арнайы техникалық және бағдарламамен қамтамасыз ету комплекстері.Компьютердің жадысы- Ішкі және сыртқы болып бөлінетін мәліметтерді, бағдарламаларды, нәтижелерді және аралық мәндерді сақтап тұруға арналған құрылғы.
   
7. 
   Дыбыс изоляциясы – тосқауылды жолдар арқылы дыбыс энергиясын төмендету. Дыбыс энергиясын тарату жолындағы изоляциялайтын кедергілер ретіндегілер қабырғалар, арнайы кожухтар, кабельдер т.б..
   
8. 
   Дыбысты сіңіру - берілетін акустикалық энергияны әлсірету, дыбысты сіңіру коэффициентімен сипатталады. Дыбысты сіңіру конструкцияларына бөлме қабырғаларының дыбыс сіңіргіш облицовкалары, жеке дыбыс сіңіргіштер, акустикалық экрандардың дыбыс сіңіргіш облицовкалары, камералы глушителдердегі дыбыс сіңіргіш кожухтар.
   
9. 
   Электронды кілт – бұл шағын прибор, компьютердің портына параллельді не тізбектеліп қосылады және компьютердің сыртқы құрылымдарымен жұмысына әсер етпейді.Бағдарламалық қамту - Компьютердің бағдарламалық жабдықтары.
   
10. 
    Пикселдер- Монитор экранындағы нүктелер тобы.
    
11. 
    Дисплей- Компьютердің экранына ақпарат шығаруға арналған құрылғы.
    
12. 
    Жүйе қабықшасы- Негізгі бағдарламамен жұмысты оңайлататын бағдарлама (бағдарламалар комплексі).
    
13. 
    Операциялық жүйе- Деректерді өңдеу арқылы компьютердің барлық жұмысын ұйымдастыратын бағдарлама жүйесі.
    
14. 
    Утилита (лат. сөзі Utilitas - пайда)- Пайдаланушыға енгізу-шығару,ақпарат тасымалдауыш құрылғыларымен, қосымша жұмыстарды орындау мүмкіндігін беретін бағдарламалар.
    
15. 
    Интегралданған бағдарламалар пакеті- Бірнеше қолданбалы бағдарламаларды біріктіретін бағдарламалар.
    
16. 
    MS-DOS операциялық жүйесінің параметрі- Түпкi каталогты немесе кез келген деңгейдегi iшкi каталогты көрсететiн маршрут
    

2. Дәрістер

Ақпарат дегеніміз не?

Энциклопедиялық сөздікте оған келесі анықтама беріледі: латын тілінен анықтау, мазмұндау- адамдар арасында ауызша, жазбаша немесе басқа әдістермен берілетін мәліметтер; ХХ ғасырдың ортасынан – жалпы ғылыми ұғым, адамдар арасында, адам мен автомат, автомат пен автомат арасындағы ақпарат алмасу; жануарлар мен өсімдіктер арасындағы сигнал алмасу; бір клеткадан екіншісіне, ағзадан ағзаға белгілердің берілуі; кибернетиканың негізгі ұғымдарының бірі.

Ақпарат – қоршаған орта туралы және онда өтіп жатқан процесстер туралы мәліметтер, адамдар оны сезеді немесе арнайы қондырғылар арқылы қабылдайды /Ожегов/. Ақпарат ұғымы әдетте, екі обьектінің араында өтеді- ақпарат беріші және ақпаратты қолданушы.

Қазіргі кезде ақпараттың келесі жақтарын анықтайды:

• 
  Мәліметтер – мәліметтермен алмасу; жануарлар мен өсімдіктер арасында сигналдармен алмасу; генетикалық белгілерді беру
  
• 
  Фундаменталды философиялық категория, материя сияқты ол да үнемі барлық жерде болады, және өзінің материалды иесінен ажырамайды; негізгі кибернетикалық ұғымдарың бірі
  
• 
  Іздеп табуға және сақтауға орасан зор күш пен қаржы жұмсалатын өте маңызды ресурс
  
