Приложение N 2. Инструкция по организации антивирусной защиты. Приказ Федерального агентства водных ресурсов от 30.04.2021 N 117 "Об обеспечении технической защиты информации, содержащей сведения конфиденциального характера, в информационных системах Федерального агентства водных ресурсов"

Приложение N 2
к приказу Федерального
агентства водных ресурсов
от 30.04.2021 г. N 117

Инструкция по организации антивирусной защиты

1. Введение

1.1 Цели и назначение

Настоящая Инструкция описывает:

- подход к обеспечению ИБ Росводресурсов в части антивирусной защиты;

- основные признаки и каналы проникновения вредоносного программного обеспечения (далее - ПО).

Данный документ направлен на достижение следующих целей:

- определение организационных мер и технических механизмов для обеспечения антивирусной защиты ИС Росводресурсов;

- определение прав и обязанностей администратора ИБ и системных администраторов;

- информирование пользователей ИС Росводресурсов о правилах использования средств антивирусной защиты.

1.2 Область применения

Настоящая Инструкция распространяется на все структурные и обособленные подразделения Росводресурсов, территориальные органы Росводресурсов, подведомственные организации, персонал и взаимодействующие с Росводресурсами сторонние организации, обеспечивающие поддержку функционирования ИС Росводресурсов и/или имеющие права доступа к информационным ресурсам в составе ИС Росводресурсов.

Настоящая Инструкция не распространяется на любые виды деятельности, связанные с защитой и обработкой информации, содержащей сведения, составляющие государственную тайну.

2. Основные понятия

В настоящей Инструкции используются следующие основные понятия:

- антивирусная защита - организационно-технические меры, обеспечивающие защиту информационных ресурсов от воздействия вредоносного программного обеспечения (далее - ПО) и предотвращающие его распространение;

- вредоносное ПО - программы, приводящие к несанкционированному уничтожению, блокированию, модификации, либо копированию информации, нарушению работы автоматизированных рабочих мест (далее - АРМ) пользователей, серверов или локальной вычислительной сети;

- компьютерный вирус - программа, являющаяся разновидностью вредоносного ПО, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, операционные системы и приложения, а также другие программные компоненты. При этом копии сохраняют способность дальнейшего распространения и обладают всеми свойствами вредоносного ПО;

- конфиденциальная информация - информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну, в том числе служебная информация ограниченного распространения и персональные данные субъектов;

- пользователь - субъект, участвующий в функционировании автоматизированной системы или использующий результаты её функционирования;

- принцип эшелонированной защиты - создание ряда последовательных уровней защиты информационной инфраструктуры;

- средства антивирусной защиты - программные и программно-аппаратные средства для обнаружения, блокирования и удаления вредоносного ПО;

- сервер антивирусной защиты - аппаратно-программный компонент ИС Росводресурсов, предназначенный для автоматизации основных функций управления антивирусной защитой.

3. Общие положения

Средства антивирусной защиты должны применяться для защиты подверженной рискам заражения вредоносным ПО информации, хранимой, обрабатываемой и передаваемой в рамках ИС Росводресурсов, а также передаваемой за пределы АС.

Средства антивирусной защиты должны применяться для защиты компонентов ИС Росводресурсов, в которых осуществляется передача, хранение и обработка данных, получаемых от следующих источников:

- внешняя и внутренняя электронная почта;

- ресурсы сети Интернет;

- внешние информационные системы;

- АРМ пользователей (персональные компьютеры, ноутбуки);

- встроенные и подключаемые съемные носители информации.

Обязательному антивирусному контролю подлежат следующие объекты ИС Росводресурсов, связанные с передачей, хранением и обработкой информации:

- АРМ пользователей (персональные компьютеры, ноутбуки);

- серверы (баз данных (далее - БД), приложений, резервного копирования и т.п.);

- сменные носители информации (дискеты, CD/DVD-диски, flash-накопители и т.д.).

При использовании средств антивирусной защиты должен быть реализован принцип эшелонированной защиты, в соответствии с которым обеспечивается антивирусная защита на следующих функциональных уровнях информационной инфраструктуры:

- на уровне АРМ пользователей;

- на уровне серверов;

- на уровне шлюза доступа в сеть Интернет;

- на уровне внутренней почтовой системы.

