ЗВК 1-7
Базовый состав мер по организации эшелонированной защиты от вредоносного кода на разных уровнях информационной инфраструктуры
Last updated
Базовый состав мер по организации эшелонированной защиты от вредоносного кода на разных уровнях информационной инфраструктуры
Last updated
Реализация защиты от вредоносного кода на уровне физических АРМ пользователей и эксплуатационного персонала.
Уровень защиты информации 3-Т, 2-Т, 1-Т.
Мера подразумевает использование на всех автоматизированных рабочих местах (АРМ) организации средств антивирусной защиты (САЗ), использующие (поиск сигнатур на основе известных вирусов, содержащихся в антивирусных базах) и (поиск ранее не известных сигнатур) методы анализа вредоносного кода.
Примеры средств антивирусной защиты конечных станций.
;
(АО «Лаборатория Касперского»);
( ООО «Доктор Веб»);
(ЗАО «Научно-производственная компания «Абитон»);
(ООО «СИМАНТЕК»);
(ООО «ИСЕТ Софтвеа»);
( АО НТЦ «Специальные системы» ).
Проверка состава установленных средств антивирусной защиты в агентах администрирования.
При добавлении новых рабочих станций и установки на них САЗ в центр управления приходит сигнал о добавлении нового устройства, в случае отсутствия автоматической синхронизации - это делается вручную.
Не выявлены.
Не выявлены.
Не выявлены.
Реализация защиты от вредоносного кода на уровне виртуальной информационной инфраструктуры.
Уровень защиты информации 3-Т, 2-Т, 1-Т.
Мера подразумевает установку средств антивирусной защиты как на отдельные виртуальные машины на уровне гипервизора (п.3.43 - ГОСТ 57580.1), так и на уровне сред контейнерной оркестрации.
Для реализации данной меры необходимо использовать средства антивирусной защиты в виртуальных средах, например:
САЗ с интеграцией vShield Endpoint:
BitDefender GravityZone;
McAfee MOVE AntiVirus;
Sophos Antivirus for vShield;
Trend Micro Deep Security.
САЗ без интеграции Shield Endpoint:
ESET Secure Enterprise;
Symantec Endpoint Protection.
Также для ограничения виртуальной инфраструктуры могут использовать IDS (можно завернуть трафик с гипервизора на IDS\IPS) решения, например:
IBM Security Virtual Server Protection for VMware.
*В случае использования VMware vSphere (виртуальная инфраструктура с динамическим управлением ресурсами процессора, оперативной памяти, хранилища или сети. В основе такой инфраструктуры лежит гипервизор ESXi, установленный на сервер и работающий без посредничества какой-либо операционной системы.) разработчик обращает внимание на необязательное использование средств антивирусной защиты для гипервизора вследствие того, что ESXi не является средой общего назначения и не использует консольную операционную систему. ESXi использует строго контролируемые интерфейсы, а все выполняемые двоичные файлы зашифрованы и проверяются строгими средствами контроля.
В случае файлового антивируса на защищаемые виртуальные машины устанавливается драйвер vShield Endpoint (vShield Endpoint Thin Agent), который входит в состав VMware Tools. Он разрешает или запрещает доступ к файлам в зависимости от результата проверки. Виртуальная машина с антивирусом связана с драйвером на уровне гипервизора ESXi при помощи специальной службы. Доступ к любому ресурсу выполняется при помощи гипервизора, поэтому есть возможность перехватывать любой запрос и передавать его на анализ специально выделенной виртуальной машине.
Скриншот агентов САЗ;
Скриншот журналов из САЗ на уровне виртуальной инфраструктуры;
Наблюдение аудитора.
Не выявлены.
Не выявлены.
Не выявлены.
Реализация защиты от вредоносного кода на уровне серверного оборудования.
Уровень защиты информации 3-Т, 2-Т, 1-Т.
Мера подразумевает установку антивирусных средств защиты от вредоносного кода на серверном оборудовании.
Под серверным оборудованием понимаются физические и виртуальные (в случае, если не используются СрАВЗ на уровне гипервизора) сервера и сетевые устройства, позволяющие хранить файлы и обрабатывать большой объем данных.
Для реализации данной меры необходимо использовать средства антивирусной защиты серверного оборудования, например:
САЗ:
NANO Security Ltd;
ESET NOD32;
Bitdefender GravityZone Security for Endpoints Physical Workstation.
В качестве свидетельств для подтверждения реализации меры можно использовать:
ВНД Компании с политиками, описывающими и подтверждающими реализацию и установку САЗ с модулями(блейдами) сканирования вредоносного кода на серверном оборудовании.
Интервью с администратором(-ами) антивирусной защиты. В интервью явно должна быть показана установка модулей(билдов) в агентах САЗ для сегмента серверного оборудования или установка отдельных САЗ на серверном оборудовании.
Скриншоты функционирования модулей(блейдов) СрАВЗ или отдельно стоящих САЗ на серверном оборудовании.
Скриншоты настроек модулей(блейдов) САЗ или отдельно стоящих САЗ на серверном оборудовании.