• 
  Өндіру мен сату үшін көп адамдар жұмыс істейтін құнды тауар
  
• 
  Кәсіпорындарды, армияны, қоғамдық структураларды жұмысқа қосатын, адамды жаралайтын және табысқа көтеретін күш
  

Ақпараттар түрлі мәліметтерді береді және түрлі процесстердің обьектісі ретінде оған «ақпаратты қорғау» деген қысқа ұғым сәйкес келеді. Бұл жағдайда ақпаратты қорғауға оны жинау, беру, өңдеу және сақтау процестерінде тұтастығы мен конфиденциалдығын қамтамасыз ететін шаралар жатады. Бұл анықтама «ақпаратты қорғау» және «ақпаратты қауіпсіздендіру» дегенді білдіреді.

Берілген ақпаратты қорғау процесінің трактовкасы негізінен ұйымдастыру шаралары мен техникалық әдістер және қорғау құралдырына сүйенеді.

Ақпаратты қорғау деп ақпараттық қауіпсіздікке төнген қауіпті болдырмау және оның кедергілерні жоюға арналған ұйымдастырушылық, құқықтық шараларды айтады.

Бұл жағдайда ақпаратты қорғауды қамтамасыз ету әлемдік дамудың қауіпсіздігін,мемлекеттердің, адамзат қоғамының, жекелеген адамдардың, табиғатты қорғауды қамтамасыз ететін глобальды процестермен теңдеседі.

• 
  Құпиялардың жария болуы
  
• 
  Ақпараттың (кездейсоқ не әдейі/ ақпараттық системаларға зиянды ықпалы:
  
• 
  Жекелеген адамның миына санасына және психикасына
  
• 
  Көпшіліктің миына, санасына
  
• 
  Қоғамдағы ақпараттық ортаға
  
• 
  Табиғи обьектілердің ақпаратты-сезімтал элементтеріне
  

• 
  Ақпараттық ресурстардың барлық түрлері
  
• 
  Азаматтардың, құқықтық тұлғалардың және мемлекеттердің ақпараттарды алуға, таратуға және қолдануға, құпия ақпаратты және интеллектуалды меншікті ақпаратты сақтауға құқылары
  
• 
  Ақпараттық ресурстарды қалыптастыру, тарату және қолдану системасы, оның құрамына түрлі классты ақпаратты жүйелер, кітапханалар, архивтер базалары және банк берілгендері, ақпараттық технологиялар, регламенттер мен жинау,өңдеу, сақтау процедуралары және ақпаратты тасымалдау, ғылыми-техникалық және қызмет көрсету персоналы
  
• 
  Ақпаратты инфраструктура, құрамына ақпаратты өңдеу мен анализ жасау орталығы, информациондық алмасу мен телекоммуникация каналдары, телекоммуникациондық системалар мен жүйелердің жұмысын қамтамасыз ететін механизмдер, соның ішінде ақпаратты қауіпсіздендіру системалары мен құралдары
  
• 
  Қоғамдық көзқарасты қалыптастыратын көпшілік ақпарат құралдарына негізделгенқалыптастыру системасы
  

• 
  Ақпаратты қолдануды шектеу ақпараттың ашықтығына тиым салу тек заң бойынша жүргізіледі
  
• 
  Ақпаратты сақтау, оның құпиялығын қамтамасыз ету және жариялау жауапты лаузымды адамдарға жүктеледі
  
• 
  Кез келген ақпаратқа рұқсаттама, сонымен бірге шектеу жасау осы ақпаратқа меншіктілік заң бойынша реттеледі
  
• 
  Мемлекет информациондық сферада жұмыс жасайтын барлық субьектілердің құқығы мен міндеттерін реглементтейтін нормативті-құқықтық база құрады
  
• 
  Құқықтық және жеке тұлғалар, персоналды және құпия ақпараттарды жинаушы және өңдеушілер, заң алдында олардың құпиялығын сақтауда жауап береді
  
• 
  Мемлекет қоғамды ақпараттық көпшілік құралдарымен берілген өтірік, өзгертілген және лақап ақпараттардан құқықтық құралдармен қорғайды
  
