Лекция · 1.4

Ақпараттық қауіпсіздік

Досыңның әлеуметтік желідегі парақшасын біреу бұзып, оның атынан ақша сұрап хабарлама жазғанын естігенсің бе? Немесе банктегі шотыңа ешкім рұқсатсыз кіре алмайтынына қалай сенімдісің? Мұның бәрі — ақпараттық қауіпсіздіктің практикадағы көрінісі. Қазіргі әлемде құпия ақпараттың бәрі дерлік компьютерде сақталады және желі арқылы тасымалданады, сондықтан оны қорғай білу — заманауи адамға қажетті дағды.

Ақпараттық қауіпсіздіктің үш негізгі қасиеті
Анықтама
Ақпараттық қауіпсіздік — ақпараттың құпиялылығын, тұтастығын және қолжетімділігін қамтамасыз ету процесі.

Бұл анықтамада үш маңызды сөз бар, әрқайсысын жеке-жеке түсінейік. Ақпараттық қауіпсіздікті бұзу үшін осы үш қасиеттің ТЕК БІРЕУІН ғана бұзу жеткілікті болады.

Анықтама
Қолжетімділік — өкілеттілігі бар адамдардың ақпаратқа кедергісіз қол жеткізуін қамтамасыз ету. Мысалы, мектептің электрондық журналы дәл керек кезде ашылмаса — қолжетімділік бұзылған.
Анықтама
Тұтастық — ақпараттың кездейсоқ немесе әдейі бұрмаланудан қорғалуы, өзгермей қалуы. Мысалы, біреу электрондық журналдағы бағаны рұқсатсыз өзгертсе — тұтастық бұзылған.
Анықтама
Құпиялылық — тек рұқсаты бар адамдарға ғана ақпаратты көру/өңдеу мүмкіндігін беру. Мысалы, біреу сенің парольіңді біліп, хат-хабарыңды оқыса — құпиялылық бұзылған, бұл рұқсатсыз кіру (РРК) деп аталады.

Осы үш қасиеттің әрқайсысына қауіп әртүрлі сипатта келеді. Қолжетімділікке — жүйенің істен шығуы (шамадан тыс сұраныс, аппараттық ақау). Тұтастыққа — қате деректер енгізу немесе деректі әдейі өзгерту. Құпиялылыққа — рұқсатсыз тұлғаның ақпаратқа қол жеткізуі (тіпті жүйелік әкімшінің өз құқығын асыра пайдалануы да осында жатады).

⚠️
Ескеру: желідегі ақпарат қауіпсіздігі дербес (желіге қосылмаған) компьютердегіден әрқашан ТӨМЕН болады — себебі желіде көп қолданушы жұмыс істейді, заңсыз қосылу қаупі бар және зиянды бағдарламалар тарау мүмкіндігі жоғары.
🔑
Ең әлсіз буын — адам: қандай мықты қорғау жүйесі болса да, пайдаланушы құпиясөзін қағазға жазып, көрінетін жерге қойса — бәрі бекерге кетеді. Сондықтан қауіпсіздікке үйрету — техникалық қорғаудан кем емес маңызды.
Қауіп көздері мен статистика

Ақпаратқа төнетін қауіп көбіне киноларда көрсетілетіндей «хакер терезеден кіру» емес екенін білесің бе? Шындығында ең үлкен қауіп — қарапайым техникалық ақаулар мен адамдық қателіктер.

Қауіп-қатер көзіҮлесі
Аппараттық ақаулар (құрылғылардың бұзылуы)43%
Тәжірибесіздіктен болатын қате іс-әрекеттер26%
Қызметкерлердің зиянкестілігі15%
Желіге сыртқы шабуыл (Интернет арқылы)8%
Компьютерлік вирустар5%

Кестеден көрінгендей, «сыртқы шабуыл» мен «вирус» — жалпы қауіптің тек 13%-ын құрайды! Ең үлкен үлес — банальды аппараттық ақаулар мен адамдардың өз қателігі. Бұл — 1998 жылы АҚШ-та жүргізілген тарихи статистика, бірақ негізгі сабақ бүгінге дейін өзекті: техникалық қорғаумен қатар адамдарды сауаттандыру да маңызды.

