Ақпаратпен жұмыс саласындағы ҚР заңнамалары

Ақпараттық технологиялар және телекоммуникация

• Ақпаратпен жұмыс саласындағы ҚР заңнамалары
• Ақпаратты электрондық желілер бойымен тасымалдау барысындағы қорғауының қағидаттары және қабылдаулары

1 - Ақпаратпен жұмыс саласындағы ҚР заңнамалары

ҚР ақпаратпен жұмысты келесі заңнамалар тәртіптейді:

• Ақпараттандыру туралы

• Қазақстан Республикасының 2007 жылғы 11 қаңтардағы N 217 Заңы http://adilet.zan.kz/kaz/docs/Z070000217 _
• Қазақстан Республикасының 2007 жылғы 11 қаңтардағы N 217 Заңы
• http://adilet.zan.kz/kaz/docs/Z070000217 _
• Мемлекеттік құпиялар туралы Қазақстан Республикасының 1999 жылғы 15 наурыздағы N 349-I Заңы http://adilet.zan.kz/kaz/docs/Z990000349 _
• Қазақстан Республикасының 1999 жылғы 15 наурыздағы N 349-I Заңы
• http://adilet.zan.kz/kaz/docs/Z990000349 _
• Қазақстан Республикасындағы сайлау туралы Қазақстан Республикасының 1995 жылғы 28 қыркүйектегі N 2464 Конституциялық заңы http://adilet.zan.kz/kaz/docs/Z950002464_
• Қазақстан Республикасының 1995 жылғы 28 қыркүйектегі N 2464 Конституциялық заңы
• http://adilet.zan.kz/kaz/docs/Z950002464_

Заңнамалар кемшіліктері

Қазіргі заңнамалар белгілі бір саланың іс-әрекетін қана қадағалайды.

Заңнамалар келесі маңызды түсініктерді заңды түрде нақтыламайды:

• Ақпарат
• “ Қызметтік қолданымға” деген белгісі бар шектеулі қызмет ақпараты
• Ақпаратқа ұлықсат
• Ақпараттық қауіпсіздікті қамтамасыз ететін мекемелер

Осы мәселелерге байланысты қазіргі кезде “Ақпарат және ақпарат қауіпсіздігі” деген заңнама жасалып жатыр.

Толығырақ ақпарат (орысша құжат)

http ://online.zakon.kz/Document/?doc_id=30383060&search=%D0%B7%D0%B0%D0%BA%D0%BE%D0%BD%20%D0%BE%D0%B1%20%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B8%20%D0%B8%20%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B5%20%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%B8&spos=1&tSynonym=1&tShort=1&tSuffix=1

Ақпараттандыру туралы

• Ақпараттандыру саласындағы мемлекеттік реттеу мен бақылау
• Электрондық ақпараттық ресурстар, оларды қалыптастыру және пайдалану тәртібі
• Ақпараттық жүйелер, технологиялар және оларды қамтамасыз ету құралдары
• Электрондық ақпараттық ресурстарды, ақпараттық жүйелерді есепке алу, тіркеу және ақпараттық жүйелердің аудиті
• «Электрондық үкімет" аясындағы мемлекеттік ақпараттық жүйелердің өзара іс-қимылының тәртібі
• Жеке және заңды тұлғалардың электрондық ақпараттық ресурстарға қол жеткізу құқықтары және оларды беру тәртібі
• Электрондық ақпараттық ресурстар мен ақпараттық жүйелерді қорғау

Мемлекеттік құпиялар туралы

• Қазақстан Республикасы Президентінің, Қазақстан Республикасы Парламентінің, Үкіметінің, мемлекеттік органдары мен ұйымдарының мемлекеттік құпияларды қорғау саласындағы өкілеттігі
• Қазақстан Республикасының мемлекеттік құпияларына жатқызылатын мәліметтер
• Қазақстан Республикасының мемлекеттік құпиялары болып табылатын мәліметтер мен олардың көздерін құпияландыру
• Мәліметтер мен олардың көздерін құпиясыздандыру
• Қазақстан Республикасының мемлекеттік құпиялары болып табылатын мәліметтерге билік ету
• Мемлекеттік құпияларды қорғау

Қазақстан Республикасы ақпараттық кеңiстiгiнiң бәсекеге қабiлеттiлiгiн дамытудың 2006-2009 жылдарға арналған тұжырымдамасы туралы

• Қазақстан Республикасы Президентінің 2006 жылғы 18 тамыздағы N 163 Жарлығы
• Ақпараттық кеңiстiктегi бәсекелестiк ұғымы 
• Қазақстан Республикасы ақпарат нарығының қазiргi жай-күйi 
• Тұжырымдаманың мақсаты мен мiндеттерi 
• Ақпарат саласы мәселелерi жөнiндегi заңнаманы жетiлдiру 

