LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • ЗВК.8 (Т-Т-Т)
  • ЗВК.9 (Т-Т-Т)
  • ЗВК.10 (Т-Т-Т)
  • ЗВК.11 (Т-Т-Т)
  • ЗВК.12 (Т-Т-Т)
  • ЗВК.13 (Т-Н-Н)
  • ЗВК.14 (Н-Т-Т)
  • ЗВК.15 (Н-Т-Т)
  • ЗВК.16 (Н-Т-Т)
  • ЗВК.17 (Н-Т-Т)
  • ЗВК.18 (Т-Т-Т)
  • ЗВК.19 (Н-Т-Т)
  • ЗВК.20 (Н-О-О)
  • ЗВК.21 (О-Т-Т)
  1. Процессы
  2. 4-П. ЗВК - Защита от вредоносного кода

ЗВК 8-21

Базовый состав мер по организации и контролю применения средств защиты от вредоносного кода

ЗВК.8 (Т-Т-Т)

Функционирование средств защиты от вредоносного кода в постоянном, автоматическом режиме, в том числе в части установки их обновлений и сигнатурных баз данных.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Мера направлена на контроль защиты САЗ от воздействия вредоносного кода в постоянном, автоматическом режиме.

Реализация - Т

Для реализации данной меры необходимо использовать средства антивирусной защиты в постоянном автоматическом режиме с постоянно обновляющимися сигнатурными базами данных.

Проверочные процедуры (свидетельства)

1. Скриншот с агентов САЗ о работе в постоянном, автоматическом режиме;

2. Скриншот с агентов САЗ с настроенными функциями обновления сигнатурных баз данных;

3. Наблюдения аудитора;

4. Интервью с работниками организации;

5. Скриншот журналов из САЗ об установке обновлений сигнатурных баз данных;

6. Скриншот выгрузки из журнала САЗ о постоянном режиме (событие о доступности работы агента САЗ по запросу с агента администрирования САЗ, события об ошибки обновления и т.д.).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗВК.9 (Т-Т-Т)

Функционирование средств защиты от вредоносного кода на АРМ пользователей и эксплуатационного персонала в резидентном режиме (в режиме service - для операционной системы Windows, в режиме daemon - для операционной системы Unix), их автоматический запуск при загрузке операционной системы.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Функционирование средств защиты от вредоносного кода на АРМ пользователей и эксплуатационного персонала в резидентном режиме (в режиме service - для операционной системы Windows, в режиме daemon - для операционной системы Unix), их автоматический запуск при загрузке операционной системы.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗВК.10 (Т-Т-Т)

Применение средств защиты от вредоносного кода, реализующих функцию контроля целостности их программных компонентов

Уровень защиты информации 3-Т, 2-Т, 1-Т

Пояснение

Производится проверка неизменности базы сигнатур при загрузке службы и при обновлении.

Реализация - Т

Для реализации необходимо использование средств антивирусной защиты с функцией контроля целостности их программного компонента.

Модули контроля целостности предусмотрены в САЗ как часть минимально необходимого функционала, однако на рынке имеются решения САЗ, не имеющие такого функционала

Для проверки наличия функции контроля целостности необходимо ознакомиться с эксплуатационной документацией на САЗ, составом приобретенных и развернутых модулей.

Проверочные процедуры (свидетельства)

1. Скриншот отчета из журналов о проведении проверки контроля целостности программных компонентов.

2. Скриншот агента с демонстрацией наличия и возможности настройки функций контроля целостности на установленном САЗ.

Скриншоты состава работающих модулей агента САЗ.

Типичные недостатки

Для недостатков

Компенсационные меры

Для мер

Выявленные коллизии

Для коллизий

ЗВК.11 (Т-Т-Т)

Контроль отключения и своевременного обновления средств защиты от вредоносного кода.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Производится автоматическое обновление базы с сервера обновлений, запускаемое в фоновом режиме, или ручное обновление базы из выбранной директории по заданному расписанию.

Реализация - Т

Для реализации необходимо установить ограничение прав пользователей на отключение антивирусной защиты, также необходимо настроить соответствующий функционал в САЗ для случаев отключения САЗ (алерты, события в журнале, отправка событий на почту и т.д.).

Данный функционал есть в большинстве ПО вендоров, предоставляющих сервисы по антивирусной защите.

В случае отсутствия такого функционала в САЗ можно настроить контроль непрерывной работы агента САЗ в составе активного ПО ОС с помощью сторонней системы (SIEM, средств инвентаризации ПО). Для выполнения требований контроля ПО в САЗ настраиваются уведомления на случай нарушения сроков обновления (устаревание ПО и баз данных сигнатур, недоступности устройства с установленным агентом САЗ).