• 
  Мемлекет міндетті сертификациялау және лицензиялау арқылы ақпараттардың қауіпсіздігін қорғау саласында бақылау жүргізіп отырады
  
• 
  Мемлекет отандық ақпараттық құралдар мен ақпараттық құралдардың қауіпсіздігін қорғау құралдарын өндіретіндердің жұмысына демеушілік көрсетеді және ішкі саудаға сапасыз ақпараттық құралдар мен ақпараттық өнімдердің енуінен қорғайтын шараларды жүргізеді
  
• 
  Мемлекет азаматтарға әлемдік ақпараттық ресурстар мен глобалды информациондық жүйелерге енуіне жағдай жасайды
  
• 
  Мемлекет бәсекеге сай отандық информациондық технологиялар мен ақпараттық құралдардың жасалуына қарай шет елдердеің информациондық технологиялары мен ақпараттық құралдарынан бас тартуға тырысады
  

Қоғамның, жекелеген адамның, мемлекеттің, қоғамның ақпараттық қауіпсіздікті қорғауда негізгі обьектісіне авторлық және патенті құқытарымен қорғалатын, мемлекеттік, коммерциялық құпияларды сақтайтын,қоғамның тіршілігі мен жеке адамның өмірін қамтитын ашық ақпараттар жатады.

Ақпараттық қауіпсіздік системасына заң актілері мен нормативті-құқықтық құжаттар(құқықтық қамтамасыз ету/,ғылыми ізденістер мен техникалық құралдар мәліметтерін ақпараттық қорғау жатады. Ол келесі негізгі принциптерде негізделеді:

• 
  Ақпараттық сферада жеке тұлғаның, қоғамның және мемлекеттің қызығушылық балансын сақтау
  
• 
  Ақпаратты сақтау процесстерінің бірегейлігі
  
• 
  Қауіптен қорғанудың кешенді сипаты
  
• 
  Экономикалық тұтастық және тағы басқалар
  

«Ақпаратты қорғау» ұғымында екі түрлі иерархиялы жүйелерді көрсетуге болады:

• 
  Ақпараттың қауіпсіздігін қамтамасыз ететін жүйе
  
• 
  Ақпараттық қауіпсіздік жүйесі
  

Ақпаратты сақтау системасы келесі талаптарға сай болуы керек:

• 
  Сенімді
  
• 
  Барлық қауіптерді толық қадағалауы
  
• 
  Иерархиялық ұйымдастырылған, үзіліссіздігі, стандартты тәсілдері мен информационды қорғау құралдарының сенімділігі және басқалар.
  

• 
  Конфиденциалдықтың компрометациясы, яғни санкциясыз ақпарат алуды, көшіру не ақпаратты ұрлау, декодирлеу және десшифрлеуді болдырмау
  
• 
  Ақпаратты әдейі немесе кездейсоқ құртуға, жоюға, блокировкалауға, өзгертуге бағытталған әрекеттерді болдырмау
  

Заң жүзінде информационды ресурстар нормалармен анықталады, келесі түрде бекітіледі:

• 
  Ақпаратты құжаттау тәртібі
  
• 
  Информационды системада жекелеген құжаттар мен массивтерге меншіктік құқық
  
• 
  Ақпаратқа ену бойынша оның категориясы
  
• 
  Ақпаратты құқықтық қорғаудың тәртібі
  

Персоналды берілгендер енуге шектеулі ақпараттар категориясына жатады. Ол субьект үшін ашық ақпарат, субьект өзі шешеді: қолдануға не жіберуге бола ма, әлде қандай субьектілерге қолдануға болатындығын. Персоналды берілгендердің кейбір категориялардың қорғау режимі болмауы да мүмкін, мысалы, жалпыға ортақ қоғам қайраткерлерінің фамилиясы, аты, жөні, туған күні. Номинативті берілгендерді персоналды ақпараттардан алу процедурасы қорғау режимін алып тастайды, бұл берілгендерді тарихи, статистикалық, социологиялық және басқа ғылыми зерттеулер үшін қолдануға мүмкіндік береді.

