Календарь мероприятий
декабрь 2023
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| | | | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | |
показать все 
Новости партнеров
Ассоциация «Цифровой транспорт и логистика» предлагает выпустить серию почтовых марок о беспилотном транспорте
Читать далее 
X Международный конгресс SMART RUSSIA
Читать далее 
В Москве наградили победителей Международного хакатона по искусственному интеллекту
Читать далее 
Названы лучшие сайты и приложения по версии Рейтинга Рунета-2023
Читать далее 
показать все 
Статьи
Как вы оцениваете развитие инфраструктурного ПО в России?
Читать далее 
Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась
Читать далее 
Сладкая жизнь
Читать далее 
12 бизнес-концепций, которыми должны овладеть ИТ-руководители
Читать далее 
Проще, чем кажется. Эталонная модель документооборота или краткое руководство по цифровой трансформации
Читать далее 
Какие hard skills вам нужны?
Читать далее 
Какие hard skills вам нужны?
Читать далее 
Как изменится ИТ-мир через 35 лет?
Читать далее 
Тотальный контроль или разумная опека?
Читать далее 
Property technologies: тренды и инновации
Читать далее 
показать все 
|
На уровне стандарта. Каковы требования к антивирусным продуктам?
Главная /
Архив номеров / 2010 / Выпуск №1 (1) / На уровне стандарта. Каковы требования к антивирусным продуктам?
Рубрика:
Процедуры и стандарты
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Валерий Ледовской, эксперт, аналитик компании «Доктор Веб» по вирусной обстановке
На уровне стандарта Каковы требования к антивирусным продуктам?
Банковская сфера – одна из немногих, если не единственная, жестко регламентируемая область деятельности.
В частности, системы информационной безопасности банков должны соответствовать требованиям стандарта Банка России СТО БР ИББС-1.0-2010, федерального закона «О защите персональных данных» и другим стандартам, описывающим требования в области безопасности (например, ГОСТ Р ИСО/МЭК 13569).
Жестко регламентируется работа с пластиковыми картами. Процедуры обслуживания, по возможности, должны соответствовать требованиям стандартов ITIL.
Реализация всех необходимых требований приводит к созданию многоуровневой системы безопасности, включающей регламентируемые процедуры, обучение пользователей, закупку и настройку соответствующего стандартам программного обеспечения. Не следует также забывать, что банковские сети в отличие от сетей подавляющего большинства предприятий и организаций – это разветвленный набор подсетей, действующих подчас по всей России и за ее пределами и включающих в себя, кроме обычных рабочих станций и серверов, многочисленные встроенные устройства, в том числе банкоматы.
К сожалению, рассмотреть все аспекты создания сети, соответствующей требованиям действующих стандартов, в рамках одной статьи невозможно. Поэтому остановимся на требованиях стандарта (а точнее, группы стандартов) Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», введенного в действие в июне 2010 года.
Существует три редакции этого стандарта. Сегодня он:
- определяет терминологию и основные модели угроз и задачи организаций по их выявлению;
- перечисляет основные типы подлежащих защите объектов, прав доступа и соответствующих им ролей персонала;
- дает рекомендации по конфигурации сети;
- определяет требования к антивирусной защите и политике использования ресурсов Интернета на различных этапах жизненного цикла сети.
Что касается программного обеспечения, то согласно требованиям стандарта должна быть обеспечена защита от:
- умышленного либо неумышленного раскрытия, модификации или уничтожения защищаемых данных. Это подразумевает необходимость использования средств ограничения доступа к различным ресурсам – офисного контроля;
- установки средств защиты кем-либо, кроме администратора, несанкционированного внесения изменений в порядок функционирования системы защиты, изменения ее возможностей. Данное требование приводит к необходимости разграничения прав доступа к настройкам системы, защите ее от несанкционированного воздействия. Это подразумевает использование в локальной сети только тех программных продуктов, которые поддерживают ролевой принцип доступа, а также применение уже упомянутых функций офисного контроля.
Антивирусная защита должна быть эшелонированной, а средства безопасности – устанавливаться как на рабочие станции, так и на серверы.
