«Лаборатория Касперского»
«Антивирус Касперского Personal 5.0» – новая разработка «Лаборатории Касперского», воплощающая результаты многолетних исследований ведущих экспертов в области защиты от вредоносных программ. Продукт сочетает уникальную функциональность, новый пользовательский интерфейс и высокий уровень защиты от вирусов. Программный комплекс позволяет организовать полномасштабную систему антивирусной защиты персонального компьютера. «Антивирус Касперского Personal 5.0» охватывает все возможные источники проникновения вирусной угрозы – съемные и постоянные файловые носители, электронную почту и протоколы Интернета.
Наиболее характерным отличием нового антивируса является пользовательский интерфейс. Он позволяет без труда управлять всем встроенным арсеналом средств защиты от вирусов при помощи уникальной системы «Экспертный Совет». При возникновении нештатной ситуации «Экспертный Совет», выполненный в виде набора рекомендаций по настройке и использованию программы, в большинстве случаев позволит владельцу компьютера самостоятельно разрешить затруднение. В главном окне программы всегда доступны встроенные указания по выполнению тех или иных действий и обоснования для их совершения.
Выполненный в стиле Windows XP, пользовательский интерфейс «Антивируса Касперского» отличается простотой, интуитивной понятностью и привлекательным дизайном. Все технические подробности защиты адаптированы для понимания даже начинающими пользователями и реализованы в 3-компонентном графическом меню. Меню позволяет одновременно управлять всеми элементами программы из единого центра.
Использование «Антивируса Касперского» обеспечивает полное восстановление работоспособности системы при вирусной атаке. В то же время функция антивирусной проверки и лечения электронной почты позволяет очистить от вирусов входящую и исходящую корреспонденцию в режиме реального времени. В случае необходимости пользователю также доступны проверка и лечение почтовых баз различных почтовых систем. Защиту компьютера от самых свежих вредоносных кодов обеспечит автоматическая процедура обновлений антивирусных баз данных, выпускаемых экспертами «Лаборатории Касперского» круглосуточно с трехчасовым интервалом.
Приложение 8
Сводная таблица антивирусных программ
Имя | AIDSTEST | DR. WEB | AVSP | ADINF | MSAV | |
Версия | 1723 | 4.0 | 2.95 | 12.00 | DOS 7.10 | |
ИП | Фильтр | - | - | + | - | - |
Доктор | + | + | + | - | + | |
Ревизор | - | - | + | + | + | |
Детектор | + | + | + | - | + | |
Количество вирусов | 9000 | 7100 | 276* | - | 2546 | |
Поддержка мыши | - | + | + | + | + | |
Оконный интерфейс | - | + | + | + | + | |
Обнаружение Stealth-вирусов | - | - | + | + | + | |
Обнаружение неизвестных вирусов | - | + | + | + | + | |
Время работы при задании соответствующих режимов** | /g /s | /a/s2/v/o/u | Качество*** /все файлы | По умолчанию | По умолчанию с контрольными суммами | |
2,5 мин. | 23 мин. | 4 мин./11 мин. | 1 мин. | 1 мин. 20 сек. |
*– имеется возможность самостоятельного пополнения данных о вирусах;
