требования к антивирусам и другим средствам защиты информации

Требования к средствам защиты от несанкционированного доступа

Требования к составу функций, реализуемых средством защиты от несанкционированного доступа

Средство защиты от несанкционированного доступа должно обеспечивать последовательное выполнение следующих функций, составляющих цикл его работы:

• обнаружение воздействий на входной интерфейс средства защиты от несанкционированного доступа;
• опознание (анализ) выявленных воздействий;
• формирование сигнала управления (разрешение или запрет доступа) по результатам анализа воздействий.

Требования к реализации средством защиты от несанкционированного доступа других функций (например, аудита, самодиагностики и пр.) устанавливаются в техническом задании на его разработку в зависимости от назначения и условий эксплуатации.

Требования к алгоритму функционирования средства защиты от несанкционированного доступа

Средство защиты от несанкционированного доступа должно обеспечивать четкое разделение режимов работы: режим настройки, основной режим и режим контроля (профилактического обслуживания).

В режимах настройки или контроля (профилактического обслуживания) средства защиты от НСД его выходной интерфейс, предназначенный для формирования сигнала управления (разрешение или запрет доступа), должен блокироваться.

Перевод средства защиты от несанкционированного доступа из режима настройки в основной режим должен осуществляться только после установки всех необходимых по номенклатуре и допустимых по величинам значений настраиваемых параметров.

В основном режиме работы при отсутствии воздействий на его входной интерфейс средство защиты от несанкционированного доступа должно формировать сигнал запрета доступа.

В основном режиме работы средства защиты от несанкционированного доступа на период обработки входного воздействия его входные интерфейсы должны быть заблокированы для исключения возможности приема на обработку других входных воздействий.

Разблокировка входных интерфейсов средства защиты от несанкционированного доступа должна осуществляться только после завершения цикла его работы, формирования и выдачи одного из заранее определенных выходных сигналов.

Средство защиты от несанкционированного доступа должно обеспечивать обнаружение подлежащих анализу воздействий на полном множестве воздействий, определенном для его входного интерфейса.

Должна обеспечиваться возможность контроля правильности функционирования средства защиты от несанкционированного доступа.

Показатель эффективности средства защиты от несанкционированного доступа при увеличении количества попыток несанкционированного доступа должен соответствовать значению, указанному в эксплуатационной документации.

Должна быть исключена возможность вывода из строя средства защиты от несанкционированного доступа путем воздействия на его органы управления иди подачи на входной интерфейс каких-либо сообщений (команд, сигналов).

Требования к интерфейсам средства защиты от несанкционированного доступа

Сигналы разрешения или запрещения доступа к информации, формируемые средством защиты от несанкционированного доступа, должны обеспечивать их однозначную идентификацию в условиях возможных помех или отказов оборудования.

Если формируемые средством защиты от несанкционированного доступа разрешающие и запрещающие сигналы представляют собой двоичный код, то кодовое расстояние между ними рекомендуется устанавливать не менее двух (должны различаться не менее чем в двух разрядах).

Если формируемые средством защиты от несанкционированного доступа разрешающие и запрещающие сигналы представляют собой аналоговый сигнал, то значения основной характеристики сигнала (амплитуда, частота, фаза и т. д.) для разрешающего и запрещающего сигналов рекомендуется выбирать таким образом, чтобы они различались на максимально допустимую для используемого интерфейса величину.

Сигналы взаимодействия средства защиты от несанкционированного доступа и технических (программных) средств автоматизированной системы должны быть взаимно определены.

Информационные и предписывающие сообщения, выдаваемые средством защиты от несанкционированного доступа персоналу автоматизированной системы (при их наличии), должны исключать возможность их неоднозначной интерпретации.

Требования к документации

Конструкторская документация на средство защиты от несанкционированного доступа должна включать документы (например, технические условия, программу и методику испытаний и т. п.), по которым было бы возможно проверить соответствие характеристик средства защиты от несанкционированного доступа характеристикам, приведенным в эксплуатационной документации (например, в формуляре, паспорте) на него.

На средство защиты от несанкционированного доступа должна разрабатываться эксплуатационная документация, включающая руководства администратора и пользователя.

В руководстве администратора должны быть приведены:

• порядок проведения инсталляции (подключения) средства защиты от несанкционированного доступа;
• порядок первоначальной установки и изменения настраиваемых параметров средства защиты от несанкционированного доступа;
• порядок проверки работоспособности средства защиты от несанкционированного доступа;
• порядок действий администратора при нештатном функционировании (отказе) средства защиты от несанкционированного доступа.

В руководстве пользователя должны быть приведены:

• назначение, область применения и условия эксплуатации средства защиты от несанкционированного доступа;
• перечень событий, на предотвращение которых направлено средство защиты от несанкционированного доступа;
• порядок действий пользователя при нормальном функционировании средства защиты от несанкционированного доступа;
• порядок действий персонала при нештатном функционировании (отказе) средства защиты от несанкционированного доступа.

---

Программные средства защиты от воздействия вредоносных программ и антивирусные программные средства

Защита объектов информационной технологии (ИТ) от вредоносных воздействий является составной частью общей задачи обеспечения безопасности информации и осуществляется согласованно с мероприятиями по защите информации от несанкционированного доступа и специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи.

Статья определяет базовые функциональные возможности АГЕНТА и АНТИВИРУСА по выявлению ВИРУСОВ и устранению последствий, вызванных вредоносным воздействием на элементы объекта ИТ.

Требования по защите от вредоносных воздействий для типового и конкретного объекта ИТ определяются профилем защиты типового объекта ИТ и описываются в виде набора функциональных и гарантийных требований безопасности.

Оценка объекта ИТ на соответствие необходимому уровню защиты от вредоносных воздействий осуществляется по специальным методикам с учетом уровня гарантии оценки, установленного в профиле защиты или задании по обеспечению безопасности.

В комплект поставки АГЕНТА или АНТИВИРУСА должны входить:

•  программное изделие;
•  программная документация в соответствии с ГОСТ.

АГЕНТ и АНТИВИРУС иностранного производства допускается комплектовать программной документацией, оформленной по стандартам иностранного производителя и переведенной на русский язык.

В программной документации должны быть отражены особенности и ограничения по функционированию АГЕНТОВ и АНТИВИРУСОВ в конкретной операционной системе.

АГЕНТ и АНТИВИРУС должны иметь сертификат соответствия, выданный органом по сертификации.

Весь этот перечень естественно соблюдается лидерами отрасли производства антивирусных продуктов, в том числе и Антивирусом Касперского.

Классификация АГЕНТОВ и АНТИВИРУСОВ

Классификация осуществляется по функциональным возможностям АГЕНТОВ или АНТИВИРУСОВ.

В общем случае АГЕНТ и АНТИВИРУС должны состоять из следующих подсистем:

• контроля изменений;
• обнаружения;
• обезвреживания;
• обеспечения гарантированности свойств;
• регистрации.

АГЕНТ и АНТИВИРУС должны функционировать в одном или нескольких режимах:

• обработки объекта ИТ по запросу пользователя;
• обработки объекта ИТ в реальном масштабе времени.

Устанавливаются три типа АГЕНТОВ и АНТИВИРУСОВ.

• АГЕНТ и АНТИВИРУС первого типа после запуска по запросу пользователя должны обнаруживать изменения элементов объектов ИТ.
• АГЕНТ и АНТИВИРУС второго типа после запуска по запросу пользователя должны обеспечивать проверку элементов объекта ИТ на наличие ВИРУСОВОВ и обезвреживание обнаруженных ВИРУСОВ.
• АГЕНТ и АНТИВИРУС третьего типа в течение работы объекта ИТ должны обеспечивать в реальном масштабе времени автоматическую проверку элементов объекта ИТ на наличие ВИРУСОВ, выявление вредоносного воздействия и обезвреживание обнаруженных ВИРУСОВ.

---

Общие требования к АГЕНТАМ и АНТИВИРУСАМ

Требования к АГЕНТАМ и АНТИВИРУСАМ первого типа

Режим работы «Обработка объекта ИТ по запросу пользователя» должен обеспечивать однократный контроль изменений элементов объекта ИТ.

Подсистема контроля изменений должна обеспечивать проверку:

•  файловой системы:

1. изменения файлов;
2. создания и удаления файлов;
3. переименования файлов;
4. создания и удаления каталогов;
5. переименования каталогов;
6. перемещения файлов из каталога в каталог;

• содержимого системных областей;
• изменений энергонезависимой памяти.

Подсистема обнаружения — требования не предъявляются. Подсистема обезвреживания — требования не предъявляются.

Подсистема гарантированности свойств должна обеспечивать:

•  контроль целостности АГЕНТА и АНТИВИРУСА:

1. самоконтроль целостности модулей АГЕНТА и АНТИВИРУСА;
2. выдачу предупреждений при нарушении целостности;

•  наличие эксплуатационной документации.

