Раздел 12.2.1 ГОСТА Р № ИСО/МЭК 27002-2021 от 30.11.2021 Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информ...

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":

Р. 7 п. 5 п.п. 7

7.5.7. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры предварительной проверки устанавливаемого или изменяемого программного обеспечения на отсутствие вирусов. После установки или изменения программного обеспечения должна быть выполнена антивирусная проверка.

Р. 7 п. 5 п.п. 1

7.5.1. На всех автоматизированных рабочих местах и серверах АБС организации БС РФ должны применяться средства антивирусной защиты, если иное не предусмотрено реализацией технологического процесса.
В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры установки и регулярного обновления средств антивирусной защиты (версий и баз данных) на автоматизированных рабочих местах и серверах АБС.

Р. 7 п. 5 п.п. 3

7.5.3. Перед подключением съемных носителей информации к средствам вычислительной техники, задействованным в рамках осуществления банковских технологических процессов, рекомендуется проводить их антивирусную проверку на специально выделенном автономном средстве вычислительной техники.

Р. 7 п. 5 п.п. 6

7.5.6. В организации БС РФ должна быть организована эшелонированная централизованная система антивирусной защиты, предусматривающая использование средств антивирусной защиты различных производителей на:

рабочих станциях;
серверном оборудовании, в том числе серверах электронной почты;
технических средствах межсетевого экранирования.

Р. 7 п. 5 п.п. 4

7.5.4. Должны быть разработаны и введены в действие инструкции и рекомендации по антивирусной защите, учитывающие особенности банковских технологических процессов.

Р. 7 п. 5 п.п. 5

7.5.5. В организации БС РФ должна быть организована антивирусная фильтрация всего трафика электронного почтового обмена.

Р. 7 п. 5 п.п. 2

7.5.2. Рекомендуется организовать функционирование постоянной антивирусной защиты в автоматическом режиме и автоматический режим установки обновлений антивирусного программного обеспечения и его баз данных.

CIS Critical Security Controls v8 (The 18 CIS CSC):

10.5

10.5 Enable Anti-Exploitation Features
Enable anti-exploitation features on enterprise assets and software, where possible, such as Microsoft® Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG), or Apple® System Integrity Protection (SIP) and Gatekeeper™.

10.4

10.4 Configure Automatic Anti-Malware Scanning of Removable Media
Configure anti-malware software to automatically scan removable media

10.6

10.6 Centrally Manage Anti-Malware Software
Centrally manage anti-malware software

10.3

10.3 Disable Autorun and Autoplay for Removable Media
Disable autorun and autoplay auto-execute functionality for removable media.

10.2

10.2 Configure Automatic Anti-Malware Signature Updates
Configure automatic updates for anti-malware signature files on all enterprise assets.

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":

ЗВК.12

ЗВК.12 Выполнение еженедельных операций по проведению проверок на отсутствие вредоносного кода
3-Т 2-Т 1-Т

ЗВК.8

ЗВК.8 Функционирование средств защиты от вредоносного кода в постоянном, автоматическом режиме, в том числе в части установки их обновлений и сигнатурных баз данных
3-Т 2-Т 1-Т

ЗВК.17

ЗВК.17 Выполнение проверок на отсутствие вредоносного кода путем анализа информационных потоков между сегментами, предназначенными для размещения общедоступных объектов доступа (в том числе банкоматов, платежных терминалов), и сетью Интернет
3-Н 2-Т 1-Т

ЗВК.16

ЗВК.16 Выполнение проверок на отсутствие вредоносного кода путем анализа информационных потоков между внутренними вычислительными сетями финансовой организации и сетью Интернет
3-Н 2-Т 1-Т

ЗВК.23

ЗВК.23 Регистрация фактов выявления вредоносного кода
3-Т 2-Т 1-Т

ЗВК.2

ЗВК.2 Реализация защиты от вредоносного кода на уровне виртуальной информационной инфраструктуры
3-Т 2-Т 1-Т

ЗВК.7

ЗВК.7 Реализация защиты от вредоносного кода на уровне контроля общедоступных объектов доступа (в том числе банкоматов, платежных терминалов)
3-Т 2-Т 1-Т

