На уровне стандарта. Каковы требования к антивирусным продуктам?::Журнал СА 10.2010
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6227
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6933
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4217
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3006
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3807
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3822
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6316
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3171
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3461
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7278
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10647
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12366
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14000
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9125
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7079
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5389
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4617
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3428
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3155
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3402
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3027
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 На уровне стандарта. Каковы требования к антивирусным продуктам?

Архив номеров / 2010 / Выпуск №10 (95) / На уровне стандарта. Каковы требования к антивирусным продуктам?

Рубрика: БИТ. Бизнес & Информационные технологии /  Процедуры и стандарты

Валерий Ледовской ВАЛЕРИЙ ЛЕДОВСКОЙ, эксперт, аналитик компании «Доктор Веб» по вирусной обстановке

На уровне стандарта
Каковы требования к антивирусным продуктам?

Банковская сфера – одна из немногих, если не единственная, жестко регламентируемая область деятельности

В частности, системы информационной безопасности банков должны соответствовать требованиям стандарта Банка России СТО БР ИББС-1.0-2010, федерального закона «О защите персональных данных» и другим стандартам, описывающим требования в области безопасности (например, ГОСТ Р ИСО/МЭК 13569).

Жестко регламентируется работа с пластиковыми картами. Процедуры обслуживания, по возможности, должны соответствовать требованиям стандартов ITIL.

Реализация всех необходимых требований приводит к созданию многоуровневой системы безопасности, включающей регламентируемые процедуры, обучение пользователей, закупку и настройку соответствующего стандартам программного обеспечения. Не следует также забывать, что банковские сети в отличие от сетей подавляющего большинства предприятий и организаций – это разветвленный набор подсетей, действующих подчас по всей России и за ее пределами и включающих в себя, кроме обычных рабочих станций и серверов, многочисленные встроенные устройства, в том числе банкоматы.

К сожалению, рассмотреть все аспекты создания сети, соответствующей требованиям действующих стандартов, в рамках одной статьи невозможно. Поэтому остановимся на требованиях стандарта (а точнее, группы стандартов) Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», введенного в действие в июне 2010 года.

Существует три редакции этого стандарта. Сегодня он:

  • определяет терминологию и основные модели угроз и задачи организаций по их выявлению;
  • перечисляет основные типы подлежащих защите объектов, прав доступа и соответствующих им ролей персонала;
  • дает рекомендации по конфигурации сети;
  • определяет требования к антивирусной защите и политике использования ресурсов Интернета на различных этапах жизненного цикла сети.

Что касается программного обеспечения, то согласно требованиям стандарта должна быть обеспечена защита от:

  • умышленного либо неумышленного раскрытия, модификации или уничтожения защищаемых данных. Это подразумевает необходимость использования средств ограничения доступа к различным ресурсам – офисного контроля;
  • установки средств защиты кем-либо, кроме администратора, несанкционированного внесения изменений в порядок функционирования системы защиты, изменения ее возможностей. Данное требование приводит к необходимости разграничения прав доступа к настройкам системы, защите ее от несанкционированного воздействия. Это подразумевает использование в локальной сети только тех программных продуктов, которые поддерживают ролевой принцип доступа, а также применение уже упомянутых функций офисного контроля.

Антивирусная защита должна быть эшелонированной, а средства безопасности – устанавливаться как на рабочие станции, так и на серверы.

В организации, соответствующей требованиям стандарта, почта обязательно должна быть защищена. Вместе с защитой от вирусов и спама это подразумевает установку средств антивирусной фильтрации почтовых сообщений. В связи с тем, что в соответствии со стандартом все серверы (в том числе и почтовые) не должны иметь непосредственного выхода в Интернет, система антивирусной защиты может быть разделена на две части:

  • антивирусный шлюз, имеющий выход в Интернет или вынесенный в демилитаризованную зону;
  • почтовый сервис.

Такая конфигурация позволяет снизить нагрузку на сервер благодаря возможности отсечения потока спама до его поступления внутрь сети.

Дополнительное требование к почтовому сервису – обеспечение архивации всех почтовых сообщений. Архивировать сообщения можно с помощью сервиса антивирусной защиты (в случае поддержки им данного функционала) или специализированного ПО.

