SWIFT Customer Security Controls Framework v2022

7.5.2. Рекомендуется организовать функционирование постоянной антивирусной защиты в автоматическом режиме и автоматический режим установки обновлений антивирусного программного обеспечения и его баз данных.

7.5.4. Должны быть разработаны и введены в действие инструкции и рекомендации по антивирусной защите, учитывающие особенности банковских технологических процессов.

7.5.1. На всех автоматизированных рабочих местах и серверах АБС организации БС РФ должны применяться средства антивирусной защиты, если иное не предусмотрено реализацией технологического процесса.
В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры установки и регулярного обновления средств антивирусной защиты (версий и баз данных) на автоматизированных рабочих местах и серверах АБС.

7.5.6. В организации БС РФ должна быть организована эшелонированная централизованная система антивирусной защиты, предусматривающая использование средств антивирусной защиты различных производителей на:

10.6 Centrally Manage Anti-Malware Software
Centrally manage anti-malware software 

ЗВК.1 Реализация защиты от вредоносного кода на уровне физических АРМ пользователей и эксплуатационного персонала
3-Т 2-Т 1-Т

DE.CM-4: Обнаруживается вредоносный код 

ВРВ.6 Реализация защиты от вредоносного кода на основе полученных сведений об актуальных индикаторах компрометации объектов информатизации, в том числе с привлечением для выполнения такой деятельности специалистов, обладающих необходимой компетенцией***.

10.6 Реализовано централизованное управление средствами защиты от вредоносного программного кода
Внедрить централизованное управление защитой от вредоносного программного обеспечения

5.3.2
Defined Approach Requirements: 
The anti-malware solution(s):

OR

Customized Approach Objective:
Malware cannot complete execution. 

Defined Approach Testing Procedures:

Purpose:
Periodic scans can identify malware that is present, but currently inactive, within the environment. Some malware, such as zero-day malware, can enter an environment before the scan solution is capable of detecting it. Performing regular periodic scans or continuous behavioral analysis of systems or processes helps ensure that previously undetectable malware can be identified, removed, and investigated to determine how it gained access to the environment. 

Good Practice:
Using a combination of periodic scans (scheduled and on-demand) and active, real-time (on-access) scanning helps ensure that malware residing in both static and dynamic elements of the CDE is addressed. Users should also be able to run ondemand scans on their systems if suspicious activity is detected – this can be useful in the early detection of malware. 
Scans should include the entire file system, including all disks, memory, and start-up files and boot records (at system restart) to detect all malware upon file execution, including any software that may be resident on a system but not currently active. Scan scope should include all systems and software in the CDE, including those that are often overlooked such as email servers, web browsers, and instant messaging software. 

Definitions:
Active, or real-time, scanning checks files for malware upon any attempt to open, close, rename, or otherwise interact with a file, preventing the malware from being activated. 

5.3.1
Defined Approach Requirements: 
The anti-malware solution(s) is kept current via automatic updates. 

Customized Approach Objective:
Anti-malware mechanisms can detect and address the latest malware threats. 

Defined Approach Testing Procedures:

Purpose:
For an anti-malware solution to remain effective, it needs to have the latest security updates, signatures, threat analysis engines, and any other malware protections on which the solution relies. 
Having an automated update process avoids burdening end users with responsibility for manually installing updates and provides greater assurance that anti-malware protection mechanisms are updated as quickly as possible after an update is released. 

Good Practice:
Anti-malware mechanisms should be updated via a trusted source as soon as possible after an update is available. Using a trusted common source to distribute updates to end-user systems helps ensure the integrity and consistency of the solution architecture. 
Updates may be automatically downloaded to a central location—for example, to allow for testing—prior to being deployed to individual system components. 

5.2.1
Defined Approach Requirements: 
An anti-malware solution(s) is deployed on all system components, except for those system components identified in periodic evaluations per Requirement 5.2.3 that concludes the system components are not at risk from malware. 

Customized Approach Objective:
Automated mechanisms are implemented to prevent systems from becoming an attack vector for malware. 

Defined Approach Testing Procedures:

Purpose:
There is a constant stream of attacks targeting newly discovered vulnerabilities in systems previously regarded as secure. Without an antimalware solution that is updated regularly, new forms of malware can be used to attack systems, disable a network, or compromise data. 

Good Practice:
It is beneficial for entities to be aware of "zeroday" attacks (those that exploit a previously unknown vulnerability) and consider solutions that focus on behavioral characteristics and will alert and react to unexpected behavior. 

Definitions:
System components known to be affected by malware have active malware exploits available in the real world (not only theoretical exploits) 

/STANDARD
Depending on his level of IT security practices, the user, a great deal of the time, is the first port of call for hackers trying to enter the system. It is therefore fundamental to implement a minimum level of security across the entire IT stock of the organization (user devices, servers, printers, phones, USB peripherals, etc.) by implementing the following measures:

In the event of a necessary exception from the general security rules applicable to devices, these devices must be isolated from the system (if it is impossible to update certain applications for interoperability reasons for example). 

A.12.2.1 Меры обеспечения информационной безопасности в отношении вредоносных программ 
Мера обеспечения информационной безопасности: Для защиты от вредоносных программ должны быть реализованы меры обеспечения информационной безопасности, связанные с обнаружением, предотвращением и восстановлением, в сочетании с соответствующим информированием пользователей 

5.2.1
Определенные Требования к Подходу:
Решение (решения) для защиты от вредоносных программ развернуто на всех компонентах системы, за исключением тех системных компонентов, которые были определены в ходе периодических оценок в соответствии с требованием 5.2.3, согласно которому компоненты системы не подвержены риску заражения вредоносными программами.

Цель Индивидуального подхода:
Внедрены автоматизированные механизмы, предотвращающие превращение систем в вектор атаки для вредоносных программ.

Определенные Процедуры Тестирования Подхода:

Цель:
Существует постоянный поток атак, нацеленных на вновь обнаруженные уязвимости в системах, ранее считавшихся безопасными. Без регулярно обновляемого решения для защиты от вредоносных программ новые формы вредоносных программ могут использоваться для атаки на системы, отключения сети или компрометации данных.

Надлежащая практика:
Организациям полезно знать об атаках "нулевого дня" (тех, которые используют ранее неизвестную уязвимость) и рассматривать решения, которые фокусируются на поведенческих характеристиках и будут предупреждать и реагировать на неожиданное поведение.

Определения:
Системные компоненты, которые, как известно, подвержены вредоносному ПО, имеют активные вредоносные эксплойты, доступные в реальном мире (а не только теоретические эксплойты).

5.3.1
Определенные Требования к Подходу:
Решения для защиты от вредоносных программ поддерживаются в актуальном состоянии с помощью автоматических обновлений.

Цель Индивидуального подхода:
Механизмы защиты от вредоносных программ могут обнаруживать и устранять новейшие вредоносные угрозы.

Определенные Процедуры Тестирования Подхода:

Цель:
Чтобы решение для защиты от вредоносных программ оставалось эффективным, оно должно иметь последние обновления безопасности, сигнатуры, механизмы анализа угроз и любые другие средства защиты от вредоносных программ, на которые опирается решение.
Наличие автоматизированного процесса обновления позволяет избежать обременения конечных пользователей ответственностью за ручную установку обновлений и обеспечивает большую уверенность в том, что механизмы защиты от вредоносных программ обновляются как можно быстрее после выпуска обновления.

Надлежащая практика:
Механизмы защиты от вредоносных программ должны быть обновлены через надежный источник как можно скорее после появления обновления. Использование надежного общего источника для распространения обновлений в системах конечных пользователей помогает обеспечить целостность и согласованность архитектуры решения.
Обновления могут автоматически загружаться в центральное хранилище — например, для обеспечения возможности тестирования — перед развертыванием на отдельных компонентах системы.

5.3.2
Определенные Требования к Подходу:
Решение (решения) для защиты от вредоносных программ:

ИЛИ

Цель Индивидуального подхода:
Вредоносная программа не может завершить выполнение проверки.

Определенные Процедуры Тестирования Подхода:

Цель:
Периодические проверки могут выявить вредоносные программы, которые присутствуют, но в настоящее время неактивны в среде. Некоторые вредоносные программы, такие как вредоносные программы нулевого дня, могут проникнуть в среду до того, как решение для сканирования сможет их обнаружить. Выполнение регулярных периодических проверок или непрерывного поведенческого анализа систем или процессов помогает гарантировать, что ранее необнаруживаемые вредоносные программы могут быть идентифицированы, удалены и исследованы, чтобы определить, как они получили доступ к среде.

Надлежащая практика:
Использование комбинации периодических проверок (по расписанию и по требованию) и активного сканирования в режиме реального времени (при доступе) помогает обеспечить устранение вредоносных программ, находящихся как в статических, так и в динамических элементах CDE. Пользователи также должны иметь возможность запускать сканирование своих систем по требованию при обнаружении подозрительной активности – это может быть полезно для раннего обнаружения вредоносных программ.
Сканирование должно включать всю файловую систему, включая все диски, память, а также файлы запуска и загрузочные записи (при перезагрузке системы), чтобы обнаружить все вредоносные программы при выполнении файла, включая любое программное обеспечение, которое может находиться в системе, но в данный момент не активно. Область сканирования должна включать все системы и программное обеспечение в CDE, включая те, которые часто упускаются из виду, такие как серверы электронной почты, веб-браузеры и программное обеспечение для обмена мгновенными сообщениями.

Определения:
Активное сканирование, или сканирование в реальном времени, проверяет файлы на наличие вредоносных программ при любой попытке открыть, закрыть, переименовать или иным образом взаимодействовать с файлом, предотвращая активацию вредоносных программ.

Antivirus software using heuristics and reputation ratings to check a file’s prevalence and digital signature prior to execution. Use antivirus software from different vendors for gateways versus computers.
Relative Security Effectiveness:  Very Good | Potential User Resistance:   Low | Upfront Cost:  Low | Ongoing Maintenance Cost:  Low

А.8.7 Защита от вредоносного программного обеспечения
Должна быть реализована и поддерживаться соответствующей осведомленностью пользователей защита от вредоносного программного обеспечения.

7. Кредитные организации должны обеспечивать формирование для клиентов рекомендаций по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код) в целях противодействия осуществлению переводов денежных средств без согласия клиента.

А.8.7 Protection against malware
Protection against malware shall be implemented and supported by appropriate user awareness.