Мемлекеттік емес құқықтық және жеке тұлғалардың персоналды берілгендерімен жұмыс жасағанда субьектілермен келісім шарт жасау арқылы орындалады.

Персоналды берілгендер иелерінің құқықтары мен міндеттері де бар.

Мемлекеттік органдар мен ұйымдар, жергілікті басқару органдары заң бойынша бекітілген немесе лицензиялары бойынша өз компетенциялары аясында персоналды берілгендермен жұмыс жасауға құқылы.

Мемлекеттік емес құқықтық және жеке тұлғалар да лицензиялары бойынша персоналды берілгендермен жұмыс жасауға құқылары бар.

1. 
   Қауіпсіздендіруге негізінде не жатады?
   
2. 
   Ақпараттық ресурстар деген не?
   
3. 
   Персоналды берілгендер қандай типтерге бөлінеді?
   

• 
  Енуі шектеулі ақпараттар
  
• 
  Шектеусіз ақпараттар
  
• 
  Басқа жалпыға ортақ ақпараттар
  
• 
  «Зиянды ақпараттар» (таратуға жатпайтын өтірік, жалған, зиянды ақпараттар)
  

Құжатталған ақпарат категориялары бойынша ашық және енуге шектеулі болып бөлінеді. Енуге шектеулі ақпараттар құқықтық режимі бойынша мемлекеттік және конфиденциалды ақпараттар деп бөлінеді.

Конфиденциалды деп, оны жариялағанда фирмаға зиян келтіретін ақпараттар есептеледі. Олар енуге шектеулі және құпия ақпараттар деп ажыратылады.

Қызметтегі ақпараттардың конфиденциалдығының дәрежесін фирма басшылығы анықтайды. Оларға әдетте келесі құжаттар жатады:

• 
  Фирманың устав құжаттары
  
• 
  Фирманың финансылық қызметінің құрама валюталық және тенгеге шаққандағы есептері (айлық, кварталдық, жылдық, бірнеше жылғы)
  
• 
  Банктермен кредиттік келісім шарттар
  
• 
  Белгілі сомадан басталған сатып алу және сату келісім шарттары
  
• 
  Тауарды сатудың мәліметтері, партнерлері ұсынған, егер оны жариялаған жағдайда штраф салынатын болса
  

94 жылғы мәскеулік 250 биснесмендерінен анкета алғанда олар экономикалық шпионаждың формалары мен әдістеріне жатқызды:

• 
  Фирманың қызметкерлерін сатып алу не қорқыту /шантаж/ -43%
  
• 
  Персоналды компьютерлерден арнайы техника көмегімен ақпараттарды жазып алу
  
• 
  Құжаттарды, сызбаларды, эксперименталды үлгілерді көшіріп алу не ұрлау -10%
  
• 
  Телефонмен байланысты, бөлмедегі және автомобильдегі әңгімелесулерді тыңдау- 5%
  

1. 
   Ақпараттың неше және қандай категорияларын білесіз?
   
2. 
   «Зиянды ақпарат» деген бұл қандай ақпарат?
   
3. 
   Конфиденциалды ақпарат деген не?
   

Кез келген қарапайым жүйені қорғаудың моделін алып қарастырайық. Бұл қорғаудың мықтылығы оны бұзушылардың әрекетіне төтеп бере алуында. Қорғайтын заттың қасиеті- бұзушыны қызықтыра білетін қасиетінде.Заттың қасиеті мен қорғау жүйесінің ара қатынасы қорғаудың тиімділігін анықтайды. Егер қорғау бұзушының шығынынан аз болса, қорғаудың тиімділік дәрежесі қанағаттанарлық деп есептеледі.

