Концепция антивирусной безопасности. Часть 1

Концепция антивирусной безопасности.

Краеугольный камень комплексной системы защиты от вирусных угроз

Часть 1

В.А. Сердюк
эксперт

КОМПЬЮТЕРНЫЕ вирусы не без основания считаются одной из наиболее серьезных угроз в сфере информационной безопасности. Подтверждается это ущербом, который несут компании в результате воздействия вирусных атак. В ряде случаев масштабы потерь исчисляются миллиардами долларов. Увеличение частоты вирусных атак, а также рост вызываемого ими уровня ущерба обосновывается следующими основными причинами:

• появление новых каналов проникновения вирусов в автоматизированные системы (АС). Несмотря на то что основным каналом вирусного инфицирования остается почтовая система, за последние несколько лет были созданы вирусы, которые могут проникать в АС через пиринговые сети файлового обмена, программы обмена сообщениями типа ICQ и др.;
• увеличение возможных объектов для вирусных атак. Так, если несколько лет назад в качестве основных объектов несанкционированного воздействия рассматривались исключительно рабочие станции и серверы стандартных Web-служб, таких как HTTP, SMTP и FTP, то к настоящему моменту уже существуют вирусы, которые воздействуют на маршрутизаторы, коммутаторы, межсетевые экраны, мобильные устройства и другие компоненты АС;
• рост количества уязвимостей программного обеспечения (ПО), на основе которых вирусы могут проникать в АС. В качестве примера таких уязвимостей можно привести ошибки в общесистемном ПО компании Microsoft, которые спровоцировали эпидемии таких вирусов, как Slammer, Blaster, Sasser и Zotob;
• расширение понятия вирусной угрозы. На сегодняшний день в качестве вирусных угроз рассматриваются уже не только вирусные атаки, но и вредоносные программы типа "Троянский конь", "spyware" и "adware", а также несанкционированная рассылка почтовых сообщений - спам.

Сказанное выше позволяет говорить о высокой актуальности и значимости работ, проводимых в области защиты АС от вирусных атак. Отметим, что за последние несколько лет подходы к обеспечению антивирусной безопасности претерпели значительные изменения. Так, если раньше считалось, что для защиты от вирусов достаточно лишь установки антивирусной программы на серверы и рабочие станции, то на сегодняшний день высокий уровень безопасности может быть обеспечен только за счет использования комплекса организационно-технических мер защиты. С учетом этого становится очевидным тот факт, что эффективное противодействие вирусным угрозам невозможно без четко выработанной системной политики по созданию, внедрению и сопровождению комплексных средств защиты. Существенную роль в эффективном решении этой задачи играет создание Концепции антивирусной безопасности.

Функциональное назначение Концепции антивирусной безопасности

Концепция антивирусной безопасности (от лат. conceptio) представляет собой официально принятую в какой-либо организации систему взглядов на цели, задачи, основные принципы и направления деятельности в области защиты от возможных вирусных угроз. Концепция разрабатывается в виде внутрикорпоративного нормативного документа, который утверждается на уровне руководства организации. Все положения Концепции носят долгосрочный характер и действуют в течение нескольких лет с момента ее официального утверждения. При этом, как правило, Концепция создается в виде дополнения к уже существующей Концепции информационной безопасности предприятия с целью уточнения и расширения требований по защите АС от вирусных угроз. Для создания Концепции могут привлекаться внешние специализированные организации, оказывающие консалтинговые услуги в этой области.

Как правило, положения и требования Концепции распространяются на все центральные и региональные объекты автоматизации компании, в которых осуществляется хранение, обработка и передача информационных ресурсов, потенциально подверженных вирусным атакам. Положения Концепции также распространяются и на подразделения, осуществляющие сопровождение, обслуживание и обеспечение функционирования АС предприятия.

Основная цель Концепции антивирусной безопасности заключается в создании нормативной базы для обеспечения комплексной защиты от вирусных угроз, предусматривающей применение как организационных, так и программно-технических методов защиты. При этом Концепция должна предусматривать возможность использования следующих мер (рис. 1):

• превентивные меры по выявлению и устранению уязвимостей, на основе которых реализуются вирусные угрозы. Меры защиты этого типа обеспечивают возможность предотвращения вирусных атак путем удаления уязвимостей, являющихся причиной их возникновения. Примерами уязвимостей могут являться неустановленные модули обновления ПО (service packs, hotfixes, patches и т.д.), слабые и нестойкие к угадыванию пароли доступа, неправильным образом настроенные сетевые сервисы и др.;
• меры,направленные на своевременное обнаружение и блокирование вирусных атак, вредоносного ПО и спама;
• меры, обеспечивающие выявление и ликвидацию последствий вирусных угроз. Данный класс мер защиты направлен на минимизацию ущерба, нанесенного в результате реализации вирусных угроз.

Непосредственный процесс разработки Концепции антивирусной безопасности предусматривает выполнение следующих функциональных задач:

• проведение анализа угроз антивирусной безопасности, которым может быть подвержена организация. Для этого в состав Концепции включается модель угроз безопасности, позволяющая описать характеристики тех вирусных атак, от которых должна быть защищена АС компании;
• проведение оценки текущего состояния антивирусной безопасности предприятия на основе имеющейся информации о структуре АС, а также оценка установленных средств защиты;
• разработка концептуальных подходов к защите типовых объектов автоматизации предприятия от возможных вирусных угроз;
• определение стратегии создания, эксплуатации и развития комплексной системы антивирусной безопасности;
• формирование плана первоочередных и долгосрочных мер по реализации положений Концепции.

Нормативно-правовая основа Концепции антивирусной безопасности

Концепция разрабатывается на основе требований действующего законодательства Российской Федерации, а также с учетом рекомендации международных стандартов. Основные требования российского законодательства, касающегося вопросов защиты информации, изложены в общем виде в федеральных законах и уточнены в документах Федеральной службы по техническому и экспортному контролю РФ (Гостехкомиссии России), ФСБ (ФАПСИ) и в государственных стандартах, а также других документах.

Международные стандарты позволяют дополнить отечественное законодательство в тех областях, которые не затрагиваются российскими нормативно-правовыми документами. Примерами таких областей является аудит информационной безопасности, интеграция различных средств обеспечения безопасности, управление системами защиты и др. В настоящее время наибольшее распространение в России получили следующие международные стандарты: ISO/IEC 17799, CobiT, ITIL и OCTAVE. В отличие от положений российского законодательства, требования международных стандартов носят рекомендательный характер.

Нормативно-правовые документы, которые должны учитываться в процессе разработки Концепции, можно разделить на следующие основные группы (рис. 2):

• правовые документы, которые включают в себя федеральные законы и кодексы, указы и распоряжения Президента РФ, а также постановления Правительства РФ;
• организационно-распорядительные документы, действующие в организации, для которой разрабатывается Концепция. Примерами таких документов являются должностные инструкции, приказы, распоряжения и другие документы, касающиеся вопросов информационной безопасности;
• нормативные документы, включающие в себя российские и международные стандарты, а также специальные требования ФСТЭК и ФСБ, касающиеся вопросов защиты информации.