Ақпаратты қорғау қақтығыстарын басқару

• бөлек жүйеге қарастылардың, қосымшалардың қауіпсіздігін талап ету;
• осы ақпараттар үшін ақпараттық жүйелердің ақпараттарын біріктіру;
• таратылған ақпараттардың және рұқсат етілген оны пайдалану саясаты, мысалға, ақпараттардың жіктелуіне сәйкес «білімнің, себебі тек қана қажет болғаны үшін» қағидасы бойынша;
• деректерге немесе қызметтерге қол жеткізуді қорғауға қатысты заңнамаға және шарттық міндеттемеге сәйкес талап етулер;
• негізгі лауазымдар үшін пайдалашушылардың стандарттық бейіні;
• қол жеткізуді басқару рөлдерін басқару, мысалға қол жеткізу, рұқсат етілген қол жеткізу, қол жеткізуді әкімшілендіру;
• қол жеткізуге нысанды рұқсат етілген сұранымдарын талап ету;
• қол жеткізуді басқару құралдарын үнемі тексерудің жүргізілуін талап ету;
• қол жеткізу құқығын жою.

Қол жеткізуді  басқару ережесін анықтаған кезде  мынадай факторларды ескеруі  тиіс:

• ережелер арасындағы айырмашылық, ол әрқашан және нұсқамалармен сақталуы тиіс, ол кейбір жағдайларда тек қана орындалатын немесе қосымша болып табылады;
• “ашықтан-ашық тиым салынбағанға, барлығына рұқсат етілген” аса әлсіз қағида негізінде емес, “ашықтан-ашық тиым салынғанға, барлығына рұқсат етілмеген” қағидасы бойынша ережелерді орнату;
• ақпараттар грифтерінің өзгеруі, ол құралдармен ақпараттарды және пайдаланушылардың көз қарасымен белгіленгендерді өңдеу автоматты түрде беріледі;
• пайдаланушылар құқығының өзгеруі, ол ақпараттық жүйемен автоматты түрде енгізіледі, сондай-ақ солар әкімшімен белгіленеді;
• осыны талап ететін, ерекше рұқсатты және ережені талап ететін ереже.

Қол жеткізуді  басқарудың ережесі нысанды рәсімдермен  және нақты міндеттермен анықталуы  тиіс.

Пайдаланушының  қол жеткізуін басқару 

Ақпараттық  жүйеге және қызметке қол жеткізу  құқығын бөліп таратуды басқару  үшін нысанды рәсімдер әзірленуі  және іске асырылуы тиіс. Рәсімдер пайдаланушылар қол жеткізуінің барлық сатысын қамтуы тиіс: жаңа пайдаланушыларды тіркеуден бастап ақпараттық жүйеге және қызметке қол жеткізуі енді талап етілмейтін сол пайдаланушыларды тіркеуден айыру қортындысына дейін. Онда осы талап етілетін, жүйені басқару құралдарын айналып өтуші пайдаланушыларға мүмкіндік беретін қол жеткізу құқығы артықшылығын бөліп тарату қажеттілігіне ерекше назар аударылуы тиіс. 
Пайдаланушыны тіркеу  
Ақпараттық жүйеге және қызметке қол жеткізуді беру немесе тоқтату үшін пайдаланушыларды нысанды тіркеуі немесе тіркеудің айыру рәсімі пайдаланылуы тиіс. 
Пайдаланушыларды тіркеу және олардың тіркеуін айыру үшін қол жеткізуді басқару рәсімінде қолданылуы тиіс:

