И вновь о безопасности МФУ

В 2009-м году, в книге "Мифы и заблуждения информационной безопасности" я развенчивал миф №31 "Принтеры не надо защищать". В 2011-м году я вновь вернулся к этом вопросу, рассмотрев его под прицелом аутентификации на принтерах. И вот снова... На этот раз хочется обратиться к теме безопасности принтеров под соусом оценки их соответствия требованиям безопасности. На прошедшем Инфобезе Лютиков Виталий Сергеевич заявил, что ФСТЭК постепенно отходит от сертификации по ТУ и для этого планирует выпустить новые РД. Но РД по принтерам у нас нет... А вот на загнивающем Западе есть ;-) И их можно взять за основу при разработке отечественных нормативов.

Под эгидой IEEE было выпущено 2 профиля по безопасности многофункциональных устройств в контексте "Общих критериев":

• IEEE Std 2600.1-2009. IEEE Standard for a Protection Profile in Operational Environment A
• IEEE Std 2600.2-2009. IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM-2008 Operational Environment B.

Первый профиль определяет требования по защите МФУ, используемых в окружении с высокими требованиями по информационной безопасности (т.н. окружение А). Второй профиль, соответственно, для менее критичного окружения (окружение B). При этом оба профиля рассчитаны на защиту принтеров, сканеров, копиров и факсов - т.е. всех тех устройств, которые очень редко попадают в прицел служб ИТ и ИБ как с точки зрения моделирования угроз для МФУ, так и с точки зрения их нейтрализации.