Многолетний труд регуляторов привел к появлению в нашей стране уже третьего поколения законов в этой области. Казалось бы, за долгие годы обсуждений в блогах и на конференциях все спорные моменты должны быть утрясены. Но нет. Практика показала, что (как минимум в нашей стране) компании интересуются защитой на бумаге. Возможно, именно поэтому больше обсуждаются вопросы, связанные с юридическими тонкостями, — что защищать, как получать согласие, где размещать сервера. А вот вопросы методики оценки угроз и выбора мер защиты не проработаны вовсе. Реализовать надежную систему защиты нереально в принципе.
Еще одна проблема — «не читал, но обсуждаю». Громадное количество запросов и комментариев делаются без прочтения документов, которые обсуждаются.
Не согласны? Два простых вопроса:
Ответили? Давайте проверим ответы.
Защита персональных данных — это, пожалуй, та область, с которой в силу законодательных требований приходится сталкиваться наверно всем компаниям. Поэтому посмотрим на то, как видят решение проблемы антивирусной защиты на законодательном уровне, начнем именно с нее.
Антивирусная защиты с точки зрения Федерального закона от 27.07.2006 № 152-ФЗ
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. Федерального закона от 25.07.2011 N 261-ФЗ). (Здесь и далее для простоты из списков мер убраны нетехнические меры — составление списков лиц, назначение ответственных, использование сертифицированных продуктов и т. д. Там тоже много интересного, но статья и так уже неимоверно выросла)
Все! Слово «антивирус» не упоминается ни разу. Более или менее явно требуется контроль доступа, бекап, система логирования (в свете современной моды — DLP). Использование именно антивируса не определено. Согласно Федеральному закону № 152-ФЗ перечень мер по защите должно определить правительство:
Правда, тот же Федеральный закон № 152-ФЗ устанавливает, что меры, определяемые правительством, обязательны только для государственных или муниципальных органов:
Использовать или не использовать ПП 1119, определяющие эти меры обычным компаниям? По этому поводу было сломано немало копий.
Мое личное мнение:
Случаи, когда в компании не использовали классификацию из ПП 1119, мне не известны.
Безопасность с точки зрения правительства
Для очистки совести заглянем в ПП 1119:
Если подвести черту, то для защиты персональных данных нужно нанять охранника, не терять дискеты и документы, назначить ответственного и не пускать посторонних к логам. Это, отметим, меры для уровня Особой важности. Красота. Антивирусы опять не требуются.
Правда, ПП 1119 оговорилось:
Требования ФСТЭК России по защите персональных данных
На данный момент единственным документом, выпущенным ФСТЭК России, является Приказ № 21. Отдадим должное ФСТЭК. Несмотря на тяжелое наследие ПП 1119 документ, если рассматривать его как список мер (а порядок расчета угроз до сих пор не определен), неплохой. Откроем его.
Соответственно:
Не определен в приказе и функционал антивирусной защиты — все, что упоминается:
К счастью, поскольку в Приказе № 17 у нас определены полностью аналогичные меры по антивирусной защите — мы можем воспользоваться документом ФСТЭК России «Методический документ. Меры защиты информации в государственных информационных системах» и узнать, что думает регулятор о функциях антивируса.
Данное положение абсолютно правильно требует установки антивирусной защиты на всех компьютерах и устройствах, подверженных заражению (в том числе на личных устройствах и домашних компьютерах, с которых осуществляется доступ в информационную систему). Однако:
Кроме этого, необходимо отметить, что защита серверов средствами антивирусной защиты может не подразумевать защиту сервисов, работающих на них. Так, установка постоянной антивирусной защиты сервера (файлового монитора) не будет означать проверки почты, проходящей через MS Exchange, или трафика через MS ISA/TMG. В связи с этим на сервера нужно устанавливать несколько средств антивирусной защиты — для защиты самого сервиса, а также для защиты объектов, проходящих через сервисы, работающие на сервере, и недоступных для файлового антивируса по тем или иным причинам.
Также не очень удачно использование слов «внедрению (заражению)», так как заражение подразумевает запуск и активацию вредоносной программы, а внедрение может осуществляться простым размещением файла — в том числе на ОС, заражение которых данной вредоносной программой невозможно (например, размещением вредоносной программы на файловом сервере Linux).
Ключевая ошибка в определении задач защиты. Требуется перепроверка не только для ранее полученных объектов в случае их получения из внешних источников, но и для иных файлов/объектов (в том числе имевшихся в момент установки и/или размещенных злоумышленниками в обход систем безопасности). Проверка необходима в связи с тем, что на момент проникновения (внедрения) вредоносная программ может быть неизвестна антивирусной системе — но станет известной после очередного обновления.
Более того. Нужно проверять и уже запущенные процессы — там также могут находиться ранее неизвестные угрозы.
Ну и я бы добавил, что проверка при загрузке должна происходить до получения объекта клиентской программой (браузером, почтовым клиентом) — с целью исключения использования злоумышленниками уязвимостей этих программ для обхода встроенных в них систем защиты.
Распространенным явлением является изменение настроек, заданных администратором, пользователями системы, игнорирование рекомендаций по выполнению срочных действий для повышения безопасности. Но несмотря на то, что выше требовалась защита всех узлов сети, в данном пункте централизованное управление мобильными устройствами, личными компьютерами и т. д. не предусматривается.
Забавно, но в таблице, распределяющей меры защиты в зависимости от класса информационной системы, данное требование не упоминается вообще. К чему тогда слово «должен»?
Данное требование исходит из того, что в связи с тем, что поток создаваемых вредоносных программ достаточно велик, в произвольный момент времени каждая из антивирусных программ знает только часть из новейших вредоносных программ. Также логично, что, поскольку сети обнаружения вредоносных программ у каждого вендора свои, то часть вендоров найдет одни вредоносные файлы, часть — другие. В развернутом виде правило подразумевает, что любой документ, получаемый пользователем, должен проходить проверку двух антивирусов:
В таком виде требование описывается в Письме Банка России от 24.03.2014 N 49-Т:
и в Положении Банка России от 9 июня 2012 года № 382-П (с изменениями согласно Указаниям Банка России 3007-У от 05.06.2013, N 3361-У от 14.08.2014):
Однако, данное требование не учитывает изменившуюся систему разработки вредоносных программ — в реальности основную опасность представляют протестированные на актуальных версиях систем защиты вредоносные программы, не обнаруживаемые ими. В связи с чем количество антивирусов существенной роли не играет (при условии использования систем защиты равного уровня).
Но использование двух антивирусов в системе все же оправданно — если второй антивирус предназначен для периодических проверок на еще неизвестные производителю вредоносные файлы. Де-факто в России в качестве утилит экстренного лечения используется Dr.Web CureIt! (для лечения отдельных компьютеров) или Dr.Web CureNet! (для сканирования сети в целом).
Опять же используется слово «должна», но в списках мер защиты этот пункт не требуется. Полная проверка может занимать достаточно длительное время и действительно оправданна в случае либо подозрений на заражение, либо при отсутствии средств постоянной антивирусной защиты.
С учетом наличия неизвестных вредоносных файлов и уязвимостей — даст ли это надежную гарантию невнедрения закладок?
Обновление требуется на всех компонентах информационной системы, а управление — нет.
Фактически только эти два последних пункта указывают, что средство защиты — это антивирус, а не что-либо иное.
Отчетливо видно, что документ собирался из разных источников. В АВЗ.1 контроля памяти и запущенных процессов не требуют.
Если кто-то сможет поделиться схемой проверки с помощью безагентской защиты виртуальных машин памяти и запущенных процессов в виртуальных машинах — буду благодарен. До сего момента я не видел ни одной схемы защиты по безагентской технологии от неизвестных угроз.
Крайне интересно. Возможно ли обеспечить маршрутизацию потоков информации в виртуальной инфраструктуре через средство антивирусной защиты? Информация это не только трафик. Да и маршрутизация это не совсем проверка.
И в полном соответствии с этим пунктом уже требуют наличия антивируса на гипервизоре VmWare. Законодатели, не бросайтесь требованиями! Нам же все это реализовывать!
Для сокращения цитат были исключены требования по периодической поверке на наличие вредоносных программ (отметим, что не по антивирусному сканированию, а именно по проверке — разница существенная), наличию централизованного управления и обновления, распределения прав доступа по управлению, наличию системы оповещения администратора, поддержанию соответствующих процедур. Если кому интересны замечания по неупомянутым пунктам (тем более что среди них есть и неисполнимое) — спрашивайте.
