Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Централизация системы антивирусной защиты (АВЗ)

В защитной мере следует отразить базовые политики и конфигурацию централизованной АВЗ.
АВЗ следует зарегистрировать в качестве Актива и указать в данной защитной мере в качестве инструмента.
Повторяющиеся задачи связанные с проверкой работоспособности, обновлением, контролем установки агентов АВЗ следует вынести в отдельные регулярные защитные меры.
Инструкции по обслуживанию и устранению неисправностей следует вынести в карточку Актива или регулярные защитные меры.

Пример описания конфигурации:
  1. Область распространения агентов АВЗ: Все ПК и Серверы корпоративного домена Windows;
  2. Включенные модули: 
    1. защита в реальном времени, 
    2. сканирование по расписанию, 
    3. защита электронной почты, 
    4. защита web страниц, 
    5. защита от фишинга.
  3. Механизм установки: автоматически средствами Центра управления АВЗ;
  4. Автоматическое сканирование подключаемых съемных носителей: включено;
  5. Периодичность регулярного сканирования всех дисков: раз в неделю;
  6. Уведомление пользователя об обнаружении ВПО: включено;
  7. Сбор событий с агентов в Центр управления: включен;
  8. Срок хранения событий безопасности в Центре управления: 6 месяцев.
Классификация
Тип
Превентивная ? Превентивные (превентативные) меры Эти меры направлены на предотвращение совершения злонамеренных действий, блокируя или останавливая кого-либо или что-либо. Примеры: Межсетевые экраны; Системы...
Техническая ? Технические (логические) меры Технологические решения и меры, реализуемые в организации для снижения вероятности реализации рисков безопасности и их воздействия на организацию. Внутри орган...
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено

Исполнение требований

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.28 ? Косвенная связь
ЖЦ.28 Реализация контроля уничтожения защищаемой информации в случаях, когда указанная информация больше не используется, в том числе содержащейся в архивах, с применением мер ПУИ.23-ПУИ.26
ЖЦ.9 ? Косвенная связь
ЖЦ.9 Контроль (тестирование) полноты реализации мер системы защиты информации АС (функционально-технических требований к системе защиты информации АС)
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 5 п.п. 2 ? Косвенная связь
7.5.2. Рекомендуется организовать функционирование постоянной антивирусной защиты в автоматическом режиме и автоматический режим установки обновлений антивирусного программного обеспечения и его баз данных.
Р. 7 п. 5 п.п. 9 ? Косвенная связь
7.5.9. Должны быть определены, выполняться и регистрироваться процедуры контроля за отключением и обновлением антивирусных средств на всех технических средствах АБС.
Р. 7 п. 5 п.п. 1 ? Косвенная связь
7.5.1. На всех автоматизированных рабочих местах и серверах АБС организации БС РФ должны применяться средства антивирусной защиты, если иное не предусмотрено реализацией технологического процесса.
В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры установки и регулярного обновления средств антивирусной защиты (версий и баз данных) на автоматизированных рабочих местах и серверах АБС.
Р. 7 п. 5 п.п. 5 ? Косвенная связь
7.5.5. В организации БС РФ должна быть организована антивирусная фильтрация всего трафика электронного почтового обмена.
Р. 7 п. 5 п.п. 6 ? Косвенная связь
7.5.6. В организации БС РФ должна быть организована эшелонированная централизованная система антивирусной защиты, предусматривающая использование средств антивирусной защиты различных производителей на:
  • рабочих станциях;
  • серверном оборудовании, в том числе серверах электронной почты;
  • технических средствах межсетевого экранирования.
CIS Critical Security Controls v8 (The 18 CIS CSC):
10.4 ? Косвенная связь
10.4 Configure Automatic Anti-Malware Scanning of Removable Media 
Configure anti-malware software to automatically scan removable media 
10.6 ? Косвенная связь
10.6 Centrally Manage Anti-Malware Software
Centrally manage anti-malware software 
10.2 ? Косвенная связь
10.2 Configure Automatic Anti-Malware Signature Updates
Configure automatic updates for anti-malware signature files on all enterprise assets. 
10.3  ? Косвенная связь
10.3 Disable Autorun and Autoplay for Removable Media
Disable autorun and autoplay auto-execute functionality for removable media. 
10.5 ? Косвенная связь
10.5 Enable Anti-Exploitation Features
Enable anti-exploitation features on enterprise assets and software, where possible, such as Microsoft® Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG), or Apple® System Integrity Protection (SIP) and Gatekeeper™. 
9.7 ? Косвенная связь
9.7 Deploy and Maintain Email Server Anti-Malware Protections 
Deploy and maintain email server anti-malware protections, such as attachment scanning and/or sandboxing. 
2.4 ? Косвенная связь
2.4 Utilize Automated Software Inventory Tools
Utilize software inventory tools, when possible, throughout the enterprise to automate the discovery and documentation of installed software. 
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЗВК.6 ? Косвенная связь
ЗВК.6 Реализация защиты от вредоносного кода на уровне входного контроля устройств и переносных (отчуждаемых) носителей информации
ЗВК.1 ? Косвенная связь
ЗВК.1 Реализация защиты от вредоносного кода на уровне физических АРМ пользователей и эксплуатационного персонала
ЗВК.9 ? Косвенная связь
ЗВК.9 Функционирование средств защиты от вредоносного кода на АРМ пользователей и эксплуатационного персонала в резидентном режиме (в режиме service - для операционной системы Windows, в режиме daemon - для операционной системы Unix), их автоматический запуск при загрузке операционной системы
ЗВК.4 ? Косвенная связь
ЗВК.4 Реализация защиты от вредоносного кода на уровне контроля межсетевого трафика
ЗУД.11 ? Косвенная связь
ЗУД.11 Обеспечение защиты мобильных (переносных) устройств от воздействий вредоносного кода
ЗВК.3 ? Косвенная связь
ЗВК.3 Реализация защиты от вредоносного кода на уровне серверного оборудования
ЗВК.7 ? Косвенная связь
ЗВК.7 Реализация защиты от вредоносного кода на уровне контроля общедоступных объектов доступа (в том числе банкоматов, платежных терминалов)
ЗВК.2 ? Косвенная связь
ЗВК.2 Реализация защиты от вредоносного кода на уровне виртуальной информационной инфраструктуры
ЗВК.16 ? Косвенная связь
ЗВК.16 Выполнение проверок на отсутствие вредоносного кода путем анализа информационных потоков между внутренними вычислительными сетями финансовой организации и сетью Интернет
ЗВК.17 ? Косвенная связь
ЗВК.17 Выполнение проверок на отсутствие вредоносного кода путем анализа информационных потоков между сегментами, предназначенными для размещения общедоступных объектов доступа (в том числе банкоматов, платежных терминалов), и сетью Интернет
ЗВК.8 ? Косвенная связь
ЗВК.8 Функционирование средств защиты от вредоносного кода в постоянном, автоматическом режиме, в том числе в части установки их обновлений и сигнатурных баз данных
ЗВК.12 ? Косвенная связь
ЗВК.12 Выполнение еженедельных операций по проведению проверок на отсутствие вредоносного кода
ЗВК.11 ? Косвенная связь
ЗВК.11 Контроль отключения и своевременного обновления средств защиты от вредоносного кода
ЗВК.5 ? Косвенная связь
ЗВК.5 Реализация защиты от вредоносного кода на уровне контроля почтового трафика
ЗВК.14 ? Косвенная связь
ЗВК.14 Использование средств защиты от вредоносного кода различных производителей, как минимум для уровней: - физические АРМ пользователей и эксплуатационного персонала; - серверное оборудование; - контроль межсетевого трафика
ЗВК.13 ? Косвенная связь
ЗВК.13 Использование средств защиты от вредоносного кода различных производителей, как минимум для уровней: - физические АРМ пользователей и эксплуатационного персонала; - серверное оборудование
NIST Cybersecurity Framework (RU):
DE.CM-4 ? Косвенная связь
DE.CM-4: Обнаруживается вредоносный код 
RS.MI-1 ? Косвенная связь
RS.MI-1: Инциденты локализируются 
PR.DS-6 ? Косвенная связь
PR.DS-6: Механизмы проверки целостности используются для проверки программного обеспечения, встроенного  программного обеспечения и целостности информации. 
PR.AT-1 ? Косвенная связь
PR.AT-1: Все пользователи проинформированы и обучены 
RS.MI-2 ? Косвенная связь
RS.MI-2: Смягчаются последствия от инцидента 
DE.AE-3 ? Косвенная связь
DE.AE-3: Данные о событиях агрегируются и коррелируются из нескольких источников и сенсоров 
DE.CM-7 ? Косвенная связь
DE.CM-7: Выполняется мониторинг неавторизованных персонала, подключений, устройств и программного обеспечения 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре
АВЗ.1 Реализация антивирусной защиты
АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.12.2.1 Меры защиты от вредоносного кода
Средства реализации: В отношении вредоносного кода должны применяться меры по обнаружению, предупреждению и восстановлению с соответствующим информированием пользователей.
A.8.3.1 ? Косвенная связь
A.8.3.1 Управление съемными носителями
Средства реализации: Должны быть внедрены процедуры для управления съемными носителями в соответствии со схемой классификации, принятой в организации.
A.12.4.1 ? Косвенная связь
A.12.4.1 Регистрация событий
Средства реализации: Должен вестись, сохраняться и регулярно анализироваться журналы, содержащие записи активности пользователей, возникновения исключений, сбоев и событий, связанных с информационной безопасностью.
A.8.1.1 ? Косвенная связь
A.8.1.1 Инвентаризация активов
Средства реализации: Информация, другие активы, связанные с информацией и устройствами обработки информации, должны быть выявлены и составлен реестр этих активов, который должен поддерживаться в актуальном состоянии.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 8.4 Configure Anti-Malware Scanning of Removable Devices
Configure devices so that they automatically conduct an anti-malware scan of removable media when inserted or connected.
CSC 8.1 Utilize Centrally Managed Anti-malware Software
Utilize centrally managed anti-malware software to continuously monitor and defend each of the organization's workstations and servers.
CSC 8.2 Ensure Anti-Malware Software and Signatures Are Updated
Ensure that the organization's anti-malware software updates its scanning engine and signature database on a regular basis.
CSC 8.6 Centralize Anti-Malware Logging
Send all malware detection events to enterprise anti-malware administration tools and event log servers for analysis and alerting.
CSC 2.3 Utilize Software Inventory Tools
Utilize software inventory tools throughout the organization to automate the documentation of all software on business systems.
CSC 7.10 ? Косвенная связь
CSC 7.10 Sandbox All Email Attachments
Use sandboxing to analyze and block inbound email attachments with malicious behavior.
CSC 8.5 ? Косвенная связь
CSC 8.5 Configure Devices to Not Auto-Run Content
Configure devices to not auto-run content from removable media.
CSC 8.3 ? Косвенная связь
CSC 8.3 Enable Operating System Anti-Exploitation Features/Deploy Anti-Exploit Technologies
Enable anti-exploitation features such as Data Execution Prevention (DEP) or Address Space Layout Randomization (ASLR) that are available in an operating system or deploy appropriate toolkits that can be configured to apply protection to a broader set of applications and executables.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре
АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
АВЗ.1 Реализация антивирусной защиты
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
АВЗ.1 Реализация антивирусной защиты
АВЗ.0 Разработка политики антивирусной защиты
АВЗ.2 Антивирусная защита электронной почты и иных сервисов
АВЗ.5 Использование средств антивирусной защиты различных производителей
АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
NIST Cybersecurity Framework (EN):
DE.CM-4: Malicious code is detected
RS.MI-1 ? Косвенная связь
RS.MI-1: Incidents are contained
RS.MI-2 ? Косвенная связь
RS.MI-2: Incidents are mitigated
PR.AT-1 ? Косвенная связь
PR.AT-1: All users are informed and trained
PR.DS-6 ? Косвенная связь
PR.DS-6: Integrity checking mechanisms are used to verify software, firmware, and information integrity
DE.AE-3 ? Косвенная связь
DE.AE-3: Event data are collected and correlated from multiple sources and sensors
DE.CM-7 ? Косвенная связь
DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
АВЗ.0 Регламентация правил и процедур антивирусной защиты
АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
АВЗ.2 Антивирусная защита электронной почты и иных сервисов
АВЗ.1 Реализация антивирусной защиты
АВЗ.5 ? Косвенная связь
АВЗ.5 Использование средств антивирусной защиты различных производителей

