# ПУИ 20-27
## ПУИ.20 (О-О-О)
> Учет и контроль использования МНИ, предназначенных для хранения информации конфиденциального характера.
>
> Уровень защиты информации 3-О, 2-О, 1-О.
Пояснение
Мера направлена на защиту конфиденциальной информации от утечки или несанкционированного ознакомления.
#### Реализация - О
Данная мера должна быть регламентирована в положении/регламенте по управлению (съемными) носителями информации.
В документе определяется порядок учета, ответственные за учет лица, порядок фиксации, периодичность контроля.
Учет и контроль должен быть обеспечен для всего состава машинных носителей информации (см. Коллизии).
#### Проверочные процедуры (свидетельства)
Реестры учета МНИ.
Акты контроля фактического состава МНИ и сведений реестров.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
В стандарте не определяется, что отнесено к понятию МНИ – машинный носитель информации. Строго говоря МНИ это не только съемный носитель, но и любой носитель информации, в том числе входящий конструктивно в состав технического средства - объекта доступа (рабочих станций, серверов, ноутбуков, планшетов, смартфонов, банкоматов, терминалов и пр.).
Носители информации, входящие в состав объекта доступа как постоянно используемое хранилище информации, могут учитываться под общим серийным или инвентарным номером объекта доступа. Однако носители информации, зарезервированные для оперативной замены, но не инсталлированные в техническое средство обработки информации, учитываются каждый индивидуально.
## ПУИ.21 (О-О-О)
> Документарное определение порядка использования и доступа к МНИ, предназначенным для хранения информации конфиденциального характера.
>
> Уровень защиты информации 3-О, 2-О, 1-О.
Пояснение
Мера направлена на защиту конфиденциальной информации от утечки или несанкционированного ознакомления.
#### Реализация - О
Данная мера должна быть регламентирована в положении/регламенте по управлению (съемными) носителями информации.
В документе должен быть определен порядок использования машинных носителей информации, в том числе порядок очистки от конфиденциальной информации до начала использования или при передаче, порядок регистрации МНИ в целях учета, порядок изъятия, порядок защиты размещаемой на МНИ информации (если МНИ необходимо выносить за пределы защищенного контура), порядок уничтожения самого МНИ и снятия его с учета.
#### Проверочные процедуры (свидетельства)
Регламентирующий документ и соответствующие вспомогательные документы (реестры, акты и пр.).
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
В стандарте не определяется, что отнесено к понятию МНИ – машинный носитель информации. Строго говоря МНИ это не только съемный носитель, но и любой носитель информации, в том числе входящий конструктивно в состав технического средства - объекта доступа (рабочих станций, серверов, ноутбуков, планшетов, смартфонов, банкоматов, терминалов и пр.).
## ПУИ.22 (О-О-О)
> Маркирование учтенных МНИ.
>
> Уровень защиты информации 3-О, 2-О, 1-О.
Пояснение
Мера направлена на защиту конфиденциальной информации от утечки или несанкционированного ознакомления.
#### Реализация - О
Данная мера должна быть регламентирована в положении/регламенте по управлению (съемными) носителями информации.
В документе определяется порядок присвоения уникального номера МНИ.
Для МНИ, входящих конструктивно в техническое средство, в качестве маркировки может использоваться инвентарный номер технического средства.
#### Проверочные процедуры (свидетельства)
Фото номеров МНИ, присвоенных при маркировке.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
В стандарте не определяется, что отнесено к понятию МНИ – машинный носитель информации. Строго говоря МНИ это не только съемный носитель, но и любой носитель информации, в том числе входящий в состав объектов доступа (рабочих станций, серверов, ноутбуков, планшетов, смартфонов, банкоматов, терминалов и пр.).
Носители информации, входящие в состав объекта доступа как постоянно используемое хранилище информации, могут учитываться под общим серийным или инвентарным номером объекта доступа. Однако носители информации, зарезервированные для оперативной замены, но не инсталлированные в техническое средство обработки информации, учитываются каждый индивидуально.
## ПУИ.23 (Т-Н-Н)
> Стирание информации конфиденциального характера с МНИ средствами, обеспечивающими полную перезапись данных, при осуществлении вывода МНИ из эксплуатации или вывода из эксплуатации СВТ, в состав которых входят указанные МНИ, а также при необходимости их передачи в сторонние организации.
>
> Уровень защиты информации 3-Т, 2-Н, 1-Н.
