Финансовые учреждения на данный момент являются самыми зарегулированными с точки зрения безопасности. Наличие многочисленных приказов, писем и стандартов позволяет, казалось бы, ответить на любой вопрос в ходе разработки и реализации политики безопасности.

Но это только на первый взгляд, и на самом деле выполнение требований того же стандарта СТО БР РФ не обеспечит никакой антивирусной безопасности — разработчики стандарта находятся в плену традиционных представлений об антивирусах и антивирусной системе защиты. С другой стороны, наличие возможностей свободного толкования положений законов и стандартов позволяет недобросовестным поставщикам обосновывать свое «соответствие» букве требований.

На что же нужно обращать внимание при реализации антивирусной защиты в банковской сфере?

Как показывает практика, львиная доля вопросов и заблуждений связана с защитой банкоматов и терминалов. И вызываются они незнанием положений того же PCI-DSS. Поэтому и начнем мы обзор именно с них.

Требования PCI-DSS/PA-DSS

Как правило, все подобные устройства могут работать с карточками Visa и MasterCard и, соответственно, подпадают под требования стандартов PCI-DSS (Payment Card Industry Data Security Standard, стандарт безопасности данных индустрии платежных карт описывает требования по обеспечению безопасности информации о владельцах платежных карт при ее обработке, передаче или хранении, поэтому начнем с него)/PA-DSS. На данный момент версия стандарта PCI-DSS 3.1.

Стандарт PCI-DSS разработан Советом по стандартам безопасности индустрии платежных карт (Payment Card Industry Security Standards Council, PCI SSC). PCI SSC был основан ведущими международными платежными системами — Visa, MasterCard, American Express, JCB, Discover. Информацию о своей деятельности PCI SSC публикует на сайте. Имеется русский перевод стандарта версии 3.05.

Стандарт объединяет в себе требования ряда программ по защите информации, в частности:

  • Visa Europe & other regions: Account Information Security (AIS);
  • Visa USA: Cardholder Information Security (CISP);
  • MasterCard: Site Data Protection (SDP).

Требования стандарта PCI DSS распространяются на организации, обрабатывающие информацию о держателях платежных карт. Если организация хранит, обрабатывает или передает в течение года информацию хотя бы об одной карточной транзакции или владельце платежной карты, то она должна соответствовать требованиям стандарта PCI DSS. В число таких организаций попадают торгово-сервисные предприятия (включая розничные магазины и службы электронной коммерции), а также поставщики услуг, связанных с обработкой, хранением и передачей карточной информации (процессинговые центры, платежные шлюзы, call-центры, хранилища носителей резервных копий данных, организации, участвующие в персонализации карт, и т. п.).

Стандарт PCI DSS содержит детальные требования по обеспечению информационной безопасности, разбитые на 12 тематических разделов:

  • применение межсетевых экранов;
  • правила настройки оборудования;
  • защита хранимых данных о владельцах платежных карт;
  • применение криптографических средств защиты при передаче данных;
  • применение антивирусных средств;
  • безопасная разработка и поддержка приложений и систем;
  • управление доступом пользователей к данным;
  • управление учетными записями;
  • обеспечение физической безопасности;
  • мониторинг безопасности данных;
  • регулярное тестирование систем;
  • разработка и поддержка политики информационной безопасности.

Поскольку вопросы по наличию требований к антивирусной защите возникают как по самому стандарту, так и по его переводу, то будем цитировать оба варианта. Соответственно, английский и русский варианты.

Requirement 5: Protect all systems against malware and regularly update anti-virus software or programs

Malicious software, commonly referred to as “malware”—including viruses, worms, and Trojans—enters the network during many business-approved activities including employee e-mail and use of the Internet, mobile computers, and storage devices, resulting in the exploitation of system vulnerabilities. Anti-virus software must be used on all systems commonly affected by malware to protect systems from current and evolving malicious software threats. Additional anti-malware solutions may be considered as a supplement to the anti-virus software; however, such additional solutions do not replace the need for anti-virus software to be in place.

Требование 5. Защищать все системы от вредоносного ПО и регулярно обновлять антивирусные ПО или программы.

Вредоносное ПО, включая вирусы, червей и трояны, проникает в сеть во время выполнения многих разрешенных бизнесом действий, включая использование работниками электронной почты, сети Интернет, мобильных компьютеров, а также запоминающих устройств, что приводит к эксплуатации уязвимостей системы. Антивирусное ПО должно использоваться на всех системах, обычно подверженных воздействию вредоносного ПО, чтобы защитить системы от текущих и возможных угроз со стороны вредоносного ПО. Дополнительные решения для защиты от вредоносного ПО могут использоваться в качестве дополнения к антивирусному ПО; однако такие дополнительные решения не снимают требование об обязательном наличии антивирусного ПО.

