Пункт 2.1 Приказа ОАЦ №66: как регламентировать использование съёмных носителей, мобильных технических средств и контроль за таким использованием

Смысл требования

Пункт 2.1 относится к блоку требований по обеспечению защиты информации и направлен на устранение одного из наиболее типичных источников неконтролируемого доступа и несанкционированного перемещения данных — использования съёмных носителей и мобильных технических средств без установленного порядка. По существу норма требует, чтобы владелец информационной системы заранее определил, какие носители и устройства допускаются к использованию, кем, в каких случаях, в каком режиме и под каким контролем.

Для практики это требование имеет двойное значение. С одной стороны, оно ограничивает риск выноса информации, заноса вредоносного кода и подключения неучтённых устройств. С другой стороны, оно формирует доказуемый режим эксплуатации: при проверке владелец ИС должен показать не только технические запреты или разрешения, но и локально установленный порядок использования соответствующих средств.

Формулировка требования

Приложение 3 к Положению о порядке технической и криптографической защиты информации в информационных системах, раздел «Требования по обеспечению защиты информации», пункт 2.1: «регламентация порядка использования в информационной системе съемных носителей информации, мобильных технических средств и контроля за таким использованием».

Обязательность применения

По таблице приложения 3 требование пункта 2.1 установлено как обязательное для всех классов типовых ИС: 4-ин, 4-спец, 4-бг, 4-юл, 4-дсп, 3-ин, 3-спец, 3-бг, 3-юл, 3-дсп. Исключений по режиму применения таблица не предусматривает.

Существенно, что требование сформулировано через регламентацию порядка использования и контроля. Следовательно, его исполнение не может быть сведено только к технической блокировке USB-портов, только к выдаче корпоративных ноутбуков или только к общему запрету в политике безопасности. Требование должно быть закрыто одновременно в организационной и эксплуатационной плоскости.

Что проверяет аудитор или ОАЦ

При проверке пункта 2.1 оценивается не наличие одного запрета, а наличие полного режима обращения со съёмными носителями и мобильными техническими средствами в пределах информационной системы. Проверяющий, как правило, смотрит, установил ли владелец ИС, какие устройства допускаются, как они идентифицируются, кем выдаются, где учитываются, какие ограничения действуют на копирование, подключение, хранение и вынос, а также каким образом контролируется соблюдение этих правил.

• закреплён ли порядок использования съёмных носителей и мобильных технических средств в ЛПА, регламенте эксплуатации или ином ОРД;
• определён ли перечень разрешённых типов носителей и мобильных средств, а также условия их использования;
• установлены ли роли и ответственность: кто разрешает использование, кто учитывает, кто контролирует, кто проводит изъятие или списание;
• существует ли учёт съёмных носителей и мобильных технических средств, если они допускаются к работе в ИС;
• реализованы ли меры контроля: ограничения на подключение, контроль копирования, запрет неучтённых устройств, журналирование фактов подключения и использования;
• согласован ли установленный порядок с архитектурой ИС, режимом удалённого доступа и моделью обращения с защищаемой информацией.

Если владелец ИС ограничивается общей фразой о запрете внешних носителей без описания исключений, процедур разрешения, учёта и контроля, такое исполнение обычно выглядит недостаточно зрелым. Если же устройства фактически используются, но их статус и правила применения нигде не закреплены, требование следует считать исполненным ненадлежащим образом.

Варианты реализации

Организационный вариант.

Владелец ИС утверждает локальный порядок использования съёмных носителей и мобильных технических средств. В документе целесообразно определить категории устройств, допущенных к применению, основания для их использования, порядок согласования, учёта, хранения, перемещения, подключения, копирования информации, а также запреты и ограничения. Такой вариант обязателен как нормативная основа и может быть достаточен только для очень простой и жёстко контролируемой среды, где фактическое использование таких средств минимально.

Организационно-технический вариант.

Наиболее типичный для практики подход. Порядок использования закрепляется в ЛПА и ОРД, а технические средства применяются для его обеспечения: блокируются неразрешённые USB-устройства, ограничивается использование мобильных носителей, включается контроль подключения, фиксируются операции копирования или подключения. Такой вариант обеспечивает и нормативную, и техническую доказуемость исполнения требования.

Комбинированный вариант с разделением режимов.