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Заражение вредоносным программным обеспечением из-за возможности подмены информации об IP адресах (фарминг) в ОС Windows
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Возможность подмены информации об IP адресах (фарминг) ОС Windows 2
Раскрытие ключей (паролей) доступа из-за возможности подмены информации об IP адресах (фарминг) в ОС Windows
Конфиденциальность Повышение привилегий Раскрытие информации Подмена пользователя
Раскрытие ключей (паролей) доступа
Конфиденциальность Повышение привилегий Раскрытие информации Подмена пользователя
Возможность подмены информации об IP адресах (фарминг) ОС Windows 2
Заражение вредоносным программным обеспечением из-за реагирования на мошеннические, фишинговые письма и сообщения у работника
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Реагирование на мошеннические, фишинговые письма и сообщения Работник 2
Заражение вредоносным программным обеспечением из-за возможности использования совместных модулей для выполнения вредоносного кода в ОС Windows
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Возможность использования совместных модулей для выполнения вредоносного кода ОС Windows 1
Заражение вредоносным программным обеспечением из-за возможности распространения ВПО через съемный носитель в операционной системе
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Возможность распространения ВПО через съемный носитель Операционная система 1
Заражение вредоносным программным обеспечением из-за использования Windows Management Instrumentation (WMI) в ОС Windows
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Использование Windows Management Instrumentation (WMI) ОС Windows 1
Заражение вредоносным программным обеспечением из-за возможности установки и эксплуатации расширений в браузере
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Возможность установки и эксплуатации расширений Браузер 1
Заражение вредоносным программным обеспечением из-за создания или изменение задачи утилитой AT в ОС Windows
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Создание или изменение задачи утилитой AT ОС Windows 1
Заражение вредоносным программным обеспечением из-за наличия технических (программных) уязвимостей в программном обеспечении
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Наличие технических (программных) уязвимостей Программное обеспечение 1
Заражение вредоносным программным обеспечением из-за возможности посещения зараженного (вредоносного) сайта в сети Интернет у работника
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Возможность посещения зараженного (вредоносного) сайта в сети Интернет Работник 1