Проверочные процедуры (свидетельства)

1. Скриншот с агентов администрирования САЗ процесса контроля отключения САЗ и его своевременного обновления.

2. Скриншот из журналов событий об установленных обновлениях.

3. Скриншот из журнала событий САЗ событий недоступности устройств с установленным САЗ, устаревания ПО и баз данных сигнатур

4. Скриншот принудительной попытки отключения САЗ и запись в журнале событий САЗ результатов такой попытки.

Наблюдение за попыткой отключения САЗ.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

В составе меры смешны не взаимозависимые требования контроля обновления ПО САЗ и контроля отключения САЗ.

ЗВК.12 (Т-Т-Т)

Выполнение еженедельных операций по проведению проверок на отсутствие вредоносного кода.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Выполняется проверка, запускаемая по расписанию. Пропущенное сканирование по расписанию (например, компьютер выключен) принудительно запускается после восстановления работы компьютера.

Реализация - Т

Настройка на средствах антивирусной защиты еженедельных проверок на отсутствие вредоносного кода.

Проверочные процедуры (свидетельства)

1. Скриншот из журнала событий о проведении периодических проверок на отсутствие вредоносного кода.

2. Скриншот из агентов о настроенном расписании проверок.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗВК.13 (Т-Н-Н)

Использование средств защиты от вредоносного кода различных производителей, как минимум для уровней:

  • физические АРМ пользователей и эксплуатационного персонала;

  • серверное оборудование.

Уровень защиты информации 3-Т, 2-Н, 1-Н.

Пояснение

Мера направлена на защиту от вредоносного кода на различных уровнях инфраструктуры.

Реализация - Т

Установка средств антивирусной защиты различных производителей на указанных объектах:

АРМ пользователей и эксплуатационного персонала.

Серверного оборудования.

Проверочные процедуры (свидетельства)

Скриншот наличия САЗ различных производителей, установленных на следующих объектах:

АРМ пользователей и эксплуатационного персонала.

Серверного оборудования.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗВК.14 (Н-Т-Т)

Использование средств защиты от вредоносного кода различных производителей, как минимум для уровней:

  • физические АРМ пользователей и эксплуатационного персонала;

  • серверное оборудование;

  • контроль межсетевого трафика.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Мера направлена на защиту от вредоносного кода на различных уровнях инфраструктуры.

Реализация - Т

Установка средств антивирусной защиты различных производителей на указанных объектах:

· АРМ пользователей и эксплуатационного персонала;

· Серверного оборудования.

Сетевого оборудования контроля межсетевого трафика.

Проверочные процедуры (свидетельства)

Скриншот наличия САЗ различных производителей, установленных на следующих объектах:

· АРМ пользователей и эксплуатационного персонала;

· Серверного оборудования.

Сетевого оборудования контроля межсетевого трафика.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗВК.15 (Н-Т-Т)

Выполнение проверок на отсутствие вредоносного кода путем анализа информационных потоков между сегментами контуров безопасности и иными внутренними вычислительными сетями финансовой организации.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Мера направлена на защиту от вредоносного кода между внутренними вычислительными сетями финансовой организации.

Реализация - Т

Данная мера может быть реализована посредством специализированных СЗИ, обеспечивающих анализ на вредоносный код сетевого трафика (например, NGFW, UTM, МЭ с модулем антивирусной защиты).

Примерами таких средств могут являться:

1. FortiGate;

2. Palo Alto;

3. CheckPoint;

4. Cisco FirePower;

  1. UTM (Ростелеком Солар).

Проверочные процедуры (свидетельства)

1. Отчеты от МЭ с фактами выявления признаков вредоносного кода.

2. Скриншоты работы модуля антивирусной защиты (факта выявления зараженного трафика).

Скриншот функции активного модуля антивирусной защиты на уровне используемого МЭ, NGFW (иного средства, например UTM).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗВК.16 (Н-Т-Т)

Выполнение проверок на отсутствие вредоносного кода путем анализа информационных потоков между внутренними вычислительными сетями финансовой организации и сетью Интернет.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Мера направлена на защиту от вредоносного кода между внутренними вычислительными сетями финансовой организации и сетью Интернет.

Реализация - Т

Данная мера может быть реализована посредством специализированных СЗИ, обеспечивающих анализ на вредоносный код сетевого трафика (например, NGFW, UTM, МЭ с модулем антивирусной защиты).

Примерами таких средств могут являться:

1. FortiGate;

2. Palo Alto;

3. CheckPoint;

4. Cisco FirePower;

5. UTM (Ростелеком Солар).

Может быть реализовано также посредством функционала антивирусной защиты на прокси-серверах.