Сразу видно, зачем нужно читать источники:

  • Нельзя сужать каналы проникновения до почты, флешек и сети Интернет. Исходный текст содержит фразу «during many business-approved activities». Кто знает, что будет использоваться в конкретной организации? Может, ICQ?
  • В стандарте сказано, что средства защиты должны устанавливаться на всех системах, подверженных заражению.
    Распространенным заблуждением считается, что это говорит о том, что нет необходимости устанавливать антивирус туда, где внедрение вирусов маловероятно. Однако это не так. По духу закона следует, что вредоносные программы могут быть созданы для любых систем и защищать нужно все:

    Как правило, мейнфреймы, компьютеры среднего уровня (например, AS/400) и подобные системы в данное время не подвержены заражению вредоносным ПО или не являются его мишенью. Однако тенденции в области вредоносного ПО могут быстро меняться, а значит, организациям важно знать о новых видах вредоносного ПО, которые могут быть опасны для их систем

  • Очень часто вместо антивирусов в банкоматах и терминалах предлагается использовать средства контроля ПО на основе контрольных сумм. Это также недопустимо с точки зрения стандарта: «Дополнительные решения для защиты от вредоносного ПО могут использоваться в качестве дополнения к антивирусному ПО; однако такие дополнительные решения не снимают требование об обязательном наличии антивирусного ПО».

5.1 Deploy anti-virus software on all systems commonly affected by malicious software (particularly personal computers and servers).
5.1 For a sample of system components including all operating system types commonly affected by malicious software, verify that anti-virus software is deployed if applicable anti-virus technology exists.

There is a constant stream of attacks using widely published exploits, often called «zero day» (an attack that exploits a previously unknown vulnerability), against otherwise secured systems. Without an anti-virus solution that is updated regularly, these new forms of malicious software can attack systems, disable a network, or lead to compromise of data.
5.1 Развернуть антивирусное ПО на всех системах, обычно подверженных воздействию вредоносного ПО (особенно на персональных компьютерах и серверах).
5.1 Проверить, что антивирусное ПО развернуто в выборке системных компонентов, включая все типы ОС, обычно подверженных воздействию вредоносного ПО, при наличии применимой антивирусной технологии.
Против, казалось бы, защищенных систем идет постоянный поток атак, в которых используются широкодоступные эксплойты и которые часто называются «атаками нулевого дня» (такие атаки используют ранее неизвестные уязвимости). Без регулярно обновляемого антивирусного ПО, новые формы вредоносного ПО могут атаковать системы, нарушать работу сети, приводить к компрометации данных.

Стандарт еще раз подтверждает, что антивирус должен быть установлен на всех системах, подверженных заражению, — без исключения. Единственная оговорка — наличие антивирусных решений.

К сожалению уточнение, данное в скобках (особенно на персональных компьютерах и серверах), на практике возводят в абсолют. Огромная часть заражений отдельно стоящих устройств осуществляется с устройств и сменных носителей обслуживающего персонала. В частности в связи с тем, что уровень защиты на момент заражения на заражаемом устройстве ниже необходимого (в том числе по причине неустановки обновлений, требующих перезагрузки). Случаев, когда защита личных устройств и домашних компьютеров сотрудников осуществляется компанией в обязательном порядке к сожалению крайне мало

Достаточно странно на фоне требования выглядит примечание об угрозах нулевого дня. Действительно, антивирус не способен распознать все до одной вредоносные программы в момент их проникновения. Но стандарт фактически только отмечает этот факт, но не предлагает никаких мер по борьбе с неизвестными антивирусу угрозами.

5.1.1 Ensure that anti-virus programs are capable of detecting, removing, and protecting against all known types of malicious software
5.1.1 Review vendor documentation and examine anti-virus configurations to verify that anti-virus programs;
  • Detect all known types of malicious software,
  • Remove all known types of malicious software, and
  • Protect against all known types of malicious software.

Examples of types of malicious software include viruses, Trojans, worms, spyware, adware, and rootkits.
It is important to protect against ALL types and forms of malicious software

5.1.1 Убедиться, что антивирусное ПО способно обнаруживать и устранять все известные типы вредоносного ПО, а также обеспечивать защиту от них.
5.1.1Проверить документацию вендора и конфигурации антивирусов на предмет того, что антивирусные программы:
  • обнаруживают все известные типы вредоносного ПО;
  • удаляют все известные типы вредоносного ПО;
  • защищают от всех известных типов вредоносного ПО.

