3.4. ЗАЩИТА МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ (ЗНИ)
ЗНИ.1 УЧЕТ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ
Требования к реализации ЗНИ.1: Оператором должен быть обеспечен учет машинных носителей информации, используемых в информационной системе для хранения и обработки информации.
Учету подлежат:
съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства);
портативные вычислительные устройства, имеющие встроенные носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные аналогичные по функциональности устройства);
машинные носители информации, встроенные в корпус средств вычислительной техники (накопители на жестких дисках).
Учет машинных носителей информации включает присвоение регистрационных (учетных) номеров носителям. В качестве регистрационных номеров могут использоваться идентификационные (серийные) номера машинных носителей, присвоенных производителями этих машинных носителей информации, номера инвентарного учета, в том числе инвентарные номера технических средств, имеющих встроенные носители информации, и иные номера.
Учет съемных машинных носителей информации ведется в журналах учета машинных носителей информации.
Учет встроенных в портативные или стационарные технические средства машинных носителей информации может вестись в журналах материально-технического учета в составе соответствующих технических средств. При использовании в составе одного технического средства информационной системы нескольких встроенных машинных носителей информации, конструктивно объединенных в единый ресурс для хранения информации, допускается присвоение регистрационного номера техническому средству в целом.
Регистрационные или иные номера подлежат занесению в журналы учета машинных носителей информации или журналы материально-технического учета с указанием пользователя или группы пользователей, которым разрешен доступ к машинным носителям информации.
Раздельному учету в журналах учета подлежат съемные (в том числе портативные) перезаписываемые машинные носители информации (флэш-накопители, съемные жесткие диски).
Требования к усилению ЗНИ.1:
1) оператором обеспечивается маркировка машинных носителей информации (технических средств), дополнительно включающая:
а) информацию о возможности использования машинного носителя информации вне информационной системы;
б) информацию о возможности использования машинного носителя информации за пределами контролируемой зоны (конкретных помещений);
в) атрибуты безопасности, указывающие на возможность использования этих машинных носителей информации для обработки (хранения) соответствующих видов информации;
2) оператором обеспечивается маркировка машинных носителей информации (технических средств), дополнительно включающая неотторгаемую цифровую метку носителя информации для обеспечения возможности распознавания (идентификации) носителя в системах управления доступом;
3) оператором обеспечиваться маркировка машинных носителей информации (технических средств), дополнительно включающая использование механизмов распознавания (идентификации) носителя информации по его уникальным физическим характеристикам.
Содержание базовой меры ЗНИ.1:
Мера защиты информации
|
Класс защищенности информационной системы
|
|||
4
|
3
|
2
|
1
|
|
ЗНИ.1
|
+
|
+
|
+
|
+
|
Усиление ЗНИ.1
|
1а
|
1а, 1б
|
ЗНИ.2 УПРАВЛЕНИЕ ДОСТУПОМ К МАШИННЫМ НОСИТЕЛЯМ ИНФОРМАЦИИ
Требования к реализации ЗНИ.2: Оператором должны быть реализованы следующие функции по управлению доступом к машинным носителям информации, используемым в информационной системе:
определение должностных лиц, имеющих физический доступ к машинным носителям информации, а именно к следующим:
съемным машинным носителям информации (флэш-накопители, внешние накопители на жестких дисках и иные устройства);
портативным вычислительным устройствам, имеющим встроенные носители информации (ноутбуки, нетбуки, планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные аналогичные по функциональности устройства);
машинным носителям информации, стационарно устанавливаемым в корпус средств вычислительной техники (например, накопители на жестких дисках);
предоставление физического доступа к машинным носителям информации только тем лицам, которым он необходим для выполнения своих должностных обязанностей (функций);
Правила и процедуры доступа к машинным носителям информации регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗНИ.2:
1) применение автоматизированной системы контроля физического доступа в помещения, в которых осуществляется хранение машинных носителей информации;
2) опечатывание корпуса средства вычислительной техники, в котором стационарно установлен машинный носитель информации;
3) в информационной системе должно обеспечиваться применение программных (программно-технических) автоматизированных средств управления физическим доступом к машинным носителям информации;
4) контроль физического доступа лиц к машинным носителям информации в соответствии с атрибутами безопасности, установленными для этих носителей.