Подсистема регистрации должна обеспечивать:

•  регистрацию событий в журнале аудита по следующим параметрам:

1. дата/время;
2. элемент объекта ИТ;
3. результат работы подсистемы контроля изменений;

•  выдачу предупреждений об обнаруженных изменениях.

Рекомендуется обеспечивать генерацию отчетов.

Требования к АГЕНТУ и АНТИВИРУСУ второго типа

Режим работы «Обработка объекта ИТ по запросу пользователя» должен обеспечивать однократную обработку элементов объекта ИТ.

Подсистема контроля изменений — требования не предъявляются.

Подсистема обнаружения должна обеспечивать:

• обнаружение ВИРУСОВ, информация о которых известна;
• идентификацию активных ВИРУСОВ;
• идентификацию пассивных ВИРУСОВ.

Рекомендуется обеспечивать обнаружение ВИРУСОВ, информация о которых отсутствует.

Подсистема обезвреживания должна обеспечивать:

• обезвреживание активных идентифицированных ВИРУСОВ;
• обезвреживание пассивных идентифицированных ВИРУСОВ.

Подсистема гарантированности свойств должна обеспечивать:

• контроль целостности АГЕНТА и АНТИВИРУСА:

1. самоконтроль целостности модулей АГЕНТА и АНТИВИРУСА;
2. выдачу предупреждений при нарушении целостности;

• процедуру обновления набора признаков известных ВИРУСОВ;
• процедуру обновления модулей обнаружения и обезвреживания ВИРУСОВ;
• наличие эксплуатационной документации.

Подсистема регистрации должна обеспечивать:

• регистрацию событий в журнале аудита по следующим параметрам:

1. дата/время;
2. объект ИТ/элемент объекта ИТ;
3. результаты обработки;

•  выдачу предупреждений об обнаружении ВИРУСОВ;
•  генерацию отчетов.

Допускается обеспечивать выдачу предупреждений об обезвреживании ВИРУСОВ.

Требования к АГЕНТУ и АНТИВИРУСУ третьего типа

Режим работы «Обработка объекта ИТ в реальном масштабе времени» должен обеспечить:

• постоянную автоматическую обработку элементов объекта ИТ в течение работы объекта ИТ;
• периодическую автоматическую обработку элементов объекта ИТ согласно заданному расписанию.

Допускается дополнительно обеспечивать режим работы «Обработка объекта ИТ по запросу пользователя».

Подсистема контроля изменений. Допускается проводить контроль изменений энергонезависимой памяти. Требования к контролю системных областей и файловой системы не предъявляются.

Подсистема обнаружения должна обеспечивать:

• обнаружение ВИРУСОВ, информация о которых известна;
• обнаружение ВИРУСОВ, информация о которых отсутствует;
• идентификацию активных ВИРУСОВ;
• идентификацию пассивных ВИРУСОВ.

Подсистема обезвреживания должна обеспечивать:

• обезвреживание активных идентифицированных ВИРУСОВ;
• обезвреживание пассивных идентифицированных ВИРУСОВ.

Рекомендуется обеспечивать обезвреживание ВИРУСОВ, информация о которых отсутствует.

Подсистема гарантированности свойств должна обеспечивать:

• контроль целостности АГЕНТ и АНТИВИРУС;

1. самоконтроль целостности модулей АГЕНТ и АНТИВИРУС;
2. выдачу предупреждений при нарушении целостности;

•  процедуру обновления набора признаков известных ВИРУСОВ;
• процедуру обновления модулей обнаружения и обезвреживания ВИРУСОВ;
• наличие эксплуатационной документации.

Рекомендуется дополнительно обеспечить восстановление модулей АГЕНТ и АНТИВИРУС при их повреждении.

Подсистема регистрации должна обеспечивать:

• регистрацию событий в журнале аудита по следующим параметрам:

1. дата/время;
2. объект ИТ/элемент объекта ИТ;
3. результаты обработки;

• выдачу предупреждений об обнаружении ВИРУСОВ;
• генерацию отчетов.

Допускается обеспечивать выдачу предупреждения об изменениях элементов объекта ИТ, обнаруженных подсистемой контроля изменений. Допускается обеспечивать выдачу предупреждений об обезвреживании ВИРУСОВ.

Какой у вас антивирус выполняет защиту информации?