Примерами вредоносного ПО являются вирусы, черви, трояны, шпионское и рекламное ПО, руткиты.
Важно обеспечить защиту от ВСЕХ типов и форм вредоносных программ.

PCI-DSS — это один из немногих стандартов, правильно определяющих назначение антивируса, — он может обнаруживать только известные ему вредоносные программы и должен уметь лечить! Последнее вообще крайне редкий гость в требованиях к антивирусной защите.

5.1.2 For systems considered to be not commonly affected by malicious software, perform periodic evaluations to identify and evaluate evolving malware threats in order to confirm whether such systems continue to not require anti-virus software.
5.1.2 Проводить периодические проверки в системах, которые обычно считаются не подверженными заражению вредоносным ПО, выявляя и оценивая угрозы заражения новыми формами вредоносного ПО, для того, чтобы проверять, что эти системы по-прежнему не требуют антивирусного ПО.

Также крайне важный пункт. Нельзя, создав защиту, упокоиться на лаврах. Нужно постоянно получать информацию о возможных уязвимостях и улучшать защиту.

5.2 Ensure that all anti-virus mechanisms are maintained as follows:
  • Are kept current,
  • Perform periodic scans
  • Generate audit logs which are retained per PCI DSS Requirement 10.7

5.2.a Examine policies and procedures to verify that anti-virus software and definitions are required to be kept up to date.
5.2.d Examine anti-virus configurations, including the master installation of the software and a sample of system components, to verify that:
  • Anti-virus software log generation is enabled, and
  • Logs are retained in accordance with PCI DSS Requirement 10.7.

Even the best anti-virus solutions are limited in effectiveness if they are not maintained and kept current with the latest security updates, signature files, or malware protections.
Audit logs provide the ability to monitor virus and malware activity and anti-malware reactions. Thus, it is imperative that anti-malware solutions be configured to generate audit logs and that these logs be managed in accordance with Requirement 10
5.2 Гарантировать, что все антивирусные механизмы:
  • поддерживаются в актуальном состоянии;
  • выполняют периодическое сканирование;
  • создают журналы регистрации событий, которые хранятся согласно требованию 10.7 стандарта PCI DSS.

5.2.a Проверить политики и процедуры на предмет того, что они предписывают поддерживать антивирусные ПО и базы в актуальном состоянии.
5.2.b Проверить конфигурацию антивирусов, включая установочные образы и выборку системных компонентов, на предмет того, что:
  • включено создание журналов регистрации событий;
  • журналы хранятся согласно требованию 10.7 стандарта PCI DSS.

Даже лучшие антивирусы имеют ограниченную эффективность при отсутствии последних обновлений безопасности, антивирусных баз или механизмов защиты от вредоносного ПО.
Журналы регистрации событий предоставляют возможность мониторинга активности вирусов и вредоносного ПО, и реагирования на эту активность. Поэтому важно настроить решения для защиты от вредоносного ПО таким образом, чтобы можно было генерировать записи в журнале регистрации событий и управлять этими записями в соответствии с требованием 10.

Ошибки в нумерации пунктов и пунктуация перевода взяты из оригинала

Здесь, пожалуй, самое важное — требование по логированию. Пункт, выполнение которого позволяет проводить анализ инцидентов.

5.3 Ensure that anti-virus mechanisms are actively running and cannot be disabled or altered by users, unless specifically authorized by management on a case-by-case basis for a limited time period.
Note: Anti-virus solutions may be temporarily disabled only if there is legitimate technical need, as authorized by management on a case-by-case basis. If anti-virus protection needs to be disabled for a specific purpose, it must be formally authorized. Additional security measures may also need to be implemented for the period of time during which anti-virus protection is not active.
5.3.a Examine anti-virus configurations, including the master installation of the software and a sample of system components, to verify the anti-virus software is actively running.
5.3.b Examine anti-virus configurations, including the master installation of the software and a sample of system components, to verify that the anti-virus software cannot be disabled or altered by users.
5.3.c Interview responsible personnel and observe processes to verify that anti-virus software cannot be disabled or altered by users, unless specifically authorized by management on a case-by-case basis for a limited time period
Anti-virus that continually runs and is unable to be altered will provide persistent security against malware.
Use of policy-based controls on all systems to ensure anti-malware protections cannot be altered or disabled will help prevent system weaknesses from being exploited by malicious software.
Additional security measures may also need to be implemented for the period of time during which anti-virus protection is not active—for example, disconnecting the unprotected system from the Internet while the anti-virus protection is disabled, and running a full scan after it is re-enabled.