Содержание базовой меры ЗНИ.2:
Мера защиты информации
|
Класс защищенности информационной системы
|
|||
4
|
3
|
2
|
1
|
|
ЗНИ.2
|
+
|
+
|
+
|
+
|
Усиление ЗНИ.2
|
ЗНИ.3 КОНТРОЛЬ ПЕРЕМЕЩЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ ЗА ПРЕДЕЛЫ КОНТРОЛИРУЕМОЙ ЗОНЫ
Требования к реализации ЗНИ.3: Оператором должен обеспечиваться контроль перемещения используемых в информационной системе машинных носителей информации за пределы контролируемой зоны. При контроле перемещения машинных носителей информации должны осуществляться:
определение должностных лиц, имеющих права на перемещение машинных носителей информации за пределы контролируемой зоны;
предоставление права на перемещение машинных носителей информации за пределы контролируемой зоны только тем лицам, которым оно необходимо для выполнения своих должностных обязанностей (функций);
учет перемещаемых машинных носителей информации в соответствии с ЗНИ.1;
периодическая проверка наличия машинных носителей информации.
Правила и процедуры контроля перемещения машинных носителей информации регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗНИ.3:
1) оператором информационной системы определяются задачи (виды деятельности, функции), для решения которых необходимо перемещение машинных носителей информации за пределы контролируемой зоны;
2) применение в соответствии с законодательством Российской Федерации криптографических методов защиты информации, хранимой на носителе, при перемещении машинных носителей информации за пределы контролируемой зоны;
3) оператором определяется должностное лицо, ответственное за перемещение машинных носителей информации;
4) оператором информационной системы осуществляется периодическая проверка машинных носителей информации после их возврата в пределы контролируемой зоны.
Содержание базовой меры ЗНИ.3:
Мера защиты информации
|
Класс защищенности информационной системы
|
|||
4
|
3
|
2
|
1
|
|
ЗНИ.3
|
||||
Усиление ЗНИ.3
|
ЗНИ.4 ИСКЛЮЧЕНИЕ ВОЗМОЖНОСТИ НЕСАНКЦИОНИРОВАННОГО ОЗНАКОМЛЕНИЯ С СОДЕРЖАНИЕМ ИНФОРМАЦИИ, ХРАНЯЩЕЙСЯ НА МАШИННЫХ НОСИТЕЛЯХ, И (ИЛИ) ИСПОЛЬЗОВАНИЯ НОСИТЕЛЕЙ ИНФОРМАЦИИ В ИНЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
Требования к реализации ЗНИ.4: Оператором должно обеспечиваться исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах.
Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах должно предусматривать:
определение типов машинных носителей информации, подлежащих хранению в помещениях, специально предназначенных для хранения машинных носителей информации (хранилище машинных носителей информации);
физический контроль и хранение машинных носителей информации в помещениях, специально предназначенных для хранения машинных носителей информации (хранилище машинных носителей информации);
защита машинных носителей информации до уничтожения (стирания) с них данных и остаточной информации (информации, которую можно восстановить после удаления с помощью нештатных средств и методов) с использованием средств стирания данных и остаточной информации.
Правила и процедуры управления, направленные на исключение несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах, регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗНИ.4:
1) оператором должны применяться средства контроля съемных машинных носителей информации;
2) оператором должны применяться в соответствии с законодательством Российской Федерации криптографические методы защиты информации, хранящейся на машинных носителях;
3) оператором должен быть определен перечень машинных носителей информации, подлежащих хранению в помещениях, специально предназначенных для хранения машинных носителей информации (хранилище машинных носителей информации).
Содержание базовой меры ЗНИ.4:
Мера защиты информации
|
Класс защищенности информационной системы
|
|||
4
|
3
|
2
|
1
|
|
ЗНИ.4
|
||||
Усиление ЗНИ.4
|
ЗНИ.5 КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ ИНТЕРФЕЙСОВ ВВОДА (ВЫВОДА)
Требования к реализации ЗНИ.5: В информационной системе должен осуществляться контроль использования интерфейсов ввода (вывода).