Проверочные процедуры (свидетельства)

1. Отчеты от МЭ с фактами выявления признаков вредоносного кода.

2. Скриншоты работы модуля антивирусной защиты (факта выявления зараженного трафика).

  1. Скриншот функции активного модуля антивирусной защиты на уровне используемого МЭ, NGFW (иного средства, например UTM).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗВК.17 (Н-Т-Т)

Выполнение проверок на отсутствие вредоносного кода путем анализа информационных потоков между сегментами, предназначенными для размещения общедоступных объектов доступа (в том числе банкоматов, платежных терминалов), и сетью Интернет.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Мера направлена на защиту от вредоносного кода на общедоступных объектах доступа.

Реализация - Т

Данная мера может быть реализована посредством специализированных СЗИ, обеспечивающих анализ на вредоносный код сетевого трафика (например, NGFW, UTM, МЭ с модулем антивирусной защиты).

Примерами таких средств могут являться:

1. FortiGate;

2. Palo Alto;

3. CheckPoint;

4. Cisco FirePower;

5. UTM (Ростелеком Солар).

Проверочные процедуры (свидетельства)

1. Отчеты от МЭ с фактами выявления признаков вредоносного кода.

2. Скриншоты работы модуля антивирусной защиты (факта выявления зараженного трафика).

Скриншот функции активного модуля антивирусной защиты на уровне используемого МЭ, NGFW (иного средства, например UTM).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗВК.18 (Т-Т-Т)

Входной контроль всех устройств и переносных (отчуждаемых) носителей информации (включая мобильные компьютеры и флеш-накопители) перед их использованием в вычислительных сетях финансовой организации.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Для пояснения

Реализация - Т

Запрет на подключение мобильных устройств к сети финансовой организации. Проверка всех переносных носителей на выделенном автономном АРМ.

Наличие выделенной изолированной подсети с АРМ и установленным автономным САЗ для выполнения предварительного контроля устройств и переносных (отчуждаемых) носителей информации (включая мобильные компьютеры и флеш-накопители).

Входной контроль подключаемых устройств, который реализован непосредственно на АРМ пользователей и администраторов средствами САЗ.

Проверочные процедуры (свидетельства)

1. Свидетельство, что выделена изолированная подсеть и/или автономный АРМ, который используется для проведения проверок МНИ и/или иных носителей информации на наличие вредоносного кода.

2. Свидетельства проверки в САЗ переносных (отчуждаемых) носителей информации (скрин запили с логах факта проверки).

  1. Скрин настройки в САЗ функции предварительной проверки подключаемых устройств.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Поскольку в ГОСТ 57580.1 не определено ни понятие устройства или переносного (отчуждаемого) устройства, ни состав рассматриваемых переносных носителей, нет возможности определить корректно область действия требования и обеспечить полное выполнение. Для ряда устройств (например, планшетов под управлением iOS) это может быть невыполнимо технически.

ЗВК.19 (Н-Т-Т)

Входной контроль устройств и переносных (отчуждаемых) носителей информации перед их использованием в вычислительных сетях финансовой организации, в выделенном сегменте вычислительной сети, с исключением возможности информационного взаимодействия указанного сегмента и иных сегментов вычислительных сетей финансовой организации (кроме управляющего информационного взаимодействия по установленным правилам и протоколам).

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Необходимо реализовать входной контроль устройств и переносных (отчуждаемых) носителей информации перед их использованием в локальной сети Организации, в выделенном сегменте вычислительной сети, с исключением возможности информационного взаимодействия указанного сегмента и иных сегментов локальной сети Организации.

Реализация - Т

Запрет на подключение мобильных устройств к сети финансовой организации.

Наличие выделенной изолированной подсети с АРМ и установленным автономным САЗ для выполнения предварительного контроля устройств и переносных (отчуждаемых) носителей информации (включая мобильные компьютеры и флеш-накопители).

Проверочные процедуры (свидетельства)

1. Свидетельство факта выделения изолированной подсети и/или автономного АРМ, которые используются для проведения проверок МНИ и/или иных носителей информации на наличие вредоносного кода.

2. Скрин правил маршрутизации такой сети.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Поскольку в ГОСТ 57580.1 не определено ни понятие устройства или переносного (отчуждаемого) устройства, ни состав рассматриваемых переносных носителей, нет возможности определить корректно область действия требования и обеспечить полное выполнение. Для ряда устройств (например, планшетов под управлением iOS) это может быть невыполнимо технически.

ЗВК.20 (Н-О-О)

Выполнение предварительных проверок на отсутствие вредоносного кода устанавливаемого или изменяемого ПО, а также выполнение проверки после установки и (или) изменения ПО.

