Халықаралық стандарттар

Халықаралық стандарттарды (ХС) қолдану тәртібі ҚР СТ 1.9-2007 келтірілген.

Қазақстан Республикасы территориясында талаптары төменде келтірілгенге жауап бере алатын халықаралық құжат пен басқа стандарттар мен нормативті құжаттар пайдалана алады:

· ҚР ішкі нарығы мен экономикалық салалардың қажеттіліктеріне, ҚР территориясында қызмет ететін ел азаматтарының, жеке және заңды тұлғалардың құқықтары мен мүдделерін шектемейтін;

· ҚР Заңнамасының талаптарына;

· адам өмірі мен денсаулығы, қоршаған ортамен байланысты және өнім қауіпсіздігін қамтамасыз етуде техникалық регламент нұсқауларына;

· өнім мен қызметтің бәсекегеқабілеттілігін жоғарлату мақсатына.

· ХС пайдалану келесідей әдістер бойынша іске асырылады:

· растау;

· қайта басу (переиздание);

· есептік тіркеу.

Растау әдісі:

Берілген әдіс бойынша халықаралық стандарттарға стандарттар сілтемесінде ұйымдық-тәртіптік құжатты басып шығару жолымен мемлекеттік стандарт деңгейін береді. ХС текстісі қосылмайды.

Берілген қабылдау әдісі мемлекеттік стандарттарға ХС ресми түрінің мемлекеттік және орыс тілдерінде болғанда және ХС басылымдық өзгерістер енгізудің қажеттілігі болмаған жағдайда пайдаланылады.

Қайта басу әдісі:

ХС, халықаралық құжатты мемлекеттік стандартқа қайта басу әдісі келесі жолдармен іске асырылуы мүмкін:

· қайта басу;

· аударма;

· жаңа редакцияны құру.

Есептік тіркеу әдісі:

ХС мемлекеттік стандарт ретінде қабылдау мақсатында есептік әдісі қолданылмайды. Есептік тәркеу әдісі нақты тұтынушы мүддесінде қолданылады, егер:

· жаңа технология мен өнімді өндіруге байланысты ХС, басқа да стандарттар мен нормативті құжаттарды тез пайдалану қажет болғанда;

· Қазақстан Республикасы территориясында ХС шектелген пайдалануға ие (бір немесе екі тұтынушымен) болған жағдайда.

Есептік тіркеу техникалық реттеу бойынша уәкілетті органмен халықаралық стандарт мемлекеттік стандарт ретінде пайдалану туралы шешімді қабылдауға дейінгі стандарттар немесе құжаттың әрекет ету мерзімінен артық емес уақытқа дейін іске асады.

Халықаралық стандарттар, стандарттар мен құжаттардың басқа категориялары оларға есептік тіркеу нөмірін берумен техникалық реттеудің мемелекеттік жүйесінің тізіліміне енгізіледі. Есептік тіркеуден өткен қалықаралық стандарттар, халықаралық құжат пен басқа да нормативті құжаттарды қолдануға рұқсаты ҚР территориясында қызмет ететін жеке және заңды тұлғаларға таралады.

Егер республикада техникалық реттеу жүйесінің сқұрылу үрдісі кезінде басқа да шешім қабылданбаса, есептік тіркеуден өткен стандарттар мен құжаттардың әрекет ету мерзімдері шегінде есептік тіркеу іске асады.

Халықаралық стандарттарды есептік тіркеу техникалық реттеу бойынша органмен уәкілденген кәсіпорынмен өткізіледі.

Қазақстан Республикасында да ақпаратты қорғау және қауіпсіздігін қамтамасыз етуге байланысты көптеген стандарттар бар. 5.1-кестеде нақты осы салаға байланысты стандарттар қамтылған.

 

5.1-кесте.