Контроль использования (разрешение или запрет) интерфейсов ввода (вывода) должен предусматривать:
определение оператором интерфейсов средств вычислительной техники, которые могут использоваться для ввода (вывода) информации, разрешенных и (или) запрещенных к использованию в информационной системе;
определение оператором категорий пользователей, которым предоставлен доступ к разрешенным к использованию интерфейсов ввода (вывода);
принятие мер, исключающих возможность использования запрещенных интерфейсов ввода (вывода);
контроль доступа пользователей к разрешенным к использованию интерфейсов ввода (вывода).
В качестве мер, исключающих возможность использования запрещенных интерфейсов ввода (вывода), могут применяться:
опечатывание интерфейсов ввода (вывода);
использование механических запирающих устройств;
удаление драйверов, обеспечивающих работу интерфейсов ввода (вывода);
применение средств защиты информации, обеспечивающих контроль использования интерфейсов ввода (вывода).
Правила и процедуры контроля использования интерфейсов ввода (вывода) регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗНИ.5:
1) в информационной системе должна быть обеспечена регистрация использования интерфейсов ввода (вывода) в соответствии с РСБ.3;
2) оператором обеспечивается конструктивное (физическое) исключение из средства вычислительной техники запрещенных к использованию интерфейсов ввода (вывода);
3) оператором информационной системы обеспечивается программное отключение запрещенных к использованию интерфейсов ввода (вывода).
Содержание базовой меры ЗНИ.5:
Мера защиты информации
|
Класс защищенности информационной системы
|
|||
4
|
3
|
2
|
1
|
|
ЗНИ.5
|
+
|
+
|
||
Усиление ЗНИ.5
|
1
|
ЗНИ.6 КОНТРОЛЬ ВВОДА (ВЫВОДА) ИНФОРМАЦИИ НА МАШИННЫЕ НОСИТЕЛИ ИНФОРМАЦИИ
Требования к реализации ЗНИ.6: В информационной системе должен осуществляться контроль ввода (вывода) информации на машинные носители информации.
Контроль ввода (вывода) информации на машинные носители информации должен предусматривать:
определение оператором типов носителей информации, ввод (вывод) информации на которые подлежит контролю;
определение оператором категорий пользователей, которым предоставлены полномочия по вводу (выводу) информации на машинные носители в соответствии с УПД.2;
запрет действий по вводу (выводу) информации для пользователей, не имеющих полномочий на ввод (вывод) информации на машинные носители информации, и на носители информации, на которые запрещен ввод (вывод) информации;
регистрация действий пользователей и событий по вводу (выводу) информации на машинные носители информации в соответствии с РСБ.3.
Правила и процедуры контроля ввода (вывода) информации на машинные носители информации регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗНИ.6:
1) в информационной системе должна создаваться копия информации, записываемой пользователями на съемные машинные носители информации (теневое копирование);
2) оператором должны применяться средства контроля подключения съемных машинных носителей информации.
Содержание базовой меры ЗНИ.6:
Мера защиты информации
|
Класс защищенности информационной системы
|
|||
4
|
3
|
2
|
1
|
|
ЗНИ.6
|
||||
Усиление ЗНИ.6
|
ЗНИ.7 КОНТРОЛЬ ПОДКЛЮЧЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ ИНФОРМАЦИИ
Требования к реализации ЗНИ.7: В информационной системе должен обеспечиваться контроль подключения машинных носителей информации.
Контроль подключения машинных носителей информации должен предусматривать:
определение оператором типов носителей информации, подключение которых к информационной системе разрешено в соответствии с УПД.2;
определение оператором категорий пользователей, которым предоставлены полномочия по подключению носителей к информационной системе в соответствии с УПД.2;
запрет подключения носителей информации, подключение которых к информационной системе не разрешено;
регистрация действий пользователей и событий по подключению к информационной системе носителей в соответствии с РСБ.3.
