Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Утверждение Регламента антивирусной защиты в объектах КИИ

1 1 17

Цель: определение порядка организации защиты от угроз, связанных с внедрением вредоносных компьютерных программ (вирусов) из информационно-телекоммуникационных сетей и (или) съемных машинных носителей информации, при эксплуатации объектов КИИ.

Регламент определяет:

общие требования к антивирусной защите;
ответственных должностных лиц, которые могут управлять параметрами настройки антивирусной защиты;
компоненты объектов КИИ, подлежащие антивирусной защите;
ключевые требования к параметрам настроек средств антивирусной защиты;
порядок действий при обнаружении вредоносного программного обеспечения.

Рекомендации к заполнению карточки:

Приложите скан-копию Регламента в Реестр документов по защите информации (в модуле активов SECURITM). Укажите созданный актив в качестве инструмента к данной защитной мере.

Область действия: Вся организация

Классификация

Тип

Организационная

Реализация

Вручную

Периодичность

Разово

Ответственный

Не определено

Инструменты

Не определено

Для просмотра файла необходимо авторизоваться!

Регламент антивирусной защиты в объектах КИИ.docx

Цепочка мер

Утверждение Порядка планирования мероприятий по ИБ и контроля за их выполнением

Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ

Утверждение Регламента антивирусной защиты в объектах КИИ

Предшествующие меры

№	Этап -1	Этап -2
1				Утверждение Порядка планирования мероприятий по ИБ и контроля за их выполнением	Разработка Плана мероприятий по обеспечению безопасности значимых объектов КИИ

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая
OPEX ^?	Отсутствует	Низкие	Низкая	0	1	4 - Низкая

Связанные риски

Риск	Связи
Нарушение требований законодательства в области КИИ из-за отсутствия требуемых законодательством форм и документов в объекте критической информационной инфраструктуры Право	19

Заметки

SECURITM

1 неделю назад

Community

Регламент антивирусной защиты в объектах критической информационной инфраструктуры [наименование организации]

1. Общие сведения
1.1. Настоящий Регламент разработан с учетом положений следующих документов:

Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Приказ ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования».
Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения».
ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство».

1.2. Целью разработки данного Регламента является определение [наименование организации] порядка организации защиты от угроз, связанных с внедрением вредоносных компьютерных программ (вирусов) из информационно-телекоммуникационных сетей, в том числе сетей международного информационного обмена (сетей связи общего пользования) и (или) съемных машинных носителей информации:

значимых объектов критической информационной инфраструктуры (далее – ЗОКИИ);
объектов критической информационной инфраструктуры, не отнесенных к значимым объектам и в отношении которых [наименование должности руководителя организации] [наименование организации] принято решение о применении требований по обеспечению безопасности, предусмотренных для значимых объектов критической информационной инфраструктуры (далее – ОКИИ).

2. Термины и определения

2.1. Термины и определения, применяемые для целей настоящего регламента:

Антивирусная защита – защита информации и компонентов информационной системы от вредоносных компьютерных программ (вирусов) (обнаружение вредоносных компьютерных программ (вирусов), блокирование, изолирование «зараженных» объектов, удаление вредоносных компьютерных программ (вирусов) из «зараженных» объектов).
Безопасность информации – состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность.
Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на информацию или ресурсы информационной системы.
Значимый объект критической информационной инфраструктуры – объект критической информационной инфраструктуры, которому присвоена одна из категорий значимости и который включен в реестр значимых объектов критической информационной инфраструктуры.
Компьютерный вирус – программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам.
Объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления.
Сигнатура – характерные признаки компьютерной вредоносной программы (вируса), используемые для ее обнаружения.
Угроза безопасности информации – совокупность условий и факторов, определяющих потенциальную или реально существующую опасность нарушения безопасности информации.
Управление доступом – ограничение и контроль доступа субъектов доступа к объектам доступа в информационной системе в соответствии с установленными правилами разграничения доступа.

3. Цель и задачи реализации антивирусной защиты
3.1. Целью реализации антивирусной защиты ЗОКИИ (ОКИИ) является обеспечение безопасности ЗОКИИ (ОКИИ) от угроз безопасности, связанных с компьютерными программами либо иной компьютерной информацией, предназначенными для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
3.2. Реализация антивирусной защиты ЗОКИИ (ОКИИ) достигается за счет решения следующих задач:

своевременное обнаружение вредоносных компьютерных программ (вирусов);
обнаружение известных и неизвестных вредоносных компьютерных программ (вирусов);
оповещение лиц, ответственных за обеспечение безопасности, в масштабе времени, близком к реальному, об обнаружении вредоносных компьютерных программ (вирусов);
реагирование на обнаружение в ЗОКИИ (ОКИИ) объектов, подвергшихся заражению вредоносными компьютерными программами (вирусами).

4. Общие требования
4.1. Для реализации антивирусной защиты на всех компонентах ЗОКИИ (ОКИИ) должны применяться средства антивирусной защиты.
4.2. Установка (инсталляция), настройка (конфигурирование), обновление модулей средств антивирусной защиты, удаление должно осуществляться только лицами, ответственными за управление (администрирование) подсистемой безопасности ЗОКИИ (ОКИИ).
4.3. Управление параметрами настройки функций безопасности средств антивирусной защиты должно быть доступно только лицам, ответственным за управление (администрирование) подсистемой безопасности ЗОКИИ (ОКИИ).
4.4. Средства антивирусной защиты должны постоянно находиться в активном состоянии и обеспечивать антивирусную защиту в режиме реального времени.
4.5. Обновление модулей средств антивирусной защиты на ЗОКИИ (ОКИИ) должно производиться лицами, ответственными за управление (администрирование) подсистемой безопасности ЗОКИИ (ОКИИ) в «ручном» режиме и только по согласованию с администратором безопасности ЗОКИИ (ОКИИ).

