Байтуғанова А.О., Бузаубекова С.Ж.
Тараз инновациялық-гуманитарлық университеті
КӘСІПОРЫНДАРДЫҢ
ҚАУІПСІЗДІК АҚПАРАТ ЖҮЙЕСІ
Соңғы
уақытта заманауи кәсіпкерлікті және кәсіпорындарды
ақпараттық технологияларды пайдаланбай басқаруды елестету
мүмкін емес. Үйымдардың қызметтеріне сенімді
ақпараттық технологиялар қажет.
Ақпарат
көздеріне жататын ақпараттың және басқа да
обьектілердің қауіпсіздігін қамтамасыз ету кез-келген бизнес
үшін маңызды міндет болып табылады. Әрбір
құзыреттілігі бар бизнесті басқарушы өзіне
қарасты ағымдағы ақпарат жүйелерінің
жағдайына көз жұмып қарай алмайды, олар
кәсіпкерлікке қажетті барлық ақпараттық
технологиялардың қамтамасыз етілуін қадағалап,
ақпараттық технологияларға қатысты мәселерді
шешуді қолына алады. Сөз жоқ, бүгінгі
күннің өзінде аталған ақпараттық
технологиялар жүйесімен және оның қауіпсіздігін
сақтау жолында кәсіпорындардың біраз бөлігі
қамтамасыз етіліп, сонымен жұмыс жасап келеді. Бірақ
бұл жеткіліксіз. Жалпылама түсінікте, ақпараттық
қауіпсіздік түсінігі ақпаратқа қатысты
үшінші тұлғаның қатыстырылуының шектелуімен
байланысты. Шындығында бұл ақпаттарттың
қауіпсіздігіне қатысты мәселенің жалпылама
жиынытығының бір жағы ғана ашылып көрсетіліп
отырған алдыңғы қатардағы әлемдік қауымдастықтар
ақпарат қауіпсіздігіне қатысты мәселенің
бұдан үлкен жиынтығын шешеді. Олардың
қауіпсіздікке байланысты жүргізілген жұмыстарының
нәтижесінде кәсіпорындардағы жұмыс барысындағы
құралдардың үнемделуі және қажетті емес
қателіктердің іске асырылмауы алдын алынады.
Ашықтылығымен қолжетімділік арқылы
халықаралық зерттеулердің ақпарттық
қауіпсіздікті қамтамасыз етуге жоғарғы деңгейде
көңіл бөлуі табысты қадам болып саналады.
Ақпарттық қауіпсіздікті басқару саласы бойынша
әлемдік үздік тәжірибедегі халықаралық
стандарттағы тіркелген ақпараттық қауіпсіздікті
басқару жүйесі бойынша ISO/IEC 27001 (ISO 27001) болып табылады.
Ұйымның
өзіндік ақпараттық ресурстарын қорғау
қабілеттілігіне ие болуы үшін ISO
27001 ақпараттық қауіпсіздікті басқару жүйесі
(АҚБЖ) қолданысқа енгізілген. «Ақпаратты
қорғау» түсінігі арқылы халықаралық
стандартта ақпараттың қолжетімділігімен
құпиялылық, тұтастылығын түсінуге жол
көрсетіледі. Үйреніскен тұтастылықтан бөлек,
басқа стандарт жұмыс міндеттемесіне қатысты басқа да
маңызды қасиеттерге айқын көңіл
бөлінетіндігін ерекше айтып кету керек. Бұл қасиеттерге –
тұтастылық, құпиялылық, қолжетімділік жатады.
Қауіпсіздік
ақпараттық жүйесі - мекеменің ақпаратты
қалайша өңдейтінін, қорғайтынын және
тарататынын анықтайтын заңдар, ережелер және тәртіп
нормаларының жиыны. Бұл ережелер пайдаланушының қайсы
кезде белгілі бір деректер жинағымен жұмыс істей алатынын
көрсетеді.
