Секция 3_Құдайберген_мақала. Апаратты ауіпсіздік стандарттарында апаратты Жйе асиеттерін баалау

Название	Апаратты ауіпсіздік стандарттарында апаратты Жйе асиеттерін баалау
Дата	22.05.2023
Размер	127.34 Kb.
Формат файла
Имя файла	Секция 3_Құдайберген_мақала.doc
Тип	Документы #1149705

АҚПАРАТТЫҚ ҚАУІПСІЗДІК СТАНДАРТТАРЫНДА АҚПАРАТТЫҚ ЖҮЙЕ ҚАСИЕТТЕРІН БАҒАЛАУ
Құдайберген А.Т., магистрант

Көкшетау қ., Ш. Уәлиханов атындағы Көкшетау университеті

Aizadakudaibergen1@gmail.com
Баегизова А.С., ф.-м.ғ.к., доцент м.а.

Астана қ., Л.Н. Гумилев атындағы Еуразия ұлттық университеті

baegiz_a@mail.ru
Ақпараттық қауіпсіздік (АҚ) стандарттарының басты міндеті – өндірушілер, тұтынушылар (пайдаланушылар) және ақпараттық технологиялар (АТ) біліктілігі бойынша сарапшылар арасындағы өзара іс-қимыл үшін негіз құру. Бұл топтардың әрқайсысының ақпараттық қауіпсіздік мәселесіне өз мүдделері мен көзқарастары бар [1:20].

Стандартты әзірлеу кезінде үш мақсат айтылды:

Пайдаланушыларға құпия және басқа да маңызды ақпаратты қауіпсіз өңдеуді қамтамасыз ету тұрғысынан есептеу жүйесіне сенімділік (кепілдік) өлшемін (дәрежесін) бағалауға болатын критерийді ұсыну;

Пайдаланушылар өз қажеттіліктеріне сәйкес келетін және олардың мәселелерін шешетін өнімді дұрыс таңдауға мүмкіндік беретін әдістемеге қызығушылық танытады, ол үшін қауіпсіздікті бағалау шкаласы қажет. Өкінішке орай, көптеген пайдаланушылар қауіпсіздік талаптары функционалдық талаптарға қайшы келетінін түсінбейді (жұмыс ыңғайлылығы, өнімділік және т.б.), үйлесімділікке шектеулер қояды және әдетте кең таралған, сондықтан қорғалмаған қолданбалы бағдарламалық жасақтамадан бас тартуға мәжбүр етеді.

Өндірушілерге нарықта кеңінен ұсынылған жаңа, дәлелденген коммерциялық өнімдерге енгізілген құрылғылардың кең ауқымын таңдауға көмектесетін нұсқаулық жасау;

Өндірушілер өз өнімдерінің мүмкіндіктерін салыстыру құралы ретінде стандарттарға, олардың қасиеттерін объективті бағалау механизмі ретінде сертификаттау процедурасын қолдануға, сондай-ақ белгілі бір құралдарды, механизмдер мен алгоритмдерді қолдану қажеттілігін барынша нақтылайтын және реттейтін қауіпсіздік талаптарының белгілі бір жиынтығын стандарттауға мұқтаж.

Сатып алынатын өнімдердің ерекшеліктеріндегі қауіпсіздікке қойылатын талаптарды бағалау үшін негізді қамтамасыз ету [2:70].

Сарапшылар стандарттарды АТ өнімдерімен қамтамасыз етілген қауіпсіздік деңгейін бағалауға мүмкіндік беретін құрал ретінде қарастырады. Бір жағынан, олар нақты және қарапайым критерийлерге қызығушылық танытады, екінші жағынан, олар пайдаланушыларға негізделген жауап беруі керек – өнім олардың қажеттіліктерін қанағаттандырады ма, жоқ па.

Бұл жағдайда сенімді жүйе "қол жеткізу құқығын бұзбай пайдаланушылар тобының әртүрлі құпиялылық дәрежесіндегі ақпаратты бір уақытта өңдеуін қамтамасыз ету үшін жеткілікті аппараттық және бағдарламалық құралды пайдаланатын жүйе" ретінде анықталады.