• олардың іс-қимылы үшін жауаптылығына сәйкес пайдаланушыларды байланыстыру үшін бірегей иденфикаторларды (ID) пайдалану;
• жүйенің жұмыс істеуінің ерекшелігін ескере отырып қызметін жүзеге асыру үшін қажет болған жағдайда топтық ID пайдалану мүмкіндігін қарастыру;
• тіркеу және айыру рұқсат етілген және құжатталған болуы тиіс, соның тексерілуі, себебі қол жеткізу құқығына басшыдан бөлек рұқсатты қолдануға, пайдаланушының ақпараттық жүйені және оның қызметін пайдалануға иесінен рұқсаты бар;
• берілген қол жеткізудің деңгейі өндірістік мақсатқа және қауіпсіздік саясатына сәйкес болуы және жұмыс тәртібіне шек қоюға қатер төндірмеуі тиіс;
• пайдаланушыларға жазбаша құжаттарды беру, онда олардың қол жеткізу құқығы регламенттелуде, талап етілуінде пайдаланушылар құжатқа қол қойып, себебі олар сол туралы қол жеткізудің шартын түсінеді;
• тіркеу рәсімдерін аяқтау сәтінен бастап қол жеткізуді беру;
• қызметтерді пайдалану үшін барлық тіркелген тұлғалар туралы нысандық есеп берулерді құру және қолдауды қамтамасыз ету;
• қызметін ауыстырған, қамтылған нысаны немесе ұйымнан босатылған пайдаланушылардың қол жеткізу құқығын дереу жою немесе оқшауландыру;
• артық ID және пайдаланушылардың есеп жүргізу жазбасын, сондай-ақ олардың жойылуы мен оқшаулануын табу үшін аудит;
• ID айыру үшін, пайдаланушылар басқадай пайдаланушыларға қол жетімсіз болуын қамтамасыз ету;
• Пайдаланушылардың қол жеткізу үлгілік профилінде қол жеткізу құқығының кейбір санын жинақтау жолымен өндірістік талап етуде негізделген олардың қызметтеріне сәйкес қол жеткізуді пайдалануды беру мүмкіншілігін қарастыру.

5. Артықшылықты  басқару 

 
Бөлінген артықшылығымен және оларды пайдалану қатаң шектелген және басқарылатын болуы тиіс. Артықшылықтарды бөліп тарату осы артықшылықтарды тіркеу үдерісінің көмегімен басқарылуы тиіс. Мынадай кезеңдер қаралуы тиіс:

• әрбір жүйелік өнімдермен байланысты қол жеткізудің артықшылығы ұқсастырылуы тиіс, мысалға, операциялық жүйемен, деректерді басқару жүйесімен және әрбір қосымшамен, сондай-ақ пайдаланушылар, онда олар ұсынылуы тиіс;
• қол жеткізуді басқару саясатымен сәйкес «оқта-текте» ұстанымы бойынша және «пайдалану қажеттілігі» негізінде артықшылық пайдаланушыларға берілуі тиіс, мысалға ең аз қажетті артықшылық олардың қызметтік міндеттерін орындау үшін, тек қана қашан осы артықшылықтар қажет болғанда;
• барлық берілген артықшылықтар және олар бойынша есеп беруді құрудың рұқсат етілген үдерісі қамтамасыз етілуі тиіс, оларды тіркеу үдерісін аяқтағанға дейін артықшылықты беруге болмайды;
• пайдаланушыларға артықшылықты беруден қашуға мүмкіндік беретін жүйелік бағдарламаны пайдалануды әзірлеу қажет;
• артықшылықты пайдаланушының әдеттегі жұмысында пайдаланатынына емес, пайдаланушының басқа ID беруі тиіс.

Пайдаланушының  бірдейлігі және сәйкестігі  
Пайдаланушы жеке пайдалану үшін бірегей идентификаторы (пайдаланушылық ID), болуы тиіс, пайдаланушының дәлме-дәлдігін растау үшін сәйкестендірілген сәйкесәдісін пайдалануы тиіс. Бұл пайдаланушылардың барлық түрлеріне (оның ішінде техникалық қолдау персоналына, операторларға, желі әкімшілеріне, желіллік бағдарламашыларға, дерекқорлар әкімшілеріне) қолданылуы тиіс. Пайдаланушылық ID сәйкес тұлғалармен орындалатын опрерациялардың сенімділігі үшін пайдаланылуы тиіс. Әдеттегі пайдаланушылық операциялар есеп жүргізу жазбаларының артық құқығымен орындалмауы тиіс. 
Қашан қызметтер мен операциялар үшін осындай қол жетімді ID қажет болса, сонда жалпы ID берілуі тиіс, сенімі талап етілмейді (мысалға, тек қана оқылым бойынша қол жеткізген кезде), немесе қашан басқарудың басқадай құралдары іске асырылған болса (мысалға, жалпы ID үшін әр жолы тек қана бір персонал үшін құрылады және оқиға тіркеледі). 
Сәйкестендірудің – (криптографиялық құрал, смарт-карталар, аппараттық кілттер немесе биометрикалық құралдар) баламалы әдістерін пайдалану мүмкіндігін қарау. 
Паролдар – тек қана пайдаланушыға мәлім мәліметтің негізінде бірдейлестіруді және сәйкестендіруді қамтамасыз ететін ең таралған әдіс. Пайдаланушының бірдейлестіруі мен сәйкестендіруінің қатаңдығы қол жеткізуі жүзеге асырылатын ақпараттың сыншылдығына сәйкес болуы тиіс. Бірдейлестіру мен сәйкестендіру үшін жеке аппараттық кілттер мен смарт-карталар сияқты мынадай обьектілер пайдаланылуы мүмкін. Тұлғалардың дәлме-дәлдігін сәйкестендіру үшін бірегей сипаттамаларды және белгілерді пайдаланушы биометрикалық технологияларды қолдануы мүмкін.тұлғалар Нәтижесінде әртүрлі технологиялар мен механизмдердің сенімді үйлесімділігі аса қатаң сәйкестендіруді қамтамасыз етеді.

