Аннотация: Бұл мақала заманауи ақпараттық қоғамдағы ақпараттық қауіпсіздік саясатының (АҚС) тұжырымдамасын, құрылымын, мақсаттарын және іске асыру механизмдерін зерттеуге арналған. Мақаланың мақсаты – АҚС-ты қалыптастыру мен жүзеге асырудың теориялық-әдіснамалық негіздерін жүйелеу, сондай-ақ оны ұйымдар мен мемлекет деңгейінде тиімді енгізу жолдарын ұсыну. Зерттеудің әдіснамасына талдамалық-жинақтау әдісі, жүйелік тәсіл және салыстырмалы талдау кіреді. Нәтижелер ақпараттық қауіпсіздік саясатының тек техникалық шаралар ғана емес, сонымен қатар заңи, ұйымдастырушылық және басқарушылық құрамдастардан тұратын кешенді жүйе екенін көрсетеді. Сондай-ақ, мақалада АҚС-тың негізгі құрамдас бөліктері (санкцияланған қол жеткізуді басқару, есеп беру мен тексеру, тұтастық пен құпиялылықты қамтамасыз ету) талданған. Қорытындылай келе, тиімді саясаттың қалыптастырылуы қауіптерді талдауды, тұрақты бақылауды және дағдыланған тәжірибені қолдануды қажет ететіні атап өтілген. Мақала ғылыми зерттеулер мен практикалық жұмыс үшін пайдалы болуы мүмкін.

Аннотация: Данная статья посвящена исследованию концепции, структуры, целей и механизмов реализации политики информационной безопасности (ПИБ) в современном информационном обществе. Цель статьи – систематизировать теоретико-методологические основы формирования и реализации ПИБ, а также предложить пути её эффективного внедрения на уровне организаций и государства. Методология исследования включает аналитико-синтетический метод, системный подход и сравнительный анализ. Результаты показывают, что политика информационной безопасности представляет собой комплексную систему, состоящую не только из технических мер, но также из правовых, организационных и управленческих компонентов. В статье также проанализированы ключевые составляющие ПИБ (управление санкционированным доступом, аудит и мониторинг, обеспечение целостности и конфиденциальности). В заключение подчёркивается, что формирование эффективной политики требует анализа угроз, постоянного контроля и применения передового опыта. Статья может быть полезной для научных исследований и практической работы.

Abstract: This article is devoted to the study of the concept, structure, goals and implementation mechanisms of the Information Security Policy (ISP) in the modern information society. The aim of the article is to systematize the theoretical and methodological foundations of the formation and implementation of ISP, as well as to propose ways for its effective implementation at the organizational and state levels. The research methodology includes analytical-synthetic method, system approach and comparative analysis. The results show that the information security policy is a complex system consisting not only of technical measures, but also of legal, organizational and managerial components. The article also analyzes the key components of ISP (managed access control, audit and monitoring, ensuring integrity and confidentiality). In conclusion, it is emphasized that the formation of an effective policy requires threat analysis, constant monitoring and the application of best practices. The article may be useful for scientific research and practical work.

Кіріспе. Қазіргі ақпараттық-цифрлық дәуірде ақпарат мемлекет пен қоғамның дамуы үшін шешуші стратегиялық ресурсқа айналды. Ақпараттық қауіпсіздікті (АҚ) қамтамасыз ету жеке тұлғалардың, ұйымдардың және бүкіл мемлекеттің тұрақтылығы мен бәсекеге қабілеттілігінің негізгі шарты болып табылады. Ақпараттық қауіпсіздік деп мемлекеттік ақпараттық ресурстардың, сондай-ақ ақпарат саласындағы жеке адамның құқықтары мен қоғам мүдделерінің қорғалғандық жағдайын түсіну керек [1, б. 15]. Бұл күрделі мәселені шешу тек бөлшек техникалық немесе бағдарламалық шешімдермен мүмкін емес; ол жүйелі, кешенді және бірыңғай тәсілді талап етеді. Дәл осы тәсілді қалыптастыру ақпараттық қауіпсіздік саясатының (АҚС) негізгі міндеті болып табылады. Ақпараттық қауіпсіздік саясаты – бұл ұйымның (немесе мемлекеттің) ақпаратты қалай өңдеуі, қорғауы және таратуы керектігін, сондай-ақ ақпараттық қорларға рұқсат етілген қол жеткізуді реттейтін негізгі құжаттар мен ережелер жиынтығы. АҚС тек реактивті (жауап беруші) қорғаныс емес, сонымен қатар болжамды және стратегиялық құрал ретінде әрекет етеді. Ол мүмкін болатын қауіп-қатерлерді алдын ала анықтауға, оларды бағалауға және тиімді қарсы шараларды әзірлеуге мүмкіндік береді [2, б. 78]. Осыған байланысты, АҚС-тың теориялық негіздерін, құрылымдық элементтерін және іске асыру тәжірибесін зерттеу өте өзекті ғылыми-практикалық міндет болып отыр. Бұл мақаланың мақсаты – ақпараттық қауіпсіздік саясаты тұжырымдамасына жан-жақты талдау жасау, оның негізгі принциптерін, мақсаттарын, даму кезеңдерін және қазіргі заманғы қиындықтарын ашу болып табылады.

