Нужно ли сертифицировать принтеры?

Принтер является одним из основных устройств любой организации, которое выполняет обработку большого количества информации, в том числе сведений, содержащих информацию ограниченного доступа. Как и любое другое средство обработки (защиты) информации ограниченного доступа принтеры должны проходить соответствующие процедуры проверки. В настоящее время в России наиболее распространенной процедурой, выполняемой в отношении принтеров, являются спецпроверки и специсследования. Но не стоит забывать, что современные принтеры работают под управлением программного обеспечения, которое может быть проверено с использованием функционального и структурного тестирования.

Понимая необходимость задания критериев безопасности информации к принтерам, NIAP (организация, регулирующая сертификацию средств защиты информации в США) и IPA (регулирует сертификацию в Японии) ведут в настоящее время совместную разработку профиля защиты для принтеров (многофункциональных устройств) — Protection Profile for Multifunction Printers.


Кратко рассмотрим текущую редакцию документа. Основными угрозами безопасности информации, от которых должен защищать принтер являются:

  • несанкционированный доступ (чтение, модификация, удаление) данных пользователей, отправленных на печать, или модификация/удаление задания на печать с использованием внешних интерфейсов принтера;
  • несанкционированная установка программного обеспечения или обновлений программного обеспечения принтера;
  • несанкционированный доступ к данным принтера, используемым им для выполнения функций безопасности, с использованием внешних интерфейсов принтера;
  • активное или пассивное прослушивание данных, передаваемых по сети;
  • ошибки в работе программного обеспечения принтера.

Для противостояния указанным угрозам авторами профиля защиты предлагается обеспечивать выполнение принтерами следующих функциональных требований безопасности:

  • аудит событий безопасности;
  • криптографическую защиту (как передаваемых данных, так и хранимых в памяти принтера);
  • идентификация и аутентификация пользователей, контроль доступа;
  • защита остаточной информации;
  • ролевое управление доступном к функциям безопасности принтера;
  • обеспечение надежных меток времени;
  • самотестирование;
  • обеспечение доверенного маршрута;
  • доверенное обновление программного обеспечения.

Профиль защиты  планируется опубликовать в конце 2014 года, но  с первыми версиями документа можно ознакомиться уже сейчас на портале ccusersforum.teamlab.com.

Comments are closed.