Ақпаратқа және қосымшаларға қол жеткізуді  басқару

Қолданбалы  жүйеге және оның ішіндегіге қол жеткізуді  шектеу үшін қауіпсіздік құралы пайдаланылуы тиіс. Қолданбалы бағдарламалық қамтамасыз етуге және ақпаратқа логикалық қол жеткізу тек қана рұқсат етілген пайдаланушыларға берілуі тиіс.  
Қолданбалы жүйелер тиіс:

• қол жеткізуді басқарудың белгілі бір саясатына сәйкес ақпаратқа және қолданбалы жүйенің қызметіне пайдаланушының қол жеткізуін басқару;
• кез келген жүйелік қосалқы бағдарламаны, операциялық жүйені бағдарламалық қамтамасыз етуді, арам ниетті бағдарламалық кодтарды, жүйелерді немесе қосымшаларды басқару құралдарының жұмысын айналып өтетін немесе тоқтататын қабілеттіні пайдаланумен рұқсатсыз қол жеткізуден қорғауды қамтамасыз ету;
• осы ақпараттық пайдаланатын басқадай жүйені қатерге қоймау.

Ақпаратқа қол жеткізуді шектеу  
Қол жеткізуді басқарудың белгіленген саясатына сәйкес, пайдаланушылар және қолдау қызметі персоналдар үшін ақпаратқа және қолданбалы жүйенің қызметіне қол жеткізу шектелуі тиіс. Қол жеткізудің шектелуі өндірістік қажеттілікке және Ақпаратты қорғау саясатына негізделуі тиіс. Қол жеткізуге шектеу жөніндегі талаптарды қамтамасыз ету үшін мынадайларды қарау қажет:

• қолданбалы жүйенің қызметіне қол жеткізуді басқару үшін мәзірді қамтамасыз ету;
• пайдаланушылардың қол жеткізу құқықтарын басқару, мысалға, оқылымға, жазбаға, орындауға қосымшаны жоюға және жіберуге;
• басқадай қосымшаларға қол жеткізу құқықтарын басқару;
• қамтамасыз етудің жиыны, тек қана ақпаратты ұстайтын сезімтал ақпаратты өңдейтін қолданбалы жүйеден тұжырым үшін қажетті, осы тұжырымды пайдалану үшін және тұжырым тек қана рұқсат етілген терминалдарға және құралдарды ораналастырудың рұқсат етілген орнына жөнелтілсе;
• тұжырымдардан артық ақпаратты жойылғанды кепілдендіретін, осындай тұжырымдардың мерзімдік тексеруін жүргізу.

Әлсіз жүйелерді бөлектеу

 
Әлсіз жүйеге қарастылар оқшауланған  есептегіш ортасы болуы тиіс. Әлсіз  жүйеге қарастыларды оқшау үшін мынадай  ұсынымдар қарастырылуы тиіс:

• қолданбалы жүйеге қарастының әлсіздігі анық бірдейлестірілген және құжатталған болуы тиіс;
• егер әлсіз қосымша жалпы пайдалану ортасында орындалуы тиіс болса, қолданбалы жүйеге қарасты бірдейленуі тиіс, ол ресурстарды, сондай-ақ сәйкес тәуекелді бөледі;
• қолданбалы жүйеге қарастылар және тәуекелдер сезімтал қосымша иесімен рұқсат етілуі тиіс.