В свою очередь доступ в Интернет в банках должен использоваться только в рабочих целях. Это подразумевает применение как средств офисного контроля – для ограничения списка доступных ресурсов глобальной сети, так и средств проверки трафика – для предотвращения проникновения вирусов с доступных, но взломанных ресурсов. Дополнительным требованием является наличие системы защиты от хакеров, то есть как минимум качественного брандмауэра.

Все используемые в организации средства защиты должны быть лицензионными.

Суммируя вышеперечисленное, можно утверждать, что антивирусный продукт для банковской сферы должен отвечать следующим требованиям:

  • Возможность обеспечения централизованной защиты сети.
  • Поддержка ролей с различным уровнем доступных прав – как администраторов, так и обычных пользователей.
  • Возможность защиты всех узлов сети – рабочих станций и серверов вне зависимости от используемой на них операционной системы. В стандарте не оговариваются требования к защите внешних и встроенных систем, в том числе банкоматов. Однако логично, что в случае использования на них операционных систем, для которых существуют вирусы, они тоже должны быть защищены от возможных угроз.
  • Наличие не только функции защиты от вирусов, но и системы защиты от спама, офисного контроля, брандмауэра, системы контроля трафика.
  • По возможности должна быть доступна функция архивации почтовых сообщений.
  • Возможность обеспечения антивирусной защиты в локальной сети, не имеющей прямого доступа в Интернет, в том числе получения и распространения обновлений в такой сети, вынесения ряда сервисов в демилитаризованную зону.

В стандарте не оговариваются проблемы защиты филиалов. Но, поскольку они важны, кратко остановимся и на них. Основные проблемы в данном случае связаны с уровнем квалификации персонала, который должен поддерживать функционирование сети, и качеством каналов связи.

Поэтому требования к продукту должны дополнительно включать:

  • возможности работы при использовании медленных каналов связи, ограничения полосы пропускания на данных каналах и назначения расписания обновлений на время минимальной загрузки канала;
  • возможность поставки продукта производителем в предустановленном виде как программно-аппаратного комплекса, готового к работе, – это значительно упрощает развертывание антивирусной сети.

Положения стандарта СТО БР ИББС-1.0-2010 развивают и уточняют:

  • СТО БР ИББС-1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит ИБ».
  • СТО БР ИББС-1.2-2010 «Обеспечение ИБ организаций банковской системы РФ. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0».
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.0-2007 «Обеспечение ИБ организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения ИБ».
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.1-2007 «Обеспечение информационной безопасности организаций банковской системы РФ. Методические рекомендации по документации в области обеспечения ИБ».
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения ИБ».
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.3-2010 «Обеспечение ИБ организаций банковской системы РФ. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы РФ».
  • Рекомендации в области стандартизации Банка России РС БР ИББС-2.4-2010 «Обеспечение ИБ организаций банковской системы РФ. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах ПД организаций банков банковской системы РФ».

Исполнение положений данных стандартов носит рекомендательный характер, и в соответствии с текстом их исполнение или неисполнение остается на усмотрении кредитных организаций. Однако де-факто именно на основании этих стандартов проводится аттестация подразделений банков.

В общем случае процедура приведения системы информационной безопасности в соответствие требованиям стандарта Банка России включает:

  • выявление несоответствий требованиям стандарта, а также определение порядка действий по приведению системы информационной безопасности в соответствие с требованиями;
  • разработку требуемой нормативной документации, закупку и настройку необходимых технических решений, обучение персонала;
  • введение в практику необходимых управленческих процедур;
  • проведение итоговой оценки и, при необходимости, повторение процедуры.

В результате выполнения данной процедуры в компании будет создана работающая эффективная и надежная система информационной безопасности, включающая как технические средства, так и алгоритмы действий в тех или иных случаях.

  1. http://www.abiss.ru/doc.

Комментарии
 
  10.03.2011 - 06:34 |  Надежда

Огромное спасибо за то, что часто радуете нас интересными материалами. На этом сайте всегда нахожу что-то интересное для себя. Надеюсь, что будете его развивать дальше. Желаю успехов в этом нелегком деле.

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru