Ақпараттық қауіпсіздік
Досыңның әлеуметтік желідегі парақшасын біреу бұзып, оның атынан ақша сұрап хабарлама жазғанын естігенсің бе? Немесе банктегі шотыңа ешкім рұқсатсыз кіре алмайтынына қалай сенімдісің? Мұның бәрі — ақпараттық қауіпсіздіктің практикадағы көрінісі. Қазіргі әлемде құпия ақпараттың бәрі дерлік компьютерде сақталады және желі арқылы тасымалданады, сондықтан оны қорғай білу — заманауи адамға қажетті дағды.
Ақпараттық қауіпсіздік — ақпараттың құпиялылығын, тұтастығын және қолжетімділігін қамтамасыз ету процесі.
Бұл анықтамада үш маңызды сөз бар, әрқайсысын жеке-жеке түсінейік. Ақпараттық қауіпсіздікті бұзу үшін осы үш қасиеттің ТЕК БІРЕУІН ғана бұзу жеткілікті болады.
Қолжетімділік — өкілеттілігі бар адамдардың ақпаратқа кедергісіз қол жеткізуін қамтамасыз ету. Мысалы, мектептің электрондық журналы дәл керек кезде ашылмаса — қолжетімділік бұзылған.
Тұтастық — ақпараттың кездейсоқ немесе әдейі бұрмаланудан қорғалуы, өзгермей қалуы. Мысалы, біреу электрондық журналдағы бағаны рұқсатсыз өзгертсе — тұтастық бұзылған.
Құпиялылық — тек рұқсаты бар адамдарға ғана ақпаратты көру/өңдеу мүмкіндігін беру. Мысалы, біреу сенің парольіңді біліп, хат-хабарыңды оқыса — құпиялылық бұзылған, бұл рұқсатсыз кіру (РРК) деп аталады.
Осы үш қасиеттің әрқайсысына қауіп әртүрлі сипатта келеді. Қолжетімділікке — жүйенің істен шығуы (шамадан тыс сұраныс, аппараттық ақау). Тұтастыққа — қате деректер енгізу немесе деректі әдейі өзгерту. Құпиялылыққа — рұқсатсыз тұлғаның ақпаратқа қол жеткізуі (тіпті жүйелік әкімшінің өз құқығын асыра пайдалануы да осында жатады).
Ақпаратқа төнетін қауіп көбіне киноларда көрсетілетіндей «хакер терезеден кіру» емес екенін білесің бе? Шындығында ең үлкен қауіп — қарапайым техникалық ақаулар мен адамдық қателіктер.
| Қауіп-қатер көзі | Үлесі |
|---|---|
| Аппараттық ақаулар (құрылғылардың бұзылуы) | 43% |
| Тәжірибесіздіктен болатын қате іс-әрекеттер | 26% |
| Қызметкерлердің зиянкестілігі | 15% |
| Желіге сыртқы шабуыл (Интернет арқылы) | 8% |
| Компьютерлік вирустар | 5% |
Кестеден көрінгендей, «сыртқы шабуыл» мен «вирус» — жалпы қауіптің тек 13%-ын құрайды! Ең үлкен үлес — банальды аппараттық ақаулар мен адамдардың өз қателігі. Бұл — 1998 жылы АҚШ-та жүргізілген тарихи статистика, бірақ негізгі сабақ бүгінге дейін өзекті: техникалық қорғаумен қатар адамдарды сауаттандыру да маңызды.
Ақпараттық қауіпсіздік тек техникалық мәселе емес — оны мемлекет заң арқылы да қорғайды. Қазақстан Республикасының Конституциясы әр адамға қажетті ақпаратты алуға және заңмен тыйым салынбаған жолмен таратуға кепілдік береді. Ал заңмен қорғалатын құпияларға отбасы құпиясы, хат жазысу құпиясы, медициналық құпия, банктік құпия, коммерциялық құпия және т.б. жатады.
ҚР Қылмыстық кодексінің 7-тарауы («Ақпараттандыру және байланыс саласындағы қылмыстық құқық бұзушылықтар», 205–213-баптар) зиянды компьютерлік бағдарламаларды жасау, тарату немесе компьютерлік ақпаратқа заңсыз қол жеткізумен байланысты құқық бұзушылықтарды қарастырады. Ал 2017 жылы 30 маусымда «Қазақстанның киберқалқаны» киберқауіпсіздік тұжырымдамасы қабылданды — ол мемлекеттік ақпараттық ресурстарды қорғаудың негізгі бағыттарын белгілейді.
| Қорғау түрі | Мазмұны |
|---|---|
| Құқықтық | Конституция, кодекстер, келісімшарттар, лицензиялар, авторлық құқық |
| Ұйымдастырушылық | Құжат сақтау тәртібі, қол жеткізу режимі, құпиясөзді бақылау, осалдықты анықтау |
| Инженерлік-техникалық | Рұқсатсыз кіруден қорғау, аппараттық/программалық/криптографиялық құралдар |
Компьютерлерге қауіп төндіретін бағдарламалардың жалпы атауы бар:
Зиянды бағдарлама — ақпаратқа рұқсатсыз қол жеткізу немесе компьютердің жұмысына кедергі жасау үшін жасалған бағдарлама. Мұндай бағдарламаны жасау мен тарату қылмыстық сипатта болады.
Ең белгілі түрі — өз көшірмесін жасап, файлдарға немесе желі жүйесіне «жұғатын» компьютерлік вирус. Вирустарды әртүрлі белгі бойынша жіктейді:
| Жіктеу белгісі | Түрлері |
|---|---|
| Мақсаты бойынша | Файлды вирус, жүктеу вирустары, макровирустар |
| Зардап шеккен ОЖ | Windows, Linux |
| Технологиясы | Полиморфтық вирус, руткиттер |
| Қосымша функциясы | Кейлоггерлер, тыңшылар, ботнеттер |
- Ақпараттық қауіпсіздік — құпиялылық, тұтастық және қолжетімділікті қамтамасыз ету; біреуін бұзу жеткілікті.
- Ең үлкен қауіп көзі — аппараттық ақаулар мен адам қателігі, тек 13%-ы ғана вирус/сыртқы шабуыл.
- Қорғаудың үш түрі: құқықтық, ұйымдастырушылық, инженерлік-техникалық.
- Зиянды бағдарлама — жалпы атау, вирус — оның бір түрі; фишинг — деректі алдап ұрлау әдісі.