LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • ЗВК.1 (Т-Т-Т)
  • ЗВК.2 (Т-Т-Т)
  • ЗВК.3 (Т-Т-Т)
  • ЗВК.4 (Н-Т-Т)
  • ЗВК.5 (Т-Т-Т)
  • ЗВК.6 (Т-Т-Т)
  • ЗВК.7 (Т-Т-Т)
  1. Процессы
  2. 4-П. ЗВК - Защита от вредоносного кода

ЗВК 1-7

Базовый состав мер по организации эшелонированной защиты от вредоносного кода на разных уровнях информационной инфраструктуры

ЗВК.1 (Т-Т-Т)

Реализация защиты от вредоносного кода на уровне физических АРМ пользователей и эксплуатационного персонала.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Мера подразумевает использование на всех автоматизированных рабочих местах (АРМ) организации средств антивирусной защиты (САЗ), использующие сигнатурные (поиск сигнатур на основе известных вирусов, содержащихся в антивирусных базах) и эврестические (поиск ранее не известных сигнатур) методы анализа вредоносного кода.

Реализация - Т

Примеры средств антивирусной защиты конечных станций.

  • Check Point Harmony Endpoint Security;

  • Kaspersky Enpoint Security (АО «Лаборатория Касперского»);

  • Dr.Web Desktop Security Suite ( ООО «Доктор Веб»);

  • McAfee Total Protection (ЗАО «Научно-производственная компания «Абитон»);

  • Symantec Endpoint Security (ООО «СИМАНТЕК»);

  • PRO32 Endpoint Security (ООО «ИСЕТ Софтвеа»);

  • Trend Micro Endpoint Security ( АО НТЦ «Специальные системы» ).

Проверочные процедуры (свидетельства)

Проверка состава установленных средств антивирусной защиты в агентах администрирования.

При добавлении новых рабочих станций и установки на них САЗ в центр управления приходит сигнал о добавлении нового устройства, в случае отсутствия автоматической синхронизации - это делается вручную.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗВК.2 (Т-Т-Т)

Реализация защиты от вредоносного кода на уровне виртуальной информационной инфраструктуры.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Мера подразумевает установку средств антивирусной защиты как на отдельные виртуальные машины на уровне гипервизора (п.3.43 - ГОСТ 57580.1), так и на уровне сред контейнерной оркестрации.

Реализация - Т

Для реализации данной меры необходимо использовать средства антивирусной защиты в виртуальных средах, например:

  • САЗ с интеграцией vShield Endpoint:

    • BitDefender GravityZone;

    • Kaspersky Security для виртуальных сред;

    • McAfee MOVE AntiVirus;

    • Sophos Antivirus for vShield;

    • Trend Micro Deep Security.

  • САЗ без интеграции Shield Endpoint:

    • ESET Secure Enterprise;

    • Symantec Endpoint Protection.

Также для ограничения виртуальной инфраструктуры могут использовать IDS (можно завернуть трафик с гипервизора на IDS\IPS) решения, например:

IBM Security Virtual Server Protection for VMware.

*В случае использования VMware vSphere (виртуальная инфраструктура с динамическим управлением ресурсами процессора, оперативной памяти, хранилища или сети. В основе такой инфраструктуры лежит гипервизор ESXi, установленный на сервер и работающий без посредничества какой-либо операционной системы.) разработчик обращает внимание на необязательное использование средств антивирусной защиты для гипервизора вследствие того, что ESXi не является средой общего назначения и не использует консольную операционную систему. ESXi использует строго контролируемые интерфейсы, а все выполняемые двоичные файлы зашифрованы и проверяются строгими средствами контроля.

В случае файлового антивируса на защищаемые виртуальные машины устанавливается драйвер vShield Endpoint (vShield Endpoint Thin Agent), который входит в состав VMware Tools. Он разрешает или запрещает доступ к файлам в зависимости от результата проверки. Виртуальная машина с антивирусом связана с драйвером на уровне гипервизора ESXi при помощи специальной службы. Доступ к любому ресурсу выполняется при помощи гипервизора, поэтому есть возможность перехватывать любой запрос и передавать его на анализ специально выделенной виртуальной машине.

https://www.vmware.com/content/dam/digitalmarketing/vmware/ru/pdf/VMware-vShield-Endpoint-Datasheet.pdf

Проверочные процедуры (свидетельства)

  1. Скриншот агентов САЗ;

  2. Скриншот журналов из САЗ на уровне виртуальной инфраструктуры;

  3. Наблюдение аудитора.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗВК.3 (Т-Т-Т)

Реализация защиты от вредоносного кода на уровне серверного оборудования.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Мера подразумевает установку антивирусных средств защиты от вредоносного кода на серверном оборудовании.

Под серверным оборудованием понимаются физические и виртуальные (в случае, если не используются СрАВЗ на уровне гипервизора) сервера и сетевые устройства, позволяющие хранить файлы и обрабатывать большой объем данных.

Реализация - Т

Для реализации данной меры необходимо использовать средства антивирусной защиты серверного оборудования, например:

САЗ:

  • DrWeb Server Security – сертифицирован ФСТЭК, ФСБ;

  • Kaspersky Endpoint Security for Windows Server - сертифицирован ФСТЭК, ФСБ;

  • NANO Security Ltd;

  • ESET NOD32;

  • Bitdefender GravityZone Security for Endpoints Physical Workstation.

Проверочные процедуры (свидетельства)

В качестве свидетельств для подтверждения реализации меры можно использовать:

  1. ВНД Компании с политиками, описывающими и подтверждающими реализацию и установку САЗ с модулями(блейдами) сканирования вредоносного кода на серверном оборудовании.