Ақпарат уақыт өткен сайын өзінің құндылығын жоғалтады. Бұл жағдайда бұзушының қорғауды бұзуға кеткен уақыты ақпараттың құндылығын сақтау уақытынан артып кетеді деп есептеуге болады. Осы ара қатынасты келесі формуламен көрсетуге болады:

Рези=( 1-Рнр)(1-Робх ) (1)

Рези- бұзушының қорғауды бұза алмауы не тосқауылдың мықтылығы

Рнр – бұзушының тосқауылды бұза алу мүмкіндігі

tж- ақпараттың құндылық өмірі

қанағаттанарлық жағдай келесі ара қатынаспен беріледі: Рсзи= 1, егер tж

1. 
   Формула бойынша қорғаудың мысалы ретінде ақпаратты криптографиялық өңдеуді атауға болады, Рнр көлемін дешифровкалау кілтін таңдау мүмкіндігін анықтау жолдарымен есептеледі. Бұл жағдайда Робх мөлшері өңдеу ідісін таңдауға, сақтау әдісіне, кіліттің кодын сақтауға байланысты болады, сонымен қатар бір тосқауылды айналып өтудің бірнеше жолдары болуы мүмкін. Бұл жағдайда (1) формула келесідей болады
   

n – тосқауылды айналып өту жолдарының саны

Егер қорғау заты өзінің құнын сақтағанда және кейбір себептермен tн>tж қамтамасыз ету мүмкін болмаса,(мысалы, компьютерлік жүйедегі ақпарат үнемі жаңарып отырса), бақылау және іздеп табу қасиеттеріне ие тосқауыл қолданылады. Осындай тоқауыл ретінде адам немесе автоматтандарылған жүйе қызмет етеді.

Периодты түрде бақыланатын қорғау обьектісінің периметрі. Тосқауылды /преграда/ бұзушының бұл жағдайда бұза алу мүмкіндігін формуламен көрсетуге болады:

Рнр= 1 - (tn/Тк) (3)

tn – уақыт, бұзушының тосқауылды бұзуға кететін;

Тк - бақылаудың периодтылығы

(3) формулада tn мөлшері өскенде, тосқауылды бұзу мүмкіндігі азаяды, және tn>Тк болғанда тосқауыл арқылы рұқсатсыз ене алмайды - бұзушы оны айналып өту жолдарын іздейді.

Бақылау жүйесінің рұқсат етпеу мүмкіндігін есепке алсақ (Ротк) тосқауылдың мықтылығы НСД контролерімен тосқауылдың мықтылығы үшін келесі түрге ие болады:

Рсзик=tн/Тк(1 - Ротк)(1 - Робх 1)(1 - Робх2)... (1 - Робхn) (4)

Практика жүзінде қорғау контуры өзара бірнеше рет қосылған тосқауылдардан тұрады. Қорғауды бұзу үшін бұзушы әлсіз тосқауылды пайдаланады. Осы себептермен қорғаудың бұл мықтылығы ең әлсіз бөлшегінің мықтылығымен анықталады.

Егер қорғаудың әлсіз бөлшегінің мықтылығы талапқа сай болмаса, ол одан мықтырағына алмастырылады не бір, екі не одан көп тосқауылдармен қосарланады. Онда қосарланған тосқауылдардың жалпы мықтылығы (3) формуламен анықталады:

Рz=1-(1-Рсзи1)(1-Рсзи2)...(1-РсзиN) (5)

N – тосқауылдың реттік нөмірі.

Ақпараттық қауіпсіздік концепциясы жалпы алғанда қарапайым үш сұраққа жауап беруі тиіс:

• 
  Нені қорғау?
  
• 
  Неден, кімнен қорғау?
  
• 
  Қалай қорғау?
  

Ақпараттың спецификасына оны қолданғанда, түгел жойылып кетпейтіндігі, алмасқанда өз иесінде қалатындығы жатады /ақшадан айырмашылығы- бұрынғы тұтынушысында қалады/.

Бірінші сұраққа жауап беру үшін алдымен қандай ақпарат қорғауды қажет ететіндігін ажыратуымыз керек. Ол фирмада жинақталған және құралған барлық коммерциялық құнды берілгендер болуы мүмкін. Ол қандай да болмасын іскерлік кездесулер, жеке адамдардың өмірінен мәліметтер болуы да мүмкін. Әрбір жекелеген жағдайда қандай ақпараттың жария болуы қажетсіз екендігін мұқият сараптау қажет. Артынан бұл ақпаратты оны тасымалдауышқа еппен енгізу керек. Келесі атқарылатын жұмыс осы қорғалатын обьектілерді олардың құрамындағы ақпараттың құндылығына байланысты аранжировкалау және оларға ене алатын қауіпті жүйелерді анықтау.