** – данные о быстродействии приведены для машины 486DX2-66 с жестким диском 270 Mb, заполненным на 97%
*** – файлы с расширениями *.com, *.exe, *.ov, *.bin, *.sys.
Сводная таблица антивирусных программ
Название антивирусной программы | Общие характеристики | Положительные качества | Недостатки |
AIDSTEST | Самая известная антивирусная программа, совмещающая в себе функции детектора и доктора . В России практически на каждом IBM – совместимом персональном компьютере есть одна из версий этой программы. | При запуске Aidstest проверяет оперативную память на наличие известных ему вирусов и обезвреживает их. Может создавать отчет о работе. | После окончания обезвреживания вируса следует обязательно перезагрузить ПЭВМ. Возможны случаи ложной тревоги, например, при сжатии антивируса упаковщиком. Программа не имеет графического интерфейса и режимы ее работы задаются с помощью ключей. |
DOCTOR WEB | Dr. Web также. Как и Aidstest относится к классу детекторов докторов, но в отличие от последнего имеет так называемый «эвристический анализатор» – алгоритм, позволяющий обнаруживать неизвестные вирусы. | Пользователь может указать программе тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. Как и Aidstest, Dr. Web может создавать отчет о работе. | При сканировании памяти нет стопроцентной гарантии, что антивирус обнаружит все вирусы, находящиеся там. Тестирование винчестера Dr. Web-ом занимает намного больше времени, чем Aidstest-ом. |
AVSP (Antivirus Software Protection) | Эта программа сочетает в себе и детектор, и доктор, и ревизор, и даже некоторые функции резидентского фильтра. | Антивирус может лечить как известные, так и неизвестные вирусы. К тому же AVSP может лечить самомодифицирующиеся и Stealth-вирусы (невидимки). Очень удобна контекстная система подсказок, которая дает пояснения к каждому пункту меню. При комплексной проверке AVSP выводит также имена файлов, в которых произошли изменения, а также так называемую карту изменений. | Вместе с вирусами драйвер отключает и некоторые другие резидентные программы. Останавливается на файлах, у которых странное время создания. |
Microsoft Antivirus | Этот антивирус может работать в режимах детектора-доктора и ревизора. MSAV имеет дружественный интерфейс в стиле MS Windows, естественно, поддерживается мышь. | Хорошо реализована контекстная помощь: подсказка есть практически к любому пункту меню. К любой ситуации. Универсально реализован доступ к пунктам меню: для этого можно использовать клавиши управления курсором, ключевые клавиши. В главном меню можно сменить диск (Select new drive), выбрать между проверкой без удаления вирусов (Detect) и с их удалением (Detect&Clean). | Серьезным неудобством при использовании программы является то, что она сохраняет таблицы с данными о файлах не в одном файле, а разбрасывает их по всем директориям. |
Advanced Diskinfoscope | ADinf относится к классу программ-ревизоров. | Антивирус имеет высокую скорость работы, способен с успехом противостоять вирусам, находящимся в памяти. Он позволяет контролировать диск, читая его по секторам через BIOS и не используя системные прерывания DOS, которые может перехватить вирус. | Для лечения зараженных файлов применяется модуль ADinf CureModule, не входящий в пакет ADinf и поставляющийся отдельно. |
Приложение 9
Инструкция о порядке действий в нештатных ситуациях
Общие положения
[min] Настоящая инструкция предназначена для организации порядка действий при возникновении нештатных ситуаций.
[min] Инструкция регламентирует действия персонала подразделений при возникновении нештатных ситуаций.
Инструкция разработана на основе (указать документы, в том числе по пожарной безопасности и гражданской обороне, соответственно включить оттуда разделы).
Общий порядок действий при возникновении нештатных ситуаций
[min] При возникновении нештатных ситуаций во время работы ЭВМ сотрудник, обнаруживший нештатную ситуацию немедленно ставит в известность своего администратора информационной безопасности.
[min] Администратор информационной безопасности проводит предварительный анализ ситуации и, в случае невозможности исправить положение, ставит в известность своего начальника и вызывает сотрудника (указать, например, отдела информатизации или отдела технической зашиты информации) подразделения банка для дальнейших действий.
[MAX] По факту возникновения нештатной ситуации составляется акт, с описанием ситуации. К акту прилагаются, если есть, поясняющие материалы (копии экрана, распечатка журнала событий и др.)
[MAX] При необходимости, проводится служебное расследование по факту возникновения нештатной ситуации и выяснению ее причин.
[MAX] Особенности действий при возникновении наиболее распространенных нештатных ситуаций.
