ҚАӨМ интернет-ресурстың ақпараттық қауіпсіздігін қамтамасыз ету бойынша Ұсыныс

Бұқаралық ақпарат құралдарында Қазақстандық интернет-ресурстарының анықталған осалдықтары туралы мәліметтердің таратылуына байланысты, Қазақстан Республикасының Қорғаныс және аэроғарыш өнеркәсібі министрлігі (ҚАӨМ) ақпараттық қауіпсіздік қатерлеріне қарсы тұру үшін уақытылы шаралар қабылдауды ұсынады. 

       Сонымен, Интернет-ресурстың ақпараттық қауіпсіздігін қамтамасыз етудің негізі – ол орналастырылатын сервер қауіпсіздігінің ең жоғары деңгейін қамтамасыз ету болып табылады. Веб-сервер күрделі бағдарламалық жасақтама пакеті арқылы жасалады, олардың әрқайсысы түрлі шабуыл әдістеріне бағынады. 

Веб-сервердің шабуылдарын екі санатқа бөлуге болады: жергілікті және жаһандық. Жергілікті шабуылдар әдетте ақпаратты ұрлауға немесе бөлек веб-серверде басқаруды қағып әкетуге бағытталған. Жаһандық шабуыл әдетте бірнеше веб-сайтқа бағытталады және оның негізі мақсаты барлық келушілерге жұқтыру. Сервердің өзінде зиян келтіретін бағдарлама іске қосыла алмаған жағдайдың өзінде, зиян келтірушілер көбінесе PHP немесе ASP сияқты бағдарламаларын жүктейді, бұл веб-сервердің операциялық жүйесіне жұқтыру қажеттілігін болғызбайды, ол сайттарға кіруші қарапайым контенті түрінде берілуі мүмкін.

 Веб-сервердің қауіпсіздігін қамтамасыз ету үшін, ең алдымен, келесілер ұсынылады:

– операциялық жүйе үшін ең соңғы қауіпсіздік жүйелерінің жаңартуларын жүйелі түрде орнату;

– веб-серверде жұмыс істейтін барлық бағдарламаларды үнемі жаңартып отыру;

– ресурспен HTTPS арқылы ған жұмыс істеу үшін SSL сертификатын пайдалану;

– интернет-ресурстың қажетті компоненттеріне жатпайтын бағдарламалық жасақтаманы жою;

– әдепкі қалпы бойынша орнатылған пайдаланылмаған қызметтерді (мысалы, FTP немесе SMTP) және пайдаланылмайтын барлық серверлік кеңейтімдерді өшіру;

– қажет болмаса каталогты қарауды өшіру, себебі ол келушілерге жүйенің қандай файлдарды пайдаланатындығын көруге мүмкіндік береді;

– жұмыс істеп тұрған қажетті ресурстарды ғана қосып, әдепкі қалып бойынша ресурстарға кіруді өшіру.

– барлық қоңыраулардың журналын жүргізіп, оның мерзімді талдауын жүргізу, ең дұрысы күдікті белсенділікті анықтау туралы хабарландыруларды автоматты баптау;

 – жүйеаралық экранды орнату.

Серверде қолданылатын қосымшалар үшін Интернет-ресурстың компоненттері ретінде төмендегі талаптарды орындау ұсынылады:

– әкімшілік құқықтарымен қосымшаларды және қызметтерді (соның ішінде – жүйелі) тапсыру;

            – қосымшаға қажетті барлық ресурстарға қатынау рұқсаттарын (кіруді басқару тізімдері) орнату;

– ең аз рұқсат деңгейі бар баптауларды қолдану (мысалы, егер бұл қосымша үшін қолдануға жарамды болса, файлдарды тек оқуға арнап жасау);

– веб-бағдарлама файлдарын қосымшаның түбіріндегі қалтаға сақтау;

– пайдаланушыларға кіру жолдарын қосымшалар файлдарына орнатуға тыйым салу, бұл пайдаланушыларға сервердің түбіріне кіруге жол бермейді. 

Интернет-ресурстың (PHP немесе ASP) сценарий бөлігінің орындалу ортасы үшін келесі ұсыныстарды сақтау қажет:

– of мәніне айнымалы register_globals орнату;

– on мәніне айнымалы safe_mode орнату;

– open_basedir айнымалысында базалық каталогты көрсету;

– of мәніне айнымалы display_errors орнату;

– on мәніне айнымалы log_errors орнату;

– of мәніне айнымалы allow_url_fopen орнату.

Интернетресурстардың басқа компоненттеріне қатысты (CMS, қызметтер, қосымшалар) бағдарламалық қамтамасыз ету деңгейінде қорғауды қамтамасыз ету бойынша жалпы ұсыныстарды басшылыққа алуы керек.

Сонымен қатар, қолданыстағы заңнамаға сәйкес ақпараттандыру объектілерінің иелері, меншік иелері, сондайақ пайдаланушылары ақпараттандыру объектілерін қорғау жөніндегі шараларды іске асыруға  міндетті екендерін естеріңізге саламыз.

Бұдан басқа, ҚАӨМ еске салады ақпараттық қауіпсіздіктің инциденттері жағдайлары болған жағдайда «Мемлекеттік техникалық қызмет» РМКға хабарлау қажет.

 

Ескерту: Бағдарламалық қамтамасыз етудегі осалдықтар, оның ішінде интернетресурстарды құру кезінде пайдалану өте кең таралған, техникалық қолдау жылдамдығымен өтеледі.

Қазақстан сегментінде барлығы 120000-нан астам домендік атаулар тіркелген.