Используемые средства антивирусной защиты не должны значительно снижать производительность программных средств ИС Росводресурсов и должны обеспечивать:

- возможность выполнять проверки с целью обнаружения зараженных объектов в файловых областях носителей информации, в оперативной памяти, в системных областях носителей информации, в файлах, в том числе исполняемых, упакованных различными средствами архивации;

- возможность уполномоченным пользователям (ролям) управлять параметрами настройки функций безопасности;

- возможность уполномоченным пользователям (ролям) управлять режимом выполнения функций безопасности;

- возможность удаления (если удаление технически возможно) кода вредоносных компьютерных программ (вирусов) из оперативной памяти, удаления файлов, в которых обнаружены вредоносная составляющая, а также подозрительных файлов, возможность перемещения и изолирования зараженных объектов, удаления кода из файлов и системных областей носителей информации;

- возможность блокирования доступа к зараженным файлам, в том числе полученным по каналам передачи данных, активных рабочих станций или сервера, на которых обнаружены зараженные файлы;

- возможность восстановления функциональных свойств зараженных объектов;

- возможность получения и установки обновлений антивирусных баз без применения средств автоматизации; в автоматизированном режиме с сетевого ресурса.

4. Основные признаки и каналы проникновения вредоносного ПО

Основными признаками проникновения вредоносного ПО являются:

- сообщения средства антивирусной защиты;

- несанкционированное удаление, повреждение или недоступность файлов, изменение шаблонов документов;

- появление на экране необычных сообщений и диалоговых форм или необычное изменение графических элементов;

- несанкционированное изменение настроек браузера (изменение стартовой страницы браузера, изменение стандартной страницы поиска, несанкционированное открытие новых окон браузера и т.п.);

- сбои в работе операционной системы или в работе других программ;

- существенное замедление или нестабильность работы системы;

- повышенная нагрузка на сеть;

- необычно большое число поступающих или отправляемых электронных писем;

- повышение сетевой активности при взаимодействии с удаленными системами;

- сканирование TCP, UDP-портов, большое число попыток установления сетевых соединений;

- появление в системе нерегламентированных процессов.

Выделяются следующие основные способы проникновения вредоносного ПО в ИС Росводресурсов:

- получение данных, передаваемых по каналам связи из внешних сетей;

- получение и открытие вложений, полученных по электронной почте;

- подключение к ИС Росводресурсов переносных компьютеров, эксплуатирующихся за пределами ИС Росводресурсов;

- подключение к ИС Росводресурсов мобильных устройств и носителей информации, эксплуатирующихся за пределами ИС Росводресурсов;

- несанкционированная установка и использование нерегламентированного ПО;

- использование нелицензионного ПО;

- злоумышленное внедрение вредоносного ПО (запись файлов, установка вредоносных программ и т.д.).

5. Использование средств антивирусной защиты

5.1 Приобретение и установка

В качестве средств антивирусной защиты в ИС Росводресурсов должны использоваться только лицензионные средства антивирусной защиты, централизованно закупленные у фирм-разработчиков или их официальных дилеров.

Системные администраторы осуществляют контроль за управлением средствами антивирусной защиты (наличие актуальных антивирусных баз и сигнатур, состояние антивирусной защиты в целом, обновление антивирусных баз). Установка, настройка и управление средствами антивирусной защиты на АРМ, серверы и шлюзы Росводресурсов осуществляются силами системных администраторов.

Установка и настройка производятся в соответствии с эксплуатационной документацией производителя.

5.2 Применение средств антивирусной защиты

Применение средств антивирусной защиты на уровне АРМ пользователей:

- средства антивирусной защиты должны быть установлены на всех АРМ, входящих в ИС Росводресурсов, в т.ч. в территориальных органах;

- средства антивирусной защиты должны обеспечивать одновременное использование следующих режимов работы:

- непрерывная антивирусная защита конечных узлов (АРМ пользователей, серверов) в режиме реального времени;

- антивирусная защита в режиме периодического сканирования конечных узлов (АРМ пользователей, серверов);

- обязательному антивирусному контролю подлежит любая информация (исполняемые файлы, текстовые файлы любых форматов, файлы данных, исполняемые скрипты и макросы и т.д.), получаемая пользователем ИС Росводресурсов по каналам связи или загружаемая со съемных носителей (магнитных дисков, лент, CD-ROM и т.п.);

- файлы, помещаемые и/или извлекаемые из электронных архивов, должны в обязательном порядке автоматически проходить антивирусный контроль.

Применение средств антивирусной защиты на уровне серверов:

- на серверах ИС Росводресурсов, где это необходимо, должны применяться средства антивирусной защиты для своевременного обнаружения и предотвращения распространения в ИС Росводресурсов вредоносного ПО, а также для предотвращения вредоносного воздействия на объекты ИС Росводресурсов;

- на серверах ИС Росводресурсов, используемых в качестве файловых серверов, необходимо применять средства антивирусной защиты, позволяющие:

- осуществлять антивирусную проверку в момент попытки записи или считывания файла на сервере;

- проводить автоматический антивирусный контроль объектов автозапуска (объектов, загрузка которых осуществляется при старте операционной системы, а также оперативной памяти и загрузочных секторов дисков) при перезагрузке сервера;

- проводить регулярный (не реже 1 раза в неделю) антивирусный контроль всех дисков и файлов сервера;

- плановое резервное копирование должно осуществляться только после проведения антивирусного контроля.