Можно отметить, что данные требования не особо отличаются от представленных в иных стандартах и руководящих документах — в том числе зарубежных.
Заметно, что основной упор во всех требованиях к антивирусной защите делается на модули файлового монитора и антивирусного сканера. При этом обнаружение файловым монитором вредоносных программ определяется только при проникновении (записи) или запуске. Обнаружение особо опасных, ранее неизвестных вредоносных программ в качестве задачи антивируса не рассматривается вовсе! Единственное ограничение на распространение пока неизвестных вредоносных программ — запрет сменных носителей — явно недостаточно.
Для интереса рассмотрим список мер, которые в целом могут, по мнению регулятора, применяться для защиты данных (за исключением антивирусной защиты и защиты отдельных подсистем, меры по защите которых являются комбинацией иных мер).
В информационной системе подлежат реализации следующие меры защиты информации:
Если рассмотреть данный список внимательно, то будет очевидно, что большая часть перечисленных мер относится к мерам по антивирусной защите:
Забавно, что когда речь зашла о защите мобильных устройств, то требования по защите оказались близки к тому, что требовалось бы написать об антивирусной защите в целом:
Так требуется ли антивирус для защиты персональных данных?
Для тех, кто смог дочитать до конца — подведем итоги:
В следующей статье мы поговорим о необходимости сертификации средств антивирусной защиты. В связи с этим вопросы, которые нам часто задают:
В связи с командировкой заранее приношу извинения за возможные задержки с ответами.
Еще одна проблема — «не читал, но обсуждаю». Громадное количество запросов и комментариев делаются без прочтения документов, которые обсуждаются.
Не согласны? Два простых вопроса:
- Требуют ли законы и документы регуляторов в области персональных данных использования в качестве защиты антивируса?
- Можно ли использовать для защиты средства, имеющие зарубежные сертификаты?
Ответили? Давайте проверим ответы.
Защита персональных данных — это, пожалуй, та область, с которой в силу законодательных требований приходится сталкиваться наверно всем компаниям. Поэтому посмотрим на то, как видят решение проблемы антивирусной защиты на законодательном уровне, начнем именно с нее.
Антивирусная защиты с точки зрения Федерального закона от 27.07.2006 № 152-ФЗ
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. Федерального закона от 25.07.2011 N 261-ФЗ). (Здесь и далее для простоты из списков мер убраны нетехнические меры — составление списков лиц, назначение ответственных, использование сертифицированных продуктов и т. д. Там тоже много интересного, но статья и так уже неимоверно выросла)
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться…
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2. Обеспечение безопасности персональных данных достигается, в частности:
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
Все! Слово «антивирус» не упоминается ни разу. Более или менее явно требуется контроль доступа, бекап, система логирования (в свете современной моды — DLP). Использование именно антивируса не определено. Согласно Федеральному закону № 152-ФЗ перечень мер по защите должно определить правительство:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
2. Обеспечение безопасности персональных данных достигается, в частности:
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
Правда, тот же Федеральный закон № 152-ФЗ устанавливает, что меры, определяемые правительством, обязательны только для государственных или муниципальных органов:
Статья 18.1. Пункт 3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.
Использовать или не использовать ПП 1119, определяющие эти меры обычным компаниям? По этому поводу было сломано немало копий.
Мое личное мнение:
- Все равно никакого иного документа нет.
- Что бы мы ни придумали — в большинстве случаев прав окажется проверяющий.
Случаи, когда в компании не использовали классификацию из ПП 1119, мне не известны.
Безопасность с точки зрения правительства
Для очистки совести заглянем в ПП 1119:
13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
15. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
16. Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных пунктом 15 настоящего документа, необходимо выполнение следующих требований:
а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
Если подвести черту, то для защиты персональных данных нужно нанять охранника, не терять дискеты и документы, назначить ответственного и не пускать посторонних к логам. Это, отметим, меры для уровня Особой важности. Красота. Антивирусы опять не требуются.
Правда, ПП 1119 оговорилось:
4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».