Құқықтық қорғау

Ақпараттық қауіпсіздік тек техникалық мәселе емес — оны мемлекет заң арқылы да қорғайды. Қазақстан Республикасының Конституциясы әр адамға қажетті ақпаратты алуға және заңмен тыйым салынбаған жолмен таратуға кепілдік береді. Ал заңмен қорғалатын құпияларға отбасы құпиясы, хат жазысу құпиясы, медициналық құпия, банктік құпия, коммерциялық құпия және т.б. жатады.

ҚР Қылмыстық кодексінің 7-тарауы («Ақпараттандыру және байланыс саласындағы қылмыстық құқық бұзушылықтар», 205–213-баптар) зиянды компьютерлік бағдарламаларды жасау, тарату немесе компьютерлік ақпаратқа заңсыз қол жеткізумен байланысты құқық бұзушылықтарды қарастырады. Ал 2017 жылы 30 маусымда «Қазақстанның киберқалқаны» киберқауіпсіздік тұжырымдамасы қабылданды — ол мемлекеттік ақпараттық ресурстарды қорғаудың негізгі бағыттарын белгілейді.

Қорғау түріМазмұны
ҚұқықтықКонституция, кодекстер, келісімшарттар, лицензиялар, авторлық құқық
ҰйымдастырушылықҚұжат сақтау тәртібі, қол жеткізу режимі, құпиясөзді бақылау, осалдықты анықтау
Инженерлік-техникалықРұқсатсыз кіруден қорғау, аппараттық/программалық/криптографиялық құралдар
Зиянды бағдарламалар

Компьютерлерге қауіп төндіретін бағдарламалардың жалпы атауы бар:

Анықтама
Зиянды бағдарлама — ақпаратқа рұқсатсыз қол жеткізу немесе компьютердің жұмысына кедергі жасау үшін жасалған бағдарлама. Мұндай бағдарламаны жасау мен тарату қылмыстық сипатта болады.

Ең белгілі түрі — өз көшірмесін жасап, файлдарға немесе желі жүйесіне «жұғатын» компьютерлік вирус. Вирустарды әртүрлі белгі бойынша жіктейді:

Жіктеу белгісіТүрлері
Мақсаты бойыншаФайлды вирус, жүктеу вирустары, макровирустар
Зардап шеккен ОЖWindows, Linux
ТехнологиясыПолиморфтық вирус, руткиттер
Қосымша функциясыКейлоггерлер, тыңшылар, ботнеттер
🎣
Фишинг (phishing) — жеке құпия деректерді ұрлау үшін жасалатын компьютерлік алаяқтық түрі. Мысалы, «банктен» келгендей көрінетін жалған хат арқылы құпиясөзіңді сұрайды. Ешқашан белгісіз сілтемеге өз құпиясөзіңді енгізбе!
🎯 ҰБТ байланысы
Ақпараттық қауіпсіздік тақырыбында үш қасиетті және қорғау түрлерін ажырата білу маңызды.
1
Қолжетімділік, тұтастық, құпиялылық — үш қасиетті бір-бірімен шатастырмау.
2
Вирус — зиянды бағдарламаның бір ТҮРІ ғана, «зиянды бағдарлама» деген жалпы ұғым емес.
3
Құқықтық, ұйымдастырушылық, инженерлік-техникалық қорғау түрлерін ажырата білу.
Сабақ қорытындысы
  • Ақпараттық қауіпсіздік — құпиялылық, тұтастық және қолжетімділікті қамтамасыз ету; біреуін бұзу жеткілікті.
  • Ең үлкен қауіп көзі — аппараттық ақаулар мен адам қателігі, тек 13%-ы ғана вирус/сыртқы шабуыл.
  • Қорғаудың үш түрі: құқықтық, ұйымдастырушылық, инженерлік-техникалық.
  • Зиянды бағдарлама — жалпы атау, вирус — оның бір түрі; фишинг — деректі алдап ұрлау әдісі.