Пояснение
#### Реализация - Т
При осуществлении вывода МНИ из эксплуатации или вывода из эксплуатации СВТ, в состав которых входят указанные МНИ, а также при необходимости их передачи в сторонние организации необходимо обеспечить полную перезапись МНИ путем N-кратного форматирования и записи на него двоичных единиц, нулей и псевдослучайных чисел.
Операционные системы Windows (format указать букву логического раздела:) и Linux (dd if=/dev/zero of=/dev/sda (вместо "/dev/sda" необходимо указать адрес устройства для перезаписи) bs=4k) имеют инструменты для полной перезаписи МНИ.
#### Проверочные процедуры (свидетельства)
1\. Скриншот реализации перезаписи МНИ (например лог события).
2. Акт стирания информации с МНИ, с применением способа, реализующего полную перезапись данных.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ПУИ.24 (Н-Т-Т)
> Стирание информации конфиденциального характера с МНИ средствами гарантированного стирания или способом (средством), обеспечивающим невозможность их восстановления, при осуществлении вывода МНИ из эксплуатации или вывода из эксплуатации СВТ, в состав которых входят указанные МНИ, а также при необходимости их передачи в сторонние организации.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
При осуществлении вывода МНИ из эксплуатации или вывода из эксплуатации СВТ, в состав которых входят указанные МНИ, а также при необходимости их передачи в сторонние организации необходимо обеспечить стирание информации конфиденциального характера с МНИ средствами гарантированного стирания или способом (средством), обеспечивающим невозможность их восстановления. К таким средствам, например относятся: Стек-НС3, Acronis Drive Cleanser 6.0 и пр.
#### Проверочные процедуры (свидетельства)
1\. Скриншот реализации гарантированного стирания или использования способа (средства), обеспечивающего невозможность восстановления информации.
2. Акт стирания информации с МНИ, с применением способа, реализующего гарантирование стирание или невозможность восстановления.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ПУИ.25 (Т-Н-Н)
> Стирание информации конфиденциального характера с МНИ средствами, обеспечивающими полную перезапись данных, при передаче (перезакреплении) МНИ между работниками и (или) структурными подразделениями финансовой организации.
>
> Уровень защиты информации 3-Т, 2-Н, 1-Н.
Пояснение
#### Реализация - Т
При передаче (перезакреплении) МНИ между работниками и (или) структурными подразделениями финансовой организации необходимо обеспечить полную перезапись МНИ путем N-кратного форматирования и записи на него двоичных единиц, нулей и псевдослучайных чисел.
Операционные системы Windows (format указать букву логического раздела:) и Linux (dd if=/dev/zero of=/dev/sda (вместо "/dev/sda" необходимо указать адрес устройства для перезаписи) bs=4k) имеют инструменты для полной перезаписи МНИ.
#### Проверочные процедуры (свидетельства)
1\. Скриншот реализации перезаписи МНИ (например лог события).
2. Акт стирания информации с МНИ, с применением способа, реализующего полную перезапись данных.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ПУИ.26 (Н-Т-Т)
> Стирание информации конфиденциального характера с МНИ средствами гарантированного стирания или способом (средством), обеспечивающим невозможность их восстановления, при передаче (перезакреплении) МНИ между работниками и (или) структурными подразделениями финансовой организации.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
При передаче (перезакреплении) МНИ между работниками и (или) структурными подразделениями финансовой организации необходимо обеспечить стирание информации конфиденциального характера с МНИ средствами гарантированного стирания или способом (средством), обеспечивающим невозможность их восстановления. К таким средствам, например относятся: Стек-НС3, Acronis Drive Cleanser 6.0 и пр.
#### Проверочные процедуры (свидетельства)
1\. Скриншот реализации гарантированного стирания или использования способа (средства), обеспечивающего невозможность восстановления информации.
2. Акт стирания информации с МНИ, с применением способа, реализующего гарантирование стирание или невозможность.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ПУИ.27 (Н-Н-Т)
> Шифрование информации конфиденциального характера при ее хранении на МНИ, выносимых за пределы финансовой организации.
>
> Уровень защиты информации 3-Н, 2-Н, 1-Т.
Пояснение
#### Реализация - Т
В случае выноса информации конфиденциального характера на МНИ за пределы финансовой организации, необходимо обеспечить ее шифрование. Для данных целей можно использовать например: BitLocker, VeraCrypt и т.д.
#### Проверочные процедуры (свидетельства)
1. Скриншот реализации шифрования МНИ с конфиденциальной информации, выносимых за пределы финансовой организации.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://57580.radcop.online/processy/5-p.-pui-predotvrashenie-utechek-informacii/pui-20-27.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.