Требования ФСТЭК России по защите персональных данных
На данный момент единственным документом, выпущенным ФСТЭК России, является Приказ № 21. Отдадим должное ФСТЭК. Несмотря на тяжелое наследие ПП 1119 документ, если рассматривать его как список мер (а порядок расчета угроз до сих пор не определен), неплохой. Откроем его.
8.6. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
Соответственно:
- Никакие иные меры защиты, определенные в приказе (а их достаточно много: управление доступом субъектов доступа к объектам доступа, ограничение программной среды, обеспечение целостности...), не направлены согласно приказу на защиту от вредоносных программ.
- «Меры по антивирусной защите» — это не антивирус, это список мер, направленных на ликвидацию угрозы от вредоносных программ. Более того, если антивирус не может быть установлен по причине низких системных требований — нет препятствий не использовать его:
10. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.
Не определен в приказе и функционал антивирусной защиты — все, что упоминается:
- АВЗ.1 Реализация антивирусной защиты
- АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
К счастью, поскольку в Приказе № 17 у нас определены полностью аналогичные меры по антивирусной защите — мы можем воспользоваться документом ФСТЭК России «Методический документ. Меры защиты информации в государственных информационных системах» и узнать, что думает регулятор о функциях антивируса.
3.6. АНТИВИРУСНАЯ ЗАЩИТА (АВЗ)
АВЗ.1 РЕАЛИЗАЦИЯ АНТИВИРУСНОЙ ЗАЩИТЫ
Требования к реализации АВЗ.1: Оператором должна обеспечиваться антивирусная защита информационной системы, включающая обнаружение компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
Реализация антивирусной защиты должна предусматривать:
- применение средств антивирусной защиты на автоматизированных рабочих местах, серверах, периметральных средствах защиты информации (средствах межсетевого экранирования, прокси-серверах, почтовых шлюзах и других средствах защиты информации), мобильных технических средствах и иных точках доступа в информационную систему, подверженных внедрению (заражению) вредоносными компьютерными программами (вирусами) через съемные машинные носители информации или сетевые подключения, в том числе к сетям общего пользования (вложения электронной почты, веб- и другие сетевые сервисы);
Данное положение абсолютно правильно требует установки антивирусной защиты на всех компьютерах и устройствах, подверженных заражению (в том числе на личных устройствах и домашних компьютерах, с которых осуществляется доступ в информационную систему). Однако:
- Существует ряд компьютеров и устройств, для которых установка необходимых средств защиты невозможна. В частности, к таким устройствам относятся технологические и встроенные системы, отрабатывающие жестко заданный порядок действий (циклограмму). В связи с тем, что любое антивирусное средство не гарантирует выполнение проверки за определенное время, то на такие устройства может быть установлен только антивирусный сканер, выполняющийся при старте системы или по внешней команде.
- Существуют устройства, работающие под малораспространенными операционными системами или под операционными системами, создатели которых не разрешают создания антивирусных средств защиты (Apple iOS и аналогичные).
- Невозможна установка антивирусных средств на устройства с малым размером оперативной памяти (старые компьютеры, сетевые устройства, принтеры, телевизоры и т. д.). Заражение данных устройств и/или использование их злоумышленниками возможно, но для установки и работы современных средств защиты не хватает ресурсов.
- Полноценная установка антивирусных средств также нежелательна на высоконагруженных системах.
Кроме этого, необходимо отметить, что защита серверов средствами антивирусной защиты может не подразумевать защиту сервисов, работающих на них. Так, установка постоянной антивирусной защиты сервера (файлового монитора) не будет означать проверки почты, проходящей через MS Exchange, или трафика через MS ISA/TMG. В связи с этим на сервера нужно устанавливать несколько средств антивирусной защиты — для защиты самого сервиса, а также для защиты объектов, проходящих через сервисы, работающие на сервере, и недоступных для файлового антивируса по тем или иным причинам.
Также не очень удачно использование слов «внедрению (заражению)», так как заражение подразумевает запуск и активацию вредоносной программы, а внедрение может осуществляться простым размещением файла — в том числе на ОС, заражение которых данной вредоносной программой невозможно (например, размещением вредоносной программы на файловом сервере Linux).