Негізгі бөлім

Ақпараттық қауіпсіздік пен қорғаудың негізгі тұжырымдамалары. Ақпараттық қауіпсіздік (АҚ) үш негізгі қасиетті қамтамасыз етуге негізделген: қолжетімділік (Availability), тұтастық (Integrity) және құпиялылық (Confidentiality). Бұл «АҚ Үштігі» (CIA Triad) халықаралық деңгейде қабылданған негізгі модель болып табылады [3]. Қолжетімділік – құқылы субъектілерге қажетті ақпаратқа және оны өңдеу құралдарына уақытында және кедергісіз қол жеткізу мүмкіндігі. Тұтастық – ақпараттың құқысыз өзгертуден, бұзудан және жоюдан қорғалуын білдіреді. Құпиялылық – ақпаратқа құқысыз қол жеткізуден және оны ашудан қорғау. Осы үш қасиетті қорғау ақпаратты қорғау жүйесінің мақсаты болып табылады. Ақпаратты қорғау – бұл ақпараттық қауіпсіздікті қамтамасыз етуге бағытталған кешенді шаралар жиынтығы. Оған заңи-нормативтік, ұйымдастырушылық-әкімшілік, техникалық және бағдарламалық-аппараттық шаралар кіреді. Ақпаратты қорғау жүйесі ақпараттың рұқсатсыз ашылуының, ұрлануының, жоғалуының, өзгертуінің немесе тоқтатуының алдын алуға бағытталған. Ақпараттық қауіпсіздік саясаты (АҚС) – бұл қауіпсіздікті қамтамасыз етудің жоғары деңгейдегі стратегиялық құжаты. Ол ұйымның (мемлекеттің) басшылығымен бекітіледі және ақпараттық активтерді басқару мен қорғаудың барлық аспектілеріне төменгі деңгейдегі процедуралар мен нұсқаулар үшін негіз құрады. АҚС-тың негізгі мақсаттары мыналарды қамтиды:

1. Ақпараттық активтердің маңыздылығын және оларға тән қауіптерді анықтау.
2. Ақпараттық қауіпсіздік бойынша жалпы мақсаттар мен принциптерді белгілеу.
3. Қауіпсіздікке жауаптылық пен өкілеттіліктерді бөлу.
4. Қауіпсіздік талаптарына сәйкестікті бағалау үшін негіз құру.
5. Қызметкерлер мен пайдаланушылардың қауіпсіздікке деген мінез-құлқын реттеу [4].

АҚС құрылымы төмендегідей негізгі бөліктерден тұруы мүмкін:

1. Қауіпсіздікке басшылықтың міндеттемесі: Басшылықтың саясатқа қолдауы мен жауапкершілігі.
2. Ақпараттық активтерді басқару: Ақпараттық ресурстарды түгендеу, жіктеу және иеленушілерді тағайындау.
3. Адам ресурстары қауіпсіздігі: Жұмысқа қабылдау, оқыту, жұмыстан босату кезеңдеріндегі қауіпсіздік шаралары.
4. Физикалық және қоршаған орта қауіпсіздігі: Сервер бөлмелеріне, жабдыққа қол жеткізуді қорғау.
5. Қол жеткізуді басқару: Санкцияланған қол жеткізуді, идентификациялау, аутентификациялау және авторизациялау процедураларын басқару.
6. Криптография: Деректерді шифрлау және электрондық цифрлық қолтаңба қолдану.
7. Операциялық және байланыс қауіпсіздігі: Жүйелерді пайдалану, желілік қауіпсіздік, зиянды бағдарламалық жасақтамадан қорғау.
8. Жүйе әзірлеу мен ұстау қауіпсіздігі: Қауіпсіздік SDLC (Software Development Life Cycle) шеңберінде ескерілуі.
9. Қауіп-катерлерді басқару: Қауіптерді сәйкестендіру, талдау және өңдеу.
10. Үздіксіздікті жоспарлау: Апаттық жағдайлардан кейін бизнес-процестерді қалпына келтіру жоспарлары.
11. Сәйкестікті басқару: Заңи талаптарға сәйкестік және ішкі тексеру (аудит).

Ақпараттық қауіпсіздік саясатын әзірлеу және іске асыру кезеңдері. Тиімді АҚС-ты әзірлеу және енгізу төмендегідей тізбектелген кезеңдерден тұрады:

1. Дайындық кезеңі және түгендеу. Бұл кезеңде жобаны басқару үшін құрылым құрылады, жауапты тұлғалар тағайындалады. Ақпараттық активтер (деректер қоры, бағдарламалық жасақтама, аппараттық құрал-жабдық, адам ресурстары) түгенделеді және олардың маңыздылығы бойынша жіктеледі. Әрбір актив үшін иеленуші (owner) белгіленеді.
2. Қауіп-қатерлерді талдау және бағалау. Бұл АҚС-ты қалыптастырудың маңызды тұсы. Қауіп-қатерлерді талдау (Risk Assessment) кезінде әрбір ақпараттық активке тән әлсіздіктер (vulnerabilities) және оларды пайдалана алатын қауіптер (threats) анықталады. Содан кейін әрбір қауіп-қатердің ықтималдығы мен әсері бағаланып, тәуекел дәрежесі (risk level) анықталады. Нәтижесінде басымдықтар бойынша реттелген тәуекелдер тізімі құрастырылады [5, б. 112].
3. Саясатты әзірлеу және қорғаныс жоспарын құру. Тәуекелдерді бағалау негізінде қабылдауға болатын тәуекел деңгейі (risk appetite) анықталады. Содан кейін анықталған тәуекелдерді өңдеу стратегиясы таңдалады: қабылдау, алмастыру, беру немесе басқару. Қалған тәуекелдерді басқару үшін нақты қорғаныс шаралары (бақылаулар) таңдалады және оларды іске асыру жоспары құрастырылады. Осы жоспар АҚС құжатының негізін құрайды.
4. Іске асыру және қызметкерлерді оқыту. Барлық техникалық және ұйымдастырушылық шаралар іске қосылады. Бұл кезеңдегі ең маңызды элемент – қызметкерлер мен пайдаланушыларды оқыту және саналындыру. АҚС-тың сәттілігі тікелей адам факторына, яғни әрбір қызметкердің оны қалай түсінетініне және сақтайтынына байланысты.
5. Мониторинг, тексеру және үздіксіз жақсарту. АҚС – бұл статистикалық құжат емес, өмір сүріп жатқан құжат. Оның тиімділігін үнемі бақылау, тексеру (аудит) және өзгеретін ішкі және сыртқы жағдайларға (жаңа қауіптер, заңдардың өзгеруі, бизнес-процестердің өзгеруі) бейімдеу қажет. Қауіпсіздік оқиғаларын тіркеу мен талдау (Security Incident and Event Management – SIEM) жүйелері осы мақсатта қолданылады.