Жүйелердің сенімділігі екі негізгі критерий бойынша бағаланады:

Қауіпсіздік саясаты-ұйымның ақпаратты қалай жинақтайтынын, өңдейтінін, қорғайтынын және тарататынын анықтайтын заңдар, ережелер мен мінез-құлық нормаларының жиынтығы. Қауіпсіздік саясаты ықтимал қауіптерді талдауды және қарсы шараларды таңдауды қамтитын қорғаудың белсенді құрамдас бөлігі болып табылады. Жүйе неғұрлым сенімді болса, қауіпсіздік саясаты соғұрлым қатал және алуан түрлі болуы керек.
Кепілдік-бұл жүйенің архитектурасы мен іске асырылуына берілуі мүмкін сенім шарасы. Кепілдік тұтастай алғанда жүйені немесе оның компоненттерін сынау арқылы анықталуы мүмкін. Кепілдік-қорғаушылардың өздерін қадағалайтын және қауіпсіздік саясатын жүзеге асыруға жауапты механизмдердің қаншалықты дұрыс екенін көрсететін қорғаныстың пассивті құрамдас бөлігі.

Сенімді жүйе АҚ-ға қатысты барлық оқиғаларды жазуы керек. Сондықтан АҚ-ны қамтамасыз етудің маңызды құралы есеп беру (хаттама) механизмі болып табылады. Хаттамаларды жүргізу аудитпен, яғни тіркеу ақпаратын талдаумен толықтырылуы тиіс.

Жүйені сенімді деп санауға болатын кепілдік дәрежесін бағалау кезінде сенімді есептеу базасының тұжырымдамасы орталық болып табылады. Есептеу базасы – бұл АҚ саясатын жүзеге асыруға жауап беретін компьютерлік жүйенің қорғаныс механизмдерінің жиынтығы (аппараттық және бағдарламалық қамтамасыз етуді қоса алғанда). Есептеу базасының сенімділігі тек оны іске асырумен және қызметкерлер енгізетін бастапқы деректердің дұрыстығымен анықталады (мысалы, бұл пайдаланушылардың сенімділік дәрежесі туралы мәліметтер болуы мүмкін). Сенімді есептеу базасының негізгі мақсаты-өтініштер мониторының функцияларын орындау, яғни субъектілердің объектілерге белгілі бір операцияларды орындауына жол беруін бақылау. Пайдаланушының бағдарламаларға немесе деректерге жасаған әрбір өтініші пайдаланушы үшін рұқсат етілген әрекеттер тізімімен сәйкестігі үшін тексеріледі.

Ақпараттық қауіпсіздік стандарттары критерийлердің нақты жинағын әзірлеуге арналған, соны орындау арқылы жүйеге ықтимал қауіптерді азайтуға болады. Ақпараттық жүйелердің қауіпсіздігін бағалау кезінде мамандардың үш тобының пікірін ескеру қажет: АЖ әзірлеушілері, АЖ тұтынушылары немесе пайдаланушылары, ақпараттық қауіпсіздік талдаушылары.

Ақпараттық жүйенің сапасын немесе жеке көрсеткіштерді қандай стандарттар мен нормативтік құжаттардың көмегімен бағалауға болатындығын қарастырайық [3:90].

ISO/IEC 27001 стандарты ақпараттық қауіпсіздікті басқару жүйесінің алғашқы халықаралық стандарты болып табылады. Ол ақпаратты қорғау саласындағы көптеген басқа стандарттардан ерекшеленеді, оны кез-келген ұйымда оның қызметіне қарамастан қолдануға болады.

ISO 27001 халықаралық ақпараттық қауіпсіздік стандарты кәсіпорында ақпараттық қауіпсіздік жүйесінің құрылысын сипаттайды. Жалпы, ISO 27001 стандарты ақпараттық қауіпсіздікті басқару жүйесіне (АҚБЖ) қойылатын талаптардың сипаттамасы болып табылады, ал ISO 27002 – бұл талаптарды енгізуге арналған практикалық нұсқаулық.

ISO 27001-дің ерекшелігі – ол техникалық қорғаныс құралдарына емес, ақпараттық қауіпсіздікті басқару жүйесіне қойылатын талаптарды қояды. Бұл стандарттың басты ерекшелігі және тапсырыс беруші талаптардың кішкене бөлігін енгізу техникалық құралға емес ең алдымен процестерге әсер ететінін түсінуі керек. ISO/IEC 27001 стандартының қолданылу аясы басқа ақпарат қауіпсіздігі стандарттарынан ерекшеленеді. Табысты жұмыс істейтін бизнес-үдеріс ұйымға табыс әкелетіндіктен, ISO 27001 ұйымдағы бизнес-процесті де қорғайды.

