ГОСТ Р 56045—2014/ISO/IEC TR 27008:2011
Таблица А.1
А.1 Техническая проверка мер и средств контроля и управления, применяемых против
вредоносной программы
Мера и сред
ство контроля
и управления
ИСО/МЭК 27002 10.4.1 Меры и средства контроля и управления против вре
доносной программы
Необходимо внедрить меры и средства контроля и управления, связанные с об
наружением, предотвращением и восстановлением, с целью защиты от вредо
носной программы, а также процедуры, обеспечивающие соответствующую осве
домленность пользователей.
Дополнитель
ная техниче
ская инфор
мация
Вредоносная программа (вредоносное программное средство) - это общий тер
мин. используемый для обозначения кода, программного средства, программы,
сценария, предназначенных для нанесения ущерба компьютерной системе путем
хищения информации, мошенничества, шпионажа, саботажа и вандализма.
При внесении вредоносного программного средства в компьютерную систему мо
жет быть причинен ущерб системе или может быть похищена информация из сис
темы. Также возможно, что оно причинит ущерб другим системам.
Вредоносное программное средство включает вирусы, червей, троянских коней,
боты, шпионское программное средство, программы, запускающие рекламу, и
другие нежелательные программные средства.
В условиях соединения сети организации с Интернетом аудиторы, проводящие
проверку мер и средств контроля и управления информационной безопасностью,
должны проверить, что функции обнаружения/предупреждения вредоносного про
граммного средства комплексно и эффективно размещены на границе с Интерне
том и эти функции действуют соответствующим образом.
Чтобы проверить, действуют ли функции обнаружения/предупреждения соответ
ственно, аудиторы, проводящие проверку мер и средств контроля и управления
информационной безопасностью, должны получить подтверждение, обновляются
ли файлы-шаблоны или сигнатуры, используемые для обнаружения вредоносного
программного средства.
Некоторые системы обнаружения/предупреждения разрабатываются для обнару
жения вредоносного программного средства посредством использования файлов-
шаблонов или сигнатур, а некоторые создаются для обнаружения аномального
поведения компьютерной системы без использования файлов-шаблонов или сиг
натур.
Поскольку существует несколько моделей соединения с Интернетом, таких как
соединение сети организации с Интернетом через шлюз или подключение каждо
го персонального компьютера (ПК) к Интернету напрямую, аудиторы, проводящие
проверку мер и средств контроля и управления информационной безопасностью,
должны убедиться, что система обнаружения/предупреждения соответствующим
образом работает при любой модели соединения.
Примечание - Аудиторы, проводящие проверку мер и средств контроля и управления
информационной безопасностью, должны сознавать, что возможности системы обнаруже-
ния/предупреждения в отношении неизвестного вредоносного программного средства (та
кого как «Zero day«)ограничены
1 Стандарт
реализа
ции безо
пасности
Установка и регулярное обновление программных средств по обнаружению вре
доносных программ и исправлению ситуации для осуществления сканирования
компьютеров и носителей данных в качестве предупредительной меры и средст ва
контроля и управления или на стандартной основе. Проводимые проверки должны
включать:
1)проверку любых файлов перед их использованием на электронных или оп
тических носителях данных или файлов, полученных по сети, на предмет наличия
вредоносной программы;
2)проверку вложений электронной почты и загрузок на предмет наличия вре
доносной программы перед их использованием: эта проверка должна осуществ
ляться в разных точках, например, на почтовых серверах, в настольных компью
терах. при вхождении в сеть организации;
3)проверку веб-страниц на предмет наличия вредоносной программы
21