Журналы(логи) / скриншоты отчетов о проведении проверок на наличие вредоносного кода на уровне серверного оборудования.
Журналы / скриншоты выявления / блокировки вредоносного кода на серверном оборудовании.
Не выявлены.
Не выявлены.
Не выявлены.
Для ссылок.
Реализация защиты от вредоносного кода на уровне контроля межсетевого трафика.
Уровень защиты информации 3-Н, 2-Т, 1-Т.
Мера подразумевает установку шлюзов безопасности (firewall) как на границе входа в ЛВС (LAN), так и между сегментами сети организации, обеспечивающий фильтрацию и проверку трафика на вредоносный код.
Для реализации данной меры необходимо использовать средства антивирусной защиты для межсетевых экранов.
В качестве свидетельств для подтверждения реализации меры можно использовать:
ВНД с политиками, описывающими и подтверждающими реализацию контроля вредоносного кода и установку САЗ на уровне межсетевого трафика.
Интервью с администратором(-ами) антивирусной защиты / сетевым(-ыми) администратором(-ами). В интервью должна быть явно показано функционирование СрАВЗ или модулей защиты от вредоносного кода на межсетевых экранах.
Скриншоты настройки САЗ или модулей(блейдов) защиты от вредоносного кода на межсетевых экранах.
Скриншоты обновлений сигнатурных баз данных для САЗ на уровне межсетевого трафика.
Журналы / скриншоты выявления / блокировки вредоносного кода на уровне межсетевого трафика.
Журналы(логи) / скриншоты отчетов о проведении проверок на наличие вредоносного кода на уровне межсетевого трафика.
Не выявлены.
Не выявлены.
Для коллизий
Реализация защиты от вредоносного кода на уровне контроля почтового трафика.
Уровень защиты информации 3-Т, 2-Т, 1-Т.
Мера подразумевает установку САЗ с модулями контроля и сканирования почтового трафика для почтовых серверов.
Для реализации данной меры необходимо использовать средства антивирусной защиты для почтового трафика.
Примеры средств антивирусной защиты на уровне почтового трафика:
McAfee Security for Email Servers;
Symantec MailSecurity;
ESET MailSecurity.
В случае использования виртуальных почтовых серверов, организованных средствами почтовой системы провайдера, ответственность за безопасность несет сам провайдер.
Как правило, политики безопасности есть на сайтах используемого провайдера.
В качестве свидетельств для подтверждения реализации меры можно использовать:
ВНД с политиками, описывающими и подтверждающими реализацию контроля вредоносного кода и установку САЗ на уровне контроля почтового трафика.
Интервью с администратором(-ами) антивирусной защиты. В интервью должно быть явно показано функционирование САЗ для контроля почтового трафика.
Скриншоты обновления сигнатурных баз данных для САЗ, контролирующих почтовый трафик.
Скриншоты настроек фильтров на основе сигнатур для ограничения / удаления спама и фишинга, в которых может содержать вредоносный код;
Журналы / скриншоты отчетов о проведении проверок на наличие вредоносного кода на уровне почтового трафика.
Журналы / скриншоты выявления / удаления вредоносного кода при анализе почтового трафика.
Не выявлены.
Не выявлены.
Не выявлены.
Реализация защиты от вредоносного кода на уровне входного контроля устройств и переносных (отчуждаемых) носителей информации.
Уровень защиты информации 3-Т, 2-Т, 1-Т.
Мера направлена на контроль переносных устройств от воздействия вредоносного кода.
Для реализации данной меры необходимо использовать средства антивирусной защиты с контролем переносных носителей информации. Например: - Kaspersky Endpoint Security (настройки проверки входных носителей информации).
- Dr.Web (настройки проверки входных носителей информации).
1. Скриншот настроек агентов САЗ на возможность контроля переносных устройств;
2. Наблюдения аудитора;
3. Интервью с работниками организации;
4. Скриншот журналов из САЗ наличия контроля переносных устройств.
Не выявлены.
Не выявлены.
Не выявлены.
Реализация защиты от вредоносного кода на уровне контроля общедоступных объектов доступа (в том числе банкоматов, платежных терминалов).
Уровень защиты информации 3-Т, 2-Т, 1-Т.
Мера направлена на защиту общедоступных объектов от воздействия вредоносного кода.
Для реализации данной меры необходимо использовать средства антивирусной защиты для общедоступных объектов доступа, антивирусные системы с технологией тонкого клиента или локальные клиенты на данных компонентах. Например:
1. Скриншот агентов САЗ общедоступных устройствах;
2. Скриншот агентов САЗ на административном устройстве;
3. Наблюдения аудитора;
4. Интервью с работниками организации;
5. Скриншот журналов из САЗ наличия контроля общедоступных объектов доступа.
Не выявлены.
Не выявлены.
Не выявлены.
;
– сертифицирован ФСТЭК, ФСБ;
for Windows Server - сертифицирован ФСТЭК, ФСБ;
;
;
;