Сбой программного обеспечения. Администратор информационной безопасности совместно с сотрудником (указать) отдела выясняют причину сбоя ПО. Если исправить ошибку своими силами (в том числе после консультации с разработчиками ПО) не удалось, копия акта и сопроводительных материалов (а так же файлов, если это необходимо) направляются разработчику ПО.
Отключение электричества. Администратор информационной безопасности совместно с сотрудником (указать) отдела проводят анализ на наличие потерь и (или) разрушения данных и ПО, а так же проверяют работоспособность оборудования. В случае необходимости, производится восстановление ПО и данных из последней резервной копии с составлением акта.
Сбой в локальной вычислительной сети (ЛВС). Администратор информационной безопасности совместно с сотрудником (указать) отдела проводят анализ на наличие потерь и (или) разрушения данных и ПО. В случае необходимости, производится восстановление ПО и данных из последней резервной копии с составлением акта.
Выход из строя сервера. Сотрудник, ответственный за эксплуатацию сервера, совместно с (указать) проводит меры по немедленному вводу в действие резервного сервера для обеспечения непрерывной работы банка. При необходимости производятся работы по восстановлению ПО и данных из резервных копий с составлением акта.
Потеря данных. При обнаружении потери данных администратор информационной безопасности совместно с (указать) проводят мероприятия по поиску и устранению причин потери данных (антивирусная проверка, целостность и работоспособность ПО, целостность и работоспособность оборудования и др.). При необходимости, производится восстановление ПО и данных из резервных копий с составлением акта.
Обнаружен вирус. При обнаружении вируса производится локализация вируса с целью предотвращения его дальнейшего распространения, для чего следует физически отсоединить «зараженный» компьютер от ЛВС и провести анализ состояния компьютера. Анализ проводится компетентным в этой области сотрудником. Результатом анализа может быть попытка сохранения (спасения данных), так как после перезагрузки ЭВМ данные могут быть уже потеряны. После успешной ликвидации вируса, сохраненные данные также необходимо подвергнуть проверке на наличие вируса. При обнаружении вируса следует руководствоваться «Инструкцией по организации антивирусной защиты», инструкцией по эксплуатации применяемого антивирусного ПО. После ликвидации вируса необходимо провести внеочередную антивирусную проверку на всех ЭВМ банка с применением обновленных антивирусных баз. При необходимости производится восстановление ПО и данных из резервных копий с составлением акта. Проводится служебное расследование по факту появления вируса в ЭВМ (ЛВС) банка.
Обнаружена утечка информации (дырка в системе защиты). При обнаружении утечки информации ставится в известность администратор информационной безопасности и начальник подразделения. Проводится служебное расследование. Если утечка информации произошла по техническим причинам, проводится анализ защищенности системы и, если необходимо, принимаются меры по устранению уязвимостей и предотвращению их возникновения.
Взлом системы (Web-сервера, файл-сервера и др.) или несанкционированный доступ (НСД). При обнаружении взлома сервера ставится в известность администратор информационной безопасности и начальник подразделения. Проводится, по возможности, временное отключение сервера от сети для проверки на вирусы и троянских закладок. Возможен временный переход на резервный сервер. Учитывая, что программные закладки могут быть не обнаружены антивирусным ПО, следует особенно тщательно проверить целостность исполняемых файлов в соответствии с хэш-функциями эталонного программного обеспечения, а также проанализировать состояние файлов-скриптов и журналы сервера. Необходимо сменить все пароли, которые имели отношение к данному серверу. В случае необходимости производится восстановление ПО и данных из эталонного архива и резервных копий с составлением акта. По результатам анализа ситуации следует проверить вероятность проникновения несанкционированных программ в ЛВС банка, после чего провести аналогичные работы по проверке и восстановлению ПО и данных на других ЭВМ банка. По факту взлома сервера проводится служебное расследование.