ҚР ақпаратты қорғау және қауіпсіздігін қамтамасыз етуге байланысты стандарттар

№	Нормативтік құжаттың белгісі	Нормативтік құжаттың атауы
	ҚР СТ ИСО/МЭК 14888-1-2006	Ақпараттық технология. Ақпаратты қорғау әдістері. Қосымшалы сандық қолтаңбалар. 1 бөлім. Жалпы ережелер
	ҚР СТ ИСО/МЭК 14888-2-2006	Ақпараттық технология. Ақпаратты қорғау әдістері. Қосымшалы сандық қолтаңбалар. 2 бөлім. Сәйкестендіруге арналған механизмдер
	ҚР СТ ИСО/МЭК 14888-3-2006	Ақпараттық технология. Ақпаратты қорғау әдістері. Қосымшалы сандық қолтаңбалар. 3 бөлім. Сертификатқа негізделген тетіктер
	ҚР СТ ИСО/МЭК 10118-1-2006	Ақпараттық технология. Ақпаратты қорғау әдістері. Хеш – Функциялар. 2 бөлім. N-биттік шифрлау блогын қолданатын хеш-функциялар
	ҚР СТ ИСО/МЭК 10118-2-2006	Ақпараттық технология. Ақпаратты қорғау әдістері. Хеш – Функциялар. 3 бөлім. N-биттік шифрлау блогын қолданатын хеш-функциялар
	ҚР СТ ИСО/МЭК 10118-3-2006	Ақпараттық технология. Ақпаратты қорғау әдістері. Хеш – Функциялар. 3 бөлім. Арнайы хеш-функциялар
	ҚР СТ ИСО/МЭК 10118-4-2006	Ақпараттық технология. Ақпаратты қорғау әдістері. Хеш – Функциялар. 4 бөлім. Модульдік арифметиканы қолданатын хеш-функциялар
	ҚР СТ ГОСТ Р ИСО/МЭК 7498-1-2006	Ақпараттық технология. Ашық жүйелердің өзара байланысы негізгі эталон үдгі. 1 бөлімНегізгі үлгі
	ҚР СТ ГОСТ Р ИСО/МЭК 7498-2-2006	Ақпараттық технология. Ашық жүйелердің өзара байланысы негізгі эталон үдгі. 2 бөлім. Ақпараттық қорғау архитектурасы
	ҚР СТ 34.020-2006	Ақпартты қорғау. Ақпаратты қорғаудың техникалық құралдары. Сәулену ұқсатқыштары
	ҚР СТ 34.021-2006	Ақпартты қорғау. Ақпаратты қорғаудың техникалық құралдары. Кеңістік шулану генераторлары
	ҚР СТ 34.022-2006	Ақпаратты қорғау. Ақпараттық жүйелерді жобалауға, орнатуға, ретке келтіруге, пайдалануға және олардың қауіпсіздігін қамтамассыз етуге қойылатын талаптар
	ҚР СТ 34.024-2006	Ақпаратты қорғау. Қорғалған ортадағы автоматтандырылған жүйелер. Жалпы техникалық талаптар
	ҚР СТ 34.025-2006	Қорғалған ортадағы автоматтандырылған жүйелерді құру тәртібі
	ҚР СТ 1073-2007	Ақпаратты криптографиялық қорғау құралдары. Жалпы техникалық талаптар
	ГОСТ 28147-89	Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования
	ГОСТ Р 34.10-2001	ИТ. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи
	ГОСТ Р 34.11-94	ИТ. Криптографическая защита информации. Функция хеширования
	ГОСТ Р ИСО/МЭК ТО 13335-1-2006	ИТ. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий
	ГОСТ Р ИСО/МЭК ТО 13335-5-2006	ИТ. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети
	ГОСТ Р ИСО/МЭК ТО 13335-3-2007	ИТ. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий
	ГОСТ Р ИСО/МЭК ТО 13335-4-2007	ИТ. Методы и средства обеспечения безопасности. Часть 4 Выбор защитных мер
	ҚР СТ ГОСТ Р ИСО/МЭК 17799-2006	Қорғауды қамтамассыз ету әдістері ақпарат қорғауды басқару жөніндегі ережелер жиынтығы
	ГОСТ Р ИСО/МЭК 27001-2006	ИТ. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования
	ҚР СТ 1696-2007	Қол жеткізбеуді басқару және бақылау құралдары мен жүйелері жіктеу. Жалпы техникалық талаптар және сынау әдістері
	ҚР СТ 1699-2007	Қол жеткізуді бақылау және басқару жүйелері. Жалпы техникалық талаптар.
	ҚР СТ ИСО/МЭК 15443-1-2007	Ақпараттық технологиялар. Қорғауды қамтамассыз ету жұмыстары. Ақпараттық технолгиялардың қауіпсіздігін қамтамассыз ету құрылымы. 1 бөлім. Жалпы талаптар
	ҚР СТ ИСО/МЭК 15443-2-2007	Ақпараттық технологиялар. Қорғауды қамтамассыз ету әдістері. Ақпараттық технолгиялардың қауіпсіздігін қамтамассыз ету құрылымы. 2 бөлім. Қамтамассыз ету әдістері
	ҚР СТ ГОСТ Р 52292-2007	Ақпараттық технологиялар. Электрондық ақпарат алмасу. Терминдер мен анықтамалар
	ҚР СТ 1700-2007	Қызметтік үймараттарда ақпаратты техникалық қорғау. Жалпы техникалық қорғау
	ҚР СТ ИСО/МЭК 18028-4-2007	Ақпараттық технологиялар қорғауды қамтамассыз ету әдістері. Ақпараттық технологиялар желілерін қорғау. 4 бөлім. Қашықтан қол жеткізуді қорғау
	ҚР СТ ИСО/МЭК ТО 14516-2007	Ақпарттық технологиялар. Қорғауды қамтамассыз ету әдістері. Сенәм білдірілген үшінші тараптың қызметін пайдалану және басқару. Жалпы талаптар
	ҚР СТ ГОСТ Р МЭК 60950-2005	Ақпараттық технологиялар жабдығының қауіпсіздігі
	ГОСТ Р ИСО/МЭК 9594-8-98	Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации

Негізгі әдебиеттер: 1[25-75], 2[35-86], 10[15-41], 11[25-64], 12[15-84].

Қосымша әдебиеттер: 3, 4, 6, 7, 11

Бақылау сұрақтары:

1. Қазақстан Республикасының 2004 жылдың 9 қарашасынан №603-ІІ 3ҚР

«Техникалық реттеу туралы» Заңының бағыты?

2. ҚР техникалық-экономикалық классификаторлары мен стандарттары?

3. Ақпараттық технология. Ақпаратты қорғау әдістері. Қосымшалы сандық қолтаңбаларға байланысты Қазақстан Республикасының стандарты қандай. Мақсаты?

4. ҚР СТ ГОСТ Р ИСО/МЭК 15408-1-2006 стандартының мақсаты?

Дәріс 6. ГОСТ Р ИСО/МЭК 15408-1-2001. Ақпараттық технология. Ақпараттық технологиялар қауіпсіздігін бағалау критерийлерінің қауіпсіздігін қамтамасыз ету әдістері мен жабдықтары.

ISO/IEC 15408:2001. Стандарттың тарихы. Негізгі ережелер.

Бұл үш бөлімнен тұратын стандарт ережелерді (тарихта «Жалпы ережелер» деп аталып кеткен) анықтайды. Жалпы ережелер (ЖЕ) ақпараттық технологиялар жүйесінің және қауіпсіздік өнімдерінің сипаттамаларына баға беру негізі ретінде қолдану үшін құрылған. ЖЕ ақпараттық технологияларына баға беру ережелерін құрудың тізбекті жұмыстарының нәтижесі. 80-жылдардың басында АҚШ-та «Сенімді компьютерлік жүйелерге баға беру ережелері» (TCSEC) құрастырылған. Келесі он жылда әр түрлі мемлекеттер баға беру ережелерді құрастыру тұралы жүмыс жасалды. Олар TCSEC тұжырымдамасын қолданып ақпараттық технологияларының өзгерістеріне бейімдеу, баға беру ережелерін құрастыруға талаптанды.

1991 жылы Еуропада Еуропалық комиссиямен «Ақпараттық технологияларының құауіпсіздігіне баға беру ережелері» (ITSEC) баспадан шықты. Бұл ережелер Францияның, Германияның, Нидерландтың және Великобританияның біріккен жұмысы.