Құзыретті ақпараттық қауіпсіздік саясаты ақпараттық активтерді, ақпараттық тәуекелдерді бағалауды, тәуекелдерді басқару саясатын әзірлеуді және оны жүзеге асыруды білдіреді деп болжанады. Яғни, түпкілікті міндет – ақылға қонымды жеткіліктілік принципін қолдана отырып, ақпараттық активтерді қорғау болып табылады. Таңдалған тәуекелдерді басқару саясатын іске асыру үшін компанияның жалпы ақпараттық қауіпсіздік саясатын және қауіпсіз пайдалану ережелерін әзірлеуден бастап үй-жайларды физикалық қорғауға, желіаралық қалқандар мен антивирустық бағдарламалық қамтамасыз етуді қолдану арқылы қорғауға дейінгі бірқатар ұйымдастырушылық және т.б. техникалық шаралар қабылданады. Ақпараттық қауіпсіздік тәуекелдерін бағалау әдістемесі ISO 27005 стандартында берілген.

Айта кету керек, барлық стандарт қауіпсіздік үшін қорғаудың белгілі бір деңгейіне жету емес, компания бизнесінің маңыздылығына негізделген компания активтерін қорғау бойынша барабар шараларды енгізу, яғни: ұйымның АҚ сапасын арттыру, бұл міндетті түрде АЖ сапасын арттыруға әкеледі.

ISO 27001 кемшіліктері:

АҚБЖ құжаттау бойынша нақты нұсқаулардың болмауы (құжаттардың жалпы тізбесі, оны қалыптастыру бойынша нұсқаулықтар, құжаттардың мазмұнына қойылатын талаптар жоқ). Бұл АҚБЖ енгізуде елеулі қиындықтар туғызады, өйткені қанша құжат болуы керектігі туралы пікірлер, олар қандай болуы керек, нені құжаттандыру керек және нені құжаттамау керек және оны қалай жасау керектігі айтарлықтай ерекшеленуі мүмкін;
стандарт АҚБЖ пен АҚҰЖ, бақылаудың техникалық және ұйымдастырушылық тетіктері арасындағы нақты шекараны анықтамайды. Нәтижесінде, көптеген адамдар АҚБЖ -ні АҚҰЖ -нің таза ұйымдастырушылық құрамдас бөлігі ретінде қарастырады, дегенмен стандарт іс жүзінде бір-бірінсіз өмір сүре алмайтын бақылаулардың екі класын сипаттайды;
қауіпсіздік жүйелерінің параметрлерін қандай критерийлерге/ техникалық стандарттарға сәйкестігін тексеру қажет екендігі реттелмеген.

Жоғарыда аталған барлық кемшіліктер оларды басқа көзқараспен қарау кезінде артықшылықтар болып табылады, өйткені олар Орындаушының таңдалған әрекеттеріне ешқандай шектеулер қоймайды. "Ақпараттық технологиялардың қауіпсіздігін бағалаудың жалпы критерийлері" (The Common Criteria for Information Technology Security Evaluation) деп аталатын стандартта ұйымдардағы ақпаратты қорғауды қамтамасыз етудің жалпы тәсілдері, әдістері мен функциялары егжей-тегжейлі қарастырылған.

Ақпараттық қауіпсіздік жүйесінің функциялары ақпараттың құпиялылығы, тұтастығы, сенімділігі және қолжетімділігі талаптарының орындалуын қамтамасыз етеді. Барлық функциялар төрт деңгейлі иерархиялық құрылым түрінде берілген: класс – отбасы – компонент – элемент. Аналогия бойынша сапа талаптары ұсынылған. Мұндай градация кез-келген ақпараттық қауіпсіздік жүйесін сипаттауға және құрылған модельді қазіргі жағдаймен салыстыруға мүмкіндік береді. Стандартта 11 функция класы көрсетілген: аудит, сәйкестендіру және аутентификация, криптографиялық қорғау, құпиялылық, деректерді беру, пайдаланушы деректерін қорғау, қауіпсіздікті басқару, жүйенің қауіпсіздік функцияларын қорғау, ресурстарды пайдалану, жүйеге қол жеткізу, құралдардың сенімділігі.