• Отандық БАҚ-тардың бәсекеге қабiлеттiлiгiн дамыту Мемлекеттiк БАҚ-тардың бәсекеге қабiлеттiлiгiн дамыту  Ақпараттық-телекоммуникация инфрақұрылымын дамыту. Цифрлық теледидарды енгiзу 
• Отандық БАҚ-тардың бәсекеге қабiлеттiлiгiн дамыту
• Мемлекеттiк БАҚ-тардың бәсекеге қабiлеттiлiгiн дамыту 
• Ақпараттық-телекоммуникация инфрақұрылымын дамыту. Цифрлық теледидарды енгiзу 

• Тұжырымдаманы iске асыру мерзiмдерi мен кезеңдерi 

2 - Ақпаратты электрондық желілер бойымен тасымалдау барысындағы қорғауының қағидаттары және қабылдаулары

Желі қауіпсіздігі

• Жаман жігіттер қалай желілерді шабуылдайды Желілерді қалай шабуылдан қорғайды Шабуылға қарсы архитектураны қалай жасау керек
• Жаман жігіттер қалай желілерді шабуылдайды
• Желілерді қалай шабуылдан қорғайды
• Шабуылға қарсы архитектураны қалай жасау керек

• Интернет алғашында қауіпсіздік ойысыз жасалған Интернет тұпнұсқасы – бір біріне сенетін пайдаланушылар тобы (ғалымдар алғашқы пайдаланушылар болған)
• Интернет тұпнұсқасы – бір біріне сенетін пайдаланушылар тобы (ғалымдар алғашқы пайдаланушылар болған)

Желі қаупсіздігінің мақсаттары

• Қол жетімділік

• Әрбір адам барлық желі ресурстарын кез келген уақытта пайдалана алады
• Әрбір адам барлық желі ресурстарын кез келген уақытта пайдалана алады
• Қаупсіздік Пайдаланушыларды қажет емес заттардағ қорғау (вирус)
• Пайдаланушыларды қажет емес заттардағ қорғау (вирус)
• Аутентификация Кіммен сөйлесіп тұрғанынды білу
• Кіммен сөйлесіп тұрғанынды білу
• Деректер бүтіндігі Ақпаратты тасымал барысында қорғау
• Ақпаратты тасымал барысында қорғау
• Сезімтал ақпаратты қорғау Адамның жеке ақпаратың қорғау
• Адамның жеке ақпаратың қорғау

Қауіпті бағдарламалар

Қаупті бағдарламалар түрі:

• Вирус, құрт, Троян аты
• Spyware – клавиатурада терген әріптерді, сіз ашқан web сайттарды жазып бұл ақпаратты өзінің сайтына жібереді
• Botnet – қауіпті бағдарлама жұқтырған компьютер вирустық желі мүшесі болып спам жіберуге немесе DDoS шабуылуына қолданылады

Қауіпті бағдарламалар көбінесе өздерін көшіріп көбейтеді және де басқа компьютерлерді іздеп орналасады.

Қауіпті бағдарламалар

• Троян аты

• Пайдалы бағдарламаның жасырулы бөлігі Көбінесе web беттерде табуға болады
• Пайдалы бағдарламаның жасырулы бөлігі
• Көбінесе web беттерде табуға болады

• Вирус Инфекциялық бағдарламаны жұқтыру объект алу барысында болады Мысалы Email арқылы белгісіз бағдарлама ашу Өзін өзі көшіріп желідегі басқа компьютерлерге жұғады
• Инфекциялық бағдарламаны жұқтыру объект алу барысында болады
• Мысалы Email арқылы белгісіз бағдарлама ашу
• Өзін өзі көшіріп желідегі басқа компьютерлерге жұғады

• Құрт Жұқпалы бағдарлама пассивты түрде компьютерге орналасады Өзін өзі көшіріп желідегі басқа компьютерлерге жұғады
• Жұқпалы бағдарлама пассивты түрде компьютерге орналасады
• Өзін өзі көшіріп желідегі басқа компьютерлерге жұғады

DoS шабуыл

• DoS – Denial of Service, Қызметті жою
• Шабуылшылар ресурстарды қолжетімсіз түрге жеткізеді
• Мысалы желінің өткізу қабілетін спам немесе қажетсіз ақпарат жіберіп азайтады

• Нысананы таңдайды
• Желідегі басқа компьютерлерге рұқсатсыз қол жеткізеді (физикалық мағынада емес)
• Нысанаға жұқпалы компьютерлерден пакеттер жібереді

Нысана

Пакет иіскеу (packet sniffing)

• Ethernet кабельға баршаның қосылуына болады
• С желіге қосылып желі арқылы өтетін деректерді жазып оқиды

Жалған IP адрес

• IP spoofing – пакетті жалған адреспен жіберу.
• С А-ға пакетті жіберді, бірақ жіберушінің мекежайын В деп жазды.