90-жылдарда әр мемлекет өз ережелерін құрастырды. Содан кейін 1993 жылының маусым айында CTCREC, FC, TCSEC, ITSEC ұйымдары бірігіп жұмыс істей бастады. Олар ережелердің айырмашалақтарын түзетіп, біріккен ақпараттық технологиялардың қауіпсіздендіру ережелерін құрастыру үшін жұмыс істеді. 1996 жылдың сәуірінде ЖК ISO-мен бекітілді.

Стандарт ақпараттық технологиялар (АТ) қауіпсіздігінің баға беру нәтижелерін ережелердің жалпы базасын құрап бере алады. ЖЕ қауіпсіздікті тәуелсіз бағалау нәтижелерін салыстыруға мүмкіндік береді. Бұл АТ жүйелеріне, өнімдердің қауіпсіздік функцияларына және оларға деген сенімдік мөлшеріне, қауіпсіздікке баға беру барысында ортақ терім талаптарын қою арқылы жеткізіледі. Баға беру процесінде жүйелердің немесе өнімдердің қауіпсіздік функциялары, сонымен қатар сенім мөлшері берілген талаптарға сәйкес келеді деген сенімділік деңгейі болады. Баға беру нәтижесі АТ жүйелерінің немесе өнімдерінің қауіпсіздігі қолдану үшін толықтығын көрсетеді. ЖЕ АТ қауіпсіздік функциясы бар жүйелерді немесе өнімдерді құрастыру және сатып алу процестерінде қолданылатын құжат ретінде пайдаланылады. Баға беру кезінде АТ жүйені немесе өнімді баға беру объектісі деп атайды. Сондай баға беру объектілеріне операциялық жүйелер, есептеу желілері, жүйелері және қосымшалар жатады. ЖЕ ақпаратты рұқсатсыз ашу, өзгерту немесе оны қолдану мүмкіндігін жоғалтудан қорғайды. Бұл қауіпсіздікті бұзудың үш типіне: құпиялылық, бүтіндік, жеткілікті қорғау категорияларына сәйкес келеді. ЖЕ-ні берілген үш түсінікке жатпайтын АТ қауіпсіздігі аспектілеріне де қолдануға болады. ЖЕ-ні ақпаратқа адамдардан келетін қауіптерге қолданады. ЖЕ-ні аппараттық, программалық, аппаратты-программалық құралдарымен жасалған АТ қауіпсіздігіне де қолданады. Кейбір сұрақтар ЖЕ жұмыс аймағына кірмейтін сұрақтар ретінде қарастырылады. Ол сұрақтар арнайы әдістерді қолдануды талап етеді немесе АТ қауіпсіздігіне жақын болады.

Баға берудің контексті. Баға беру нәтижелерін көбірек салыстыру үшін баға беруді баға беру өкілетті жүйесінде жүргізу керек. Баға беру өкілетті жүйесі бағалайтын ұйымдар қолданатын стандарттарды бағдарлайды, бағалардың сапасын бақылайды және нормаларды анықтайды. ЖЕ-де құқықтық базаға берілетін талаптар көрсетілмеген. Бірақ, әр түрлі бағалау мүшелерінің құқықтық базасының келісімі, бағалау нәтижелерін өзара танылуы керекті шартты болып табылады. 6.1-суретте баға үшін контекст құрастырудың негізгі элементтері көрсетілген.

 

6.1-сурет. Бағалау контексті

 

Ортақ методологияны қолдану нәтижелердің объективтігі мен қайталануына әкеледі, бірақ бұл аз. Ережелердің көбі сараптамалық шешімдер мен базалық білімдерді талап етеді, бірақ олардың келісілуі қиын. Бағалауда алған тұжырымдардың үйлесімділігін көтеру үшін оның қорытынды нәтижелерін сертификаттауға болады. Бағалау нәтижелерін тәуелсіз тексеру сертификаттау процедурасы болып табылады, ол бағаны бекітеді немесе сертификат береді. Сертификаттау АТ қауіпсіздік ережелерін қолдануда көбірек үйлесім беретін құрал болып табылады. Бағалау жүйесі, методология және сертификаттау процедуралары бағалау мүшелері жұмысына кіреді және ЖЕ жұмыс аумағына жатпайды.

