На уровне стандарта. Каковы требования к антивирусным продуктам?::БИТ 01.2010
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
май    2024
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

27.04.2024

RAMAX Group рассказала на Smart Mining & Metals об особенностях пилотирования ML-проектов

Читать далее 

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

Читать далее 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

показать все 

Статьи

19.05.2024

«Лишние люди» в бизнесе

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

показать все 

На уровне стандарта. Каковы требования к антивирусным продуктам?

Главная / Архив номеров / 2010 / Выпуск №1 (1) / На уровне стандарта. Каковы требования к антивирусным продуктам?

Рубрика: Процедуры и стандарты


 Валерий Ледовскойэксперт, аналитик компании «Доктор Веб» по вирусной обстановке

На уровне стандарта
Каковы требования к антивирусным продуктам?

Банковская сфера – одна из немногих, если не единственная, жестко регламентируемая область деятельности.

В частности, системы информационной безопасности банков должны соответствовать требованиям стандарта Банка России СТО БР ИББС-1.0-2010, федерального закона «О защите персональных данных» и другим стандартам, описывающим требования в области безопасности (например, ГОСТ Р ИСО/МЭК 13569).

Жестко регламентируется работа с пластиковыми картами. Процедуры обслуживания, по возможности, должны соответствовать требованиям стандартов ITIL.

Реализация всех необходимых требований приводит к созданию многоуровневой системы безопасности, включающей регламентируемые процедуры, обучение пользователей, закупку и настройку соответствующего стандартам программного обеспечения. Не следует также забывать, что банковские сети в отличие от сетей подавляющего большинства предприятий и организаций – это разветвленный набор подсетей, действующих подчас по всей России и за ее пределами и включающих в себя, кроме обычных рабочих станций и серверов, многочисленные встроенные устройства, в том числе банкоматы.

К сожалению, рассмотреть все аспекты создания сети, соответствующей требованиям действующих стандартов, в рамках одной статьи невозможно. Поэтому остановимся на требованиях стандарта (а точнее, группы стандартов) Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», введенного в действие в июне 2010 года.

Существует три редакции этого стандарта. Сегодня он:

  • определяет терминологию и основные модели угроз и задачи организаций по их выявлению;
  • перечисляет основные типы подлежащих защите объектов, прав доступа и соответствующих им ролей персонала;
  • дает рекомендации по конфигурации сети;
  • определяет требования к антивирусной защите и политике использования ресурсов Интернета на различных этапах жизненного цикла сети.

Что касается программного обеспечения, то согласно требованиям стандарта должна быть обеспечена защита от:

  • умышленного либо неумышленного раскрытия, модификации или уничтожения защищаемых данных. Это подразумевает необходимость использования средств ограничения доступа к различным ресурсам – офисного контроля;
  • установки средств защиты кем-либо, кроме администратора, несанкционированного внесения изменений в порядок функционирования системы защиты, изменения ее возможностей. Данное требование приводит к необходимости разграничения прав доступа к настройкам системы, защите ее от несанкционированного воздействия. Это подразумевает использование в локальной сети только тех программных продуктов, которые поддерживают ролевой принцип доступа, а также применение уже упомянутых функций офисного контроля.

Антивирусная защита должна быть эшелонированной, а средства безопасности – устанавливаться как на рабочие станции, так и на серверы.

В организации, соответствующей требованиям стандарта, почта обязательно должна быть защищена. Вместе с защитой от вирусов и спама это подразумевает установку средств антивирусной фильтрации почтовых сообщений. В связи с тем, что в соответствии со стандартом все серверы (в том числе и почтовые) не должны иметь непосредственного выхода в Интернет, система антивирусной защиты может быть разделена на две части:

  • антивирусный шлюз, имеющий выход в Интернет или вынесенный в демилитаризованную зону;
  • почтовый сервис.

Такая конфигурация позволяет снизить нагрузку на сервер благодаря возможности отсечения потока спама до его поступления внутрь сети.

Дополнительное требование к почтовому сервису – обеспечение архивации всех почтовых сообщений. Архивировать сообщения можно с помощью сервиса антивирусной защиты (в случае поддержки им данного функционала) или специализированного ПО.

В свою очередь доступ в Интернет в банках должен использоваться только в рабочих целях. Это подразумевает применение как средств офисного контроля – для ограничения списка доступных ресурсов глобальной сети, так и средств проверки трафика – для предотвращения проникновения вирусов с доступных, но взломанных ресурсов. Дополнительным требованием является наличие системы защиты от хакеров, то есть как минимум качественного брандмауэра.

Все используемые в организации средства защиты должны быть лицензионными.

Суммируя вышеперечисленное, можно утверждать, что антивирусный продукт для банковской сферы должен отвечать следующим требованиям:

  • Возможность обеспечения централизованной защиты сети.
  • Поддержка ролей с различным уровнем доступных прав – как администраторов, так и обычных пользователей.
  • Возможность защиты всех узлов сети – рабочих станций и серверов вне зависимости от используемой на них операционной системы. В стандарте не оговариваются требования к защите внешних и встроенных систем, в том числе банкоматов. Однако логично, что в случае использования на них операционных систем, для которых существуют вирусы, они тоже должны быть защищены от возможных угроз.
  • Наличие не только функции защиты от вирусов, но и системы защиты от спама, офисного контроля, брандмауэра, системы контроля трафика.
  • По возможности должна быть доступна функция архивации почтовых сообщений.
  • Возможность обеспечения антивирусной защиты в локальной сети, не имеющей прямого доступа в Интернет, в том числе получения и распространения обновлений в такой сети, вынесения ряда сервисов в демилитаризованную зону.

В стандарте не оговариваются проблемы защиты филиалов. Но, поскольку они важны, кратко остановимся и на них. Основные проблемы в данном случае связаны с уровнем квалификации персонала, который должен поддерживать функционирование сети, и качеством каналов связи.

Поэтому требования к продукту должны дополнительно включать:

  • возможности работы при использовании медленных каналов связи, ограничения полосы пропускания на данных каналах и назначения расписания обновлений на время минимальной загрузки канала;
  • возможность поставки продукта производителем в предустановленном виде как программно-аппаратного комплекса, готового к работе, – это значительно упрощает развертывание антивирусной сети.

Положения стандарта СТО БР ИББС-1.0-2010 развивают и уточняют:

  • СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит ИБ».
  • СТО БР ИББС-1.2-2010 «Обеспечение ИБ организаций банковской системы РФ. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 «Обеспечение ИБ организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения ИБ».
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы РФ. Методические рекомендации по документации в области обеспечения ИБ».
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения ИБ».
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.3-2010 «Обеспечение ИБ организаций банковской системы РФ. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы РФ».
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.4-2010 «Обеспечение ИБ организаций банковской системы РФ. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах ПД организаций банков банковской системы РФ».

Исполнение положений данных стандартов носит рекомендательный характер, и в соответствии с текстом их исполнение или неисполнение остается на усмотрении кредитных организаций. Однако де-факто именно на основании этих стандартов проводится аттестация подразделений банков.

В общем случае процедура приведения системы информационной безопасности в соответствие требованиям стандарта Банка России включает:

  • выявление несоответствий требованиям стандарта, а также определение порядка действий по приведению системы информационной безопасности в соответствие с требованиями;
  • разработку требуемой нормативной документации, закупку и настройку необходимых технических решений, обучение персонала;
  • введение в практику необходимых управленческих процедур;
  • проведение итоговой оценки и, при необходимости, повторение процедуры.

В результате выполнения данной процедуры в компании будет создана работающая эффективная и надежная система информационной безопасности, включающая как технические средства, так и алгоритмы действий в тех или иных случаях.

  1. http://www.abiss.ru/doc.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №03 (136) 2024г.
Выпуск №03 (136) 2024г. Выпуск №02 (135) 2024г. Выпуск №01 (134) 2024г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика