ГОСТ Р № 57580.1-2017 от 01.01.2018

5.3.5
Defined Approach Requirements: 
Anti-malware mechanisms cannot be disabled or altered by users, unless specifically documented, and authorized by management on a case-by-case basis for a limited time period. 

Customized Approach Objective:
Anti-malware mechanisms cannot be modified by unauthorized personnel. 

Applicability Notes:
Anti-malware solutions may be temporarily disabled only if there is a legitimate technical need, as authorized by management on a case-by-case basis. If anti-malware protection needs to be disabled for a specific purpose, it must be formally authorized. Additional security measures may also need to be implemented for the period during which anti-malware protection is not active. 

Defined Approach Testing Procedures:

Purpose:
It is important that defensive mechanisms are always running so that malware is detected in real time. Ad-hoc starting and stopping of antimalware solutions could allow malware to propagate unchecked and undetected. 

Good Practice:
Where there is a legitimate need to temporarily disable a system’s anti-malware protection—for example, to support a specific maintenance activity or investigation of a technical problem— the reason for taking such action should be understood and approved by an appropriate management representative. Any disabling or altering of anti-malware mechanisms, including on administrators’ own devices, should be performed by authorized personnel. It is recognized that administrators have privileges that may allow them to disable anti-malware on their own computers, but there should be alerting mechanisms in place when such software is disabled and then follow up that occurs to ensure correct processes were followed. 

Examples:
Additional security measures that may need to be implemented for the period during which antimalware protection is not active include disconnecting the unprotected system from the Internet while the anti-malware protection is disabled and running a full scan once it is reenabled. 

5.3.4
Defined Approach Requirements: 
Audit logs for the anti-malware solution(s) are enabled and retained in accordance with Requirement 10.5.1. 

Customized Approach Objective:
Historical records of anti-malware actions are immediately available and retained for at least 12 months. 

Defined Approach Testing Procedures:

Purpose:
It is important to track the effectiveness of the anti-malware mechanisms—for example, by confirming that updates and scans are being performed as expected, and that malware is identified and addressed. Audit logs also allow an entity to determine how malware entered the environment and track its activity when inside the entity’s network. 

5.3.5
Определенные Требования к Подходу:
Механизмы защиты от вредоносных программ не могут быть отключены или изменены пользователями, если это специально не задокументировано и не разрешено руководством в каждом конкретном случае в течение ограниченного периода времени.

Цель Индивидуального подхода:
Механизмы защиты от вредоносных программ не могут быть изменены неавторизованным персоналом.

Примечания по применению:
Решения для защиты от вредоносных программ могут быть временно отключены только при наличии законной технической необходимости, разрешенной руководством в каждом конкретном случае. Если защита от вредоносных программ должна быть отключена для определенной цели, она должна быть официально авторизована. Дополнительные меры безопасности также могут потребоваться в течение периода, в течение которого защита от вредоносных программ не активна.

Определенные Процедуры Тестирования Подхода:

Цель:
Важно, чтобы защитные механизмы всегда были запущены, чтобы вредоносное ПО обнаруживалось в режиме реального времени. Случайный запуск и остановка антивирусных решений могут позволить вредоносным программам распространяться бесконтрольно и незамеченными.

Надлежащая практика:
В тех случаях, когда существует законная необходимость временно отключить защиту системы от вредоносных программ - например, для поддержки конкретного технического обслуживания или расследования технической проблемы, — причина принятия таких мер должна быть понятна и одобрена соответствующим представителем руководства. Любое отключение или изменение механизмов защиты от вредоносных программ, в том числе на собственных устройствах администраторов, должно выполняться уполномоченным персоналом. Общепризнано, что администраторы имеют привилегии, которые могут позволить им отключить защиту от вредоносных программ на своих компьютерах, но при отключении такого программного обеспечения должны быть предусмотрены механизмы оповещения, а затем последующие действия для обеспечения соблюдения правильных процессов.

Примеры:
Дополнительные меры безопасности, которые, возможно, потребуется принять на период, в течение которого защита от вредоносных программ не активна, включают отключение незащищенной системы от Интернета, когда защита от вредоносных программ отключена, и запуск полной проверки после ее повторного включения.

5.3.4
Определенные Требования к Подходу:
Журналы аудита для решения (решений) для защиты от вредоносных программ включены и сохраняются в соответствии с требованием 10.5.1.

Цель Индивидуального подхода:
Исторические записи о действиях по защите от вредоносных программ становятся доступными немедленно и сохраняются не менее 12 месяцев.

Определенные Процедуры Тестирования Подхода:

Цель:
Важно отслеживать эффективность механизмов защиты от вредоносных программ - например, путем подтверждения того, что обновления и проверки выполняются должным образом, а вредоносное ПО идентифицировано и устранено. Журналы аудита также позволяют организации определять, как вредоносное ПО проникло в среду, и отслеживать его активность внутри сети организации.