Қорғаныс саясаты және стандарттары

Қорғаныс саясаты өңдеу

Қорғаныс саясаты – бүкіл белгілер өз жұмысында пайдаланатын қорғаныс аймағындағы басқару ережелері мен практикалық амалдар жиыны.
Ұйымның қорғаныс саясаты - ұйым өз жұмысында пайдаланатын қорғаныс аймағындағы басқару принциптерінің, ережелерді, процедура мен практикалық амалдардың жиынтығы.

Қорғаныс саясатының негізгі бағыттары:

қандай мәліметтерді және қаншалықты маңыздысы қорғалуы қажет
фирмаға анықтамалық аспектіде кім және қандай шығын келтіруі мүмкін
қауіпті анықтау және оны мүмкін болатын деңгейге дейін азайту мүмкіндігі

Ұйымның ақпараттық қорғанысы аймағында болып жатқан жағдайды бағалаудың екі жүйесі бар:

төменнен жоғарыға зерттеу
жоғарыдан төменге қарай зерттеу

Бірінші әдіс қарапайым болып табылады, аз қаржылық салымды қажет етеді, алайда сонымен қатар аз мүмкіншілікке ие.

Жоғарыдан төмен қарай әдісі ақпаратты қорғау мен өңдеудің бар схемаларына егжей-тегжейлі анализ жасауды білдіреді.

Ереже бойынша қорғаныс саясатын анықтауда бір қатар тәжірибелік қадамдар келтіріледі.
1-қадам. Ақпараттық қауіпсіздік саласында ұлттық халықаралық жетекші құжаттар мен стандарттарды таңдау. Олардың негізінде мекеменің ақпараттық қорғаныс саясатының қосымшалары мен негізгі талаптарын қалыптастыру:

есептеу техникасы құралдарына программалар мен мәліметтерге қатынасты және антивирустық қорғауды басқару;
қосымша көшіру сұрақтары;
жөндеу және қалпына келтіру жұмыстарын жүргізу;
ақпараттық қауіпсіздік саласындағы келеңсіз оқиғалар жөнінде ақпарат беру.

2-қадам. Ақпараттық тәуекелдерді басқаруды қалыптастыру және компьютерлік ақпараттық жүйелердің (КАЖ) қорғалу деңгейін талдау жөнінде шешім қабылдау.Осы қауіпсіздік деңгейлеріне ақпараттық тәуекелдерді талдаудың минималды және толық нұсқасы сай келеді.

3-қадам. Келесі негізгі деңгейлер бойынша ақпаратты қорғау жөнінде шарларды реттеу: басқарушылық, процедуралық және бағдарлама техникалық.

4-қадам. Ақпараттық қауіпсіздік саласындағы стандарттарға сәйкес КАЖ сертификация мен акредитация қатарын орнату.

Қорғаныс стандарттары өңдеу

Ақпараттың қорғаныс стандарттары екі топқа бөлінеді: нормативті және қызметтік.

Қорғаудың нормативтік стандарты қорғалған ақпараттық жүйелерге берілетін талаптардың жиынтығымен сипатталады. Олар қорғалған жүйелермен қорғаныс әдістерінің сипаттамасының формализациясына мүмкіндік береді. Оған «Ақпараттық технология қорғанысын бағалаудың критерийі» стандарты жатады. Нормативтік стандарттар бұрын құрылған жүйенің талаптарының жиынтығы болғандықтан, тәжірибеде олар қызметтік стандарттармен толықтырылады.

Қызметтік стандарттар ақпараттық қорғаныс режимінің орындалуын қамтамасыз ететін қорғалған ақпараттық жүйедегі шаралар жиынтығын сипаттайды. Бұл стандарттарға халықаралық стандарттар BSI, BS7799 немесе қорғалған жүйе процессін сипаттайтын отандық нормативтер жатады.

Соңғы жылдары технологиясы дамыған әртүрлі елдердің кәсіпорындарында ақпараттық қауіпсіздік режимінің тәжірибелік сұрақтарына арналған ақпараттық қауіпсіздік стандарттарының жаңа буындары пайда болды.
Бұл алдымен ақпарат қауіпсіздігінің бағалауы және оны басқаруының халықаралық, мемлекеттік стандарттары – ISO/IEC 15408, ISO/IEC 17799, COBIT, SAC, COSO, SAS 55/78 және т.б.
Кез-келген компанияның ақпараттық қауіпсіздік режимі жоғарыдағы стандарттарға сай келесілерден тұрады.

Біріншіден, компаниядағы ақпараттық қауіпсіздігін қамтамасыз ету мақсатын анықтау.
Екіншіден, ақпарат қауіпсіздігі мен эффективті басқару жүйесін құру.
Үшіншіден, мақсаттар ақпарат қауіпсіздігіне сай бағалау үшін мөлшерленген және сапалы көрсеткіштердің бөлшектенген жиынтықтарын есептеу.
Төртіншіден, ақпарат қауіпсіздігін қамтамасыз ету және оның ағымдағы жағдайын бағалау аспаптарын қолдану.
Бесіншіден, тәуекел талдауының үрдісінде және істің ағымдағы жағдайын объективті бағалауға мүмкіндік беретін басқарулар әдістемесін ( жүйелік критерийлер және ақпарат қауіпсіздігін қамтамасыз ету өлшемінің түсініктемесі) қолдау.

Халықаралық ISO/IEC 17799-2005 стандартына балама болып, Қазақстан Республикасының мемлекеттік стандарты ҚР СТ ИСО/МЭК 17799-2006 құрылды. Осы мемлекеттік стандарт ұйымда ақпараттық қауіпсіздігін қолдауға, іске асыруға және басшылығын жетілдіруге арналған негізгі жетекші қағидаттарды белгілейді. Стандартта берілген мақсаттар ақпараттық қауіпсіздікті басқарудың жалпы қабылданған міндеттерді шешу жөніндегі жалпы басшылықты қамтамасыз етеді. Осы стандарттың мақсаттары және бақылау шаралары тәуекелді бағалаумен сәйкестендірілген талаптарға сәйкес келу мақсатында іске асыруға арналған.^[1]^[2]

Дереккөздер өңдеу

↑ Компьютерлік ақпаратты қорғаудың құралдары мен тәсілдері: Әдістемелік нұсқау. – Ақтау қ. КМТжИУ,2010, 46 бет.
↑ «Мәңгілік ел - Қазақстан білімі мен ғылымын жаңғыртудың уәждемесі» атты «Аманжолов оқулары - 2014»: Халық. ғыл.- тәжір. конф. материалдарының жинағы.1-бөлім. Өскемен: С.Аманжолов атындағы ШҚМУ «Берел» баспасы, 2014.- 552бет.

[1] Компьютерлік ақпаратты қорғаудың құралдары мен тәсілдері: Әдістемелік нұсқау. – Ақтау қ. КМТжИУ,2010, 46 бет.

[2] «Мәңгілік ел - Қазақстан білімі мен ғылымын жаңғыртудың уәждемесі» атты «Аманжолов оқулары - 2014»: Халық. ғыл.- тәжір. конф. материалдарының жинағы.1-бөлім. Өскемен: С.Аманжолов атындағы ШҚМУ «Берел» баспасы, 2014.- 552бет.

[1]

[2]