Қауіпсіздік
саясатын құрамына мүмкін болатын қауіптерге талдау
жасайтын және оларға қарсы әрекет шаралары кіретін
қорғаныштың белсенді сыңары деп санауға болады.
Қауіпсіздік саясатының құрамына мына элементтер кіруі
керек: қатынас құруды ерікті басқару, объектілерді
қайтадан пайдаланудың қауіпсіздігі, қауіпсіздік
тамғасы және қатынас құруды мәжбүрлі
басқару.
Кәсіпорынның
қауіпсіздік ақпарат жүйесін тиімді құру
үшін төменде көрсетілген барлық талаптарды орындау
қажет.
1. Қауіпсіздік жүйесінің
құндылығы төмендетіледі және ұтымды етіп
жасалынады. Сіз нақты өзіңіздің
кәсіпорыныздың аса қауіпті тәуекелділігін жабуға
көмектесетін бағыттағы қауіпсіздік жүйелеріне
ақшаңызды жұмсайсыз. «Шығын мүмкіндігінің»
обьективті үйлесімдік бағасы сізге үнемі
ақпараттық қауіпсіздікті тиімді қаржыландыруға
мүмкіндік береді.
2. Компания менеджменті
үшін ақпараттық активтер түсінікті болады. 3.
Ағымдағы бизнес процестеріне қауіпсіздіктерде орын
алған қауіптер
күнделікті
анықталып тұрады.
4.
Тәуекелділік есептелінеді және шешімдер бірінші ретте
қаржылық мақсатта компанияның бизнес мақсатына
сай қабылданады.
5.
Кәсіпорындардағы қиын жағдайлар туындаған
сәтте ақпараттық активтерді басқаруда қайта
өңдеу.
6.
Қауіпсіздік саясатын жүргізу процесі жүргізілетін болады
(күнделікті режимдегі ақпараттық қауіпсіздік
жүйесінің әлсіз жерлерін табу және жөндеу).
7.
Стандарт заңдылығына сәйкес бизнестің тазалығы
және әртүстілігі қамтамасыз етіледі.
8.
Рейдерлік қарсылыққа қарсы сенімді қорғаныс
пайда болады.
9. Ақпараттық қауіпсіздік
жүйесінің астында жалпы менеджмент жүйесі тұтастырыла
жүреді.
10.
Кәсіпорын халықаралық деңгейде танылады және сол
арқылы беделі өсіп, тіпті сыртқы сауда да белгілі бола
бастайды. Отандық кәсіпорындарда стандартты қолданудағы
талаптардың ерекшеліктері. ISO 27001 стандарты басшылықпен
қызметкерлерде қалыптасқан отандық менталитеті
және кәсіпорынның дамуымен тарихи қалыптасуы жағдайындағы
ерекшеліктерді ескере отырып, орындалуы қиын талаптарды
құрайды.
Қарастырылып
отырған амалдан бөлек, стандарттың күрделі талаптарына
қатысты отандық сарапшылар мен аудиторлардың пікірлерінен
бірен -саран мысал келтірейік.
Стандарт
талаптары:
1.
Ақпараттық қауіпсіздік саласында жұмыс жасайтын
Қазақстандағы әртүрлі инстанциялармен келісімге
отыру. Мұндай жүйелерге күшті ІІМ, қауіпсіздік
саласында қызмет ететін консалтингтік фирмалар, сертификаттау
қауымдастықтары, ақпараттық қауіпсіздік
жөніндегі форумдар болуы мүмкін.
2.
Ақпараттық қауіпсіздікте менеджмент саласының жеке
түрде қаралуы. Бұл үшін өзіне сертификаттау
органдарды немесе консалтингтік компания болмаса, кәсіпорынның
серіктес мүшелерін тартуы керек.
3.
Кәсіпорынның ақпараттық активтерінің толық
және өзекті реестрлерінің қатыстырылуы.
4.