Ақпаратты бұзатын және оған қауіп төндіретін көздер

«Неден сақтану керек?» сұрағы қауіп төнгенде қойылады. Қауіп – қорғау обьектісіне әдейі заңсыз немесе кездейсоқ әсер етіп, ақпараттың жойылуына не жария болуына әкелетін мүмкіндік.

Қауіп деп ақпараттың тұтастығын жоятын, оның жоғалып кетуін не ауысып кетуін туғызатын жағдаяттарды айтады.

Қауіп, өзінің қолданылуына байланысты кездейсоқ не әдейі құрылған болады.

Кездейсоқ әсерлер уақыты мен орыны кездейоқ процесстер заңына бағынады.

Кездейсоқ қауіптерге /случайные угрозы/ жататындар:

• 
  Қызмет көрсету персоналы мен тұтынушылардың /пользователи/ қателері: архивтік берілгендерді дұрыс сақтамау кезінде ақпаратты жоғалту, берілгендерді кездейоқ /случайное/ жойып жіберу немесе өзгерту.
  
• 
  Жабдықтар мен электржүйесінің істен шығуы: кабель жүйесінің істен шығуы; дисктік жүйенің істен шығуы, берілгендерді архивтеу жүйесінің істен шығуы, сервер жұмысының, жұмыс станцияларының, желі карталардың істен шығуы т.б.
  
• 
  Бағдарламамен қамтамасыз ету жұмысының жеткіліксіз орындалуында ақпараттың жоғалуы:бағдарламамен қамтамасыз етуде берілгендерді жоғалту не қателесу кезіндегі жоғалту; жүйені компьютер вирустарымен жұқтырғандағы жоғалтулар.
  
• 
  Санкциясыз енуге байланысты жоғалтулар: конфиденциалды ақпаратпен бөгде адамдардың кездейсоқ танысуымен байланысты жоғалтулар.
  

Әдейі әсер етудің жанасу нүктелері алдымен, компьютер жүйесіне ену мен шығумен байланысқан, яғни оның барлық периметрлерімен. Бұл ену мен шығулар ақпараттың енуінің штатты және штатты емес каналдары болуы мүмкін. Штатты каналдарға жататындар: тұтынушылар терминалдары, ақпаратты бейнелеу мен документтеу құралдары, ақпаратты енгізу мен шығару құралдары, ақпаратты тасымалдауыштар, бағдарламамен қамтамасыз ету құралдары, сыртқы байланыс каналдары.

Компьютер жүйесіндегі қорғау болмағанда ақпаратқа әдейі енудің мүмкін каналдарына жататындар:

• 
  Барлық жоғарыда аталған құралдар, егер оларды заңсыз түрде қолданса;
  
• 
  Технологиялық пульттер мен басқару органдары;
  
• 
  Аппаратты құралдардың арасындағы байланыс сызықтары;
  
• 
  Ақпаратты тасымалдайтын электромагнитті сәулелер;
  
• 
  Электр жүйесіндегі қосымша қосылулар, аппаратты, компьютер жүйесі жанында орналасқан бөгде коммуникацияларды жермен қосу.
  

• 
  Бұзушы кез келген уақытта және компьютер жүйесі периметрінің кез келген жерінде пайда болуы мүмкін;
  
• 
  Бұзушының біліктілігі /квалификация/ мен білетінділігі /осведомленность/ берілген жүйені жобалаушы дәрежесінде болуы мүмкін;
  
• 
  Жүйенің жұмыс істеу принциптері туралы үнемі сақталатын ақпарат, құпия ақпаратпен бірге, бұзушыға белгілі;
  
• 
  Бұзушы өзінің мақсатына жету үшін ең әлсіз звеноны таңдайды;
  
• 
  Бұзушы ретінде тек бөгде адам ғана емес, сонымен қатар жүйенің заңды тұтынушысы да болуы мүмкін.
  