- проверку в масштабе времени, близком к реальному, объектов (файлов) из внешних источников (съемных машинных носителей информации, сетевых подключений, в том числе к сетям общего пользования, и других внешних источников) при загрузке, открытии или исполнении таких файлов;
Ключевая ошибка в определении задач защиты. Требуется перепроверка не только для ранее полученных объектов в случае их получения из внешних источников, но и для иных файлов/объектов (в том числе имевшихся в момент установки и/или размещенных злоумышленниками в обход систем безопасности). Проверка необходима в связи с тем, что на момент проникновения (внедрения) вредоносная программ может быть неизвестна антивирусной системе — но станет известной после очередного обновления.
Более того. Нужно проверять и уже запущенные процессы — там также могут находиться ранее неизвестные угрозы.
Ну и я бы добавил, что проверка при загрузке должна происходить до получения объекта клиентской программой (браузером, почтовым клиентом) — с целью исключения использования злоумышленниками уязвимостей этих программ для обхода встроенных в них систем защиты.
Требования к усилению АВЗ.1:
2) в информационной системе должно обеспечиваться централизованное управление (установка, удаление, обновление, конфигурирование и контроль актуальности версий программного обеспечения средств антивирусной защиты) средствами антивирусной защиты, установленными на компонентах информационной системы (серверах, автоматизированных рабочих местах);
Распространенным явлением является изменение настроек, заданных администратором, пользователями системы, игнорирование рекомендаций по выполнению срочных действий для повышения безопасности. Но несмотря на то, что выше требовалась защита всех узлов сети, в данном пункте централизованное управление мобильными устройствами, личными компьютерами и т. д. не предусматривается.
3) оператором должен обеспечиваться запрет использования съемных машинных носителей информации, которые могут являться источниками вредоносных компьютерных программ (вирусов);
Забавно, но в таблице, распределяющей меры защиты в зависимости от класса информационной системы, данное требование не упоминается вообще. К чему тогда слово «должен»?
4) в информационной системе должно обеспечиваться использование на разных уровнях информационной системы средств антивирусной защиты разных производителей;
Данное требование исходит из того, что в связи с тем, что поток создаваемых вредоносных программ достаточно велик, в произвольный момент времени каждая из антивирусных программ знает только часть из новейших вредоносных программ. Также логично, что, поскольку сети обнаружения вредоносных программ у каждого вендора свои, то часть вендоров найдет одни вредоносные файлы, часть — другие. В развернутом виде правило подразумевает, что любой документ, получаемый пользователем, должен проходить проверку двух антивирусов:
- при получении документа с файлового сервера или хранилища — антивирусом на файловом сервере и антивирусом на рабочей станции;
- при получении или отправке сообщения — антивирусом на почтовом сервере и антивирусом на рабочей станции;
- при получении или отправке файла в Интернет — антивирусом на шлюзе и антивирусом на рабочей станции.
В таком виде требование описывается в Письме Банка России от 24.03.2014 N 49-Т:
2.1.10. Использование средств защиты от ВК различных организаций-производителей или поставщиков и их раздельная установка на следующих группах средств вычислительной техники и объектов защиты:
- рабочие станции;
- серверы;
- маршрутизаторы и межсетевые экраны.
и в Положении Банка России от 9 июня 2012 года № 382-П (с изменениями согласно Указаниям Банка России 3007-У от 05.06.2013, N 3361-У от 14.08.2014):
2.7.3 Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают использование технических средств защиты информации от воздействия вредоносного кода различных производителей и их раздельную установку на персональных электронных вычислительных машинах и серверах, используемых для осуществления переводов денежных средств, а также на межсетевых экранах, задействованных в осуществлении переводов денежных средств, при наличии технической возможности.
Однако, данное требование не учитывает изменившуюся систему разработки вредоносных программ — в реальности основную опасность представляют протестированные на актуальных версиях систем защиты вредоносные программы, не обнаруживаемые ими. В связи с чем количество антивирусов существенной роли не играет (при условии использования систем защиты равного уровня).
Но использование двух антивирусов в системе все же оправданно — если второй антивирус предназначен для периодических проверок на еще неизвестные производителю вредоносные файлы. Де-факто в России в качестве утилит экстренного лечения используется Dr.Web CureIt! (для лечения отдельных компьютеров) или Dr.Web CureNet! (для сканирования сети в целом).