6.2-сурет. Қауіпсіздік түсінігі және олардың байланысы

 

Қауіпсіздіктің жалпы контексті. Қауіпсіздік активтерді қауіптерден қорғаумен байланысты. Барлық қауіптерді қарастыру жөн, бірақ қауіпсіздікте адамдардың ісімен байланысты қауіптерге көбірек назар аударылады. 6.2-сурет қауіпсіздіктің жоғары деңгейлі түсініктері мен олардың байланысын көрсетеді. Қарастырылатын активтердің бүтіндігіне оларға құнды болатын иемденушілер жауап береді. Иемденушіге қарамастан, бұзушылар сол активтерді қолдануды талап етуі мүмкін. Сондай қауіптерді иемденушілер активтердің құндылығын түсіретін потенциалды жұмыстар деп есептеуі мүмкін.

Активтердің иемденушілері мүмкін болатын қауіптерге талдау жасайды. Талдау натижесінде тәуекелдер анықталады. Қауіптерге қарсылық көрсету үшін әрекеттер таңдауда және тәуекелдерді керекті деңгейге түсіру үшін осы талдау көмектеспек. Әрекеттер әлсіздікті азайту үшін және актив иемденушілерінің қауіпсіздік саясатының орындалуы үшін қажет. Сол әрекеттерді қолданғаннан кейін де осалдықтар қалады. Бұзушылар Қалдық әлсіздіктерді қолданып, активтерге шабуыл жасай алады. Бұл жағдайда иемденушілер қосымша шектеу орнату арқылы ғана, қауіпті азайта алады.

Жалпы ақпараттың сенімді қорғалғандығын бағлау процедурасы өте қажет-ақ. Оны бағалау арқылы білуге болады. Төменгі суретте бағалау кезінде қамтылатын компоненттер мен олардың арасындағы байланыс көрсетілген.

 

6.3-сурет. Бағалауда қолданатын түсініктер және олардың байланысы

 

Активтердің көбі ақпарат ретінде берілген. Ақпарат иемденушілердің талаптары бойынша сақталады, өңделеді және жіберіледі. Ақпарат иемденушілерінің ақпаратпен орындалатын кез келген операцияларды бақылауды талап ету хақысы бар. Олар өнім немесе АТ жүйесі қауіптерге қарсы қауіпсіздендіру жиынтығын, соның ішінде арнайы бақылау құралдарын жасауды сұрау мүмкіндіктері бар.

АТ жүйелері анықталған талаптарды жүзеге асыру үшін жасалады. Сонымен қатар экономикалық себептерге орай АТ коммерциялық өнімдері максимальды қолданылуы мүмкін, ол операциялық жүйелер, аппараттық платформалар, қолтанбалы программалар. АТ жүйесіндегі жүзеге асырылған қауіпсіздендіру ережелері оған кірген өнімдердің функцияларын қолдана алады. Сондықтан қауіпсіздендіру ережелері АТ өнімдерінің қауіпсіздендіру функцияларының дұрыс жұмыс істеуіне тәуелді болмақы және АТ өнімдері АТ жүйесінің қауіпсіздігін бағалаудың құрамында бағалану керек. Егер АТ өнімі әр түрлі АТ жүйесіне кірсе, немесе кіруге мүмкіндігі бар болса, онда оның қауіпсіздігін бөлек бағалап, бағаланған өнімдердің тізіміне кіргізуге болады.

 

Негізгі әдебиеттер: 1[25-75], 2[35-86], 11[25-74], 12[25-64], 13[10-64].

Қосымша әдебиеттер: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11.

Бақылау сұрақтары

1. Стандарттағы «Жалпы ережелер» деген не?

2. Қауіпсіздіктің жалпы контексті қандай?

3. Сенімділік әдістері деген не, қалай анықталады?

4. Объектіні бағалау деген не? Қандай критерийлері бар?

5. Бағалауда қандай түсініктер қолданылады?

Дәріс 7. ISO/IEC 15408:2001. Жалпы модель. Негізгі өлшемдердің түсініктері және идеялары.

АТ сенімділігіне бағалау объектісін құру, бағалау, эксплуатациялау істері нәтижесінде жетуге мүмкіндік бар.