В организации, соответствующей требованиям стандарта, почта обязательно должна быть защищена. Вместе с защитой от вирусов и спама это подразумевает установку средств антивирусной фильтрации почтовых сообщений. В связи с тем, что в соответствии со стандартом все серверы (в том числе и почтовые) не должны иметь непосредственного выхода в Интернет, система антивирусной защиты может быть разделена на две части:
- антивирусный шлюз, имеющий выход в Интернет или вынесенный в демилитаризованную зону;
- почтовый сервис.
Такая конфигурация позволяет снизить нагрузку на сервер благодаря возможности отсечения потока спама до его поступления внутрь сети.
Дополнительное требование к почтовому сервису – обеспечение архивации всех почтовых сообщений. Архивировать сообщения можно с помощью сервиса антивирусной защиты (в случае поддержки им данного функционала) или специализированного ПО.
В свою очередь доступ в Интернет в банках должен использоваться только в рабочих целях. Это подразумевает применение как средств офисного контроля – для ограничения списка доступных ресурсов глобальной сети, так и средств проверки трафика – для предотвращения проникновения вирусов с доступных, но взломанных ресурсов. Дополнительным требованием является наличие системы защиты от хакеров, то есть как минимум качественного брандмауэра.
Все используемые в организации средства защиты должны быть лицензионными.
Суммируя вышеперечисленное, можно утверждать, что антивирусный продукт для банковской сферы должен отвечать следующим требованиям:
- Возможность обеспечения централизованной защиты сети.
- Поддержка ролей с различным уровнем доступных прав – как администраторов, так и обычных пользователей.
- Возможность защиты всех узлов сети – рабочих станций и серверов вне зависимости от используемой на них операционной системы. В стандарте не оговариваются требования к защите внешних и встроенных систем, в том числе банкоматов. Однако логично, что в случае использования на них операционных систем, для которых существуют вирусы, они тоже должны быть защищены от возможных угроз.
- Наличие не только функции защиты от вирусов, но и системы защиты от спама, офисного контроля, брандмауэра, системы контроля трафика.
- По возможности должна быть доступна функция архивации почтовых сообщений.
- Возможность обеспечения антивирусной защиты в локальной сети, не имеющей прямого доступа в Интернет, в том числе получения и распространения обновлений в такой сети, вынесения ряда сервисов в демилитаризованную зону.
В стандарте не оговариваются проблемы защиты филиалов. Но, поскольку они важны, кратко остановимся и на них. Основные проблемы в данном случае связаны с уровнем квалификации персонала, который должен поддерживать функционирование сети, и качеством каналов связи.
Поэтому требования к продукту должны дополнительно включать:
- возможности работы при использовании медленных каналов связи, ограничения полосы пропускания на данных каналах и назначения расписания обновлений на время минимальной загрузки канала;
- возможность поставки продукта производителем в предустановленном виде как программно-аппаратного комплекса, готового к работе, – это значительно упрощает развертывание антивирусной сети.
Положения стандарта СТО БР ИББС-1.0-2010 развивают и уточняют:
- СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит ИБ».
- СТО БР ИББС-1.2-2010 «Обеспечение ИБ организаций банковской системы РФ. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 «Обеспечение ИБ организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения ИБ».
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы РФ. Методические рекомендации по документации в области обеспечения ИБ».
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения ИБ».
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.3-2010 «Обеспечение ИБ организаций банковской системы РФ. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы РФ».
- Рекомендации в области стандартизации Банка России РС БР ИББС-2.4-2010 «Обеспечение ИБ организаций банковской системы РФ. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах ПД организаций банков банковской системы РФ».
Исполнение положений данных стандартов носит рекомендательный характер, и в соответствии с текстом их исполнение или неисполнение остается на усмотрении кредитных организаций. Однако де-факто именно на основании этих стандартов проводится аттестация подразделений банков.
В общем случае процедура приведения системы информационной безопасности в соответствие требованиям стандарта Банка России включает:
- выявление несоответствий требованиям стандарта, а также определение порядка действий по приведению системы информационной безопасности в соответствие с требованиями;
- разработку требуемой нормативной документации, закупку и настройку необходимых технических решений, обучение персонала;
- введение в практику необходимых управленческих процедур;
- проведение итоговой оценки и, при необходимости, повторение процедуры.
В результате выполнения данной процедуры в компании будет создана работающая эффективная и надежная система информационной безопасности, включающая как технические средства, так и алгоритмы действий в тех или иных случаях.
- http://www.abiss.ru/doc.
В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Вакансии на сайте Jooble


|