ПУИ 20-27

ПУИ.20 (О-О-О)

Учет и контроль использования МНИ, предназначенных для хранения информации конфиденциального характера.

Уровень защиты информации 3-О, 2-О, 1-О.

Реализация - О

Данная мера должна быть регламентирована в положении/регламенте по управлению (съемными) носителями информации.

В документе определяется порядок учета, ответственные за учет лица, порядок фиксации, периодичность контроля.

Учет и контроль должен быть обеспечен для всего состава машинных носителей информации (см. Коллизии).

Проверочные процедуры (свидетельства)

Реестры учета МНИ.

Акты контроля фактического состава МНИ и сведений реестров.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

В стандарте не определяется, что отнесено к понятию МНИ – машинный носитель информации. Строго говоря МНИ это не только съемный носитель, но и любой носитель информации, в том числе входящий конструктивно в состав технического средства - объекта доступа (рабочих станций, серверов, ноутбуков, планшетов, смартфонов, банкоматов, терминалов и пр.).

Носители информации, входящие в состав объекта доступа как постоянно используемое хранилище информации, могут учитываться под общим серийным или инвентарным номером объекта доступа. Однако носители информации, зарезервированные для оперативной замены, но не инсталлированные в техническое средство обработки информации, учитываются каждый индивидуально.

ПУИ.21 (О-О-О)

Документарное определение порядка использования и доступа к МНИ, предназначенным для хранения информации конфиденциального характера.

Уровень защиты информации 3-О, 2-О, 1-О.

Реализация - О

Данная мера должна быть регламентирована в положении/регламенте по управлению (съемными) носителями информации.

В документе должен быть определен порядок использования машинных носителей информации, в том числе порядок очистки от конфиденциальной информации до начала использования или при передаче, порядок регистрации МНИ в целях учета, порядок изъятия, порядок защиты размещаемой на МНИ информации (если МНИ необходимо выносить за пределы защищенного контура), порядок уничтожения самого МНИ и снятия его с учета.

Проверочные процедуры (свидетельства)

Регламентирующий документ и соответствующие вспомогательные документы (реестры, акты и пр.).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

В стандарте не определяется, что отнесено к понятию МНИ – машинный носитель информации. Строго говоря МНИ это не только съемный носитель, но и любой носитель информации, в том числе входящий конструктивно в состав технического средства - объекта доступа (рабочих станций, серверов, ноутбуков, планшетов, смартфонов, банкоматов, терминалов и пр.).

ПУИ.22 (О-О-О)

Маркирование учтенных МНИ.

Уровень защиты информации 3-О, 2-О, 1-О.

Реализация - О

Данная мера должна быть регламентирована в положении/регламенте по управлению (съемными) носителями информации.

В документе определяется порядок присвоения уникального номера МНИ.

Для МНИ, входящих конструктивно в техническое средство, в качестве маркировки может использоваться инвентарный номер технического средства.

Проверочные процедуры (свидетельства)

Фото номеров МНИ, присвоенных при маркировке.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

В стандарте не определяется, что отнесено к понятию МНИ – машинный носитель информации. Строго говоря МНИ это не только съемный носитель, но и любой носитель информации, в том числе входящий в состав объектов доступа (рабочих станций, серверов, ноутбуков, планшетов, смартфонов, банкоматов, терминалов и пр.).

Носители информации, входящие в состав объекта доступа как постоянно используемое хранилище информации, могут учитываться под общим серийным или инвентарным номером объекта доступа. Однако носители информации, зарезервированные для оперативной замены, но не инсталлированные в техническое средство обработки информации, учитываются каждый индивидуально.

ПУИ.23 (Т-Н-Н)

Стирание информации конфиденциального характера с МНИ средствами, обеспечивающими полную перезапись данных, при осуществлении вывода МНИ из эксплуатации или вывода из эксплуатации СВТ, в состав которых входят указанные МНИ, а также при необходимости их передачи в сторонние организации.

Уровень защиты информации 3-Т, 2-Н, 1-Н.

Реализация - Т

При осуществлении вывода МНИ из эксплуатации или вывода из эксплуатации СВТ, в состав которых входят указанные МНИ, а также при необходимости их передачи в сторонние организации необходимо обеспечить полную перезапись МНИ путем N-кратного форматирования и записи на него двоичных единиц, нулей и псевдослучайных чисел.