6) в информационной системе должна обеспечиваться проверка объектов файловой системы средством антивирусной защиты до загрузки операционной системы;
Опять же используется слово «должна», но в списках мер защиты этот пункт не требуется. Полная проверка может занимать достаточно длительное время и действительно оправданна в случае либо подозрений на заражение, либо при отсутствии средств постоянной антивирусной защиты.
8) оператором должна обеспечиваться антивирусная защита на этапе инициализации микропрограммного обеспечения средства вычислительной техники.
С учетом наличия неизвестных вредоносных файлов и уязвимостей — даст ли это надежную гарантию невнедрения закладок?
АВЗ.2 ОБНОВЛЕНИЕ БАЗЫ ДАННЫХ ПРИЗНАКОВ ВРЕДОНОСНЫХ КОМПЬЮТЕРНЫХ ПРОГРАММ (ВИРУСОВ)
Требования к усилению АВЗ.2:
2) в информационной системе должно обеспечиваться автоматическое обновление базы данных признаков вредоносных компьютерных программ (вирусов) на всех компонентах информационной системы;
Обновление требуется на всех компонентах информационной системы, а управление — нет.
3) в информационной системе должен обеспечиваться запрет изменений настроек системы обновления базы данных признаков вредоносных компьютерных программ (вирусов) на автоматизированных рабочих местах и серверах;
4) в информационной системе должна обеспечиваться возможность возврата (отката) к предыдущим обновлениям базы данных признаков вредоносных компьютерных программ (вирусов).
Фактически только эти два последних пункта указывают, что средство защиты — это антивирус, а не что-либо иное.
ЗСВ.9 РЕАЛИЗАЦИЯ И УПРАВЛЕНИЕ АНТИВИРУСНОЙ ЗАЩИТОЙ В ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЕ
Требования к реализации ЗСВ.9: В информационной системе должны обеспечиваться реализация и управление антивирусной защитой в виртуальной инфраструктуре в соответствии с АВЗ.1, АВЗ.2.
При реализации соответствующих мер должны обеспечиваться:
- проверка наличия вредоносных программ (вирусов) в хостовой операционной системе, включая контроль файловой системы, памяти, запущенных приложений и процессов;
Отчетливо видно, что документ собирался из разных источников. В АВЗ.1 контроля памяти и запущенных процессов не требуют.
- проверка наличия вредоносных программ в гостевой операционной системе, в процессе ее функционирования, включая контроль файловой системы, памяти, запущенных приложений и процессов.
Если кто-то сможет поделиться схемой проверки с помощью безагентской защиты виртуальных машин памяти и запущенных процессов в виртуальных машинах — буду благодарен. До сего момента я не видел ни одной схемы защиты по безагентской технологии от неизвестных угроз.
Требования к усилению ЗСВ.9:
2) в информационной системе должен обеспечиваться контроль функционирования средств антивирусной защиты в виртуальной инфраструктуре, в том числе маршрутизация потоков информации в виртуальной инфраструктуре через средство антивирусной защиты;
Крайне интересно. Возможно ли обеспечить маршрутизацию потоков информации в виртуальной инфраструктуре через средство антивирусной защиты? Информация это не только трафик. Да и маршрутизация это не совсем проверка.
4) в информационной системе должна обеспечиваться проверка наличия вредоносных программ (вирусов) в гипервизоре;
И в полном соответствии с этим пунктом уже требуют наличия антивируса на гипервизоре VmWare. Законодатели, не бросайтесь требованиями! Нам же все это реализовывать!
Для сокращения цитат были исключены требования по периодической поверке на наличие вредоносных программ (отметим, что не по антивирусному сканированию, а именно по проверке — разница существенная), наличию централизованного управления и обновления, распределения прав доступа по управлению, наличию системы оповещения администратора, поддержанию соответствующих процедур. Если кому интересны замечания по неупомянутым пунктам (тем более что среди них есть и неисполнимое) — спрашивайте.
Можно отметить, что данные требования не особо отличаются от представленных в иных стандартах и руководящих документах — в том числе зарубежных.