Ішкі қауіп көздеріне персоналдың кездейсоқ жіберген қателері және әдейі жіберген жағдаяттары жатады./действия/

Сыртқы қауіп әр түрлі. Нарықтық экономика жағдайында, ұжымдар арасындағы бәсекелестік олардың бір- біріне қызығушылық танытуына әкеледі.

Бәсекелестерден басқа фирмалар мен жеке тұлғаларға мафиозды топтар да үлкен қауіп тудырады.

Көптеген ірі коммерциялық структуралар өздерінің мықты қауіпсіздік қызметін құрды, олардың қазіргі нарықтық экономика жағдайындағы негізгі алдына қойған мақсатына потенциалды клиенттері, партнерлері мен бәсекелестері туралы ақпараттарды табу жатады.

Ақпараттарды бұзу көздеріне жататындар:

• 
  Кедергілер /помехи/;
  
• 
  Жабдықтар жұмысына кедергілер /сбои в работе оборудования/
  
• 
  Жауапсыз тұтынушы (персоналдың қателері);
  
• 
  Санкциясыз ену;
  
• 
  Вирустар.
  

1. 
   Қоректендіруден айыру /отключение питания.
   
2. 
   Процессордың немесе жұмыс құралдарының істен шығуы.
   
3. 
   Ақпаратты жинақтаушының істен шығуы.
   

4. 
   Жауапсыз тұтынушы (персоналдың қателері).
   

5. 
   Санкциясыз ену. Жүйені тұтынушының зондтау /зондирование/ - бұл тұтынушының жүйенің нашар қорғалған бөліктерін пайдалануы. Ресурстарды рұқсатсыз пайдалану тәртіп бұзушылық болып саналады.
   

• 
  Файлдар мен хабарламалардың нумерациялау;
  
• 
  Байланыс каналдарын тұтынушылардың пароль қоюы арқылы қорғауы;
  
• 
  Криптографиялау;
  
• 
  Электронды кілтті қолдану.
  

Қазіргі кезде компьютерлік қылмыстар түрі көп. Компьютерлік қылмыстарға қарсы қолданылатын шараларды төмендегідей бөледі:

• 
  Нормативті- заңдылықты
  
• 
  Моральды – этикалы
  
• 
  Ұйымдастырушылық
  
• 
  Техникалық
  

Тек кейінгі кезде ғана компьютерлік қылмыспен күрес жөнінде жұмыстар жасалып жатыр.

Моральды- этикалық - ақпараттық қауіпсіздікті қамтамасыздандыруға бағытталған, бірақ заң жүзінде немесе әкімшілік тарапынан бекітілмеген, тек ұжымдарда қоғамдық пікірлер мен салт-дәстүрлер арқылы ұсталатын ережелер мен нормалар.

Закончили 01.10.12

Ұйымдастырушылық – ақпаратты алуға, сақтауға және беруге әкімшілік жолдармен бекітілген ережелер мен шаралар. Әрбір кәсіпорында немесе фирмада ақпаратты сақтау мен қорғау шаралары өзінің масштабы мен формасына қарай ерекшеленеді. Техникалық жағынан жоғары дәрежеде жабдықталған қиянатшылардың злоумышленники/ қауіпі ақпаратты қорғау үшін күрделі таңдауды қажет етеді. Осындай шешімдердің негізіне жататындар:

Ақпараттық қауіпсіздікті қамтамасыз етуде ғылыми принциптерді қолдану, олардың құрамына кіретіндер: заңдылық, экономикалық тиімділік, дербестік /самостоятельность/ және жауаптылық, еңбекті ғылыми түрде ұйымдастыру, теория мен практиканы тығыз байланыстыру, специализация мен біліктілік, бағдарламалы-мақсатты жобалау, тығыз байланыстылық пен координациялау, қажетті конфиденциалдылықты сақтай отырып қолдануға қарапайымдылық.

• 
  Кәсіпорын қызметкерлерінің өздеріне сенім артып жүктелген ақпаратты сақтай білуіне заңды міндеттерді қабылдауы.
  