Операционные системы Windows (format указать букву логического раздела:) и Linux (dd if=/dev/zero of=/dev/sda (вместо "/dev/sda" необходимо указать адрес устройства для перезаписи) bs=4k) имеют инструменты для полной перезаписи МНИ.

Проверочные процедуры (свидетельства)

1. Скриншот реализации перезаписи МНИ (например лог события).

1. Акт стирания информации с МНИ, с применением способа, реализующего полную перезапись данных.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ПУИ.24 (Н-Т-Т)

Стирание информации конфиденциального характера с МНИ средствами гарантированного стирания или способом (средством), обеспечивающим невозможность их восстановления, при осуществлении вывода МНИ из эксплуатации или вывода из эксплуатации СВТ, в состав которых входят указанные МНИ, а также при необходимости их передачи в сторонние организации.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Реализация - Т

При осуществлении вывода МНИ из эксплуатации или вывода из эксплуатации СВТ, в состав которых входят указанные МНИ, а также при необходимости их передачи в сторонние организации необходимо обеспечить стирание информации конфиденциального характера с МНИ средствами гарантированного стирания или способом (средством), обеспечивающим невозможность их восстановления. К таким средствам, например относятся: Стек-НС3, Acronis Drive Cleanser 6.0 и пр.

Проверочные процедуры (свидетельства)

1. Скриншот реализации гарантированного стирания или использования способа (средства), обеспечивающего невозможность восстановления информации.

1. Акт стирания информации с МНИ, с применением способа, реализующего гарантирование стирание или невозможность восстановления.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ПУИ.25 (Т-Н-Н)

Стирание информации конфиденциального характера с МНИ средствами, обеспечивающими полную перезапись данных, при передаче (перезакреплении) МНИ между работниками и (или) структурными подразделениями финансовой организации.

Уровень защиты информации 3-Т, 2-Н, 1-Н.

Реализация - Т

При передаче (перезакреплении) МНИ между работниками и (или) структурными подразделениями финансовой организации необходимо обеспечить полную перезапись МНИ путем N-кратного форматирования и записи на него двоичных единиц, нулей и псевдослучайных чисел.

Операционные системы Windows (format указать букву логического раздела:) и Linux (dd if=/dev/zero of=/dev/sda (вместо "/dev/sda" необходимо указать адрес устройства для перезаписи) bs=4k) имеют инструменты для полной перезаписи МНИ.

Проверочные процедуры (свидетельства)

1. Скриншот реализации перезаписи МНИ (например лог события).

1. Акт стирания информации с МНИ, с применением способа, реализующего полную перезапись данных.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ПУИ.26 (Н-Т-Т)

Стирание информации конфиденциального характера с МНИ средствами гарантированного стирания или способом (средством), обеспечивающим невозможность их восстановления, при передаче (перезакреплении) МНИ между работниками и (или) структурными подразделениями финансовой организации.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Реализация - Т

При передаче (перезакреплении) МНИ между работниками и (или) структурными подразделениями финансовой организации необходимо обеспечить стирание информации конфиденциального характера с МНИ средствами гарантированного стирания или способом (средством), обеспечивающим невозможность их восстановления. К таким средствам, например относятся: Стек-НС3, Acronis Drive Cleanser 6.0 и пр.

Проверочные процедуры (свидетельства)

1. Скриншот реализации гарантированного стирания или использования способа (средства), обеспечивающего невозможность восстановления информации.

1. Акт стирания информации с МНИ, с применением способа, реализующего гарантирование стирание или невозможность.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ПУИ.27 (Н-Н-Т)

Шифрование информации конфиденциального характера при ее хранении на МНИ, выносимых за пределы финансовой организации.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Реализация - Т

В случае выноса информации конфиденциального характера на МНИ за пределы финансовой организации, необходимо обеспечить ее шифрование. Для данных целей можно использовать например: BitLocker, VeraCrypt и т.д.

Проверочные процедуры (свидетельства)

1. Скриншот реализации шифрования МНИ с конфиденциальной информации, выносимых за пределы финансовой организации.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.