Попытка несанкционированного доступа (НСД). При попытке НСД проводится анализ ситуации на основе информации журналов регистрации попыток НСД и предыдущих попыток НСД. По результатам анализа, в случае необходимости, принимаются меры по предотвращению НСД, если есть реальная угроза НСД. Так же рекомендуется провести внеплановую смену паролей. В случае появления обновлений ПО, устраняющих уязвимости системы безопасности, следует применить такие обновления.
Компрометация ключей. При компрометации ключей следует руководствоваться инструкциями к применяемой системе криптозащиты.
Компрометация пароля. При компрометации пароля необходимо немедленно сменить пароль, проанализировать ситуацию на наличие последствий компрометации и принять необходимые меры по минимизации возможного (или нанесенного) ущерба (блокирование счетов пользователей и т. д.). При необходимости, проводится служебное расследование.
Физическое повреждение ЛВС или ПЭВМ. Ставится в известность администратор информационной безопасности. Проводится анализ на утечку или повреждение информации. Определяется причина повреждения ЛВС или ПЭВМ и возможные угрозы безопасности информации. В случае возникновения подозрения на целенаправленный вывод оборудования из строя проводится служебное расследование. Проводится проверка ПО на наличие вредоносных программ-закладок, целостность ПО и данных. Проводится анализ электронных журналов. При необходимости проводятся меры по восстановлению ПО и данных из резервных копий с составлением акта.
Стихийное бедствие. При возникновении стихийных бедствий следует руководствоваться документами (указать) для соответствующих подразделений банка.
Профилактика против возникновения нештатных ситуаций
[min] Отделом технической защиты информации (или указать) периодически, не реже (указать период), должен проводится анализ зарегистрированных нештатных ситуаций для выработки мероприятий по их предотвращению.
[min] В общем случае, для предотвращения нештатных ситуаций необходимо четкое соблюдение требований нормативных документов банка и инструкций по эксплуатации оборудования и ПО.
[MAX] Ниже приведены рекомендации по предотвращению некоторых типичных нештатных ситуаций.
Сбой программного обеспечения. Применять лицензионное ПО, регулярно проводить антивирусный контроль и профилактические работы на ЭВМ (проверка диска и др.)
Отключение электричества. Использовать источники бесперебойного питания на ответственных (а лучше - на всех) технологических участках банка. Разработать инструкцию по аварийному переходу на резервный источник питания (если такой имеется в наличии) или аварийному завершению работы и сохранению данных. Желательно иметь в наличии резервный источник электроэнергии (дизель-генератор и др.)
Сбой ЛВС. Обеспечение бесперебойной работы ЛВС путем применения надежных сетевых технологий и резервных систем.
Выход из строя сервера. Применять надежные программно-технические средства, продуманную политику администрирования. Допускать к работе с серверным оборудованием только квалифицированных специалистов.
Потеря данных. Периодически проводить анализ системных журналов работы ПО с целью выяснения «узких» мест в технологии и возможной утечки (или потери) информации. Проводить с администраторами информационной безопасности (и сотрудниками) разъяснительные и обучающие собрания. Обеспечить комплексную защиту информации в банке.
Обнаружен вирус. Соблюдать требования «Инструкции по организации антивирусной защиты».
Обнаружена утечка информации (дырка в системе защиты). Применять обновления ПО по устранению программных «дыр» в системе защиты по мере их появления (обнаружения). Построить комплексную систему защиты информации в банке. Регулярно проводить анализ журналов попыток НСД и совершенствование системы защиты информации. Также См. «Потеря данных»
Взлом системы (Web-сервера, файл-сервера и др.) или несанкционированный доступ (НСД). См. «Обнаружена утечка информации (дырка в системе защиты)».
Попытка несанкционированного доступа (НСД). По возможности, установить регистрацию попыток НСД на всех технологических участках, где возможен несанкционированный доступ, с оповещением Администратора информационной безопасности о попытках НСД.
Компрометация ключей. Соблюдать требования «Инструкции по обращению с ключевыми материалами шифрования и ЭЦП».