Для более зрелых ИС целесообразно разделять режимы использования по категориям активов и ролям пользователей. Например, для обычных рабочих мест может действовать полный запрет съёмных носителей, для администраторов — ограниченный режим с учётом и журналированием, для отдельных технологических узлов — разрешение только на утверждённые носители и только по служебной необходимости. Такой подход сложнее в сопровождении, но обеспечивает лучшую соразмерность меры реальным задачам эксплуатации.

Что целесообразно закрепить в ЛПА и ОРД

С учётом содержания пункта 2.1 ключевое значение имеют именно внутренние документы. На практике в них целесообразно закреплять не общий запрет, а полный порядок обращения с соответствующими средствами.

• перечень допустимых и запрещённых типов съёмных носителей и мобильных технических средств;
• круг пользователей и должностных лиц, имеющих право разрешать использование таких средств;
• порядок учёта, маркировки, выдачи, возврата, списания и уничтожения носителей, если они используются;
• условия подключения носителей и мобильных устройств к активам ИС;
• правила переноса, копирования, хранения и вывоза информации с использованием таких средств;
• запреты на подключение личных, неучтённых или несанкционированных устройств;
• меры контроля и фиксации фактов использования;
• порядок действий при выявлении нарушения установленного режима.

Для аудиторской и аттестационной практики именно такой уровень детализации обычно позволяет показать, что владелец ИС действительно установил режим использования и контроля, а не ограничился общей декларацией.

Возможность технической реализации и инструменты

Технические средства в рамках пункта 2.1 выступают как поддержка установленного режима. Они не заменяют ЛПА, но позволяют обеспечить фактическое соблюдение утверждённого порядка.

• Групповые политики Windows (GPO). Подходят для доменной Windows-среды. Позволяют ограничивать использование USB-устройств, управлять правами на подключение съёмных носителей и централизованно задавать режимы для рабочих станций.
• MDM / EMM-платформы. Уместны для контроля мобильных технических средств, прежде всего корпоративных ноутбуков, планшетов и смартфонов. Позволяют управлять политиками устройств, доступом, шифрованием и режимами использования.
• Средства Device Control / Endpoint Control. Предназначены для контроля подключения носителей и периферийных устройств, ограничения копирования и журналирования фактов использования.
• DLP-системы. Полезны, если задача выходит за пределы простого запрета и требует контроля переноса данных на съёмные носители, внешние устройства и мобильные платформы.
• NAC и смежные средства сетевого контроля. Могут использоваться для ограничения допуска неучтённых мобильных технических средств в сетевой контур ИС.
• Штатные средства Linux и Unix-подобных систем. Применимы для ограничения монтирования носителей, управления правами доступа и отключения автоподключения на рабочих и серверных узлах.

При выборе инструмента следует исходить из архитектуры ИС, используемых платформ и требуемого режима контроля. Само наличие программного средства не подтверждает исполнение пункта 2.1, если порядок его применения не закреплён документально и не согласован с внутренним режимом использования носителей и мобильных средств.

Типичные ошибки при реализации

• использование съёмных носителей фактически допускается, но порядок их применения нигде не закреплён;
• в документах установлен полный запрет, однако в эксплуатации существуют неформальные исключения без оформления и учёта;
• разрешённые носители используются без маркировки, учёта и контроля перемещения;
• личные мобильные технические средства фактически подключаются к ИС без установленного порядка и без разграничения режимов;
• технические ограничения внедрены, но не отражены в ЛПА и регламентах;
• контроль сосредоточен только на USB-носителях, тогда как мобильные технические средства выпадают из режима регулирования;
• не установлен порядок действий при выявлении нарушения установленного режима использования.

Пункт 2.1 носит в первую очередь режимный характер. Его ядро составляют локальные акты и организационно-распорядительные документы, устанавливающие порядок использования съёмных носителей информации и мобильных технических средств, а также контроль за таким использованием. Следовательно, исходной точкой исполнения требования всегда должно быть не программное средство, а документально закреплённый режим.

Технические решения целесообразно использовать как средство обеспечения и подтверждения этого режима. Для простой ИС может быть достаточен строгий запрет и ограниченный перечень служебных исключений. Для более сложной инфраструктуры предпочтителен комбинированный подход с учётом, разграничением режимов и техническим контролем. По существу требование пункта 2.1 исполнено тогда, когда владелец ИС может показать не только наличие запретов или разрешений, но и воспроизводимый, документально оформленный и фактически действующий порядок обращения с носителями и мобильными средствами.