• 
  Ақпаратты ұрлау немесе өзгерту мүмкіншілігін болдырмайтын әкімшілік тарапынан жағдайлар құру
  

• 
  Қорғалатын ақпараттың конфиденциалдық дәрежесін анықтау
  
• 
  Қорғау құралдары мен әдістерін (локальды, обьективті не аралас) таңдау.
  
• 
  Қорғалатын ақпаратты өңдеу тәртібін бекіту
  
• 
  Кеңістік факторларын есепке алу: бақылайтын зона енгізу, бөлмені дұрыс таңдау және обьектілерді өзара және бақылайтын зонамен шекарасын орналастыру
  
• 
  Уақытша факторларды есепке алу: қорғалатын ақпаратты өңдеу уақытын шектеу және жоғары конфиденциалды дәрежеде ақпаратты өңдеуге аз ғана адамдарға өңдеу мерзімін нақтылы айтып жеткізу.
  

Ақпараттың ұрлануыны болатын каналдарды блокировкалау техникалақ құралдар арқылы еңбекті және өндірісті ұйымдастыруды қамтамасыз ету үшін, обьектіні қорғау жүйесін құруға бірқатар шаралар орындалады:

• 
  Ғимараттың орналасу ерекшелігін, ғимараттағы бөлмелердің орналауын, айналасындағы территория мен оған келетін коммуникацияларды саралау.
  
• 
  Ішінде конфиденциалды ақпараттар айналымда болатын бөлмелерді анықтау және оларда қолданылатын техникалық құралдарды ескеру
  

• 
  Қолданылатын техниканы қосымша сәулелер әсеріне төзімділігіне сәйкестігін тексеру, бөлмені және бөлмедегі осы техниканы экрандау
  
• 
  Жекелеген желілерді, кабельді оңашалау, арнайы қондырғыларды және активті мен пассивті қорғаудың құралдарын қолдану
  

• 
  Ақпаратты сенімді қорғауды қамтамасыз ету
  
• 
  Қызметкерлер және әсіресе клиенттер үшін ыңғайсыздық тудырмау
  

1. 
   Ақпараттық қауіпсіздіктің қандай мәселелері бар? Оларды шешу үшін қандай амал жасау керек?
   
2. 
   Ақпараттың қауіпсіздігі үшін қандай техникалық шаралар жүзеге асырылу керек?
   
3. 
   Ақпарат конфиденциалды болу үшін не істеу қажет?
   

Ақпаратты қорғау стратегиясы мен тактикасына санкциясыз енуді мезгілінде анықтау, блокировкалау, болдырмау, бақылау жатады. Компьютерлік жүйелерде ақпаратты қорғаудың стратегиясы мен тактикасы оларды жобалау мен қолдану сатысында келесі шешімдерді табуды қажет етеді:

А) жобалау сатысында:

* қорғауға жататын ақпараттық берілгендердің тізімін және құндылығын анықтау;

* жүйенің қорғау обьектісі ретіндегі сараптамасы және бұзушының берілген модельді тәртіп бойынша онда болуы мүмкін барынша максималды каналдар арқылы санкциясыз ақпаратқа енуге және кездейсоқ сипатты іс – әрекеттері;

* ақпаратқа санкциясыз енуге мүмкін табылған каналдарды жабатын қорғау құралдарын және ақпаратты қажетті дәрежеде қауіпсіздігін қамтамасыз ететін қорғау құралдарын жобалау;

* жүйені функционалды бақылау құралдарын жобалау, ақпараттың шынайылығын арттыру және қорын жинау /резервирование/;

* ақпараттың осы берілген жүйедегі қауіпсіздігін басқару және орталықтандырылған басқару құралдарын құру немесе дайын құралдарын қолдану;

* берілген талаптарға сай күтілетін құрғаудың тиімділік дәрежесін бағалау;

Б) эксплуатациялау этапында:

* берілген компьютер жүйесіндегі ақпараттың қауіпсіздігіне бақылау жасау ;

* сырттан келген әрекеттерді дер кезінде анықтау және блокировкалау;

* қорғалатын ақпараттарға жіберілген барлық жолдамаларды тіркеу, құжаттау және статистикасын жүргізіп отыру.