5.3 Убедиться, что антивирусные механизмы постоянно запущены, и пользователи не могут их ни отключить, ни изменить без явного разрешения, которое выдается руководством на каждый конкретный случай и на ограниченный период времени.
Примечание: антивирусные средства могут быть временно отключены только в случае обоснованной технической необходимости, с разрешения руководства в каждом конкретном случае. Если антивирусную защиту нужно отключить для определенной цели, необходимо получить официальное разрешение. Также могут понадобиться дополнительные защитные меры на время, в течение которого антивирусная защита будет неактивна.
5.3.а Изучить конфигурацию антивирусов, включая установочные образы и выборку системных компонентов и убедиться, что антивирусное ПО работает в активном режиме.
5.3.b Проверить конфигурацию антивирусов, включая установочные образы ПО и выборку системных компонентов, на предмет того, что антивирусное ПО не может быть отключено или изменено пользователями.
5.3.c Опросить ответственных работников и проследить за процессами на предмет того, что антивирусное ПО не может быть отключено или изменено пользователями без явного разрешения руководства в каждом конкретном случае и на ограниченный период времени.
Антивирус, работающий постоянно и защищенный от изменений, обеспечит надежную защиту от вредоносного ПО.
Использовать защитные меры на основе политик на всех системах, чтобы исключить возможность изменения или отключения защитных мер антивирусного ПО. Это позволит не допустить, чтобы злоумышленник мог воспользоваться уязвимостями систем.
Также могут потребоваться дополнительные меры безопасности на период времени, в течение которого антивирусная защита будет отключена (например, отключение незащищенной системы от сети Интернет пока отключена антивирусная защита и запуск полного сканирования после его повторного включения).

Цитата достаточно пространная, но необходимая против еще одного мифа — что после установки антивируса его можно отключить. Согласно стандарту отключение есть вещь экстраординарная.

Вышеприведенные цитаты по сути описывали требования к антивирусной защите в целом. Требования к тому, как антивирус должен обнаруживать и противодействовать, в стандарте отсутствуют. Фактически стандарт требует просто использовать и регулярно обновлять антивирусное программное обеспечение. Единственное требование к самим антивирусам описано в п. 5.1.1 — используемые продукты должны детектировать все типы угроз. Пункты 5.1, 5.2 относятся уже к сервисным службам, обслуживающим системы защиты.

Однако участники рынка достаточно часто требуют от вендоров антивирусной индустрии сертифицированных по требованиям PCI-DSS продуктов. Поэтому еще одна цитата из PA-DSS:

The PA-DSS applies to software vendors and others who develop payment applications that store, process, or transmit cardholder data as part of authorization or settlement, where these payment applications are sold, distributed, or licensed to third parties

Стандарт PA-DSS (Payment Application Data Security Standard) является развитием предписания Visa PABP (Payment Application Best Practices), а также адаптацией требований стандарта PCI DSS к приложениям. Если более точно, то требования стандарта PA-DSS распространяются на приложения ( www.pcidss.ru/files/pub/pdf/which_application_are_eligible_for_padss.pdf, www.pcidss.ru/download/#padss), обрабатывающие данные о держателях карт на этапе авторизации транзакции.

Из вышеприведенной цитаты следует, что антивирусные продукты не относятся к действию PA-DSS, т. к. они как раз не предназначены для обработки, хранения и передачи данных картхолдеров — они не являются «payment application» в принципе!

Это подтверждается следующей фразой, в которой антивирусы и payment application чётко разделены:
Just a few of the ways payment applications can prevent compliance include:
  • Storage of magnetic stripe data and/or equivalent data from the chip in the customer's network after authorization;
  • Applications that require customers to disable other features required by the PCI DSS, like anti-virus software or firewalls, in order to get the payment application to work properly;

Как итог, в списке сертифицированных решений (Validated Payment Applications ( www.pcisecuritystandards.org/approved_companies_providers/validated_payment_applications.php?agree=true#, www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php?mode=list)) нет ни одного антивирусного продукта. В списке действительно присутствует продукт компании Symantec — но у компании Symantec в портфеле не только антивирусные решения.

В контексте PA-DSS платежное приложение, подлежащее аудиту и включению в программу Советом PCI SSC, определяется как такое приложение, которое хранит, обрабатывает или передает данные о держателях карт (ДДК) в процессе авторизации или подтверждения транзакций.

В стандарте Payment Application Data Security Standard содержится очень интересное требование к payment application (но не к антивирусному продукту):

8.1 The payment application must be able to be implemented into a secure network environment. Application must not interfere with use of devices, applications, or configurations required for PCI DSS compliance (for example, payment application cannot interfere with anti-virus protection, firewall configurations, or any other device, application, or configuration required for PCI DSS compliance).

