Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

A.12.2.1

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 5 п.п. 2
7.5.2. Рекомендуется организовать функционирование постоянной антивирусной защиты в автоматическом режиме и автоматический режим установки обновлений антивирусного программного обеспечения и его баз данных.
Р. 7 п. 5 п.п. 5
7.5.5. В организации БС РФ должна быть организована антивирусная фильтрация всего трафика электронного почтового обмена.
Р. 7 п. 5 п.п. 4
7.5.4. Должны быть разработаны и введены в действие инструкции и рекомендации по антивирусной защите, учитывающие особенности банковских технологических процессов.
Р. 7 п. 5 п.п. 6
7.5.6. В организации БС РФ должна быть организована эшелонированная централизованная система антивирусной защиты, предусматривающая использование средств антивирусной защиты различных производителей на:
  • рабочих станциях;
  • серверном оборудовании, в том числе серверах электронной почты;
  • технических средствах межсетевого экранирования.
Р. 7 п. 5 п.п. 3
7.5.3. Перед подключением съемных носителей информации к средствам вычислительной техники, задействованным в рамках осуществления банковских технологических процессов, рекомендуется проводить их антивирусную проверку на специально выделенном автономном средстве вычислительной техники.
Р. 7 п. 5 п.п. 1
7.5.1. На всех автоматизированных рабочих местах и серверах АБС организации БС РФ должны применяться средства антивирусной защиты, если иное не предусмотрено реализацией технологического процесса.
В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры установки и регулярного обновления средств антивирусной защиты (версий и баз данных) на автоматизированных рабочих местах и серверах АБС.
Р. 7 п. 5 п.п. 7
7.5.7. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры предварительной проверки устанавливаемого или изменяемого программного обеспечения на отсутствие вирусов. После установки или изменения программного обеспечения должна быть выполнена антивирусная проверка.
CIS Critical Security Controls v8 (The 18 CIS CSC):
10.2
10.2 Configure Automatic Anti-Malware Signature Updates
Configure automatic updates for anti-malware signature files on all enterprise assets. 
10.3 
10.3 Disable Autorun and Autoplay for Removable Media
Disable autorun and autoplay auto-execute functionality for removable media. 
10.6
10.6 Centrally Manage Anti-Malware Software
Centrally manage anti-malware software 
10.4
10.4 Configure Automatic Anti-Malware Scanning of Removable Media 
Configure anti-malware software to automatically scan removable media 
10.5
10.5 Enable Anti-Exploitation Features
Enable anti-exploitation features on enterprise assets and software, where possible, such as Microsoft® Data Execution Prevention (DEP), Windows® Defender Exploit Guard (WDEG), or Apple® System Integrity Protection (SIP) and Gatekeeper™. 
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЗВК.20
ЗВК.20 Выполнение предварительных проверок на отсутствие вредоносного кода устанавливаемого или изменяемого ПО, а также выполнение проверки после установки и (или) изменения ПО
3-Н 2-О 1-О
ЗВК.15
ЗВК.15 Выполнение проверок на отсутствие вредоносного кода путем анализа информационных потоков между сегментами контуров безопасности и иными внутренними вычислительными сетями финансовой организации
3-Н 2-Т 1-Т
ЗВК.6
ЗВК.6 Реализация защиты от вредоносного кода на уровне входного контроля устройств и переносных (отчуждаемых) носителей информации
3-Т 2-Т 1-Т
ЗВК.1
ЗВК.1 Реализация защиты от вредоносного кода на уровне физических АРМ пользователей и эксплуатационного персонала
3-Т 2-Т 1-Т
ЗВК.9
ЗВК.9 Функционирование средств защиты от вредоносного кода на АРМ пользователей и эксплуатационного персонала в резидентном режиме (в режиме service - для операционной системы Windows, в режиме daemon - для операционной системы Unix), их автоматический запуск при загрузке операционной системы
