Ақпараттық қауіпсіздікті қамтамасыз етудің жаңа жолдарын іздеудің негізгі бағыты сәйкес механизмді құруға ғана негізделмейді, керісінше тұрақты процесстің жүзеге асуын қамтамасыз етеді, барлық қол жетімді құралдарды кешенді пайдалану арқылы ақпаратты өңдеу жүйелерінің өмірлік циклінің барлық кезеңдерінде жүзеге асырылады. Бұл жағдайда ақпаратты қорау үшін пайдалынатын барлық құралдар, әдістер мен іс-шаралар бір мақсатта — зянкестерге ғана емес, сонымен қатар, жеткіліксіз даярланған пайдаланушылар мен қызметкерлерге, техникалық сипаттағы жағдайларға біріктіріледі.
Жүйені қорғаудың негізгі мәселесі келесілер болып табылады:
— біріншіден, жүйеде орналасқан ақпараттың сенімді қорғалуын қамтамасыз ету: рұқсат етілмеген адамдардан кездейсоқ және әдейі ақпаратты алып тастау, барлық пайдаланушылар және қызмет етушлер үшін жүйедегі ресурстар мен құрылғыларға қол жеткізуді шектеу.
— екіншіден, жүйені қорғау жүйе ресурстарымен жұмыс істеу барысында пайдаланушылар елеулі қолайсыздықтар тудырмауы тиіс.
Ақпараттық қауіпсіздік қажетті деңгейін қамтамасыз ету мәселесі өте күрделі болып табылады, ғылыми белгілі бір жиынтығын жүзеге асыру үшін емес, оның шешім қабылдау үшін қажет, ғылыми, ғылыми-техникалық және ұйымдастырушылық іс-шаралар және арнайы құралдар мен әдістерді қолдану және ұйымдық және технологиялық іс-шаралар мен ақпаратты қорғаудың арнайы құралдар мен әдістер жиынтығын қолданудың кешенді жүйесін құру.
Ақпаратты қорғау саласындағы теориялық зерттеулер мен практикалық жұмыс негізінде ақпараттық қауіпсіздікті қамтамасыз ету үшін жүйелі тұжырымдамалық көзқарасты тұжырымдады.
Жүйеге сәйкес жүйелік-тұжырымдаманың негізгі бөлігі ретінде білдіреді:
— мақсатты жүйе, ақпараттық қауіпсіздік сапалы ақпаратқа негізгі бөлігі ретінде қарастырылады;
— кеңістікті жүйе, кәсіпорынның барлық компоненттерін қорғаудың барлық өзара байланысты мәселелерін шешуді ұсынады;
— уақыт жүйесі, ақпаратты қорғау үшін үздіксіз жұмысты білдіреді, сәйкесінше жоспарларды жүзеге асырады;
— ұйымдастыру жүйесі, ақпаратты қорғау және оны басқару үшін жұмыты ұйымдастыру бірлігін білдіреді.
Ғылыми негізделген пікір толық жиынтығы ретінде бір ұғым тұжырымдамалық көзқарасты дамытуды көздейді, нормативтік-құқықтық актілер мен шешімдер оңтайлы сенімділігі мен ақпаратты қорғау үшін қажетті және жеткілікті болып табылады, сонымен қатар ақпаратты қорғау бойынша жұмыстарды мақсатты түрде ұйымдастыру.
Біріктірілген (жүйелі) тәсіл кез-келген жүйені құруда қамтиды: біріншіден, объект жүйесін зерттеу жүзеге асырылады; объектінің қауіпсіздігін қамтамасыз ету үшін қауіпқатерді бағалау; жүйні құру кезінде құралдарды талдау; экономикалық тұрақтылығын бағалау; жүйенің өзі және оның қасиеттері, жұмыс істеу принциптері мен оның тиімділігін арттыру мүмкіндігі сараптау; ішкі және сыртқы факторлар арақатынасы; жүйені құру және басынан аяғына дейін бүкіл процессті ұйымдастыру кезінде қосымша өзгеріс енгізу мүмкіндігі.
