Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Централизация системы антивирусной защиты (АВЗ)

Цель: организовать централизованное управление АВЗ.

Пример описания конфигурации:
  1. Область распространения агентов АВЗ: Все ПК и Серверы корпоративного домена Windows;
  2. Включенные модули: 
    1. защита в реальном времени, 
    2. сканирование по расписанию, 
    3. защита электронной почты, 
    4. защита web страниц, 
    5. защита от фишинга.
  3. Механизм установки: автоматически средствами Центра управления АВЗ;
  4. Автоматическое сканирование подключаемых съемных носителей: включено;
  5. Периодичность регулярного сканирования всех дисков: раз в неделю;
  6. Уведомление пользователя об обнаружении ВПО: включено;
  7. Сбор событий с агентов в Центр управления: включен;
  8. Срок хранения событий безопасности в Центре управления: 6 месяцев.

Рекомендации к заполнению карточки:
  • В приложении к защитной мере следует отразить базовые политики и конфигурацию централизованной АВЗ.
  • АВЗ следует зарегистрировать в качестве Актива и указать в данной защитной мере в качестве инструмента.
  • Создать шаблон регулярной задачи по проверке работоспособности, обновления, контроля установки агентов АВЗ.
  • Инструкции по обслуживанию и устранению неисправностей следует вынести в карточку Актива.
Классификация
Тип
Техническая ? Технические (логические) меры Технологические решения, реализуемые для снижения вероятности реализации рисков безопасности.
Превентивная ? Превентивные меры Направлены на предотвращение совершения злонамеренных действий, блокируя или останавливая кого-либо, или что-либо.
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено

Исполнение требований

Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗСВ.9 ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре
АВЗ.1 АВЗ.1 Реализация антивирусной защиты
АВЗ.2 АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.2.1
A.12.2.1 Меры обеспечения информационной безопасности в отношении вредоносных программ 
Мера обеспечения информационной безопасности: Для защиты от вредоносных программ должны быть реализованы меры обеспечения информационной безопасности, связанные с обнаружением, предотвращением и восстановлением, в сочетании с соответствующим информированием пользователей 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 8.4 CSC 8.4 Configure Anti-Malware Scanning of Removable Devices
Configure devices so that they automatically conduct an anti-malware scan of removable media when inserted or connected.
CSC 8.1 CSC 8.1 Utilize Centrally Managed Anti-malware Software
Utilize centrally managed anti-malware software to continuously monitor and defend each of the organization's workstations and servers.
CSC 8.2 CSC 8.2 Ensure Anti-Malware Software and Signatures Are Updated
Ensure that the organization's anti-malware software updates its scanning engine and signature database on a regular basis.
CSC 8.6 CSC 8.6 Centralize Anti-Malware Logging
Send all malware detection events to enterprise anti-malware administration tools and event log servers for analysis and alerting.
CSC 2.3 CSC 2.3 Utilize Software Inventory Tools
Utilize software inventory tools throughout the organization to automate the documentation of all software on business systems.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗСВ.9 ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре
АВЗ.2 АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
АВЗ.1 АВЗ.1 Реализация антивирусной защиты
SWIFT Customer Security Controls Framework v2022:
6 - 6.1 Malware Protection
6.1 Malware Protection
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
АВЗ.1 АВЗ.1 Реализация антивирусной защиты
АВЗ.0 АВЗ.0 Разработка политики антивирусной защиты
АВЗ.2 АВЗ.2 Антивирусная защита электронной почты и иных сервисов
АВЗ.5 АВЗ.5 Использование средств антивирусной защиты различных производителей
АВЗ.4 АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
NIST Cybersecurity Framework (EN):
DE.CM-4 DE.CM-4: Malicious code is detected
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
АВЗ.0 АВЗ.0 Регламентация правил и процедур антивирусной защиты
АВЗ.4 АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
АВЗ.2 АВЗ.2 Антивирусная защита электронной почты и иных сервисов
АВЗ.1 АВЗ.1 Реализация антивирусной защиты

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Заражение вредоносным программным обеспечением из-за возможности подмены информации об IP адресах (фарминг) в ОС Windows
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Возможность подмены информации об IP адресах (фарминг) ОС Windows 2
Раскрытие ключей (паролей) доступа из-за возможности подмены информации об IP адресах (фарминг) в ОС Windows
Конфиденциальность Повышение привилегий Раскрытие информации Подмена пользователя
Раскрытие ключей (паролей) доступа
Конфиденциальность Повышение привилегий Раскрытие информации Подмена пользователя
Возможность подмены информации об IP адресах (фарминг) ОС Windows 2
Заражение вредоносным программным обеспечением из-за реагирования на мошеннические, фишинговые письма и сообщения у работника
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Реагирование на мошеннические, фишинговые письма и сообщения Работник 2
Заражение вредоносным программным обеспечением из-за возможности использования совместных модулей для выполнения вредоносного кода в ОС Windows
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Возможность использования совместных модулей для выполнения вредоносного кода ОС Windows 1
Заражение вредоносным программным обеспечением из-за возможности распространения ВПО через съемный носитель в операционной системе
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Возможность распространения ВПО через съемный носитель Операционная система 2
Заражение вредоносным программным обеспечением из-за использования Windows Management Instrumentation (WMI) в ОС Windows
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Использование Windows Management Instrumentation (WMI) ОС Windows 1
Заражение вредоносным программным обеспечением из-за возможности установки и эксплуатации расширений в браузере
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Возможность установки и эксплуатации расширений Браузер 1
Заражение вредоносным программным обеспечением из-за создания или изменение задачи утилитой AT в ОС Windows
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Создание или изменение задачи утилитой AT ОС Windows 1
Заражение вредоносным программным обеспечением из-за наличия технических (программных) уязвимостей в программном обеспечении
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Наличие технических (программных) уязвимостей Программное обеспечение 1
Заражение вредоносным программным обеспечением из-за возможности посещения зараженного (вредоносного) сайта в сети Интернет у работника
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Возможность посещения зараженного (вредоносного) сайта в сети Интернет Работник 1