3-Т 2-Т 1-Т
ЗВК.4
ЗВК.4 Реализация защиты от вредоносного кода на уровне контроля межсетевого трафика
3-Н 2-Т 1-Т
ЗУД.11
ЗУД.11 Обеспечение защиты мобильных (переносных) устройств от воздействий вредоносного кода
3-Т 2-Т 1-Т
ЗВК.3
ЗВК.3 Реализация защиты от вредоносного кода на уровне серверного оборудования
3-Т 2-Т 1-Т
ЗВК.5
ЗВК.5 Реализация защиты от вредоносного кода на уровне контроля почтового трафика
3-Т 2-Т 1-Т
ЗВК.10
ЗВК.10 Применение средств защиты от вредоносного кода, реализующих функцию контроля целостности их программных компонентов
3-Т 2-Т 1-Т
ЗВК.13
ЗВК.13 Использование средств защиты от вредоносного кода различных производителей, как минимум для уровней: - физические АРМ пользователей и эксплуатационного персонала; - серверное оборудование
3-Т 2-Н 1-Н
ЗВК.7
ЗВК.7 Реализация защиты от вредоносного кода на уровне контроля общедоступных объектов доступа (в том числе банкоматов, платежных терминалов)
3-Т 2-Т 1-Т
ЗВК.2
ЗВК.2 Реализация защиты от вредоносного кода на уровне виртуальной информационной инфраструктуры
3-Т 2-Т 1-Т
ЗВК.23
ЗВК.23 Регистрация фактов выявления вредоносного кода
3-Т 2-Т 1-Т
ЗВК.16
ЗВК.16 Выполнение проверок на отсутствие вредоносного кода путем анализа информационных потоков между внутренними вычислительными сетями финансовой организации и сетью Интернет
3-Н 2-Т 1-Т
ЗВК.17
ЗВК.17 Выполнение проверок на отсутствие вредоносного кода путем анализа информационных потоков между сегментами, предназначенными для размещения общедоступных объектов доступа (в том числе банкоматов, платежных терминалов), и сетью Интернет
3-Н 2-Т 1-Т
ЗВК.8
ЗВК.8 Функционирование средств защиты от вредоносного кода в постоянном, автоматическом режиме, в том числе в части установки их обновлений и сигнатурных баз данных
3-Т 2-Т 1-Т
ЗВК.12
ЗВК.12 Выполнение еженедельных операций по проведению проверок на отсутствие вредоносного кода
3-Т 2-Т 1-Т
NIST Cybersecurity Framework (RU):
DE.CM-4
DE.CM-4: Обнаруживается вредоносный код 
PR.DS-6
PR.DS-6: Механизмы проверки целостности используются для проверки программного обеспечения, встроенного  программного обеспечения и целостности информации. 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
АВЗ.2 АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
АВЗ.1 АВЗ.1 Реализация антивирусной защиты
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВРВ.6
ВРВ.6 Реализация защиты от вредоносного кода на основе полученных сведений об актуальных индикаторах компрометации объектов информатизации, в том числе с привлечением для выполнения такой деятельности специалистов, обладающих необходимой компетенцией***.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
10.2
10.2 Реализовано автоматическое обновление сигнатур вредоносного программного кода
Настроить автоматическое обновление сигнатур защиты от вредоносных программ. 
10.5
10.5 Включена защита от эксплуатации уязвимостей
Примеры решений: Microsoft​ Data Execution Prevention (DEP), Windows​ Defender Exploit Guard (WDEG), Apple​ System Integrity Protection (SIP), Gatekeeper​.
10.3 
10.3 Реализован запрет автоматического запуска для съемных носителей информации
Запретить автозапуск для съемных носителей. 
10.6
10.6 Реализовано централизованное управление средствами защиты от вредоносного программного кода
Внедрить централизованное управление защитой от вредоносного программного обеспечения
10.4
10.4 Автоматически проводится проверка на наличие вредоносного программного кода для съемных носителей информации
Настроить автоматическое сканирование на вредоносное программное обеспечение для съемных носителей
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 5.2.1
5.2.1
Defined Approach Requirements: 
An anti-malware solution(s) is deployed on all system components, except for those system components identified in periodic evaluations per Requirement 5.2.3 that concludes the system components are not at risk from malware. 

Customized Approach Objective:
Automated mechanisms are implemented to prevent systems from becoming an attack vector for malware. 

Defined Approach Testing Procedures:
  • 5.2.1.a Examine system components to verify that an anti-malware solution(s) is deployed on all system components, except for those determined to not be at risk from malware based on periodic evaluations per Requirement 5.2.3. 
  • 5.2.1.b For any system components without an anti-malware solution, examine the periodic evaluations to verify the component was evaluated and the evaluation concludes that the component is not at risk from malware. 
Purpose:
There is a constant stream of attacks targeting newly discovered vulnerabilities in systems previously regarded as secure. Without an antimalware solution that is updated regularly, new forms of malware can be used to attack systems, disable a network, or compromise data. 

Good Practice:
It is beneficial for entities to be aware of "zeroday" attacks (those that exploit a previously unknown vulnerability) and consider solutions that focus on behavioral characteristics and will alert and react to unexpected behavior. 

Definitions:
System components known to be affected by malware have active malware exploits available in the real world (not only theoretical exploits) 
Guideline for a healthy information system v.2.0 (EN):
14 STANDARD
/STANDARD
Depending on his level of IT security practices, the user, a great deal of the time, is the first port of call for hackers trying to enter the system. It is therefore fundamental to implement a minimum level of security across the entire IT stock of the organization (user devices, servers, printers, phones, USB peripherals, etc.) by implementing the following measures:
  • limit the applications installed and optional modules in web browsers to just what is required;
  • equip users’ devices with an anti-virus and activate a local firewall (these are often included in the operating system);
  • encrypt the partitions where user data is stored;
  • deactivate automatic executions (autorun). 
In the event of a necessary exception from the general security rules applicable to devices, these devices must be isolated from the system (if it is impossible to update certain applications for interoperability reasons for example). 
Постановление Правительства РФ № 584 от 13.06.2012 "Положение о защите информации в платежной системе":
п. 4 п.п. е)
е) применение средств защиты информации (шифровальные (криптографические) средства, средства защиты информации от несанкционированного доступа, средства антивирусной защиты, средства межсетевого экранирования, системы обнаружения вторжений, средства контроля (анализа) защищенности);
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 7.10 CSC 7.10 Sandbox All Email Attachments
Use sandboxing to analyze and block inbound email attachments with malicious behavior.
CSC 8.5 CSC 8.5 Configure Devices to Not Auto-Run Content
Configure devices to not auto-run content from removable media.
CSC 8.4 CSC 8.4 Configure Anti-Malware Scanning of Removable Devices
Configure devices so that they automatically conduct an anti-malware scan of removable media when inserted or connected.
CSC 8.3 CSC 8.3 Enable Operating System Anti-Exploitation Features/Deploy Anti-Exploit Technologies
Enable anti-exploitation features such as Data Execution Prevention (DEP) or Address Space Layout Randomization (ASLR) that are available in an operating system or deploy appropriate toolkits that can be configured to apply protection to a broader set of applications and executables.
CSC 8.1 CSC 8.1 Utilize Centrally Managed Anti-malware Software
Utilize centrally managed anti-malware software to continuously monitor and defend each of the organization's workstations and servers.
CSC 8.2 CSC 8.2 Ensure Anti-Malware Software and Signatures Are Updated
Ensure that the organization's anti-malware software updates its scanning engine and signature database on a regular basis.
CSC 8.6 CSC 8.6 Centralize Anti-Malware Logging
Send all malware detection events to enterprise anti-malware administration tools and event log servers for analysis and alerting.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 5.2.1
5.2.1
Определенные Требования к Подходу:
Решение (решения) для защиты от вредоносных программ развернуто на всех компонентах системы, за исключением тех системных компонентов, которые были определены в ходе периодических оценок в соответствии с требованием 5.2.3, согласно которому компоненты системы не подвержены риску заражения вредоносными программами.

Цель Индивидуального подхода:
Внедрены автоматизированные механизмы, предотвращающие превращение систем в вектор атаки для вредоносных программ.

Определенные Процедуры Тестирования Подхода:
  • 5.2.1.a Проверьте компоненты системы, чтобы убедиться, что решение (решения) для защиты от вредоносных программ развернуто на всех компонентах системы, за исключением тех, которые не подвержены риску заражения вредоносными программами на основе периодических оценок в соответствии с Требованием 5.2.3.
  • 5.2.1.b Для любых компонентов системы, не имеющих решения для защиты от вредоносных программ, изучите периодические оценки, чтобы убедиться, что компонент был оценен, и в результате оценки делается вывод, что компонент не подвержен риску заражения вредоносными программами.
Цель:
Существует постоянный поток атак, нацеленных на вновь обнаруженные уязвимости в системах, ранее считавшихся безопасными. Без регулярно обновляемого решения для защиты от вредоносных программ новые формы вредоносных программ могут использоваться для атаки на системы, отключения сети или компрометации данных.

Надлежащая практика:
Организациям полезно знать об атаках "нулевого дня" (тех, которые используют ранее неизвестную уязвимость) и рассматривать решения, которые фокусируются на поведенческих характеристиках и будут предупреждать и реагировать на неожиданное поведение.

Определения:
Системные компоненты, которые, как известно, подвержены вредоносному ПО, имеют активные вредоносные эксплойты, доступные в реальном мире (а не только теоретические эксплойты).
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
АВЗ.2 АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
ЗСВ.9 ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре
АВЗ.1 АВЗ.1 Реализация антивирусной защиты
Strategies to Mitigate Cyber Security Incidents (EN):
1.1.
Application control to prevent execution of unapproved/malicious programs including .exe, DLL, scripts (e.g. Windows Script Host, PowerShell and HTA) and installers.
Relative Security Effectiveness:  Essential | Potential User Resistance:  Medium | Upfront Cost:  High | Ongoing Maintenance Cost:  Medium
1.3.
Configure Microsoft Office macro settings to block macros from the internet, and only allow vetted macros either in ‘trusted locations’ with limited write access or digitally signed with a trusted certificate.
Relative Security Effectiveness:  Essential | Potential User Resistance:  Medium | Upfront Cost:  Medium | Ongoing Maintenance Cost:  Medium
1.9.
Operating system generic exploit mitigation e.g. Data Execution Prevention (DEP), Address Space Layout Randomisation (ASLR) and Enhanced Mitigation Experience Toolkit (EMET).
Relative Security Effectiveness:  Excellent | Potential User Resistance:  Low | Upfront Cost:  Low | Ongoing Maintenance Cost:  Low
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.7
А.8.7 Защита от вредоносного программного обеспечения
Должна быть реализована и поддерживаться соответствующей осведомленностью пользователей защита от вредоносного программного обеспечения.
Методика экспресс-оценки уровня кибербезопасности организации РезБез:
1.2.3.2.
Мероприятия по снижению рисков КБ учитываются при формировании стратегических инициатив
1.2.4.3.
Мероприятия по предотвращению недопустимых событий / ключевых рисков КБ учитываются при формировании стратегических инициатив
SWIFT Customer Security Controls Framework v2022:
6 - 6.1 Malware Protection
6.1 Malware Protection
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
АВЗ.4 АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
АВЗ.1 АВЗ.1 Реализация антивирусной защиты
АВЗ.0 АВЗ.0 Разработка политики антивирусной защиты
АВЗ.2 АВЗ.2 Антивирусная защита электронной почты и иных сервисов
АВЗ.5 АВЗ.5 Использование средств антивирусной защиты различных производителей
Положение Банка России № 683-П от 17.04.2019 "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента":
7.
7. Кредитные организации должны обеспечивать формирование для клиентов рекомендаций по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код) в целях противодействия осуществлению переводов денежных средств без согласия клиента.
NIST Cybersecurity Framework (EN):
DE.CM-4 DE.CM-4: Malicious code is detected
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
АВЗ.4 АВЗ.4 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
АВЗ.0 АВЗ.0 Регламентация правил и процедур антивирусной защиты
АВЗ.2 АВЗ.2 Антивирусная защита электронной почты и иных сервисов
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
12.2.1
12.2.1 Меры обеспечения информационной безопасности в отношении вредоносных программ

Мера обеспечения ИБ
Для защиты от вредоносных программ должны быть реализованы меры обеспечения ИБ, связанные с обнаружением, предотвращением и восстановлением, в сочетании с соответствующим информированием пользователей.

