На уровне стандарта. Каковы требования к антивирусным продуктам?::Журнал СА 10.2010

Валерий Ледовской ВАЛЕРИЙ ЛЕДОВСКОЙ, эксперт, аналитик компании «Доктор Веб» по вирусной обстановке

На уровне стандарта
Каковы требования к антивирусным продуктам?

Банковская сфера – одна из немногих, если не единственная, жестко регламентируемая область деятельности

В частности, системы информационной безопасности банков должны соответствовать требованиям стандарта Банка России СТО БР ИББС-1.0-2010, федерального закона «О защите персональных данных» и другим стандартам, описывающим требования в области безопасности (например, ГОСТ Р ИСО/МЭК 13569).

Жестко регламентируется работа с пластиковыми картами. Процедуры обслуживания, по возможности, должны соответствовать требованиям стандартов ITIL.

Реализация всех необходимых требований приводит к созданию многоуровневой системы безопасности, включающей регламентируемые процедуры, обучение пользователей, закупку и настройку соответствующего стандартам программного обеспечения. Не следует также забывать, что банковские сети в отличие от сетей подавляющего большинства предприятий и организаций – это разветвленный набор подсетей, действующих подчас по всей России и за ее пределами и включающих в себя, кроме обычных рабочих станций и серверов, многочисленные встроенные устройства, в том числе банкоматы.

К сожалению, рассмотреть все аспекты создания сети, соответствующей требованиям действующих стандартов, в рамках одной статьи невозможно. Поэтому остановимся на требованиях стандарта (а точнее, группы стандартов) Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», введенного в действие в июне 2010 года.

Существует три редакции этого стандарта. Сегодня он:

определяет терминологию и основные модели угроз и задачи организаций по их выявлению;
перечисляет основные типы подлежащих защите объектов, прав доступа и соответствующих им ролей персонала;
дает рекомендации по конфигурации сети;
определяет требования к антивирусной защите и политике использования ресурсов Интернета на различных этапах жизненного цикла сети.

Что касается программного обеспечения, то согласно требованиям стандарта должна быть обеспечена защита от:

умышленного либо неумышленного раскрытия, модификации или уничтожения защищаемых данных. Это подразумевает необходимость использования средств ограничения доступа к различным ресурсам – офисного контроля;
установки средств защиты кем-либо, кроме администратора, несанкционированного внесения изменений в порядок функционирования системы защиты, изменения ее возможностей. Данное требование приводит к необходимости разграничения прав доступа к настройкам системы, защите ее от несанкционированного воздействия. Это подразумевает использование в локальной сети только тех программных продуктов, которые поддерживают ролевой принцип доступа, а также применение уже упомянутых функций офисного контроля.

Антивирусная защита должна быть эшелонированной, а средства безопасности – устанавливаться как на рабочие станции, так и на серверы.

В организации, соответствующей требованиям стандарта, почта обязательно должна быть защищена. Вместе с защитой от вирусов и спама это подразумевает установку средств антивирусной фильтрации почтовых сообщений. В связи с тем, что в соответствии со стандартом все серверы (в том числе и почтовые) не должны иметь непосредственного выхода в Интернет, система антивирусной защиты может быть разделена на две части:

антивирусный шлюз, имеющий выход в Интернет или вынесенный в демилитаризованную зону;
почтовый сервис.

Такая конфигурация позволяет снизить нагрузку на сервер благодаря возможности отсечения потока спама до его поступления внутрь сети.

Дополнительное требование к почтовому сервису – обеспечение архивации всех почтовых сообщений. Архивировать сообщения можно с помощью сервиса антивирусной защиты (в случае поддержки им данного функционала) или специализированного ПО.

В свою очередь доступ в Интернет в банках должен использоваться только в рабочих целях. Это подразумевает применение как средств офисного контроля – для ограничения списка доступных ресурсов глобальной сети, так и средств проверки трафика – для предотвращения проникновения вирусов с доступных, но взломанных ресурсов. Дополнительным требованием является наличие системы защиты от хакеров, то есть как минимум качественного брандмауэра.

Все используемые в организации средства защиты должны быть лицензионными.

Суммируя вышеперечисленное, можно утверждать, что антивирусный продукт для банковской сферы должен отвечать следующим требованиям:

Возможность обеспечения централизованной защиты сети.
Поддержка ролей с различным уровнем доступных прав – как администраторов, так и обычных пользователей.
Возможность защиты всех узлов сети – рабочих станций и серверов вне зависимости от используемой на них операционной системы. В стандарте не оговариваются требования к защите внешних и встроенных систем, в том числе банкоматов. Однако логично, что в случае использования на них операционных систем, для которых существуют вирусы, они тоже должны быть защищены от возможных угроз.
Наличие не только функции защиты от вирусов, но и системы защиты от спама, офисного контроля, брандмауэра, системы контроля трафика.
По возможности должна быть доступна функция архивации почтовых сообщений.
Возможность обеспечения антивирусной защиты в локальной сети, не имеющей прямого доступа в Интернет, в том числе получения и распространения обновлений в такой сети, вынесения ряда сервисов в демилитаризованную зону.

В стандарте не оговариваются проблемы защиты филиалов. Но, поскольку они важны, кратко остановимся и на них. Основные проблемы в данном случае связаны с уровнем квалификации персонала, который должен поддерживать функционирование сети, и качеством каналов связи.

Поэтому требования к продукту должны дополнительно включать:

возможности работы при использовании медленных каналов связи, ограничения полосы пропускания на данных каналах и назначения расписания обновлений на время минимальной загрузки канала;
возможность поставки продукта производителем в предустановленном виде как программно-аппаратного комплекса, готового к работе, – это значительно упрощает развертывание антивирусной сети.

Положения стандарта СТО БР ИББС-1.0-2010 развивают и уточняют:

СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит ИБ».
СТО БР ИББС-1.2-2010 «Обеспечение ИБ организаций банковской системы РФ. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 «Обеспечение ИБ организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения ИБ».
Рекомендации в области стандартизации Банка России РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы РФ. Методические рекомендации по документации в области обеспечения ИБ».
Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения ИБ».
Рекомендации в области стандартизации Банка России РС БР ИББС-2.3-2010 «Обеспечение ИБ организаций банковской системы РФ. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы РФ».
Рекомендации в области стандартизации Банка России РС БР ИББС-2.4-2010 «Обеспечение ИБ организаций банковской системы РФ. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах ПД организаций банков банковской системы РФ».

Исполнение положений данных стандартов носит рекомендательный характер, и в соответствии с текстом их исполнение или неисполнение остается на усмотрении кредитных организаций. Однако де-факто именно на основании этих стандартов проводится аттестация подразделений банков.

В общем случае процедура приведения системы информационной безопасности в соответствие требованиям стандарта Банка России включает:

выявление несоответствий требованиям стандарта, а также определение порядка действий по приведению системы информационной безопасности в соответствие с требованиями;
разработку требуемой нормативной документации, закупку и настройку необходимых технических решений, обучение персонала;
введение в практику необходимых управленческих процедур;
проведение итоговой оценки и, при необходимости, повторение процедуры.

В результате выполнения данной процедуры в компании будет создана работающая эффективная и надежная система информационной безопасности, включающая как технические средства, так и алгоритмы действий в тех или иных случаях.

http://www.abiss.ru/doc.