Біріктірілген (жүйелі) тәсіл — қарастырылатын жобаны жеке бөлім ретінде емес толық жүйе ретінде талдайтын прицип. Оның негізгі міндеті жеке бөлімнің тиімділігін арттыру емес, жиынтық ретіндегі бүкіл жүйені оңтайландыру болып табылады. Бұл дегеніміз, тәжірибе көрсеткендей бір параметрді жетілдіру екінші параметрдің нашарлауына әкеледі. сондықтан талаптар мен сипаттамалардың қарама-қарсы болмауын қамтамасыз ету керек.
Біріктірілген (жүйелі) тәсіл келесі компоненттер анықталмай жүйені құруға жол бермейді:
1. Кіріс элементтері. Бұл өңдеу жүйесінің элементтері болып табылады. Кіріс элементтерәне объектіде болатын қауіпсіздік қатерлері жатады.
2. Ресурстар. Бұл жүйенің жұмыс істеуі және құрылуын камтамасыз ететін құрал.
3. Сыртқы орта. Кез-келген нақты жүйе басқа жүйелермен байланысады, әрбір объект басқа да объектілермен байланысады.
4. Мақсат және фукциялар. Әрбір жүйе үшін тұжырымдалған, анықталған мақсат болуы тиіс. Бұл мақсат жүйенің функциясы ретінде тағайындалып, сипатталуы мүмкін. Жүйенің функциясы мен тағайындалуы қаншалықты нақты анық болған сайын оның құрылуы үздік дәрежеде бола алады.
5. Тиімділік критериі. Мақсатқа жету үшін әрқашан бірнеше жолды қарастыру керек. Қай жолдың ең үздігі, жақсы екенін бағалау үшін — тиімдіік критериімен салыстыру қажет. Ол келесілерді атқаруы тиіс: көрсетілген функцияларды іске асыру сапасын сипаттайтын; есептеу жүйесінің функционалдық орындау үшін қажетті ресурстар шығындарын қабылдайды; анық және айқын физикалық мағынасы бар болуы; жүйенің негізгі сипаттамаларына байланысты және жүйенің барлық кезеңдерінде сандық баға беруге болуы.
Сурет 1. Ақпаратты қорғау жүйесінің үздіксіз циклі
Ақпаратты қорғаудың кешенді жүйесінің мақсаты
Ақпаратты қорғау жүйесін құрудың негізгі мақсаты — оның сенімділігі. Ақпаратты қорғау жүйесі — ақпаратты қорғау әдістері мен қорғау құралдарын және қорғаныс шараларын жүзеге асырылуда объектілер мен субъектілердің ұйымдасқан жинағы болып табылады.
Ақпараттық қауіпсіздік сенімділігі, жүйелі тікелей пропорционалды кезде қорғау технологиясы артады «ену» тәуекел жеке компоненттері арасындағы сәйкессіздік байқалады.
Біріншіден, кешенді шешімдердің қажеттілігі бір жергілікті АҚЖ біріктіру болып табылады, олар бір «байланыс» реімен жұмыс істеуі тиіс. Жергілікті АҚЖ ретінде, мысалы, ақпаратты қорғау түрлері (құқықтық, ұйымдастырушылық, инженерлік) қарастырылуы мүмкін.
Екіншіден, біріктірілген шешім қажеттілігінеен жүйенің мақсаты туындайды. Жүйе қорғаудың барлық логикалық және технологиялық компоненттерін біріктіру керек.
Мысалы, жүйе кез келген қауіпсіздік нысандарын қамтиды, олар енгізілген немесе енгізілмеген болса — бұл жүйеден тыс болып табылады.
Сондықтан, қорғау жүйесінің сапасы, сенімділігі жүйе құрылымының компоненттер түрлеріне ғана байланысты емес, сонымен қатар қорғанысқа қатысты барлық факторларды ескере отырып, олардың толық болуына да байланысты. Ол қорғау жүйесінің барлық компоненттерінің толықтығы болып табылады, мұндай факторлар мен жағдайларға талдау негізінде күрделі екінші мақсат пайда болады.