Руководство по применению
Защита от вредоносных программ должна основываться на применении программного обеспечения для обнаружения вредоносных программ и восстановления данных, осведомленности об ИБ, соответствующих мерах контроля доступа к системе и управлению изменениями. Следует принять во внимание следующие рекомендации:
  • a) установление формальной политики, запрещающей использование неавторизованного программного обеспечения (см. 12.6.2 и 14.2);
  • b) реализация мер обеспечения ИБ, которые предотвращают или обнаруживают использование неавторизованного программного обеспечения (например, белый список приложений);
  • c) внедрение мер обеспечения ИБ, которые предотвращают или обнаруживают обращение к известным или предполагаемым вредоносным веб-сайтам (например, ведение черного списка);
  • d) установление формальной политики для защиты от рисков, связанных с получением файлов и программного обеспечения из внешних сетей или через них, либо с помощью других способов, с указанием мер по защите;
  • e) снижение числа уязвимостей, которые могут быть использованы вредоносными программами, например через менеджмент технических уязвимостей (см. 12.6);
  • f) проведение регулярных проверок программного обеспечения и содержимого систем, поддерживающих критические бизнес-процессы; наличие любых несанкционированных файлов или неавторизованных изменений должно быть официально расследовано;
  • g) установка и регулярное обновление программного обеспечения для обнаружения вредоносных программ и восстановления, предназначенного для сканирования компьютеров и носителей в качестве предупреждающей меры или на регулярной основе; проводимое сканирование должно включать в себя:
  1. проверку любых файлов, полученных по сети или через любой другой носитель, на наличие вредоносных программ перед использованием;
  2. проверку вложений и загружаемых файлов электронной почты на наличие вредоносных программ перед использованием; такое сканирование должно проводиться в разных местах, например на серверах электронной почты, настольных компьютерах и на первой линии сети организации;
  3. проверку веб-страницы на наличие вредоносных программ;
  • h) определение процедур и обязанностей по обеспечению защиты от вредоносных программ в системах, обучению их использованию, составлению отчетов и восстановлению после атак с применением вредоносных программ;
  • i) подготовка соответствующих планов обеспечения непрерывности бизнеса для восстановления после атак с применением вредоносных программ, включая все необходимые меры по резервному копированию и восстановлению данных и программного обеспечения (см. 12.3);
  • j) внедрение процедур регулярного сбора информации, таких как подписка на списки рассылки или посещение веб-сайтов, предоставляющих информацию о новых вредоносных программах;
  • k) внедрение процедур для проверки информации, относящейся к вредоносным программам, и обеспечения уверенности в том, что предупреждающие бюллетени точны и информативны; руководители должны гарантировать, что для дифференциации между реальными вредоносными программами и ложными используются квалифицированные источники, например авторитетные журналы, надежные веб-сайты или поставщики программного обеспечения по защите от вредоносных программ; все пользователи должны быть осведомлены о проблеме ложных вредоносных программ и о том, что необходимо делать при их получении;
  • l) изолирование сред, где могут возникнуть катастрофические последствия.

Дополнительная информация
Использование двух или более программных продуктов от разных поставщиков, которые основываются на различных технологиях защиты от вредоносных программ, в среде обработки информации может повысить эффективность защиты от вредоносных программ.
Следует проявлять осторожность при защите от внедрения вредоносного кода во время обслуживания и аварийных процедур, которые могут обойти обычные меры защиты от вредоносного программного обеспечения.
При определенных условиях защита от вредоносных программ может вызвать нарушения в работе средств обработки информации.
Использование в качестве меры защиты от вредоносного программного обеспечения только средства обнаружения и восстановления обычно недостаточно и требует сопровождения эксплуатационными процедурами для предотвращения внедрения вредоносных программ.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.7
А.8.7 Protection against malware
Protection against malware shall be implemented and supported by appropriate user awareness.

Связанные защитные меры

Название Дата Влияние
Community
2 21 / 149
Ограничение запуска неизвестного ПО с помощью Windows SmartScreen
Автоматически Техническая Превентивная
16.02.2022
16.02.2022 2 21 / 149
Community
1 21 / 106
Антивирусная защита рабочих станций
Автоматически Техническая Превентивная
11.02.2022
11.02.2022 1 21 / 106
Community
10 23 / 111
Централизация системы антивирусной защиты (АВЗ)
Вручную Техническая Превентивная
31.05.2021
31.05.2021 10 23 / 111

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.