Компрометация паролей. Соблюдать требования «Инструкции по организации парольной защиты».
Физическое повреждение ЛВС или ПЭВМ. Физическая защита компонентов сети (серверов, маршрутизаторов и др.), ограничение доступа к ним. С также «Сбой ЛВС».
Стихийное бедствие. Проводить обучающие собрания и тренировки персонала банка по вопросам гражданской обороны.
Инструкция по работе с эталонным программным обеспечением (ПО)
Порядок получения ПО от разработчика
[min] Все программное обеспечение (ПО), получаемое от разработчика должно быть подвергнуто антивирусной проверке.
[min] С полученного ПО необходимо изготовить рабочие копии, которые будут использоваться для установки и работы ПО. Исключения составляют носители информации, с которых невозможно изготовить копии по причине их защиты от копирования или невозможности изготовления копии.
[min] Носители информации оригинала (эталона), и копий ПО должны быть маркированы и учтены в подразделении (указать) банка.
[MAX] С эталона ПО необходимо снять значения хеш-функций для контроля целостности информации и зафиксировать эти значения в акте приема-передачи и формуляре носителей ПО.
[MAX] Для получения хеш-функций применяется программа CRC. EXE из состава операционной системы PC DOS 7.0 (или указать программу).
[min] С поступающими обновлениями ПО, в процессе его сопровождения разработчиком, необходимо поступать так же, как и с первоначальной версией ПО.
Проверка целостности эталонного ПО
[MAX] Перед повторным созданием рабочих копий необходимо проверить значения хеш-функций эталонного ПО для подтверждения его целостности.
Хранение эталонного ПО
[min] Эталонное ПО должно храниться в специально предназначенном для этой цели месте. Место хранения эталонного ПО должно исключать возможность резких перепадов температур, влияние сильных электромагнитных полей, прямых солнечных лучей, а также других явлений, способных привести к разрушению эталонной информации и (или) ее носителей.
[MAX] Эталонное ПО должно храниться на маркированных учтенных носителях информации. На каждый носитель информации должен быть составлен формуляр с описанием содержимого носителя информации. Формуляр должен содержать следующую информацию: наименование ПО, состав ПО и его хеш-функции, ФИО лица, производящего проверку и регистрацию ПО, дату регистрации ПО.
[min] Носители информации, для хранения эталонного ПО должны быть переведены с состояние «только чтение» или «защита от записи», если иное не предусмотрено документацией на ПО.
[min] Документация по установке эталонного ПО должна храниться вместе с ним.
Установка ПО
[min] Установка и настройка ПО производится только с рабочих копий ПО, за исключением случаев, когда изготовление копий невозможно.
[MAX] Установка (изменение) программного обеспечения компьютеров и локальной вычислительной сети должна осуществляться только в присутствии и под контролем администратора информационной безопасности (АИБ) того технологического участка, в котором эксплуатируется данное программное обеспечение.
[MAX] Установка ПО производится с составлением акта установки.
Обновление ПО
[min] Обновление ПО производится в соответствии с сопроводительной документацией на пакет обновления и регистрируется в специальном журнале изменения ПО.
Положение об администраторах информационной безопасности (АИБ)
Общие положения
Настоящее Положение определяет задачи, функции, обязанности, права и ответственность администратора информационной безопасности (АИБ).
[MAX] АИБ назначается Приказом по банку из числа сотрудников, задействованных на данном технологическом участке (отдел информатизации, РКЦ, и др.). Технологический участок, на котором назначается АИБ должен быть четко определен в Приказе.
[MAX] АИБ подчиняется руководителю подразделения, в котором он состоит.
[min] АИБ в своей работе руководствуется настоящим Положением и другими нормативными документами банка (перечислить).
[min] Инструктивно-методическое руководство деятельностью АИБ осуществляется Отделом технической защиты информации (ОТЗИ) банка (или указать др.)