Ақпараттық қауіпсіздік талаптары барлық
жұмыстағы мамандарда қолданылып, қабылдануы тиіс.
5.
Жұмыс уақытында барлық мамандар кезеңдік
ақпараттық қауіпсіздікті сақтау үшін
түсіндірмелік оқытулардан өткізілуі тиіс.
6.
Қызметкер жұмыстан босатылған уақыттан бастап реестр
бойынша тексеріліп және жұмыс уақытына оның
қолжетімді болған барлық ақпараттық
активтердің қайтарылғандығына көз жеткізу керек.
7.
Кәсіпорындардағы ақпараттық активтердің
қауіпсіздігін сақтауда тұлғалық қауіпсіздік
тек материалдық активтерге қатысты ғана болмауы тиіс.
8.
Жекеленген тұлғалар үшін бағдарламамен қамтамасыз
ету барысында қайта өңдеу, тестілеу, бағдарламаланы
қолдануды бөліп қарастыру керек.
9.
Ақпараттық қауіпсіздіктің талаптарын орындау үшін
үшінші тұлғаларға арналған қызметтер
жүйесі қайта жасалынып, орындалуы тиіс.
10.
Кез келген ақпараты бар құрал жөндеуге немесе
қоймаға жіберілмес бұрын ондағы барлық
ақпарттардың жойылғандығына көз жеткізу керек.
11.
Жүйелік құжаттандыру барлық
құрылғыларға қолжетімді болуы керек, сол
арқылы ақпарат негізі бола отырып, үшінші тұтынушы
тұлғаларға қолжетімсіз болып құрылуы
тиіс.
12.Ақпараттық
қауіпсіздікке қатысты талаптарды тек компьютерлік
ақпараттық қауіпсіздік жүйесімен ғана
байланыстырып есептемей, сонымен бірге қарапайым факс, телетайп,
телефондарға қатысты да қарастыру керек.
13.
Барлық администратордың жүйелік әрекеттері тіркелген
болуы шарт. Бұл бірден бір қиын жол. Мұның
қажеттілігі жүйелік тіркеушілер өздерінің
әрекеттерінің түрлілігіне қарай үнемі
ақпараттық жүйелердің құрылымымен
түзетіп отыруымен байланысты. Осы маманның жұмыстан босатылуы
кәсіпорын үшін үлкен қаржылық шығынға
әкеледі.
14.
Ақпаратпен байланысты барлық мәселелер (компьютер
бұзылуы, құралдардың жоғалуы,
ақпараттардың жоғалуы, ақпараттық
жүйелердің өзімен өзінің жоғалуы және
т.б) тіркеу кітапшасында тіркелген болуы тиіс. Бұл жұмыс
мәселенің жеңіл шешілуіне көмегін тигізеді.
Ақпараттық
қауіпсіздік – заңға қайшы келетін ақпаратты
тығып қою, жабу, сатылатын ақпаратты жою сияқты
ойлармен байланыстырылмауы тиіс. Яғни, осындай ойға алған
қадамдарыңыздың іске асырылуы арқылы ақпаратты
сақтауда көптеген ақпараттардың жойылып кетуінен
бөлек, кем дегенде қолжетімділігінің жоғалуына немесе
одан да қиын қаржылық шығындарға әкелуі
мүмкін. Әрқашанда тепе-теңдікті сақтап отыру
керек, сонымен бірге бір уақытта осы аталған барлық үш
қасиетті сақтағаныңыз жөн. Мұнымен
қоса, кәсіпорын жұмысының дербес, әрі дұрыс
мақсатын есте сақтаған дұрыс. Бұл мақсат -
кәсіпорынның құралдармен өте жақсы
жабдықталуы кеңістігіне немесе жұмысшының
жоғарғы біліктілігіне қатысты қарастырыуы мүмкін
емес. Кәсіпорынның
жалғыз мақсаты – қаржы табысына қол жеткізу.