В 2009-м году, в книге «Мифы и заблуждения информационной безопасности» я развенчивал миф №31 «Принтеры не надо защищать«. В 2011-м году я вновь вернулся к этом вопросу, рассмотрев его под прицелом аутентификации на принтерах. И вот снова… На этот раз хочется обратиться к теме безопасности принтеров под соусом оценки их соответствия требованиям безопасности. На прошедшем Инфобезе Лютиков Виталий Сергеевич заявил, что ФСТЭК постепенно отходит от сертификации по ТУ и для этого планирует выпустить новые РД. Но РД по принтерам у нас нет… А вот на загнивающем Западе есть 😉 И их можно взять за основу при разработке отечественных нормативов.
Под эгидой IEEE было выпущено 2 профиля по безопасности многофункциональных устройств в контексте «Общих критериев»:
- IEEE Std 2600.1-2009. IEEE Standard for a Protection Profile in Operational Environment A
- IEEE Std 2600.2-2009. IEEE Standard Protection Profile for Hardcopy Devices in IEEE Std 2600TM-2008 Operational Environment B.
Первый профиль определяет требования по защите МФУ, используемых в окружении с высокими требованиями по информационной безопасности (т.н. окружение А). Второй профиль, соответственно, для менее критичного окружения (окружение B). При этом оба профиля рассчитаны на защиту принтеров, сканеров, копиров и факсов — т.е. всех тех устройств, которые очень редко попадают в прицел служб ИТ и ИБ как с точки зрения моделирования угроз для МФУ, так и с точки зрения их нейтрализации.
недавно был на презентации светодиодных принтеров OKIDATA.
Докладчик рассказывал как на предыдущем семинаре посетитель из ФСТЭК рассказывал что обычные лазерные принтера можно сосканировать по излучению с расстояния и так как там идет линейное рисование картинки есть возможность восстановить по излучению то что печатает принтер.
И вроде как светодиодные принтера лишены такого недостатка потому что там куча источников света и фик раскодируешь