Құру. ЖЕ нақты құру әдістемесін немесе өмірлік цикл моделін көрсетпейді. 7.1-суретте қауіпсіздік талаптары мен бағалау объектісі арасындағы негізгі жорамалдар көрсетілген.

7.1-сурет. Объекті бағалау моделін құру

 

АТ құрастыруына қойылатын қауіпсіздік талаптары тұтынушының алдына қойған қауіпсіздік мақсаттарына жетіуіне көмектесу керек. Егер құрастыру процесінің алдында керекті талаптар қойылмаса, онда жобаланған өнім де тұтынушылардың мақсаттарына жауап бере алмайды. Бұл процесс қауіпсіздік тапсырмасының ішіндегі қауіпсіздік талаптарын анықтауға негізділген. Әр келесі анықтау деңгейі жобаны қосымша нақтылауға әкеп соғады.

ЖЕ жобаның нақты түсінігін көрсетпейді. ЖЕ көрсету үшін керекті түсінік саны керекті нақтылау деңгейімен қатар жүреді және оған былайша талдау жасауға болады:

А) анықтаудың әр деңгейі одан жоғары деңгейлерді толық бейнелейді (абстракцияның жоғары деңгейінде анықталған барлық функциялар, сипаттамалар, бағаланатын объектінің қауіпсіздік режимдері төменгі деңгейде көрнекті көрсетілу керек);

Б) анықталатын әр деңгей одан жоғары деңгейлерді нақты бейнелейді (абстракцияның төменгі деңгейінде анықталған функциялар, сипаттамалар, бағаланатын объектінің қауіпсіздік режимдері қажеті жоқ, егер олар жоғарғы деңгейде керек болмаса).

ЖЕ сенімділік өлшемі жобаның келесі абстракция деңгейлерін идентификациялайды: функцияналдық бағыты, жоғарғы деңгейлі жоба, төменгі деңгейлі жоба және жүзеге асыру. Таңдалған сенімділік деңгейіне сәйкес, ЖЕ сенімділік талаптарына құру әдістемесінің сәйкестігін құрастырушылардан көрсетуді талап етуі мүмкін.

Баға объектісіне баға беру. Баға объектісіне баға беру процесі 5-суретке сәйкес, құрастыру кезінде және құрастырудан кейін өтуі мүмкін. Баға объектісіне баға беру үшін негізгі бастапқы материалдар:

а) баға объектісін сипаттайтын куәліктер жиынтығы. Осының ішіне өткен қауіпсіздік тапсырмасының бағасы баға объектісінің бағасының негізі ретінде кіреді.

б) қауіпсізді бағалауды талап ететін баға объектісі;

в) өлшемдер, әдістеме және бағалау жүйесі.

7.2-сурет. Баға объектісіне баға беру процесі

 

Одан басқа бастапқы материалдар ретінде бағалау үшін қосымша материалдарды (мысалы, ЖЕ қолдануға ескертпелер) және АТ қауіпсіздендіру облысындаға арнайы білімдерді қолдануға болады. Бағалау нәтижесін оның қауіпсіздендіру тапсырмасында көрсетілген объектінің қауіпсіздендіру талаптарын бағалаумен анықтау. Сонымен қоса, бір немесе бірнеше бағалау ережелеріне сәйкес жасалған баға объектісі туралы баға берушінің құжатталған есептері болады. Бағалау нәтижесіндегі алынатын сенімділік деңгейі сенім талаптарын бағалауда алынатын оң нәтижелерге тәуелді.

Баға екі бағыт бойынша аз қауіпті АТ өнімдерін құруға мүмкіндік береді. Бағалау баға объектісінің әлсіздіктерін және қателерін табу үшін керек. Оларды алып тастап, құрастырушы келесі эксплуатациялауларда баға объектісінің қауіпсіздігін бұзу ықтималдығын төмендетеді.

Баға объектісін эксплуатациялау. Тұтынушылар бағаланған өнімдерді өздерінің нақты жағдайларында қолдану үшін таңдауы мүмкін. Баға объектісін эксплуатациялау барысында бұның алдында белгісіз болған осалдықтар мен қателер шығу мүмкін. Олай болса жұмысына немесе баға объектісіне өзгерістер енгізу керек болады. Бұндай өзгерістер баға объектісін қайта бағалауды өткізуге немесе эксплуатация арасының қауіпсіздігін жоғарылатуға әкеледі.