Үшіншіден, тек жан-жақты көзқарас қорғалатын ақпараттың жиынтығы қауіпсіздік жүйесін қамтамасыз ету, және кез келген мән-жайлар бойынша алуға болады. Бұл дегеніміз оны жинау, сақтау, беру және пайдалану барлық бөліктерінде, барлық уақытта және ақпаратты өңдеу жүйесінің жұмыс істеу барлық режимдерде, барлық баспа құралдарын қорғауға тиіс дегенді білдіреді.
Сонымен қатар, күрделілігі жоққа, бірақ орнына деректерді қорғау үшін сараланған тәсілді талап етеді, оның тасымалдаушылардың құрамына қарай, құпия ақпаратты құпияларды түрлері, осалдық арналар жай-күйін нысандары мен көріністерін, оның құпиялылығын, сақтау және қайта өңдеу дәрежесі емес, және рұқсатсыз қол жеткізу әдістері.
Осылайша, ақпаратты қорғау үшін кешенді көзқарас маңыздылығы болып табылады:
-жергілікті қорғау жүйесінің интеграциясы;
— Қорғау жүйесінің барлық компоненттерін толықтығын қамтамасыз ету үшін; — Ақпараттық қауіпсіздік толықтығын қамтамасыз ету.
Осы ақпараттардың негізінде, біз мынадай анықтама тұжырымдауымызға болады: «Кешенді қауіпсіздік жүйесі — барлық қорғалатын ақпараттың қауіпсіздігін қамтамасыз ету толық және жан-жақты барлық тақырыптарды, үдерістер мен факторлардың қамтитын жүйесі».
Ақпаратты қорғаудың кешенді жүйесін құру принциптері
Кез-келген жүйені құрмас бұрын оның қандай болатын принциптерін анықтау керек. Ақпаратты қорғаудың кешенді жүйесі — едәуір шығындарды талап ететін әдетте белгісіз шарттармен жұмыс істейтін күрделі жүйе. Сондықтан, ақпаратты қорғаудың кешенді жүйесін құру принциптерін анықтау үшін оның құрылуындағы негізгі тәсілдерді анықтау керек.
Заңдылық принципі іс-қимыл деректерді қорғау туралы заңнаманы РФ қабылдаған болып табылады, тиісті заңдар болмаған кезде — басқа да мемлекеттік нормативтік құқықтық актілер қолданылады.
Ақпараттық қауіпсіздік қолданылу принципі бір немесе өзге де ақпаратты жіктеу және қорғау орындылығын бағалау үшін сарапшы арқылы құру болып табылады, мемлекет, қоғам және азаматтар өмірлік мүдделерінің теңгерімі негізінде осындай қорғау экономикалық және өзге де салаларда болу ықтимал. Бұл, өз кезегінде, тек ақпаратты қорғау үшін ақша жұмсауға мүмкіндік береді, нақты зиян оның иесіне келтіруілуі мүмкін.
Ақпаратты қорғау үшін арнайы бірлік құру принципі тек қана мамандандырылған қызметтер дұрыс әзірлеу және жүзеге асыру мен қорғау шараларын олардың орындалуын бақылауға алады, өйткені осы бөлiмдер, жан-жақты қорғау ұйымдастыру үшін алғышарт болып табылады. Онымен байланыста барлық адамдардың ақпараттық қауіпсіздік қатысу принципі ақпаратты қорғау қорғалған ақпаратқа байланысты жұмыс сипаты бойынша ие әрбір қызмет адамның жауапкершілік болып табылады, және мұндай қатысу қорғау сапасын жақсарту үшін мүмкіндік береді.
Ақпаратты қорғау үшін жеке жауапкершілік қағидаты әрбір адам өзіне сеніп тапсырылған қорғалатын ақпараттың құпиялылығын қамтамасыз ету үшін жеке жауапты талап етеді, және жоғалған немесе осындай ақпаратты тарату үшін, бұл қылмыстық, әкімшілік немесе өзге де міндеттеме болып табылады.
Талқыланған принциптер арасынан ма ңыздылыңы жоғары немесе төмен деп бөле алмаймыз. Ақпаратты қорғаудың кешенді жүйесінде олардың жиынының қолданылуы мағызды.