Ақпараттық қауіпсіздікті бағалау стандартта көрсетілген функциялардан тұратын қауіпсіздік жүйесінің модельдеріне негізделген. ISO 15408 стандартты қауіпсіздік модульдерін сипаттайтын бірқатар алдын ала анықталған модельдерді (профильдер деп аталады) қамтиды. Олардың көмегімен сіз велосипедті ойлап тауып, жалпы қорғаныс модельдерін өзіңіз жасай алмайсыз, бірақ осы құралдарға сипаттамалардың, мақсаттардың, функциялардың және талаптардың дайын жиынтығын қолдана аласыз. Профильдердің қарапайым мысалы-брандмауэр немесе ДҚБЖ моделі.

Сертификатталған профиль қауіпсіздік жүйесінің белгілі бір бөлігінің (немесе функциясының) толық сипаттамасы болып табылады. Онда объектінің ішкі және сыртқы ортасын талдау, оның функционалдығы мен сенімділігіне қойылатын талаптар, оны пайдаланудың логикалық негіздемесі, объектінің даму мүмкіндігі мен шектеулері бар.

ISO 15408 стандарты ашықтықты жақсы ажыратады. Қауіпсіздік жүйесінің осы немесе басқа саласын сипаттайтын Профильді ISO 15408-де жасалған құжат құрылымының көмегімен дербес жасауға болады. Стандарт сонымен қатар профильдерді өздігінен құруға арналған әрекеттер тізбегін анықтайды.

Айтарлықтай толықтығымен, әмбебаптығымен және үлкен даму әлеуетімен ерекшеленетін ISO 15408 әлемнің көптеген елдерінде, соның ішінде Ресейде де танылды.

Қауіпсіздік профильдерін тек мемлекеттік сертификаттау жүйесінде ғана емес, сонымен қатар коммерциялық ұйымдардың қызметінде де қолдануға болады. Мәселен, мысалы, аумақтық бөлінген инфрақұрылымы бар ұйым үшін деректерді қорғауды қамтамасыз етудің бірыңғай ережелерін белгілеген жөн. Бұл жағдайда қашықтағы объектілермен қол жеткізу және ақпарат алмасу ережелерін сипаттайтын профиль жасалуы мүмкін.

Басқа қауіпсіздік стандарттарымен салыстырғанда ISO 15408 ерекшеліктері:

стандарт қауіпсіздік құралдарына қойылатын талаптардың толық тізімін, сондай-ақ оларды бағалау критерийлерін (ақпараттық қауіпсіздік көрсеткіштері) анықтауға мүмкіндік береді;
стандарт қауіпсіздік жүйесін құру, басқару және бағалау әдістеріне назар аудармай, талдау объектілерінің толық тізімін және оларға қойылатын талаптарды анықтайды;
стандарт ақпаратты қорғауды қамтамасыз ету бойынша ұйымдастырушылық шаралар кешенін қарастырмай, ақпараттық қауіпсіздік жүйесінің толықтығын техникалық тұрғыдан бағалауға мүмкіндік береді. Ақпараттық қауіпсіздік жүйесін ұйымдастыру жағынан қарастыру қажет болса, онда қауіпсіздіктің қосымша талаптарын қамтитын ГОСТ Р ISO/IEC TO 19791-2008 «Ақпараттық технологиялар. Қауіпсіздік әдістері мен құралдары. Автоматтандырылған жүйелер қауіпсіздігін бағалау» қолдану қажет;
стандарт автоматтандырылған жүйелердің (ЕТҚ) қорғалу деңгейін онда іске асырылған қауіпсіздік функцияларының толықтығы және осы функцияларды іске асырудың сенімділігі тұрғысынан бағалауға мүмкіндік береді [4:35].

Әдебиеттер

Бабаш, А.В. Информационная безопасность: Лабораторный практикум/А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2019. - 432 c.
Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасность. Государственный Стандарт России. М., 2019. - 155 с.
Информационная безопасность компьютерных систем и сетей: учебное пособие/В.Ф. Шаньгин. - Москва: Издательство "ФОРУМ": ИНФРА-М, 2020. - 416 с.
ГОСТ Р ИСО/МЭК 15408-1-2021. Информационные технологии. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Государственный стандарт России. М., 2021.