ЗВК.13

ЗВК.13 Использование средств защиты от вредоносного кода различных производителей, как минимум для уровней: - физические АРМ пользователей и эксплуатационного персонала; - серверное оборудование
3-Т 2-Н 1-Н

ЗВК.10

ЗВК.10 Применение средств защиты от вредоносного кода, реализующих функцию контроля целостности их программных компонентов
3-Т 2-Т 1-Т

ЗВК.5

ЗВК.5 Реализация защиты от вредоносного кода на уровне контроля почтового трафика
3-Т 2-Т 1-Т

ЗВК.3

ЗВК.3 Реализация защиты от вредоносного кода на уровне серверного оборудования
3-Т 2-Т 1-Т

ЗУД.11

ЗУД.11 Обеспечение защиты мобильных (переносных) устройств от воздействий вредоносного кода
3-Т 2-Т 1-Т

ЗВК.4

ЗВК.4 Реализация защиты от вредоносного кода на уровне контроля межсетевого трафика
3-Н 2-Т 1-Т

ЗВК.9

ЗВК.9 Функционирование средств защиты от вредоносного кода на АРМ пользователей и эксплуатационного персонала в резидентном режиме (в режиме service - для операционной системы Windows, в режиме daemon - для операционной системы Unix), их автоматический запуск при загрузке операционной системы
3-Т 2-Т 1-Т

ЗВК.1

ЗВК.1 Реализация защиты от вредоносного кода на уровне физических АРМ пользователей и эксплуатационного персонала
3-Т 2-Т 1-Т

ЗВК.6

ЗВК.6 Реализация защиты от вредоносного кода на уровне входного контроля устройств и переносных (отчуждаемых) носителей информации
3-Т 2-Т 1-Т

ЗВК.15

ЗВК.15 Выполнение проверок на отсутствие вредоносного кода путем анализа информационных потоков между сегментами контуров безопасности и иными внутренними вычислительными сетями финансовой организации
3-Н 2-Т 1-Т

ЗВК.20

ЗВК.20 Выполнение предварительных проверок на отсутствие вредоносного кода устанавливаемого или изменяемого ПО, а также выполнение проверки после установки и (или) изменения ПО
3-Н 2-О 1-О

NIST Cybersecurity Framework (RU):

PR.DS-6

PR.DS-6: Механизмы проверки целостности используются для проверки программного обеспечения, встроенного программного обеспечения и целостности информации.

DE.CM-4

DE.CM-4: Обнаруживается вредоносный код

Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":

АВЗ.1 АВЗ.1 Реализация антивирусной защиты

АВЗ.2 АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

ЗСВ.9 ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":

ВРВ.6

ВРВ.6 Реализация защиты от вредоносного кода на основе полученных сведений об актуальных индикаторах компрометации объектов информатизации, в том числе с привлечением для выполнения такой деятельности специалистов, обладающих необходимой компетенцией***.

Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):

10.5

10.5 Включена защита от эксплуатации уязвимостей
Примеры решений: Microsoft Data Execution Prevention (DEP), Windows Defender Exploit Guard (WDEG), Apple System Integrity Protection (SIP), Gatekeeper.

10.4

10.4 Автоматически проводится проверка на наличие вредоносного программного кода для съемных носителей информации
Настроить автоматическое сканирование на вредоносное программное обеспечение для съемных носителей

10.6

10.6 Реализовано централизованное управление средствами защиты от вредоносного программного кода
Внедрить централизованное управление защитой от вредоносного программного обеспечения

10.3

10.3 Реализован запрет автоматического запуска для съемных носителей информации
Запретить автозапуск для съемных носителей.

10.2

10.2 Реализовано автоматическое обновление сигнатур вредоносного программного кода
Настроить автоматическое обновление сигнатур защиты от вредоносных программ.

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":

Requirement 5.2.1

5.2.1
Defined Approach Requirements:
An anti-malware solution(s) is deployed on all system components, except for those system components identified in periodic evaluations per Requirement 5.2.3 that concludes the system components are not at risk from malware.

Customized Approach Objective:
Automated mechanisms are implemented to prevent systems from becoming an attack vector for malware.

Defined Approach Testing Procedures:

5.2.1.a Examine system components to verify that an anti-malware solution(s) is deployed on all system components, except for those determined to not be at risk from malware based on periodic evaluations per Requirement 5.2.3.
5.2.1.b For any system components without an anti-malware solution, examine the periodic evaluations to verify the component was evaluated and the evaluation concludes that the component is not at risk from malware.