Қорғау тәсілдері - Firewall

• Firewall ағылшыннан аударғанда от қабырғасы дегенді білдіреді

• Желіні керексіз трафиктан ережелер бойынша сақтайтын компьютерлік жүйе (бағдарлама немесе физакалық құрал)
• Желіні керексіз трафиктан ережелер бойынша сақтайтын компьютерлік жүйе (бағдарлама немесе физакалық құрал)
• Трафиктан сақтау үшін әртүрлі шаралар қолданады Пакет фильтрациясы Прокси, шлюз
• Пакет фильтрациясы
• Прокси, шлюз

• Пакет фильтрациясы Пакеттың мета-ақпаратын зерттеп бұл қауіпті немесе қауіпсіз ақпарат екенін білу
• Пакеттың мета-ақпаратын зерттеп бұл қауіпті немесе қауіпсіз ақпарат екенін білу

• Протокол түрін зерттейді Тасымал портын зерттейді Алушының және жіберушінің IP адрестарын зерттейді Тексерулер көбінесе роутер деңгейінде атқарылады
• Протокол түрін зерттейді Тасымал портын зерттейді Алушының және жіберушінің IP адрестарын зерттейді
• Протокол түрін зерттейді
• Тасымал портын зерттейді
• Алушының және жіберушінің IP адрестарын зерттейді
• Тексерулер көбінесе роутер деңгейінде атқарылады

LAN – жергілікті желі

WAN - Интернет

Пароль

• Желіде көптеген қызметтер бар (facebook, vkontakte, mail.ru, youtube)
• Қызметтердің көбі пароль қажет етеді
• Дұрыс пароль таңдау сіздің желідегі қауіпсіздігінізді қамтамасыз етеді

Google компаниясының қауіпсіз пароль жасау кенестері:

• Тыныс белгілерді және цифрларды пайдалну қажет
• Үлкен әріптермен кіші әріптерді араластырыңыз
• Ұқсас белгілерді ауыстырыңыз. Мысал нольді О әріпімен

Пароль

Google: не істемеу керек?

• Бір парольды бірнеше қызметке пайдаланбаныз
• Мысал ретінде берілген парольды қолданбаңыз
• Жеке ақпараттан тұратын парольды пайдаланбаңыз (аты-жөн, тұған күн, т.б.)
• Сөздіктен табуға болатын сөздерді немесе акронимдерде пайдаланбаңыз
• Әріптерді клавиатурадағы ретте пайдаланбаңыз (1234, фыва)
• Қайталанатын әріптерді немесе цифрларды пайдаланбаңыз (аа11)

Пароль

Google: парольды құпия ретінде қалай сақтау керек?

• Ешкімге парольды айтпаңыз (достар, тұған-туысқандар)
• Ешқашан парольды жазбаңыз
• Ешқашан парольды email арқылы жолдамаңыз
• Әрдайым парольды ауыстырып отырыңыз

Адами фактор

• Ақпарат қауіпсіздігің ақпаратпен жұмыс атқаратын адамдар да қамтамасыз ету керек.

• Көптеген мекемелердің бағалы ақпараты адами фактор әсерінен басқалардың қолына түскен.

• Хакерлер әлеуметтік инжинирия тәсілін қолданады.

Әлеуметтік инжинирия

• Адамдарды алдап ақпаратты алу тәсілі
• Pretexting – алдын ала жалған бірақ шындыққа ұқсайтын сценарий құрыс ақпаратты алу.

• Мысалы сіз бір компания қызметкеріне телефон шалып, өзінізді басқа департаменттағы әріптес ретінде таңыстырып ақпарат сұрайсыз
• Мысалы сіз бір компания қызметкеріне телефон шалып, өзінізді басқа департаменттағы әріптес ретінде таңыстырып ақпарат сұрайсыз

• Phishing (балық ұстау) – хакер email арқылы хабарлама жолдайды. Хабарлама шын компаниядан келетін хабарға ұқсас болуы қажет. Мысалы, 2003 жылы көптеген ebay онлайн аукцион пайдаланушылары phishing email алды. Хатта сіздің аккаунтыңыз жабылады деген хабар болады. Аккаунтты жаппау үшін сіз өзініздің қаржы ақпаратыңызды жаңартуыныз қажет деп хатта айтылады. Хатта ақпаратты жаңарту үшін сілтеме болады, сілтемені басып ашқанда ebay-ға ұқсас сайт ашылады. Дегенмен бұл ebay емес. Пайдаланушылыр өздерінің қаржы ақпаратың жаңартамыз деп деректерді хакерлерге осылай ұстатады.
• Мысалы, 2003 жылы көптеген ebay онлайн аукцион пайдаланушылары phishing email алды. Хатта сіздің аккаунтыңыз жабылады деген хабар болады. Аккаунтты жаппау үшін сіз өзініздің қаржы ақпаратыңызды жаңартуыныз қажет деп хатта айтылады. Хатта ақпаратты жаңарту үшін сілтеме болады, сілтемені басып ашқанда ebay-ға ұқсас сайт ашылады. Дегенмен бұл ebay емес. Пайдаланушылыр өздерінің қаржы ақпаратың жаңартамыз деп деректерді хакерлерге осылай ұстатады.