Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Ответы на экзамен ТСЗИ.docx
Скачиваний:
572
Добавлен:
13.03.2016
Размер:
227.48 Кб
Скачать

19 Средств защиты и экстренного уничтожения информации на бумажных и машинных носителях.

Причины необходимости гарантированно уничтожения:

• Прекращение использования информации.

• Вывод из эксплуатации оборудования.

• Замена вышедших из строя носителей информации.

• Изменение роли оборудования.

• Перемещение оборудования, в том числе передача/продажа/дарение.

Виды носителей информации:

• Магнитные диски (HD, FD).

• Оптические диски (CD/DVD).

• Флэш-память (SSD диски, USB flash).

• Бумажные документы.

Методы уничтожения информации:

• Программный метод (простая перезапись информации, криптографические методы, включая различные ГОСТы).

• Аппаратный метод (воздействие магнитным полем высокой напряженности, физическое измельчение. Также есть специальные ГОСТы).

Виды уничтожения:

• На уровне файлов/папок, то есть части носителя информации.

• На уровне всего носителя информации.

Что нужно для уничтожения на уровне файлов/папок:

• На ПК пользователей должен стоять программный шредер.

• На серверах должен стоять программный шредер.

• СУБД должны иметь функции по затиранию определенных полей.

• Специальное ПО должно иметь функции по уничтожению «своих» данных.

Что нужно для уничтожения на уровне носителей информации:

• Должно быть специальное оборудование («хлопушки», шредеры).

• Желательно иметь специальный стенд.

Организационные меры:

• Политика информационной безопасности организации должна говорить о необходимости гарантированного уничтожения информации.

• Порядки или регламенты уничтожения, то есть детализированные документы, прописывающие, как и кто должен взаимодействовать в данном процессе и как должно проводиться уничтожение.

• Инструкции, то есть документы высшей детализации, направленные по конкретным видам и способам уничтожения, включая инструкции для администраторов и пользователей.

• Правила для сотрудников организации должны предписывать гарантированное уничтожение информации, описывать случаи, когда следует их использовать и персональную ответственность, в том числе за возможное разглашение информации.

Ограничения и компенсационные меры:

• Программные методы не полностью удаляют информацию с флэш-памяти, содержащей

механизмы нивелирования износа (wealleveling). Компенсация – не использовать удаление

с таких носителей на уровне файлов, а использовать затирание всего диска, либо использовать

шифрование для хранения информации.

Программные методы требуют большого количества времени. Компенсация – использовать

небольшое количество циклов (допустим, российский ГОСТ Р50739-95 предусматривает

всего 2 цикла перезаписи), использовать не зеркалированные RAID-массивы, по возможности,

с бОльшим количеством дисков и «разбивать» их с последующим раздельным хранением дисков.

• Аппаратные методы часто выводят из строя жесткие диски. Компенсация – использовать только

в экстренных случаях или же перед их утилизацией.

Примерыпрограммныхсредств: Paragon Disk Wiper, Acronis Drive Cleaner.

20 Состав и сущность организационно-технических и технических мер по защите информации в организации.

Перечень мероприятий:

• разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

• мероприятия, проводимые при осуществлении или возникновении определенных изменений в УЦ (по необходимости);

• периодически проводимые (через определенное время) мероприятия;

• постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Разовые мероприятия

К разовым мероприятиям относят:

проведение проверок всех применяемых в УЦ средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;

разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;

внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов УЦ и действиям в случае возникновения кризисных ситуаций;

оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с клиентами (пользователями УЦ), обращающимся в УЦ, между самим УЦ и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной цифровой подписи;

определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам УЦ;

мероприятия по разработке правил управления доступом к ресурсам УЦ.

Периодически проводимые мероприятия

К периодически проводимым мероприятиям относят:

распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы;

мероприятия по пересмотру правил разграничения доступа пользователей к информации;

мероприятия по пересмотру состава и построения системы защиты.

Мероприятия, проводимые по необходимости

К мероприятиям, проводимым по необходимости, относят:

мероприятия, осуществляемые при кадровых изменениях в составе персонала УЦ;

мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);

мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.).

Постоянно проводимые мероприятия

Постоянно проводимые мероприятия включают:

мероприятия по обеспечению достаточного уровня физической защиты всех компонентов УЦ (противопожарная охрана, охрана помещений, обеспечение сохранности и физической целостности средств вычислительной техники, носителей информации и т.п.);

мероприятия по непрерывной поддержке функционирования и управлению используемыми средствами защиты;

явный и скрытый контроль за работой персонала УЦ;

постоянно (силами службы безопасности) и периодически (с привлечением сторонних специалистов) анализ состояния и оценка эффективности мер и применяемых средств защиты. 21 Виды контроля эффективности инженерно-технической защиты информации.

Контроль проводится силами службы безопасности, руководителями организации и структурных подразделений, всеми сотрудниками организации, допущенными к закрытой информации. Применяют следующие виды контроля:

• предварительный;

• периодический;

• постоянный.

Предварительный контроль проводится при любых изменениях состава, структуры и алгоритма функционирования системы защиты информации, в том числе:

• после установки нового технического средства защиты или изменения организационных мер;

• после проведения профилактических и ремонтных работ средств защиты;

• после устранения выявленных нарушений в системе защиты.

Периодический контроль осуществляется с целью обеспечения систематического наблюдения за уровнем защиты. Он проводится выборочно (применительно к отдельным темам работ, структурным подразделениям или всей организации) по планам, утвержденным руководителем организации, а также вышестоящими органами.

Постоянный контроль осуществляется выборочно силами службы безопасности и привлекаемых сотрудников организации с целью объективной оценки уровня защиты информации и, прежде всего, выявления слабых мест в системе защиты организации. Так как объекты и время такого контроля сотрудникам не известны, то такой контроль, кроме того, оказывает психологическое воздействие на сотрудников организации, вынуждая их более тщательно и постоянно выполнять требования по обеспечению защиты информации.