  2. Интервью с администратором(-ами) антивирусной защиты. В интервью явно должна быть показана установка модулей(билдов) в агентах САЗ для сегмента серверного оборудования или установка отдельных САЗ на серверном оборудовании.

  3. Скриншоты функционирования модулей(блейдов) СрАВЗ или отдельно стоящих САЗ на серверном оборудовании.

  4. Скриншоты настроек модулей(блейдов) САЗ или отдельно стоящих САЗ на серверном оборудовании.

  5. Журналы(логи) / скриншоты отчетов о проведении проверок на наличие вредоносного кода на уровне серверного оборудования.

  6. Журналы / скриншоты выявления / блокировки вредоносного кода на серверном оборудовании.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

Полезные ссылки

Для ссылок.

ЗВК.4 (Н-Т-Т)

Реализация защиты от вредоносного кода на уровне контроля межсетевого трафика.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Мера подразумевает установку шлюзов безопасности (firewall) как на границе входа в ЛВС (LAN), так и между сегментами сети организации, обеспечивающий фильтрацию и проверку трафика на вредоносный код.

Реализация - Т

Для реализации данной меры необходимо использовать средства антивирусной защиты для межсетевых экранов.

Проверочные процедуры (свидетельства)

В качестве свидетельств для подтверждения реализации меры можно использовать:

  1. ВНД с политиками, описывающими и подтверждающими реализацию контроля вредоносного кода и установку САЗ на уровне межсетевого трафика.

  2. Интервью с администратором(-ами) антивирусной защиты / сетевым(-ыми) администратором(-ами). В интервью должна быть явно показано функционирование СрАВЗ или модулей защиты от вредоносного кода на межсетевых экранах.

  3. Скриншоты настройки САЗ или модулей(блейдов) защиты от вредоносного кода на межсетевых экранах.

  4. Скриншоты обновлений сигнатурных баз данных для САЗ на уровне межсетевого трафика.

  5. Журналы / скриншоты выявления / блокировки вредоносного кода на уровне межсетевого трафика.

  6. Журналы(логи) / скриншоты отчетов о проведении проверок на наличие вредоносного кода на уровне межсетевого трафика.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Для коллизий

Полезные ссылки

  1. Что такое сетевой экран? Определение и описание.

ЗВК.5 (Т-Т-Т)

Реализация защиты от вредоносного кода на уровне контроля почтового трафика.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Мера подразумевает установку САЗ с модулями контроля и сканирования почтового трафика для почтовых серверов.

Реализация - Т

Для реализации данной меры необходимо использовать средства антивирусной защиты для почтового трафика.

Примеры средств антивирусной защиты на уровне почтового трафика:

  • Kaspersky Security для почтовых серверов;

  • Dr. Web Mail Security Suite;

  • McAfee Security for Email Servers;

  • «Kaspersky Security 8.0 для Linux Mail Server»;

  • Symantec MailSecurity;

  • ESET MailSecurity.

В случае использования виртуальных почтовых серверов, организованных средствами почтовой системы провайдера, ответственность за безопасность несет сам провайдер.

Как правило, политики безопасности есть на сайтах используемого провайдера.

Проверочные процедуры (свидетельства)

В качестве свидетельств для подтверждения реализации меры можно использовать:

  1. ВНД с политиками, описывающими и подтверждающими реализацию контроля вредоносного кода и установку САЗ на уровне контроля почтового трафика.

  2. Интервью с администратором(-ами) антивирусной защиты. В интервью должно быть явно показано функционирование САЗ для контроля почтового трафика.

  3. Скриншоты обновления сигнатурных баз данных для САЗ, контролирующих почтовый трафик.

  4. Скриншоты настроек фильтров на основе сигнатур для ограничения / удаления спама и фишинга, в которых может содержать вредоносный код;

  5. Журналы / скриншоты отчетов о проведении проверок на наличие вредоносного кода на уровне почтового трафика.

  6. Журналы / скриншоты выявления / удаления вредоносного кода при анализе почтового трафика.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗВК.6 (Т-Т-Т)

Реализация защиты от вредоносного кода на уровне входного контроля устройств и переносных (отчуждаемых) носителей информации.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Мера направлена на контроль переносных устройств от воздействия вредоносного кода.

Реализация - Т

Для реализации данной меры необходимо использовать средства антивирусной защиты с контролем переносных носителей информации. Например: - Kaspersky Endpoint Security (настройки проверки входных носителей информации).

- Dr.Web (настройки проверки входных носителей информации).

Проверочные процедуры (свидетельства)

1. Скриншот настроек агентов САЗ на возможность контроля переносных устройств;

2. Наблюдения аудитора;

3. Интервью с работниками организации;

4. Скриншот журналов из САЗ наличия контроля переносных устройств.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗВК.7 (Т-Т-Т)

Реализация защиты от вредоносного кода на уровне контроля общедоступных объектов доступа (в том числе банкоматов, платежных терминалов).

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Мера направлена на защиту общедоступных объектов от воздействия вредоносного кода.

Реализация - Т

Для реализации данной меры необходимо использовать средства антивирусной защиты для общедоступных объектов доступа, антивирусные системы с технологией тонкого клиента или локальные клиенты на данных компонентах. Например:

Kaspersky Embedded SS

Проверочные процедуры (свидетельства)

1. Скриншот агентов САЗ общедоступных устройствах;

2. Скриншот агентов САЗ на административном устройстве;

3. Наблюдения аудитора;

4. Интервью с работниками организации;

5. Скриншот журналов из САЗ наличия контроля общедоступных объектов доступа.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

Previous4-П. ЗВК - Защита от вредоносного кодаNextЗВК 8-21

Last updated 10 months ago

LogoVMware Knowledge Base