Uploaded by Реер Рееров

срс2 жели кауипсиздиги

advertisement
Әл-Фараби атындағы Қазақ Ұлттық Университеті
Ақпараттық технологиялар факультеті
БЕЛГІЛЕНГЕН МЕКЕМЕНІҢ ҚАУІПСІЗДІК САЯСАТЫ
ОРНАТУ БОЙЫНША ТАЛДАУ ЖҮРГІЗУ
Орындаған: Маден Мадина, 2 курс магистранты
Кіріспе
Банктің ақпараттық қауіпсіздік саясаты – ақпараттың
қауіпсіздігін қамтамасыз ету мәселесіне көзқарастар жүйесін
анықтайды және нұсқаулар ретінде қорғаудың мақсаттары
мен міндеттерін жүйелі түрде баяндау болып табылады.
Негізгі
қауіптің
тасымалдаушысы
хакерлер
бәсекелестер емес, қызметкерлер, инсайдерлер.
немесе
Ғылыми және коммерциялық ұйымдардан айырмашылығы,
банктің қарамағында заңмен қорғалатын екі ақпарат массиві
бар:
коммерциялық
Банктік құпия
• «Ақпарат –
демократияның
басты валютасы» деп
америкалық заңгер
Ралф Нейдер айтпақшы,
ақпарат көбейген сайын
демократия арта
береді, ақпарат көбейген
сайын сенім
арта береді.
Ақпараттық қауіпсіздіктің негізі:
Қол
жетімділік
Құпиялылық
Тұтастық
Міндеттер:
қауіп-қатер көздерін анықтау, олардың пайда болуын болжау;
ақпараттық қауіп-қатерлерге және инциденттерге уақтылы ден қою механизмін құру;
азаматтар мен компаниялардың мүдделеріне зиян келтірмеу, оны барынша азайту үшін
жағдай жасау;
бөгде адамдардың банктің ақпараттық ортасына араласуынан және рұқсатсыз кіруінен қорғау;
әкімшілік және техникалық құралдарды пайдалана отырып пайдаланушының қол жеткізуін
саралау;
пайдаланушының аутентификациясын қамтамасыз ету;
вирусқа қарсы қорғаныс;
техникалық арналар арқылы деректердің ағып кетуінен қорғау;
деректерді шифрлауды қамтамасыз ететін криптографиялық құралдардың жұмыс қабілеттілігі.
Мақсатқа жетудің негізгі жолдары:
• әрбір құжаттан бастап серверлер мен байланыс арналарына дейін барлық
•
•
•
•
•
•
•
ресурстардың ақпараттық жүйесінің барлық құрамдас бөліктерінің қатаң есебін жүргізу;
резервтік бағдарламалық қамтамасыз етумен жұмыс істейтін жүйелік элементтерге
техникалық қызмет көрсетуді қамтамасыз ететін қызметкерлердің іс-әрекетін бақылау,
олардың жеке ақпараттық ресурстарға кімнің арнайы барғанын анықтауға мүмкіндік
беретін электрондық журналдарға жазылуы;
ақпараттық қауіпсіздікті қамтамасыз етуге жауапты барлық қызметкерлерді
қауіпсіздікпен жұмыс істеудің заманауи стандарттарына сәйкес оқыту;
әрбір жеке қызметкерге қызметтік міндеттерін орындау үшін қажетті ақпараттық
ресурстарға қол жеткізу үшін ең аз қажетті өкілеттік көлемін беру; банк басшылығымен
келісілген дәлелді жадынама негізінде ғана осы қолжетімділікті кеңейту;
әрбір қызметкерге жүйенің орындалуына және ақпаратты қорғауға жеке жауапкершілік
жүктеп, оны әдейі жария еткен жағдайда тәртіптік және қылмыстық жауапкершілікке
тарту;
жүйенің жұмысын қамтамасыз ететін бағдарламалық-техникалық құралдарды
пайдалану және олардың жұмысының сапасын үздіксіз тексеру;
ақпараттық ресурстармен жұмыс істейтін әрбір қызметкердің қызметін бақылау;
ақпаратты сұраушы немесе ұсынатын үшінші тұлғалармен қарым-қатынаста банктің
мүдделерін құқықтық қорғау.
адамға тәуелсіз
табиғи апаттар
табиғи
адам әрекетінен
туындайтын
қауіптер
қатерлер
жасанды
Банктің ақпараттық қауіпсіздігіне қатерлердің негізгі түрлері:
нормативтік құқықтық
актілерді байқаусызда
кездейсоқ бұзу
ақпаратты жою, ұрлау
немесе жария ету
жүйе
конфигурацияларының
авторларының қателері
табиғи немесе
техногендік сипаттағы
басқа да әсерлер
заңдылықты сақтау;
Принциптері
барлық жүктелген
міндеттерді жүйелі шешу;
қорғау жүйесінің жұмысының
үздіксіздігі ;
қаржылық орындылығы;
жеке жауапкершілік,
өкілеттіктерді бөлу;
мүдделер қақтығысын
болдырмау;
барлық пайдаланушылар
үшін қолданбалы
шешімдердің болуы;
кәсібилік, техникалық
шешімдердің оңтайлылығы;
қолданылатын құралдарды
үнемі жаңартып отыру,
жетілдіру.
Қорытынды
• Банктің ақпараттық қауіпсіздік саясатын
әзірлеу кезінде құжаттың қызметкерлер
үшін дайындалып жатқанын ұмытпау
керек. Ол қарапайым, анық және
қисынды түрде негізгі ұғымдарды
көрсетуі және кез келген ақпараттық
шабуылдар нәтижесінде қабылданған
әрекеттерге ұсыныстар беруі керек.
Сонымен қатар, банк үшін ақпараттың
сақтық көшірмесін сағат сайын болмаса
да, күн сайын жасауды қамтамасыз ету
өте маңызды.
Download