То есть опять же антивирусные продукты и межсетевые экраны не относятся к payment application, и в итоге антивирусные продукты не попадают в зону действия PA-DSS.

Требования Положения Банка России от 9 июня 2012 года № 382-П

В Федеральном законе от 27.06.2011 № 161 «О национальной платежной системе» указано, что все субъекты национальной платежной системы «обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России». Такими требованиями является Положение Банка России № 382-П от 9 июня 2012 года «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» и Постановление Правительства № 584 от 13.06.2012 «Об утверждении Положения о защите информации в платежной системе». Данный порядок описан в www.cbr.ru/PSystem/P-sys/faq_382-P.pdf.

Наиболее близко к реальным требованиям по антивирусной защите приближаются указания Положения Банка России от 9 июня 2012 года № 382-П (с изменениями согласно Указаниям Банка России 3007-У от 05.06.2013, N 3361-У от 14.08.2014) «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении денежных переводов».

2.7.1 Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:

  • использование технических средств защиты информации, предназначенных для выявления вредоносного кода и для предотвращения воздействия вредоносного кода на объекты информационной инфраструктуры… на средствах вычислительной техники, включая банкоматы и платежные терминалы, при наличии технической возможности;
  • регулярное обновление версий технических средств защиты информации от воздействия вредоносного кода и баз данных, используемых в работе технических средств защиты информации от воздействия вредоносного кода и содержащих описание вредоносных кодов и способы их обезвреживания;
  • функционирование технических средств защиты информации от воздействия вредоносного кода в автоматическом режиме, при наличии технической возможности

Как и в стандарте PCI-DSS подтверждается требование о защите всех элементов инфраструктуры при наличии на рынке соответствующих средств защиты и необходимость их постоянного функционирования — недопустимость лишь периодических проверок.

Только антивирус может выявить в автоматическом режиме наличие вредоносного кода. Все остальные средства могут попытаться реагировать на внесение изменений в систему.

Также акцентируется внимание на самозащите — критически важном функционале, о необходимости которого не подозревают большинство компаний, использующих средства защиты от вредоносных программ.

2.7.5 В случае обнаружения вредоносного кода или факта воздействия вредоносного кода оператор по переводу денежных средств, банковский платежный агент (субагент), оператор платежной системы, оператор услуг платежной инфраструктуры обеспечивают принятие мер, направленных на предотвращение распространения вредоносного кода и устранение последствий воздействия вредоносного кода…

Еще один крайне важный пункт, но, к сожалению, не четко сформулированный. В принципе понятно, что меры должны приниматься, но как? Назначить действие в центре управления антивирусом, вручную отслеживать инциденты или реализовать автоматическую систему реагирования? Достаточное количество атак производится на компании в период праздников, когда все до одного (зачастую в связи с тем, что он один и есть) специалисты по ИБ в отпуске, бригады быстрого реагирования нет.

2.8.1. При использовании сети «Интернет» для осуществления переводов денежных средств оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:

  • применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для предотвращения несанкционированного доступа к защищаемой информации, передаваемой по сети «Интернет»;
  • применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для предотвращения несанкционированного доступа к защищаемой информации на объектах информационной инфраструктуры с использованием сети «Интернет»;
  • применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для предотвращения несанкционированного доступа к защищаемой информации путем использования уязвимостей программного обеспечения;
  • минимизацию негативных последствий, связанных с несвоевременностью осуществления переводов денежных средств, сбоями или отказами в работе объекта информационной инфраструктуры;
  • фильтрацию сетевых пакетов при обмене информацией между информационно-телекоммуникационными сетями, в которых располагаются объекты информационной инфраструктуры, и сетью «Интернет» с целью защиты от негативного внешнего воздействия из сети «Интернет»

2.10.1 Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет и контроль состава, установленного и (или) используемого на средствах вычислительной техники программного обеспечения.

Формально два данных пункта не относятся к функционалу (согласно мнению 382-П) зашиты от вредоносных программ — но фактически они описывают именно его — система анализа трафика, защита от несанкционированного доступа, резервирование и бекап, файервол.

