Сканирование в АС - Форум по вопросам информационной безопасности

Друзья, собственно вопрос в чем... кто как смотрит на сканирование документов через МФУ, подключенное к АС. При проверках никого не цепляли по данному механизму ввода информации? А то так то, если присмотреться, то докопаться есть до чего...

2 Ikebot

Сканирование - это ввод информации через штатное устройство ввода-вывода. Не больше и не меньше.Кстати, то же МФУ еще и множительное средство.
Соответственно, требуется регистрация электронной копии в соответствии с правилами делопроизводства, согласно степени конфиденциальности (секретности) сканированного. По большому счету, разница с ручным вводом не принципиальная, ПЭМИН для сканера у вас учтён при аттестации, как и защита результата (файла).
Обратите внимание, что скан и итоговый документ могут быть разных грифов (например, карта, и та же карта с полной обстановкой и легендой)
Так что вопрос чисто организационный - в какие журналы что разнести.

to Практик, в каком документе это описано "требуется регистрация ЭЛЕКТРОННОЙ копии в соответствии с правилами делопроизводства"? По моему разумению документ регламентирующий данное делопроизводство один и в нем ничего не говорится об электронных образах документов. Копирование с листа на лист да, запись на носители тоже да, а вот про сканирование ничего нет, да и не могло быть учитывая давность. Еще вопрос про ОЗУ МФУ, что тоже никого из проверяющих не беспокоит факт обработки информации без механизмов НСД?

2 Ikebot
отвлекитесь от слова "сканер". У вас в системе появится новый файл, гриф/категория которого присваивается согласно действующим общим правилам. Электронный образ в формате графики (если ПО без распознавалки)
Точно так же, как если бы вы набили текст вручную со сканируемого листа "Не множьте сущности"
а этот созданный файл уже регистрируется и хранится по всем правилам "букваря"

Для стандартного МФУ механизмы НСД режимные, как и для ксерокса, к примеру. Вот сканирование - это уже вполне работа с ПО, со всеми ограничениями и разграничениями. Кстати, МФУ - это цифровая техника со всеми требованиями с СИ, СП, очистке буфера и т.д.
То есть специфика минимальна "задача сводится к предыдущим" Разве что СИРД и АС в одном флаконе, то есть выполнить требования к обоим видам работ/оборудования

У вас какая инфа для начала обрабатывается?

to Практик, СИРД, это СИРД и с ним то как раз все понятно, т.к. обычно и я бы даже сказал категорически он ни к какой АС не подключен. А вот МФУ, подключенный к АС, как мне кажется, очень даже спорная штука... вот скажите каким СЗИ очищается ОЗУ МФУ или порт для флешек, который имеется почти в каждом МФУ как контролируется?

to Zeeb, та самая))) не понимаю Вашего вопроса.

2 Ikebot
То есть Вы организационно запретите использовать как СИРД, даже для печати документа в нескольких экземплярах?! Ваше право.

Про порт и размножение опять же вопрос постановки задачи. Либо вы отключаете при СП (опечатываете) порт, либо ведете журналы регистрации распечатанного, как на обычный принтер в АС.МФУ от принтера отличается только сканером.

Чем очищается - вопрос к аттестаторам. Если не прозевал новинок, то реально ничем (кроме очистки при перезагрузке).Как и в обычных принтерах, например. И работают.

Разберитесь в общей нормативной базе. Это же обычное создание и распечатка документов + обычное размножение документов. Каждая из этих задач давно расписана для СИРД и АС в соответствии с категорией (грифом). Вот и сделайте сборник (лучше отдельными инструкциями, чтобы не путались). Часть оргмер будет одинаковая, вам же проще.

*в сторону*
А создание копии грифованной информации, содержащейся на бумажном носителе в единственном варианте, при использовании МФУ в составе аттестованной АС != размножению документов? Представители обоих регуляторов (что редкость, ага) единодушно не согласились бы...
Из практики: при отсутствии аттестата на СИРД для такой схемы работы, лучше лепить бумажку "сканирование/размножение *** информации строго запрещено" и бить по рукам, чем бодаться. Дешевле выйдет...
К тому же, малое количество СЗИ корректно поддерживают мандатный метод получения данных по интерфейсу связи со сканером. В результате, либо сканирование не функционирует в принципе, либо любой электронный документ на выходе сканера имеет метку 0. Что явно противоречит инструкциям и здравому смыслу...

to Практик, если МФУ является СИРД, то вопросов нет, а вот в ситуации когда просто принтеры вдруг меняются на МФУ и как СИРД не аттестуются вот тут то и возникают вопросы. По мне, копирование документов на них должно быть запрещено, иначе он должен быть СИРД. Мой вопрос правда касался не копирования, а именно сканирования.

to oko, так на Ваш взгляд сканирование в АС документа при условии, что сканер не является СИРД возможно или это нарушение? Естественно, при условии, что сканирование выполняется в соответствующую сессию.
Кстати, сканирование под win в нужную сессию вообще не проблема, на отечественных ОС есть нюансы, но тоже решаемо и даже через сетевой интерфейс.

to Ikebot
В отечественных ОС поддержка нужного сканера скорее экзотика, чем повседневность...
imho, если нет аттестата СИРД - сканирование должно быть запрещено. Вне зависимости от реализованной КСЗИ...
А так... поговорите с куратором по части "копирования" информации на разные носители и действуйте согласно его рекомендациям. Желательно письменным, ага...