Purpose:
There is a constant stream of attacks targeting newly discovered vulnerabilities in systems previously regarded as secure. Without an antimalware solution that is updated regularly, new forms of malware can be used to attack systems, disable a network, or compromise data.

Good Practice:
It is beneficial for entities to be aware of "zeroday" attacks (those that exploit a previously unknown vulnerability) and consider solutions that focus on behavioral characteristics and will alert and react to unexpected behavior.

Definitions:
System components known to be affected by malware have active malware exploits available in the real world (not only theoretical exploits)

Guideline for a healthy information system v.2.0 (EN):

14 STANDARD

/STANDARD
Depending on his level of IT security practices, the user, a great deal of the time, is the first port of call for hackers trying to enter the system. It is therefore fundamental to implement a minimum level of security across the entire IT stock of the organization (user devices, servers, printers, phones, USB peripherals, etc.) by implementing the following measures:

limit the applications installed and optional modules in web browsers to just what is required;
equip users’ devices with an anti-virus and activate a local firewall (these are often included in the operating system);
encrypt the partitions where user data is stored;
deactivate automatic executions (autorun).

In the event of a necessary exception from the general security rules applicable to devices, these devices must be isolated from the system (if it is impossible to update certain applications for interoperability reasons for example).

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":

A.12.2.1

A.12.2.1 Меры обеспечения информационной безопасности в отношении вредоносных программ
Мера обеспечения информационной безопасности: Для защиты от вредоносных программ должны быть реализованы меры обеспечения информационной безопасности, связанные с обнаружением, предотвращением и восстановлением, в сочетании с соответствующим информированием пользователей

Постановление Правительства РФ № 584 от 13.06.2012 "Положение о защите информации в платежной системе":

п. 4 п.п. е)

е) применение средств защиты информации (шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности);

CIS Critical Security Controls v7.1 (SANS Top 20):

CSC 8.6 CSC 8.6 Centralize Anti-Malware Logging
Send all malware detection events to enterprise anti-malware administration tools and event log servers for analysis and alerting.

CSC 8.2 CSC 8.2 Ensure Anti-Malware Software and Signatures Are Updated
Ensure that the organization's anti-malware software updates its scanning engine and signature database on a regular basis.

CSC 8.1 CSC 8.1 Utilize Centrally Managed Anti-malware Software
Utilize centrally managed anti-malware software to continuously monitor and defend each of the organization's workstations and servers.

CSC 8.3 CSC 8.3 Enable Operating System Anti-Exploitation Features/Deploy Anti-Exploit Technologies
Enable anti-exploitation features such as Data Execution Prevention (DEP) or Address Space Layout Randomization (ASLR) that are available in an operating system or deploy appropriate toolkits that can be configured to apply protection to a broader set of applications and executables.

CSC 8.4 CSC 8.4 Configure Anti-Malware Scanning of Removable Devices
Configure devices so that they automatically conduct an anti-malware scan of removable media when inserted or connected.

CSC 8.5 CSC 8.5 Configure Devices to Not Auto-Run Content
Configure devices to not auto-run content from removable media.

CSC 7.10 CSC 7.10 Sandbox All Email Attachments
Use sandboxing to analyze and block inbound email attachments with malicious behavior.

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":

Requirement 5.2.1

5.2.1
Определенные Требования к Подходу:
Решение (решения) для защиты от вредоносных программ развернуто на всех компонентах системы, за исключением тех системных компонентов, которые были определены в ходе периодических оценок в соответствии с требованием 5.2.3, согласно которому компоненты системы не подвержены риску заражения вредоносными программами.

Цель Индивидуального подхода:
Внедрены автоматизированные механизмы, предотвращающие превращение систем в вектор атаки для вредоносных программ.

Определенные Процедуры Тестирования Подхода:

5.2.1.a Проверьте компоненты системы, чтобы убедиться, что решение (решения) для защиты от вредоносных программ развернуто на всех компонентах системы, за исключением тех, которые не подвержены риску заражения вредоносными программами на основе периодических оценок в соответствии с Требованием 5.2.3.
5.2.1.b Для любых компонентов системы, не имеющих решения для защиты от вредоносных программ, изучите периодические оценки, чтобы убедиться, что компонент был оценен, и в результате оценки делается вывод, что компонент не подвержен риску заражения вредоносными программами.