Қауіпсіздік ортасы. Қауіпсіздік ортасына қауіпсіздікке қатысты барлық заңдар, ұйымдардың қауіпсіздік саясаттары, тәжірибе, арнайы дағдылар мен білімдер кіреді. Сондықтан, баға объектісін жорамал қолдану контекстін анықтайды.

Қауіпсіздендіру ортасын құрғанда автор қорғау профилін және қорғау тапсырмасын ұмытпау керек:

а) баға объектісінің физикалық ортасында баға объектісінің ортасын эксплуатациялау аспектілерін анықтайтын бөлігін. Оның ішіне физикалық қорғауға және қызметкерлерге қатысты жұмыстар кіреді.

б) баға объектісі элементтерімен қорғауды талап ететін активтер. Ол активтерге қойылатын талаптар немесе қауіпсіздік саясаттары; олардың ішіне қауіпсіздік талаптарына тікелей жататын активтер кіреді (файлдар, дерекқор базалары), сонымен қатар қауіпісіздік талаптарына жанама жататын активтер (АТ құрастыру және авторландыру деректері);

в) баға беру объектісінің не үшін қажеттігі, оның қолдану саласын және өнімнің типін. Қауіпсіздендіру саясаттарын, қауіптердің және тәуекелдердің зерттеу негізінде баға объектісінің қауіпсіздігіне жататын материалдарды құрастыруға болады.

г) баға объектісі қанағаттандырылатын жорамалдарды мазмұндау. Баға объектісін бағалауда бұл мазмұндау дәлелсіз қабылданады.

д) активтердің қауіпсіздігіне қарсы қауіптерді мазмұндау;

е) ұйымда қолданылатын қауіпсіздендіру саясатын мазмұндау.

Негізгі әдебиеттер: 1[75-88], 2[35-90], 10[74-121], 11[64-164], 12[64-127].

Қосымша әдебиеттер: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11.

Бақылау сұрақтары:

1. Объектілердің арасындағы негізгі жорамалдар қандай?

2. Объектіні бағалау моделі қандай компоненттерден тұрады?

3. Қауіпсіздендіру саясаты деген не?

4. Баға объектісі және баға үшін куәліктер деген не?

5. Қауіпсіздендіру ортасы дегенді қалай түсінуге болады, ол қалай құрылады?

 

Дәріс 8. ГОСТ Р ИСО/МЭК 15408-2-2002. Ақпараттық технология. Ақпараттық технологиялар қауіпсіздігін бағалау критерийлерінің қауіпсіздігін қамтамасыз ету әдістері мен жабдықтары. Бөлім 2. Қауіпсіздіктің функционалдық талаптары

Бұл стандарт қауіпсіздіктің функционалдық талаптарының әмбебап жүйелі каталогын қамтиды және олардың белгілі бір ережелер бойынша нақтылау және кеңейту мүмкіндіктерін қарастырады.

Бұл стандарт ақпараттық технология қауіпсіздінің функционалдық талаптары үшін негіз болып табылатын, қауіпсіздіктің функционалдық компоненттеріне таралады, ол: бағалау объектісі (БО - ОО). Талаптар БО қызметінің қауіпсіз режимін сипаттайды және қорғау профилі (ҚП- ПЗ) мен қауіпсіздік бойынша тапсырмаларда (ҚТ - ЗБ) орнатылған қауіпсіздік мақсаттарына жету үшін арналған.

Талаптар сонымен қатар, БО-мен тікелей әрекеттескенде немесе сұраныстарға БО-нің әсері кезінде қолданушылардың аңғаруы мүмкін қауіпсіздік қасиеттерін де сипаттайды.

Қауіпсіздіктің функционалдық компоненттері БО-ны эксплуатациялау ортасындағы қауіптерге қарсы тұруға бағытталған.

Бұл стандарт тұтынушылар, әзірлеушілер, сондай-ақ қауіпсіз жүйелер мен АТ өнімдерін бағалаушыларға да арналған.