Әлеуетті  шығындарға әлсіз, қолданбалы жүйеге қарастылармен  арнаулы үндеуін анықтау. Қолданбалы жүйеге қарастылар бөлінген компьютерде  орындалуы немесе тек қана қолданбалы жүйеге қарастылармен ресурстарды бірлесіп пайдалануы тиіс. Оқшаулануға физикалық немесе логикалық әдістерді пайдалана отырып жетуі мүмкін.

Жедел есептегіш және жойылған жұмыс

Жедел есептегіштерді пайдаланған кезде  қосымшалардың сәйкес қорғауы ескерілуі тиіс. Жойылған жұмыстар жағдайында жойылған жұмыстар үшін пайдаланылған аймақты қорғауды қамтамасыз етуі және осы жұмыс тәсіліне сәйкес өкімммен істелгенді кепілдендіруі тиіс. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

3. Ақпаратты қорғау қақтығыстарын басқару

Оқиғалар  және Ақпаратты қорғау қатерінің пайда болуы туралы хабарлама бойынша нысанды рәсімдер іске асырылуы тиіс. Ақпаратты қорғау оқиғалары туралы мәлімет сәйкес арналар арқылы басқаруы қаншалықты мүмкін болса, соншалықты тез болуы тиіс. 
Қақтығысқа және қауіпсіздік жүйесін жұмылдыруға елеу рәсімімен бірге пайдаланылатын Ақпаратты қорғау оқиғалары туралы хабарламаның нысанды рәсімі іске асырылуы тиіс, онда Ақпаратты қорғау оқиғалары туралы еп қылған хабарламаны алғаннан кейін іс-қимылы сипатталған:

• кері байланыстың сәйкес үдерістері Ақпаратты қорғау оқиғалары туралы кім хабарлағанға кепіл болса, қалай проблема шешілгеннен кейін нәтижесі туралы хабарланатын болады;
• Ақпаратты қорғау оқиғасы болған жағдайда еп қылғанды, барлық қажетті іс-қимылды олар туралы еске сақтағанды кім хабарласа, оған хабарлағаны және көмектескені бойынша қамтамасыз ететін Ақпаратты қорғау оқиғалары бойынша нысандар;
• Ақпаратты қорғау оқиғасы жағдайында дұрыс мінез-құлқы, мысалға, 
• барлық маңызды бөлшектерін дереу белгілеу (мысалға, сәйкесіздікті немесе бұзу түріндегіні, жөнсіз жұмыстың пайда болуын, экрандағы хабарламаны, оғаш жұмыстың тәртібіндегіні);
• өз бастамаң бойынша ешқандай іс-қимылды еп қылмауың тиіс, бірақ байланыс бөлімшесіне дереу хабарлау;
• қауіпсіздікті бұзатын қызметкерлермен, келісім шарт жасайтын агентпен немесе үшінші тараптың пайдаланушыларымен жолыққан кезде – белгіленген нысанды тәртіптік үдеріске сілтеме.

Жоғарғы тәуекелдер жағдайында мәжбүрленудің  іс-қимылы туралы хабарлауды пайдалану  қажеттігі тууы мүмкін, мәжбүрленуде тұрған адам үшін осынадай проблемаларды бар екенінін көрсете алады. Мәжбүрленуде тұрған туралы хабарлауға елеу рәсімдері жоғарғы тәуекелдерімен барабар жағдайымен болуы тиіс, ондайға мынадай хабарлау көрсетеді. 
Болуы мүмкін Ақпаратты қорғаутегі оқиғалар мен қақтығыстар:

• қызметтерді, құралдарды немесе жұмыс істеуін жоғалту;
• жүйенің дұрыс емес жұмыс жасауы немесе артық жүктелуі;
• адамдық қателер;
• ережелерді немесе нұсқаманы сақтамау;
• физикалық қауіпсіздікті сақтамау;
• бақылау жүргізілмейтін жүйенің өзгеруі;
• бағдарламалық қамтамасыз етудің немесе аппараттық құралдардың істен шығуы;
• қол жеткізудің бұзылуы;
• ақпараттық жүйенің істен шығуы және қызметтерді берудің тоқтатылуы;
• арам ниетті бағдарламалық код;
• қызметтерді беруде бас тарту;
• өндірістік дерктердің толық еместігіне немесе дәлдік еместігіне байланысты болатын қателер;
• құпиялығының және тұтастығының бұзылуы;
• ақпараттық жүйелерді дұрыс емес пайдаланылуы.