Цель:
Существует постоянный поток атак, нацеленных на вновь обнаруженные уязвимости в системах, ранее считавшихся безопасными. Без регулярно обновляемого решения для защиты от вредоносных программ новые формы вредоносных программ могут использоваться для атаки на системы, отключения сети или компрометации данных.

Надлежащая практика:
Организациям полезно знать об атаках "нулевого дня" (тех, которые используют ранее неизвестную уязвимость) и рассматривать решения, которые фокусируются на поведенческих характеристиках и будут предупреждать и реагировать на неожиданное поведение.

Определения:
Системные компоненты, которые, как известно, подвержены вредоносному ПО, имеют активные вредоносные эксплойты, доступные в реальном мире (а не только теоретические эксплойты).

Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":

АВЗ.1 АВЗ.1 Реализация антивирусной защиты

АВЗ.2 АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

ЗСВ.9 ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре

Strategies to Mitigate Cyber Security Incidents (EN):

1.9.

Operating system generic exploit mitigation e.g. Data Execution Prevention (DEP), Address Space Layout Randomisation (ASLR) and Enhanced Mitigation Experience Toolkit (EMET).
Relative Security Effectiveness: Excellent | Potential User Resistance: Low | Upfront Cost: Low | Ongoing Maintenance Cost: Low

1.3.

Configure Microsoft Office macro settings to block macros from the internet, and only allow vetted macros either in ‘trusted locations’ with limited write access or digitally signed with a trusted certificate.
Relative Security Effectiveness: Essential | Potential User Resistance: Medium | Upfront Cost: Medium | Ongoing Maintenance Cost: Medium

1.1.

Application control to prevent execution of unapproved/malicious programs including .exe, DLL, scripts (e.g. Windows Script Host, PowerShell and HTA) and installers.
Relative Security Effectiveness: Essential | Potential User Resistance: Medium | Upfront Cost: High | Ongoing Maintenance Cost: Medium

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":

А.8.7

А.8.7 Защита от вредоносного программного обеспечения
Должна быть реализована и поддерживаться соответствующей осведомленностью пользователей защита от вредоносного программного обеспечения.

Методика экспресс-оценки уровня кибербезопасности организации РезБез:

1.2.4.3.

Мероприятия по предотвращению недопустимых событий / ключевых рисков КБ учитываются при формировании стратегических инициатив

1.2.3.2.

Мероприятия по снижению рисков КБ учитываются при формировании стратегических инициатив

SWIFT Customer Security Controls Framework v2022:

6 - 6.1 Malware Protection

6.1 Malware Protection

Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":

АВЗ.1 АВЗ.1 Реализация антивирусной защиты

АВЗ.2 АВЗ.2 Антивирусная защита электронной почты и иных сервисов

АВЗ.5 АВЗ.5 Использование средств антивирусной защиты различных производителей

АВЗ.0 АВЗ.0 Разработка политики антивирусной защиты

АВЗ.4 АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

Положение Банка России № 683-П от 17.04.2019 "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента":

7.

7. Кредитные организации должны обеспечивать формирование для клиентов рекомендаций по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код) в целях противодействия осуществлению переводов денежных средств без согласия клиента.

NIST Cybersecurity Framework (EN):

PR.DS-6 PR.DS-6: Integrity checking mechanisms are used to verify software, firmware, and information integrity

DE.CM-4 DE.CM-4: Malicious code is detected

Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":

АВЗ.1 АВЗ.1 Реализация антивирусной защиты

АВЗ.2 АВЗ.2 Антивирусная защита электронной почты и иных сервисов

АВЗ.5 АВЗ.5 Использование средств антивирусной защиты различных производителей

АВЗ.0 АВЗ.0 Регламентация правил и процедур антивирусной защиты

АВЗ.4 АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":

А.8.7

А.8.7 Protection against malware
Protection against malware shall be implemented and supported by appropriate user awareness.

ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021

Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности

12.2.1

Список требований

12. Безопасность при эксплуатации

Похожие требования

Связанные защитные меры