5. Компоненты ЗОКИИ (ОКИИ), подлежащие антивирусной защите
5.1. Компонентами ЗОКИИ (ОКИИ), подлежащими антивирусной защите, являются:

автоматизированные рабочие места пользователей ЗОКИИ (ОКИИ) (в том числе привилегированных пользователей);
серверы ЗОКИИ (ОКИИ).

6. Требования к параметрам настроек средств антивирусной защиты

6.1. Периодичность поиска вредоносных компьютерных программ (вирусов) средствами антивирусной защиты должна обеспечиваться в соответствии с следующими требованиями:

Системная память | Не реже одного раза в сутки
Объекты (файлы), загружаемые при старте операционной системы | Не реже одного раза в сутки
Объекты (файлы), поступающие по каналам передачи данных | Каждый раз перед открытием (запуском) объекта (файла)
Файлы инсталляции программного обеспечения | Каждый раз перед установкой (инсталляцией)
Файлы обновлений программного обеспечения | Каждый раз перед обновлением программного обеспечения
Машинные носители информации, встроенные в портативные или стационарные технические средства | Не реже одного раза в неделю
Съемные машинные носители информации (флэш-накопители, внешние накопители на жестких дисках и иные носители) | Каждый раз при подключении

6.2. Антивирусная проверка должна осуществляться современными методами обнаружения вредоносных компьютерных программ (вирусов), в том числе включать:

сигнатурный метод. Метод, основанный на поиске в объектах (файлах) сигнатур известных компьютерных вирусов;
метод обнаружения изменений. Метод, основанный на предварительном запоминании характеристик всех областей диска, которые могут подвергаться нападению компьютерными вирусами, и их периодической проверке на изменения;
методы резидентных сторожей. Метод, основанный на отслеживании всех подозрительных действий, выполняемых другими программами;
методы эвристического анализа (эвристического сканирования).

6.3. Средства антивирусной защиты при обнаружении вредоносной компьютерной программы (вируса) должны выполнять следующие действия:

зафиксировать в журнале регистрации событий факт обнаружения вредоносной компьютерной программы (вируса);
удалить зараженный объект (файл) либо переместить его в карантин;
уведомить в масштабе времени, близком к реальному, об обнаружении вредоносной компьютерной программы (вируса).

6.4. Средства антивирусной защиты должны обеспечивать регистрацию событий, связанных с функционированием, включая:

проведение проверок объектов на наличие вредоносных компьютерных программ (вирусов);
отказ работоспособности средства антивирусной защиты и его компонентов;
обнаружение вредоносной компьютерной программы (вируса);
изменение конфигурации средства антивирусной защиты;
обновление модулей средства антивирусной защиты и базы данных признаков вредоносных компьютерных программ (вирусов).

6.5. Журналы регистрации событий средств антивирусной защиты должны храниться не менее 1 года и должны быть доступны для оперативного анализа в течение 6 месяцев после регистрации событий.

7. Требования к обновлению базы данных признаков вредоносных компьютерных программ (вирусов)
7.1. Ответственные за управление (администрирование) подсистемой безопасности ЗОКИИ (ОКИИ) должны обеспечивать ежедневное обновление базы данных признаков вредоносных компьютерных программ (вирусов) средств антивирусной защиты, предусматривающее:

получение уведомлений о необходимости обновлений базы данных признаков вредоносных компьютерных программ (вирусов);
получение из доверенных источников базы данных признаков вредоносных компьютерных программ (вирусов);
контроль целостности обновлений базы данных признаков вредоносных компьютерных программ (вирусов);
установку обновлений базы данных признаков вредоносных компьютерных программ (вирусов);
получение уведомлений об успешном обновлении базы данных признаков вредоносных компьютерных программ (вирусов).

7.2. Контроль обновления базы данных признаков вредоносных компьютерных программ (вирусов) должен проводиться не реже одного раза в день.

8. Действия при обнаружении вредоносных компьютерных программ (вирусов)
8.1. При обнаружении вредоносных компьютерных программ (вирусов) ответственные за управление (администрирование) подсистемой безопасности ЗОКИИ (ОКИИ) сообщают об этом ответственным за выявление компьютерных инцидентов и реагирование на них и администратору безопасности ЗОКИИ (ОКИИ). Данные лица совместно принимают меры по предотвращению наступления негативных последствий заражения. Меры могут включать:

остановку эксплуатации зараженного компонента ЗОКИИ (ОКИИ) и (или) изоляцию его от остальных компонентов ЗОКИИ (ОКИИ);
удаление вредоносной программы;
установление причин и источника заражения;
инициацию и проведение служебной проверки по факту заражения вредоносной компьютерной программой (вирусом). Принятие мер по минимизации возможности подобных заражений в дальнейшем;
проведение полной антивирусной проверки всех компонентов ЗОКИИ (ОКИИ).

8.2. Возобновление работы с компонентом ЗОКИИ (ОКИИ), подвергшимся заражению, осуществляется только после окончания работ по удалению вредоносных программ и проведения антивирусной проверки прочих объектов (файлов) ЗОКИИ (ОКИИ).

9. Ответственность
9.1. Ответственные за управление (администрирование) подсистемой безопасности ЗОКИИ и ОКИИ несут персональную ответственность за ненадлежащее исполнение или неисполнение требований, предусмотренных настоящим регламентом.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.