Заметно, что основной упор во всех требованиях к антивирусной защите делается на модули файлового монитора и антивирусного сканера. При этом обнаружение файловым монитором вредоносных программ определяется только при проникновении (записи) или запуске. Обнаружение особо опасных, ранее неизвестных вредоносных программ в качестве задачи антивируса не рассматривается вовсе! Единственное ограничение на распространение пока неизвестных вредоносных программ — запрет сменных носителей — явно недостаточно.
Для интереса рассмотрим список мер, которые в целом могут, по мнению регулятора, применяться для защиты данных (за исключением антивирусной защиты и защиты отдельных подсистем, меры по защите которых являются комбинацией иных мер).
В информационной системе подлежат реализации следующие меры защиты информации:
- идентификация и аутентификация субъектов доступа и объектов доступа;
- управление доступом субъектов доступа к объектам доступа;
- ограничение программной среды;
- защита машинных носителей информации;
- регистрация событий безопасности;
- обнаружение (предотвращение) вторжений;
- обеспечение целостности информационной системы и информации;
- защита информационной системы, ее средств и систем связи и передачи данных.
Если рассмотреть данный список внимательно, то будет очевидно, что большая часть перечисленных мер относится к мерам по антивирусной защите:
- управление доступом субъектов доступа к объектам доступа, идентификация и аутентификация субъектов доступа и объектов доступа, ограничение программной среды, защита машинных носителей информации — это меры, предотвращающие внедрение вредоносных программ путем ограничения прав доступа пользователей, под которыми могут внедряться программы;
- обнаружение (предотвращение) вторжений, обеспечение целостности информационной системы и информации — это меры, предотвращающие внедрение вредоносных программ за счет нарушения нормальной работы программ и систем.
Забавно, что когда речь зашла о защите мобильных устройств, то требования по защите оказались близки к тому, что требовалось бы написать об антивирусной защите в целом:
ЗИС.30 ЗАЩИТА МОБИЛЬНЫХ ТЕХНИЧЕСКИХ СРЕДСТВ, ПРИМЕНЯЕМЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ
Требования к реализации ЗИС.30: Оператором должна осуществляться защита применяемых в информационной системе мобильных технических средств.
Защита мобильных технических средств включает:
Реализацию в зависимости от мобильного технического средства (типа мобильного технического средства) мер по идентификации и аутентификации в соответствии с ИАФ.1 и ИАФ.5, управлению доступом в соответствии с УПД.2, УПД.5, УПД.13 и УПД.15, ограничению программной среды в соответствии с ОПС.3, защите машинных носителей информации в соответствии с ЗНИ.1, ЗНИ.2, ЗНИ.4, ЗНИ.8, регистрации событий безопасности в соответствии с РСБ.1, РСБ.2, РСБ.3 и РСБ.5, антивирусной защите в соответствии с АВЗ.1 и АВЗ.2, контролю (анализу) защищенности в соответствии с АНЗ.1, АНЗ.2 и АНЗ.3, обеспечению целостности в соответствии с ОЦЛ.1.
Так требуется ли антивирус для защиты персональных данных?
Для тех, кто смог дочитать до конца — подведем итоги:
- Как Федеральный закон № 152-ФЗ, так и приказы регуляторов не ограничивают в использовании средств антивирусной защиты. Требование использования только антивируса появляется лишь в требованиях Методического документа в разделе обновлений. Более того, если вы опираетесь на ПП 1119 и вы не можете использовать антивирус по тем или иным причинам — вы можете заменить его другими средствами. Но доказывать свое видение проверяющим вы должны будете сами.
- Меры защиты, задаваемые регуляторами, не рассчитаны на защиту от неизвестных угроз. Соответственно, те, кто думает, что они, выполнив требования, защищены от атак — расслабьтесь.
- Требования регуляторов в области персональных данных не обеспечивают защиту всех узлов сети.
В следующей статье мы поговорим о необходимости сертификации средств антивирусной защиты. В связи с этим вопросы, которые нам часто задают:
- Необходимо ли использование продуктов, сертифицированных на соответствие Федеральному закону № 152-ФЗ?
- Нужно ли сертифицировать файерволы, входящие с антивирусные продукты, на требования профилей защиты?
В связи с командировкой заранее приношу извинения за возможные задержки с ответами.