Ақпараттық қауіпсіздік саясатын іске асырудың заманауи қиындықтары. Қазіргі уақытта АҚС-ты қалыптастырушылар мен іске асырушылар бірқатар күрделі сындарға тап болады:

1. Бұлттық технологияларға көшу (Cloud Migration): Деректер мен қолданбаларды үшінші тарапқа жылжыту қауіпсіздік пен басқарудың жаңа моделін талап етеді, бақылаудың бір бөлігін жоғалтумен қатар.
2. Көптеген құрылғылар (BYOD – Bring Your Own Device) және қашықтан жұмыс: Корпоративтік ақпаратқа қол жеткізу периметрі анық емес болып келеді, бұл дәстүрлі «ішкі-сыртқы» модельдің тиімсіздігіне әкеледі.
3. Интернет нәрселері (IoT): Әлсіз қорғалған миллиардтаған құрылғыларды желіге қосу шабуылдардың әлеуетті ауданын кеңейтеді.
4. Әлеуметтік-инженерлік шабуылдар мен фишинг: Адам факторы әлі де ең әлсіз буын болып қала береді. Шабуылдардың күрделілігі мен саны артып келеді.
5. Мәліметтерді қорғау туралы заңдар (GDPR, CCPA, т.б.): Ұйымдар құпиялылықты қорғау және деректер субъектілерінің құқықтарын қамтамасыз ету үшін күрделі заңнамалық талаптарға сәйкес келуі керек.

Осы сындарға тап болғанда, АҚС рөлі одан да маңызды болып отыр. Заманауи тәсіл «нөлдік сенім» (Zero Trust) архитектурасына негізделген, онда желі ішінде де, сыртында да ешкімге сенбейді және әрбір қол жеткізу сұрауы тексеріледі және рұқсат етіледі.

Қорытынды. Ақпараттық қауіпсіздік саясаты – бұл кез келген ұйымның немесе мемлекеттің ақпараттық активтерін корпоративтік стратегия мен бизнес-мақсаттарға сәйкес қорғаудың өзегі. Ол жай ғана техникалық нұсқаулар жиынтығы емес, сонымен қатар жоғары деңгейдегі басшылықтың міндеттемесін, анық рөлдер мен жауапкершіліктерді, сондай-ақ үздіксіз жақсарту циклін қамтитын стратегиялық басқару құралы. Тиімді АҚС қауіп-қатерлерді жүйелі түрде талдауға, оларға басымдықтар бойынша жауап беруге, барлық қызметкерлерді қамтитын мәдениетті қалыптастыруға және өзгеретін технологиялық және заңи ландшафтқа бейімделуге негізделген. Ол тек қорғаныс қалқаны ғана емес, сонымен қатар инновацияларды енгізуге және цифрлық трансформацияны қауіпсіз жүзеге асыруға мүмкіндік беретін құрал. Қорытындылай келе, ақпараттық қауіпсіздік саясатын қалыптастыру және іске асыру – бұл бір реттік акт емес, үздіксіз, динамикалық процес болып табылады. Оның сәттілігі техникалық шешімдер мен адам факторын, стратегиялық көзқарасты және оперативті бақылауды үйлестіре білуге байланысты болады. Болашақта саясаттарды дамытуда жасанды интеллект пен автоматтандырылған тәуекелдерді басқару жүйелерінің рөлі арта түседі, бірақ ақпараттық қауіпсіздікті қамтамасыз етудің жүйелі және кешенді тәсілінің маңыздылығы өзгермейді.

Әдебиеттер тізімі

1. Годин В.В., Корнеев И.К. Ақпараттық ресурстарды басқару. – М.: ИНФРА-М, 1999. – 402 б.
2. С. В. Симонович. Информатика. Негізгі курс. – Санкт-Петербург: Питер, 2001. – 640 б.
3. Whitman, M. E., & Mattord, H. J. Principles of Information Security. – Boston: Cengage Learning, 2022. – 650 p.
4. ISO/IEC 27001:2022. Information security, cybersecurity and privacy protection — Information security management systems — Requirements. – Geneva: International Organization for Standardization, 2022.
5. Peltier, T. R. Information Security Policies, Procedures, and Standards: Guidelines for Effective Information Security Management. – Boca Raton: Auerbach Publications, 2021. – 320 p.
6. NIST SP 800-53 Rev. 5. Security and Privacy Controls for Information Systems and Organizations. – Gaithersburg: National Institute of Standards and Technology, 2020. [Электронды ресурс]. – URL: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf
7. Әдістемелік журналға мақала жариялаудың негізгі талаптары [Электрондық ресурс] – https://adisteme.kz/rules.html