Правила и процедуры контроля подключения машинных носителей информации регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ЗНИ.7:
1) оператором должен обеспечиваться контроль подключения машинных носителей информации с использованием средств контроля подключения съемных машинных носителей информации, позволяющих устанавливать разрешенные и (или) запрещенные типы и (или) конкретные съемные машинные носители информации для различных категорий пользователей;
2) запрет подключения к информационной системе носителей пользователями, не имеющими полномочий на подключение носителей.
Содержание базовой меры ЗНИ.7:
Мера защиты информации
|
Класс защищенности информационной системы
|
|||
4
|
3
|
2
|
1
|
|
ЗНИ.7
|
||||
Усиление ЗНИ.7
|
ЗНИ.8 УНИЧТОЖЕНИЕ (СТИРАНИЕ) ИНФОРМАЦИИ НА МАШИННЫХ НОСИТЕЛЯХ ПРИ ИХ ПЕРЕДАЧЕ МЕЖДУ ПОЛЬЗОВАТЕЛЯМИ, В СТОРОННИЕ ОРГАНИЗАЦИИ ДЛЯ РЕМОНТА ИЛИ УТИЛИЗАЦИИ, А ТАКЖЕ КОНТРОЛЬ УНИЧТОЖЕНИЯ (СТИРАНИЯ)
Требования к реализации ЗНИ.8: Оператором должно обеспечиваться уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) информации.
Уничтожение (стирание) информации на машинных носителях должно исключать возможность восстановления защищаемой информации при передаче машинных носителей между пользователями, в сторонние организации для ремонта или утилизации.
Уничтожению (стиранию) подлежит информация, хранящаяся на цифровых и нецифровых, съемных и несъемных машинных носителях информации.
Процедуры уничтожения (стирания) информации на машинных носителях, а также контроля уничтожения (стирания) информации должны быть разработаны оператором и включены в организационно-распорядительные документы по защите информации.
Требования к усилению ЗНИ.8:
1) оператором должны быть обеспечены регистрация и контроль действий по удалению защищаемой информации и уничтожению машинных носителей информации;
2) оператором должны проводиться периодическая проверка процедур и тестирование средств стирания информации и контроля удаления информации;
3) оператором перед подключением к информационной системе должно быть обеспечено уничтожение (стирание) информации с носителей информации после их приобретения и при первичном подключении к информационной системе, при использовании в иных информационных системах, при передаче для постоянного использования от одного пользователя другому пользователю, после возвращения из ремонта, а также в иных случаях, определяемых оператором;
4) оператором должно быть обеспечено уничтожение машинных носителей информации, которые не подлежат очистке (неперезаписываемые машинные носители информации, такие как оптические диски типа CD-R);
5) оператором должны применяться следующие меры по уничтожению (стиранию) информации на машинных носителях, исключающие возможность восстановления защищаемой информации:
а) удаление файлов штатными средствами операционной системы и (или) форматирование машинного носителя информации штатными средствами операционной системы;
6) перезапись уничтожаемых (стираемых) файлов случайной битовой последовательностью, удаление записи о файлах, обнуление журнала файловой системы или полная перезапись всего адресного пространства машинного носителя информации случайной битовой последовательностью с последующим форматированием;
в) очистка всего физического пространства машинного носителя информации, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя;
г) полная многократная перезапись машинного носителя информации специальными битовыми последовательностями, зависящими от типа накопителя и используемого метода кодирования информации, затем очистка всего физического пространства накопителя, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя;
д) размагничивание машинного носителя информации;
е) физическое уничтожение машинного носителя информации (в том числе сжигание, измельчение, плавление, расщепление, распыление и другое).
Содержание базовой меры ЗНИ.8:
Мера защиты информации
|
Класс защищенности информационной системы
|
|||
4
|
3
|
2
|
1
|
|
ЗНИ.8
|
+
|
+
|
+
|
+
|
Усиление ЗНИ.8
|
5а
|
1, 5б
|
1, 5в
|
1, 2, 3, 5г
|