Функционалдық талаптар парадигмасы

 

 

8.1-сурет. Қауіпсіздіктің функционалдық талаптарының кілттік түсініктері (біртұтас БО)

 

 

8.2-сурет. Үлестірілген БО-дағы қауіпсіздік функциялары

Бұл стандарт бағалау объектісіне қойылатын қауіпсіздіктің функционалдық талаптары каталогын қамтиды.

Бағалау объектісі - бұл АТ- өнімі немесе жүйесі (администратор басшылығымен және қолданушымен бірге), мынадай типті ресурстарды қамтиды:

- электрондық деректер тасымалдағыштары (мысалы, дискілер)

- шет құрылғылар (мысалы, баспа құрылғысы)

- есептеу мүмкіндіктері (процессорлық уақытты мысалға келтіруге болады)

Бұлардың барлығы ақпаратты өңдеуде және сақтауда қолданылуы мүмкін және бағалау тақырыбы болып табылады.

Бағалау объектісінде қолданушылар деректері мен бағалау объектісінің қауіпсіздік функциялары сақталады. 8.3-суретте олардың өзара әрекеттестігі көрсетілген.

Қолданушылар деректері – БО ресурстарында сақталатын ақпарат, оны қолданушылар БО қауіпсіздік саясатына сәйкес қолдана алады және бағалау объектісінің қауіпсіздік функциялары үшін арналмаған. Мысалы, электрондық почта хабарының мазмұны қолданушылар деректері болып табылады.

Бағалау объектісінің қауіпсіздік функцияларының деректері – бағалау объектісінің қауіпсіздік саясатында қарастырылған, бағалау объектісінің қауіпсіздік функциялары қолданатын ақпарат. Бағалау объектісінің қауіпсіздік саясатында қарастырылған болса, онда қолданушылар бағалау объектісінің қауіпсіздік функциялары деректеріне қол жеткізе алады. Бағалау объектісінің қауіпсіздік функциялары деректеріне мыналар мысал бола алады:

- қауіпсіздік атрибуттары,

- аутентификациялық деректер,

- Қатынас құруды басқару тізімдері.

 

8.3-сурет. Қолданушылар деректері мен бағалау объектісінің қауіпсіздік функциялары деректері арасындағы байланыс.

 

Деректерді қорғау кезінде қолданылатын қауіпсіздік функциясының саясаты былай жіктеледі:

- қол жеткізуді басқарудың қауіпсіздік функциясының саясаты;

- ақпараттық ағынды басқарудың қауіпсіздік функциясының саясаты.

Қол жеткізуді басқарудың қауіпсіздік функциясының саясатын жүзеге асырушы механизмнің әрекеті, осы әрекет ету аумағындағы субъектілер, объектілер және операциялар атрибуттарына негізделген. Бұл атрибуттар субъектілерге объектілерде орындауға рұқсат берілген операцияларды басқарушы ережелер жиынтығын қолданады.

БО қауіпсіздік функциясы деректерінің осы стандартта қаралатын екі ерекше типі бар (міндетті болмаса да, сәйкес келуі мүмкін):

- Аутентификациялық деректер;

- құпиялар.

Аутентификациялық деректер БО қызметіне жүгінген қолданушының хабарланған идентификаторын верификациялау үшін қолданылады.

Аутентификациялық деректердің ең кең тараған формасы – пароль, қауіпсіздік механизмі тиімді болу үшін, оны құпияда сақтау керек. Дегенмен аутентификациялық деректердің барлық формаларын құпияда сақтаудың қажеті бола қоймайды. Биометриялық танып-білу құрылғылары (саусақ ізін анықтаушы немесе көз қарашығын түсіріп алу сияқтылар) аутентификациялық деректері құпияда сақталатын болжамдарға негізделмейді, бұл деректер қолдан көшірмесін жасау мүмкін емес, қолданушының ерекше қасиеттері болып табылады. Осы себепті бұл деректерді құпияда сақтаудың қажетсіздігі де осында.

Осыған сәйкес, кейбір аутентификациялық деректер құпияда сақталатын болса, кейбір құпиялар аутентификациялық деректер ретінде қолданылмауы мүмкін.

8.4-суретте осы құпиялар мен аутентификациялық деректерге түсінік берілген, сондай-ақ оларға жататын деректер типтері көрсетілген.