Применение средств антивирусной защиты на уровне шлюзов:

- на серверах взаимодействия ИС Росводресурсов с сетью Интернет (интернет-шлюзы, почтовые серверы и т.д.) должны применяться специализированные программные или программно-аппаратные средства антивирусной защиты;

- средства антивирусной защиты на уровне шлюзов должны обеспечивать:

- антивирусную защиту в режиме реального времени внешнего почтового трафика ИС Росводресурсов, поступающего по каналам внешних провайдеров;

- антивирусную защиту в режиме реального времени внутреннего почтового трафика ИС Росводресурсов;

- сканирование внешнего web-трафика ИС Росводресурсов в режиме реального времени и блокирование обнаруженного вредоносного ПО.

5.3 Требования к обновлению средств антивирусной защиты

Обновление базы данных вирусных сигнатур средств антивирусной защиты должно производиться автоматически, согласно рекомендациям производителя средств антивирусной защиты, но не реже чем раз в сутки.

Обновление антивирусных баз серверов антивирусной защиты должно осуществляться из источников, определенных компанией - производителем средства антивирусной защиты.

Обновление антивирусных БД на АРМ и на серверах ИС Росводресурсов должно осуществляться с выделенных в локальной вычислительной сети серверов антивирусной защиты.

6. Сферы ответственности

Действие настоящей Инструкции распространяется на следующих лиц:

- пользователей ИС Росводресурсов;

- системных администраторов;

- администратора ИБ;

- работников подрядной организации.

6.1 В сферу ответственности пользователей ИС Росводресурсов входит:

- знание и соблюдение установленных правил в области антивирусной защиты, утвержденных в Росводресурсах;

- своевременное оповещение своего руководителя и администратора ИБ о фактах проникновения вредоносного ПО и/или нарушения требований настоящей Инструкции;

- в случае обнаружения файлов, зараженных вредоносным ПО, обязаны действовать в соответствии с Инструкцией пользователя.

6.2 В сферу ответственности системных администраторов входит:

- установка средств антивирусной защиты на вновь вводимые АРМ и серверы;

- поддержка работоспособности средств антивирусной защиты;

- предварительная проверка устанавливаемого (обновляемого) программного обеспечения на отсутствие вредоносного ПО;

- выполнение антивирусной проверки после установки (обновления) программного обеспечения компьютера;

- обновление версии средств антивирусной защиты, поддержка актуальности баз сигнатур средств антивирусной защиты;

- контроль соблюдения пользователями правил настоящей Инструкции;

- развитие, сопровождение технической инфраструктуры, администрирование и централизованное управление средствами антивирусной защиты;

- осуществление анализа заражения вредоносным ПО, сбор информации о фактическом распространении вредоносного ПО и принятие мер по недопущению его распространения.

6.3 В сферу ответственности администратора ИБ входит:

- информирование пользователей о положениях настоящей Инструкции;

- методическое управление антивирусной защитой ИС Росводресурсов;

- организация проведения служебного расследования по разбору инцидентов, возникающих в процессе эксплуатации средств антивирусной защиты;

- выборочный контроль применяемых в ИС Росводресурсов средств антивирусной защиты.

6.4 Ответственность работников подрядной организации

Подрядная организация, участвующая в обеспечении антивирусной защиты в Росводресурсах, несет полную или частичную ответственность по пунктам 6.2 и 6.3 настоящей Инструкции в соответствии с требованиями, установленными в договоре либо контракте между Росводресурсами и соответствующей организацией. К проведению работ могут привлекаться только подрядные организации, обладающие действующей лицензией ФСТЭК России на техническую защиту конфиденциальной информации.

7. Рассылка и актуализация

Настоящая Инструкция должна быть доступна для ознакомления всем работникам Росводресурсов, а также предоставляться по необходимости подрядным организациям и третьим лицам.

Периодическая проверка актуальности настоящей Инструкции проводится администратором ИБ, системными администраторами по мере необходимости, а также в случае изменений моделей угроз ИС Росводресурсов.

Основанием для пересмотра и совершенствования Инструкции являются результаты внутренних и внешних аудитов безопасности, а также результаты анализа системы защиты информации в сочетании с использованием превентивных и корректирующих мер.

8. Ответственность и контроль исполнения

Работники, нарушающие требования настоящей Инструкции, могут быть подвергнуты дисциплинарным взысканиям, предусмотренным трудовым законодательством Российской Федерации.