Требования Письма Банка России от 24.03.2014 N 49-Т

Письмо Банка России от 24.03.2014 N 49-Т «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности» требует «защиты средств вычислительной техники и следующих компонентов автоматизированных систем и телекоммуникационного оборудования кредитной организации (далее — объектов защиты):»

  • автоматизированных рабочих мест (далее — АРМ) системных и (или) сетевых администраторов, администраторов баз данных, администраторов информационной безопасности и тому подобное;
  • рабочих станций;
  • серверов, предназначенных для хранения информационных файлов (файловых серверов) и централизованного доступа к ним;
  • серверов баз данных;
  • серверов приложений;
  • почтовых серверов;
  • маршрутизаторов;
  • межсетевых экранов;
  • серверов, обеспечивающих представительство кредитной организации в сети Интернет (Web-, FTP-, proxy-серверов, серверов доменных имен (DNS) и тому подобное);
  • банкоматов, платежных терминалов и тому подобное.

Фактически требование повторяет требование Приказа ФСТЭК России № 17 и также концентрирует внимание на защите мест, куда может устанавливаться антивирус.

На самом деле такая постановка требований в документах регуляторов не так уж и безобидна. В том случае, если внимание специалистов по ИБ привлекается к защите только мест, куда может быть установлен антивирус, то антивирусный шлюз сети может иметь задачу только проверки трафика для исключения проникновения вредоносных программ через уязвимости ПО на рабочих станциях и серверах до поступления его в клиентские приложения. То есть дублируется работа системы проверки трафика на рабочих станциях и серверах.

В том же случае, если шлюз должен перекрывать возможность установки вредоносных файлов в тем места, куда антивирусу доступ закрыт, роль шлюза куда важнее — он становится, по сути, центральным средством защиты таких систем.

Вернемся к требованиям письма № 49-T. Кроме требований по защите объектов внутренней сети, регулятор рекомендует:

2.1.5. Регулярный сбор и анализ информации о распространении ВК с целью своевременной разработки и принятия необходимых мер защиты от ВК, в том числе рекомендуемых компаниями — разработчиками ПО.
2.1.7. Организация функционирования постоянной защиты от ВК в автоматическом режиме и использование средств централизованного контроля и управления средствами антивирусной защиты.
2.1.9. Организация функционирования рабочих станций автоматизированных систем с наделением пользователей этих рабочих станций минимально необходимыми для выполнения их функций правами и исключением их учетных записей из группы локальных администраторов.

Можно сказать, что это единственный пункт, направленный на минимизацию вероятности проникновения неизвестных вредоносных программ.

2.1.10. Использование средств защиты от ВК различных организаций-производителей или поставщиков и их раздельная установка на следующих группах средств вычислительной техники и объектов защиты:

  • рабочие станции;
  • серверы;
  • маршрутизаторы и межсетевые экраны.

Данный пункт, как уже говорилось, не имеет смысла, так как в случае целевых атак количество используемых антивирусных систем не играет роли — используемое злоумышленниками ПО не будет обнаружено ни одним из них.

2.1.13. Осуществление в автоматическом режиме обновления баз данных ВК средств защиты от ВК по мере их размещения (обновления) разработчиками средств защиты от ВК.

Также крайне важный пункт в силу наличия проблем с доставкой обновлений во внутреннюю сеть.

2.1.14. Осуществление фильтрации ВК во всех сообщениях электронной почты кредитной организации (применение защитных почтовых шлюзов).

Как правило, фильтрация осуществляется на уровне почтовых серверов. Фильтрация на уровне шлюзов способна обеспечить гораздо более высокий уровень анализа сообщений.

2.1.18. Осуществление контроля использования съемных носителей информации с использованием организационных мер и специализированных средств, осуществляющих централизованный мониторинг подключаемых устройств, ограничение использования съемных носителей информации.
2.1.25. Использование рабочих станций кредитной организации в терминальном режиме (с ограниченными функциональными возможностями) для обеспечения доступа к сети Интернет через специально выделенный сервер, целостность системного ПО которого регулярно контролируется согласно разработанному и утвержденному регламенту.

Рекомендуется обратить внимание на данный пункт. Его выполнение может быть полезно на случай изъятия компьютеров для целей анализа инцидентов.

4.2.1. Разработать, утвердить уполномоченным органом управления кредитной организации и при необходимости пересматривать требования по организации и осуществлению клиентами — пользователями систем ДБО защиты от ВК клиентских АРМ систем ДБО (далее — требования по защите от ВК клиентских АРМ систем ДБО), а также порядок подтверждения выполнения клиентами — пользователями систем ДБО указанных требований по запросу кредитной организации.
Требования по защите от ВК клиентских АРМ систем ДБО могут касаться вопросов необходимости осуществления контроля на наличие ВК клиентских АРМ систем ДБО, настройки средств защиты от ВК, периодичности обновления баз данных ВК и других вопросов, относящихся к организации и осуществлению защиты от ВК.
2.1.16. Заключение договоров (соглашений) с провайдерами доступа к сети Интернет, предусматривающих осуществление ими фильтрации ВК в информационных потоках, поступающих от них в кредитную организацию.
5.4. В целях предотвращения распространения на автоматизированные системы, ПО, средства вычислительной техники, телекоммуникационное оборудования кредитной организации атак ВК, предпринимаемых в отношении провайдеров, обеспечивающих функционирование систем ДБО кредитной организации, рекомендуется предусматривать в договорах с этими провайдерами их обязательства по локализации воздействий ВК и их последствий в пределах автоматизированных систем и информационно-телекоммуникационных сетей провайдеров, а также ответственность за нарушение этих обязательств.

