Основы проектирования защищенных инфокоммуникационных систем
ЛЕКЦИЯ № 11
Сторожук Николай Леонидович доцент кафедры ЗСС, к.т.н.
МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ В ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
ФЕДЕРАЛЬНАЯ СЛУЖБА
ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК РОССИИ)
Часть 4
Утвержден ФСТЭК России 11 февраля 2014 г.
АНТИВИРУСНАЯ ЗАЩИТА (АВЗ) РЕАЛИЗАЦИЯ АНТИВИРУСНОЙ ЗАЩИТЫ АВЗ.1
Требования к реализации АВЗ.1
Оператором должна обеспечиваться антивирусная защита информационной системы, включающая обнаружение компьютерных программ/ информации, предназначенных для нейтрализации средств её защиты.
Реализация должна предусматривать:
•применение средств антивирусной защиты на компонентах, подверженных заражению вредоносными компьютерными программами через съемные машинные носители информации или сетевые подключения;
•установку, конфигурирование и управление средствами антивирусной защиты;
•предоставление им доступа к объектам информационной системы, которые должны быть подвергнуты проверке;
•проведение периодических проверок ИС на наличие вредоносных компьютерных программ;
•проверку в масштабе времени, близком к реальному, объектов из внешних источников при загрузке, открытии или исполнении таких файлов;
•оповещение администраторов безопасности об обнаружении таких программ.
Правила и процедуры антивирусной защиты ИС регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению АВЗ.1
ВИС должно обеспечиваться:
•Предоставление прав по управлению средствами антивирусной защиты администратору безопасности;
•Централизованное управление средствами антивирусной защиты, установленными на компонентах информационной системы;
•Оператором должен обеспечиваться запрет использования съемных машинных носителей информации, которые могут являться источниками вредоносных компьютерных программ;
•Использование на разных уровнях информационной системы средств антивирусной защиты разных производителей;
•Проверка работоспособности, актуальность базы данных признаков компьютерных вирусов и версии программного обеспечения средств антивирусной защиты;
•Проверка объектов файловой системы средством антивирусной защиты до загрузки операционной системы;
•Регистрация событий о неуспешном обновлении базы данных признаков вредоносных компьютерных программ;
•Оператором должна обеспечиваться антивирусная защита на этапе инициализации микропрограммного обеспечения средства вычислительной техники.
Содержание базовой меры АВЗ.1
ОБНОВЛЕНИЕ БАЗЫ ДАННЫХ ПРИЗНАКОВ ВРЕДОНОСНЫХ КОМПЬЮТЕРНЫХ ПРОГРАММ (ВИРУСОВ) АВЗ.2
Требования к реализации АВЗ.2
Оператором должно быть обеспечено обновление базы данных признаков вредоносных компьютерных программ.
Оно должно предусматривать:
•получение уведомлений о необходимости обновлений и непосредственном обновлении;
•получение из доверенных источников и установку обновлений;
•контроль их целостности.
Правила и процедуры обновления регламентируются в организационно- распорядительных документах оператора по защите информации.
Требования к усилению АВЗ.2
ВИС должно обеспечиваться:
•централизованное управление обновлением;
•автоматическое обновление на всех компонентах информационной системы;
•запрет изменений настроек системы обновления на автоматизированных рабочих местах и серверах;
•возможность возврата (отката) к предыдущим обновлениям.
Содержание базовой меры АВЗ.2
ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ (СОВ) ОБНАРУЖЕНИЕ ВТОРЖЕНИЙ СОВ.1
Требования к реализации СОВ.1
Оператором должно обеспечиваться обнаружение вторжений, направленных на преднамеренный несанкционированный доступ к информации с использованием соответствующей системы. Она должна включать компоненты регистрации событий безопасности, компоненты их анализа и базу решающих правил, содержащую информацию о характерных признаках. Обнаружение должно осуществляться на внешней границе информационной системы и/ или на внутренних узлах её сегментов, определяемых оператором. Права по их управлению должны предоставляться только уполномоченным должностным лицам. Такие системы должны обеспечивать реагирование на обнаруженные и распознанные компьютерные атаки с учетом особенностей функционирования информационных систем.
Правила и процедуры обнаружения вторжений регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению СОВ.1
Оператором обеспечивается:
•применение систем обнаружения вторжений уровня сети, обеспечивающих сбор и анализ информации об информационных потоках, передаваемых в рамках сегмента ИС;
•в информационной системе обеспечивается централизованное управление компонентами системы обнаружения;
•обнаружение и реагирование на компьютерные атаки в масштабе времени, близком к реальному;
•защита информации от несанкционированного доступа, модификации и удаления;
•применение систем на автоматизированных рабочих местах и серверах информационной системы; на прикладном уровне базовой эталонной модели взаимосвязи открытых систем.
Содержание базовой меры СОВ.1
ОБНОВЛЕНИЕ БАЗЫ РЕШАЮЩИХ ПРАВИЛ СОВ.2
Требования к реализации СОВ.2
Оператором должно обеспечиваться обновление базы решающих правил системы обнаружения вторжений, применяемой в информационной системе.
Обновление базы решающих правил системы обнаружения вторжений должно предусматривать:
•получение уведомлений о необходимости обновлений и непосредственном обновлении;
•получение из доверенных источников и установку обновлений;
•контроль целостности обновлений.
Правила и процедуры обновления регламентируются в организационно- распорядительных документах оператора по защите информации.