[min] АИБ в пределах своих функциональных обязанностей обеспечивает безопасность информации, обрабатываемой, передаваемой и хранимой при помощи средств вычислительной техники в своем подразделении.
[min] АИБ устанавливается надбавка к заработной плате в размере до (указать).
Основные задачи и функции администратора информационной безопасности
Основными задачами АИБ являются:
[min] Организация эксплуатации технических и программных средств защиты информации.
[min] Текущий контроль работы средств и систем защиты информации.
[MAX] Контроль за работой пользователей автоматизированных систем, выявление и регистрация попыток несанкционированного доступа (НСД) к автоматизированным системам и защищаемым информационным ресурсам.
[MAX] Организация и контроль резервного копирования в подразделении.
АИБ выполняет следующие основные функции:
[min] Обеспечение функционирования средств и систем защиты информации в пределах инструктивно-методических документов (указать).
[min] Обучение персонала и пользователей вычислительной техники правилам безопасной обработки информации и правилам работы со средствами защиты информации.
[MAX] Обучение персонала и пользователей вычислительной техники правилам безопасной обработки, передачи и хранения информации при помощи автоматизированных систем.
[min] Участие в проведении служебных расследований, фактов нарушения или угрозы нарушения безопасности защищаемой информации.
[min] Организация антивирусного контроля магнитных носителей информации и файлов электронной почты, поступающих из других подразделений и сторонних организаций.
[min] Текущий контроль работоспособности и эффективности функционирования эксплуатируемых программных и технических средств защиты информации.
[MAX] Текущий контроль технологического процесса автоматизированной обработки информации ограниченного распространения и электронных платежных документов.
[min] Организация учета и хранения носителей электронных ключей с грифом "Для служебного пользования", используемых в технологии обработки защищаемой информации.
[min] Текущий контроль за соблюдением требований инструкций и положений при эксплуатации средств и систем защиты информации.
[MAX] Контроль целостности эксплуатируемого на средствах вычислительной техники программного обеспечения с целью выявления несанкционированных изменений в нем.
[min] Контроль за санкционированным изменением ПО, заменой и ремонтом средств вычислительной техники на своем технологическом участке.
Обязанности администратора информационной безопасности
[min] Обеспечивать функционирование и поддерживать работоспособность средств и систем защиты информации в пределах возложенных на него обязанностей.
[min] Немедленно докладывать непосредственному начальнику, а в его отсутствии начальнику (указать), о выявленных нарушениях и несанкционированных действиях пользователей и персонала, а также принимать необходимые меры по устранению нарушений.
[min] Совместно со специалистами ОТЗИ принимать меры по восстановлению работоспособности средств и систем защиты информации.
[min] Проводить инструктаж обслуживающего персонала и пользователей средств вычислительной техники по правилам работы с используемыми средствами и системами защиты информации.
Права администратора информационной безопасности
[min] Требовать от пользователей банковских автоматизированных систем безусловного соблюдения установленной технологии и выполнения инструкций по обеспечению безопасности и защиты информации, содержащей сведения ограниченного распространения и электронных платежей.
[min] Вносить предложения и требовать прекращения обработки информации в случаях нарушения установленной технологии обработки защищаемой информации или нарушения функционирования средств и систем защиты информации.
[MAX] Обращаться в ОТЗИ с просьбой об оказании технической и методической помощи в работе по обеспечению технической защиты информации.
[MAX] Готовить предложения в ОТЗИ по совершенствованию используемых систем защиты информации и отдельных их компонентов.
Ответственность администратора информационной безопасности
[min] На АИБ возлагается персональная ответственность за качество проводимых им работ по обеспечению защиты информации в соответствии с функциональными обязанностями, определенными в настоящем Положении.
[MAX] АИБ несет ответственность по действующему законодательству за разглашение сведений, составляющих государственную тайну и сведения ограниченного распространения, ставших известными ему в соответствии с родом работы.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