Вышеприведенные положения требуют защиты от вредоносных программ всех клиентов банка, а также выполнение Интернет-провайдером требований по защите собственной инфраструктуры.

Требования СТО БР ИББС-1.0-2014

Данный стандарт не является обязательным для всех финансовых учреждений, но качество его исполнения позволяет рекомендовать его для использования не только в финансовой сфере.

7.5.1. На всех автоматизированных рабочих местах и серверах АБС организации БС РФ должны применяться средства антивирусной защиты, если иное не предусмотрено реализацией технологического процесса.
В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры установки и регулярного обновления средств антивирусной защиты версий и баз данных) на автоматизированных рабочих местах и серверах АБС.

Как ни странно, но данный пункт противоречит пункту 7.5.6, в котором требуется защищать все узлы сети.

7.5.2. Рекомендуется организовать функционирование постоянной антивирусной защиты в автоматическом режиме и автоматический режим установки обновлений антивирусного программного обеспечения и его баз данных.

Пункт, также указывающий на невозможность отключения защиты.

7.5.3. Перед подключением съемных носителей информации к средствам вычислительной техники, задействованным в рамках осуществления банковских технологических процессов, рекомендуется проводить их антивирусную проверку на специально выделенном автономном средстве вычислительной техники.

Крайне опасный пункт, так же подробно описанный в письме № 49-Т — проверка съемных носителей ничего не даст, если вредоносная программа еще не обнаруживается антивирусом.

7.5.5. В организации БС РФ должна быть организована антивирусная фильтрация всего трафика электронного почтового обмена.
7.5.6. В организации БС РФ должна быть организована эшелонированная централизованная система антивирусной защиты, предусматривающая использование средств антивирусной защиты различных производителей на:

  • рабочих станциях;
  • серверном оборудовании, в том числе серверах электронной почты;
  • технических средствах межсетевого экранирования.

Требование, аналогичное требованию из письма № 49-Т. К сожалению, устаревшее, но повторяемое в различных документах.

7.5.7. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры предварительной проверки устанавливаемого или изменяемого программного обеспечения на отсутствие вирусов. После установки или изменения программного обеспечения должна быть выполнена антивирусная проверка.

Требование, аналогичное требованиям Положения № 382-П, — опять-таки указывающее на необходимость использования именно антивируса, а не системы ограничения прав. Только антивирус может в автоматическом режиме обнаруживать вредоносные программы.

7.5.8. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры, выполняемые в случае обнаружения компьютерных вирусов, в которых, в частности, необходимо зафиксировать:

  • необходимые меры по отражению и устранению последствий вирусной атаки;
  • порядок официального информирования руководства;
  • порядок приостановления при необходимости работы (на период устранения последствий вирусной атаки).

Как правило, данные требования, к сожалению, игнорируются.

7.5.9. Должны быть определены, выполняться и регистрироваться процедуры контроля за отключением и обновлением антивирусных средств на всех технических средствах АБС.

Еще одно требование, повторяющее требование из PCI-DSS, — отключение средств защиты недопустимо.

7.6.4. В организациях БС РФ в связи с повышенными рисками нарушения ИБ при взаимодействии с сетью Интернет должны применяться защитные меры, в том числе межсетевые экраны, антивирусные средства, средства обнаружения вторжений, средства криптографической защиты информации, обеспечивающие, среди прочего, прием и передачу информации только в установленном формате и только для конкретной технологии.

Банкоматы и терминалы работают, как правило, через Интернет и, соответственно, должны иметь систему проверки трафика.