Уровень защиты информации 3-Н, 2-О, 1-О.

Пояснение

Мера направлена на то, чтобы к установке или обновлению допускалось только ПО, которое прошло проверку антивирусными средствами защиты. Для предварительной проверки устанавливаемого ПО (особенно, если оно было получено не из источников, обеспечивающих целостность или ПО не имеет механизмов контроля целостности устанавливаемого архива) проверку рекомендуется делать в изолированном сегменте. Также такая принудительная изолированная проверка должна обязательно выполняться для ПО сетевых устройств (firmware), ПО BIOS, зашифрованное ПО, и иного ПО, которое при разворачивании в процессе установки не может быть автоматически проверено антивирусными средствами.

Реализация - О

Данная мера должна быть регламентирована в Порядке организации защиты от вредоносного программного обеспечения.

Проверочные процедуры (свидетельства)

Акты проверки на отсутствие вредоносного ПО устанавливаемого или изменяемого ПО, а также журнал антивирусного средства защиты, где зафиксировано выполнение проверки до и/или после установки и/или изменения ПО.

Типичные недостатки

Мера выглядит архаичной. На всех объектах инфраструктуры (серверах, рабочих станциях, банкоматах, платежных терминалах, в виртуальной инфраструктуре) должны быть установлены антивирусные средства в режиме сервиса и непрерывной проверки каждого копируемого файла, нет необходимости в выделенной организационной проверке. Однако есть ПО которое может не пройти такую проверку (ПО сетевых устройств (firmware), ПО BIOS, зашифрованное ПО и пр.), либо средства антивирусной защиты могут не работать в режиме непрерывного сканирования каждого копируемого файла.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ЗВК.21 (О-Т-Т)

Запрет неконтролируемого открытия самораспаковывающихся архивов и исполняемых файлов, полученных из сети Интернет.

Уровень защиты информации 3-О, 2-Т, 1-Т.

Пояснение

Мера подразумевает запрет на скачивание исполняемых файлов (веб-контроль для скачиваемых файлов, файловый контроль для всех файлов).

Исполняемый файл — набор инструкций, который заставляет компьютер выполнить определённую задачу.

САЗ – средство антивирусной защиты.

Реализация - О

Для выполнения меры во внутренних документах, определяющих процессы защиты от вредоносного кода, указывается запрет открытия самораспаковывающихся архивов и исполняемых файлов, полученных из сети Интернет. В качестве реализации организационными способами можно рассматривать обучение персонала запрету скачивания архивов из недоверенных источников или (в случае скачивание) необходимости передачи архивов без их распаковки работнику подразделения информационной безопасности на проверку.

Реализация - Т

Использование ПО или настроек САЗ, браузеров, почтовых приложений, AD и GPO для запрета неконтролируемого открытия самораспаковывающихся архивов и исполняемых файлов. Использование песочницы для проверки самораспаковываемых архивов перед запуском их на рабочем устройстве. Возможна реализация с использованием:

· Kaspersky Endpoint Security;

· Dr.Web;

· Windows Defender;

· Check Point Endpoint Security;

· Symantec Endpoint Protection 14 и т.д.

Примеры исполняемых файлов для различных OC:

Список расширения файлов для запрета запуска на примере KES:

Проверочные процедуры (свидетельства) - Т

1. Скриншот из браузера настройки запрета автоматической распаковки архивов;

2. Скриншот из почтовых приложений настройки запрета автоматической распаковки архивов;

3. Скриншот из меню конфигурации агента САЗ настроенной функции запрета самораспаковывающихся архивов в политиках программы;

4. Скриншот уведомлений САЗ о блокировке открытия самораспаковывающихся архивов (RAR) и исполняемых файлов (VBScript);

5. Скриншот настройка запрета политики запуска скриптов (Execution Policy) PowerShell.

Проверочные процедуры (свидетельства) - О

Внутренние документы, содержащие запрет неконтролируемого открытия самораспаковывающихся архивов и исполняемых файлов, полученных из сети Интернет, порядок действий при скачивании архивов из сети Интернет.

Беседа с работниками организации, демонстрация действий работниками при получении архива из сети Интернет.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Выполнение меры рекомендуется выполнять техническим способом, настройкой на почтовых серверах запрета неконтролируемого открытия самораспаковывающихся архивов и исполняемых файлов, полученных из сети Интернет.

PreviousЗВК 1-7NextЗВК 22-28

Last updated 10 months ago

LogoСписок расширений исполняемых файловCTS - компьютерный сервис
LogoПриложение 8. Поддерживаемые расширения файлов для Запрета запуска объектов