Итого:
  1. К сожалению, во всех приведенных выше цитатах (за исключением PCI-DSS) антивирусная система (именно как система обнаружения вредоносных фалов и их обработки) рассматривается только как система, предотвращающая попадание вредоносных программ в локальную сеть (как показывает практика, эту роль могут выполнять и иные решения), но не как система лечения уже активных заражений — кроме антивируса это задачу не может выполнить никто (удаление вредоносных файлов в ручном режиме в качестве меры противодействия рассматривать нельзя в связи с отсутствием нужного количества специалистов).
  2. Согласно всем документам на всех узлах сети без исключения должен использоваться антивирус. Исключение допускается только в случае отсутствия средств защиты для данной системы. Использование иных средств защиты, в том числе средств ограничения доступа, допускается только в качестве дополнительных.
  3. Отключение антивируса не допускается.
  4. В состав антивирусной защиты, помимо самого антивируса, должны входить система проверки почтовых сообщений и интернет-трафика. Права пользователей должны быть минимальны, что подразумевает использование средств Офисного контроля.
  5. В стандартах PCI DSS и PA-DSS требований к используемому антивирусу не предъявляется, как результат антивирусные решения не могут быть сертифицированы по PCI DSS или PA-DSS в связи с отсутствием требований, в отличие от платежных приложений, которые должны проходить сертификацию по стандарту PA-DSS.
  6. К сожалению ни в одном документе нет положений по защите личных устройств и компьютеров сотрудников — одного из основных источников утечек и заражений

Комментарии (7)


  1. amarao
    12.05.2015 12:50
    +1

    Нет, не на всех, а commonly affected.

    «Антивирус» на сервере с СУБД или SAN — это путь к успеху.


    1. teecat Автор
      12.05.2015 13:23

      Есть рекомендации от того же Microsoft, какие каталоги нужно исключать при использовании БД. Если интересно, могу поискать в архивах. Сам пользовал в свое время. Антивирус по умолчанию — это зло, лень и проблемы в одном флаконе, но от разных источников
      А сервера сейчас тоже commonly affected — вторым этапом после заражения рабочих станций. Из последнего что попадало в СМИ — тот же случай из Екатеринбурга


  1. antonwork
    13.05.2015 00:36
    -1

    Сделайте мне это развидеть!!!
    Я понял суть PCI DSS — это антивирус везде где только можно и нельзя. А я то надеялся, что это некие организационные принципы взаимодействия, какие-то сложные структуры, которые исключают возникновение рисков либо снижают вероятность их возникновения. А какой же это все тлен на самом деле. Я то надеялся увидеть что-то напоминающее «авиационную безопасность».
    Я вот думаю, что теоретический риск утечки данных или проникновения в систему больше в том случае, когда антивирус есть, нежели чем когда его нет. Ну никак антивирус не может ни от чего спасти. Никак. Больше вреда, чем пользы. (Я про серверы)


  1. MaxFactor
    13.05.2015 02:45

    Прикольный стандарт, он защитит только от примитивных известных вирусных атак, а от нацеленных он бесполезен. Проверять трафик браузера — тоже не самая лучшая идея при том, что в последнее время трафик шифруют. Запихать антивирус на сервер? Ну как сказать, на файловый, надо бы, на сервер корпоративной почты тоже да, но на остальные не вижу смыла. Каждому пользователю установить от треш вирусов, согласен. Я обычно пользователям ставлю еще фаерволы с предустановленным конфигом, где в сеть могут выходить только определенные программы, дабы локализовать заражение в случае его появления. Но все равно от «дурака» защиты нет, и все ровно пользователи находят методики убить компьютер и сеть. Ограничения прав кстати тема хорошая, но с ней больше геморроя для всех чем пользы.


    1. teecat Автор
      13.05.2015 06:35
      -1

      Стандарт на самом деле неплохой. Но вопрос не в том, насколько он плох или хорош. Практика показывает, что в нашей стране пока не примут требование — никто не пошевелится. Тот же 152-ФЗ. Сколько над ним издевались. Да закон очень неидеален. Но сейчас пошли адресные рассылки. От имени существующих людей — конкретным адресатам. С банкоматами и и особо терминалами вообще никто с защитой не беспокоится. А зачем?

      А уж совсем особо стандарт нужен против мошенников, впаривающих свои чудо-пилюли заказчикам


  1. Stas911
    13.05.2015 05:56

    Пару лет назад работал в двух банках подряд, везде были системы защиты, все было залочено, заблочено и опечатано. Но, плеер, воткнутый в USB, прекрасно определялся как медиа-девайс (не диск), открыв который можно было увидеть папки и спокойно в них записать и вынести все что хочешь :) Потом закрыли дыру, но показательно :)


    1. teecat Автор
      13.05.2015 06:38
      -1

      Ага. Приходишь к заказчику, начинаешь рассказывать, как надо защищаться — жуткое удивление. При этом деньги, как цена вопроса для закупки — не проблема как правило. Проблема доказать, что «мы лучше»