Инструкция антивирусного контроля

реклама
АДМИНИСТРАЦИЯ ИНЖАВИНСКОГО РАЙОНА
ТАМБОВСКОЙ ОБЛАСТИ
РАСПОРЯЖЕНИЕ
.22 .02 .2013 г.
р.п. Инжавино
№ 20 -р
Об утверждении Инструкции по проведению антивирусного контроля на
ПЭВМ, входящих в состав автоматизированной системы Администрации
Инжавинского района Тамбовской области.
В целях обеспечения защиты информации в Администрации района:
1. Утвердить Инструкцию по проведению антивирусного контроля на
ПЭВМ,
входящих
в
состав
автоматизированной
системы
Администрации Инжавинского района Тамбовской области согласно
Приложению.
2. Главному специалисту отдела организационно-контрольной и кадровой
работы
Администрации
района
Жуковой Л.М.
обеспечить
ознакомление сотрудников Администрации района с Инструкцией под
подпись.
3. Контроль за исполнением распоряжения возложить на управляющего
делами Администрации района Р.М. Жукова.
Глава района
Жуков Р.М.
2-73-39
А.М. Попов
2
Приложение
утверждено распоряжением
Администрации района
от . 22 .02 . 2013 г. № 20 -р
ИНСТРУКЦИЯ
по проведению антивирусного контроля на ПЭВМ, входящих в состав
автоматизированной системы Администрации Инжавинского района
Тамбовской области
1. Общее положение
1.1. Настоящая Инструкция по проведению антивирусного контроля на
ПЭВМ, входящих в состав автоматизированной системы Администрации
Инжавинского района Тамбовской области (далее – Инструкция) разработана
в дополнение к «Положению об организации и проведении работ в
Администрации Инжавинского района Тамбовской области по обеспечению
безопасности персональных данных при их автоматизированной обработке в
информационных системах персональных данных», и является руководящим
документом для администратора безопасности Администрации района (далее
– Администратор). Требования настоящей инструкции должны выполняться
во всех режимах функционирования автоматизированной системы (АС).
1.2. Настоящая Инструкция определяет требования к организации
защиты автоматизированной системы (далее – АС) от разрушающего
воздействия компьютерных вирусов и устанавливает ответственность
руководителей и сотрудников подразделений, эксплуатирующих и
сопровождающих АС, за их невыполнение.
1.3. К использованию в АС допускаются только лицензионные и
прошедшие сертификацию антивирусные средства.
1.4. Установка средств антивирусного контроля на компьютерах
(серверах АС) осуществляется уполномоченными сотрудниками по защите
информации. Настройка параметров средств антивирусного контроля
осуществляется в соответствии с руководствами по применению конкретных
антивирусных средств.
2. Организации антивирусной защиты
2.1. Обязательному антивирусному контролю подлежит любая
информация (текстовые файлы любых форматов, файлы данных,
исполняемые
файлы),
получаемая
и
передаваемая
по
телекоммуникационным каналам, а также информация на съемных носителях
(магнитных дисках, оптических дисках, флэш-накопителях и т.п.).
3
2.2. Разархивирование и контроль входящей информации необходимо
проводить непосредственно после ее приема на выделенном автономном
компьютере или, при условии начальной загрузки ОС в оперативную память
компьютера с заведомо «чистой» (не зараженной вирусами) и защищенной от
записи на носитель, - на любом другом компьютере. Возможно применение
другого способа антивирусного контроля входящей информации,
обеспечивающего аналогичный уровень эффективности контроля.
2.3. Контроль исходящей информации необходимо проводить
непосредственно перед архивированием и отправкой (записью на съемный
носитель). Файлы, помещаемые в электронный архив должны в обязательном
порядке проходить антивирусный контроль.
2.4. Устанавливаемое (изменяемое) программное обеспечение должно
быть предварительно проверено на отсутствие вирусов. На ПЭВМ
запрещается установка программного обеспечения, не связанного с
выполнением функций, предусмотренных технологическим процессом
обработки информации.
2.5. Ярлык для запуска антивирусной программы должен быть вынесен
в окно «Рабочий стол» пользователя операционной системы.
2.6. Администратор
осуществляет
периодическое
обновление
антивирусных пакетов и контроль их работоспособности, проводит
периодическое
тестирование
всего
установленного
программного
обеспечения на предмет отсутствия компьютерных вирусов.
2.7. Факт выполнения антивирусной проверки после установки
(изменения) программного обеспечения должен регистрироваться в
специальном журнале за подписью лица, ответственного за антивирусную
защиту.
3. Применение средств антивирусного контроля
3.1. Антивирусный контроль всех дисков и файлов рабочих станций
должен проводиться ежедневно в начале работы при загрузке компьютера
(для серверов - при перезапуске) в автоматическом режиме.
3.2. Периодические
проверки
электронных
архивов
должны
проводиться не реже одного раза в 10 дней.
3.4. Ежедневно в начале работы при загрузке компьютера (для серверов
ЛВС - при перезапуске) в автоматическом режиме должно выполняться
обновление антивирусных баз и проводиться антивирусный контроль всех
дисков и файлов персонального компьютера.
3.5. Внеочередной антивирусный контроль всех дисков и файлов
персонального компьютера должен выполняться:
– непосредственно после установки (изменения) программного
обеспечения компьютера (локальной вычислительной сети), должна быть
выполнена антивирусная проверка: на серверах и персональных
компьютерах.
4
– при возникновении подозрения на наличие компьютерного вируса
(нетипичная работа программ, появление графических и звуковых эффектов,
искажений данных, пропадание файлов, частое появление сообщений о
системных ошибках и т.п.).
3.6. Для защиты серверов и рабочих станций используются:
– резидентные
антивирусные
мониторы,
контролирующие
подозрительные действия программ;
– утилиты для обнаружения и анализа новых вирусов.
3.7. Если проверка всех файлов на дисках рабочих станций занимает
неприемлемо большое время, то допускается проводить выборочную
проверку загрузочных областей дисков, оперативной памяти, критически
важных инсталлированных файлов операционной системы и загружаемых
файлов по сети или с внешних носителей. В этом случае полная проверка
осуществляется не реже одного раза в месяц в период неактивности
пользователя. Пользователям рекомендуется проводить полную проверку во
время перерыва на обед путем перевода рабочей станции в соответствующий
автоматический режим функционирования в запертом помещении.
3.8. На серверах электронной почты необходимо применять
антивирусное программное обеспечение, позволяющее осуществлять
проверку всех входящих сообщений. В случае если проверка входящего
сообщения на почтовом сервере показала наличие в нем вируса или
вредоносного кода, отправка данного сообщения блокируется. При этом
должно осуществляться автоматическое оповещение администратора
почтового сервера, отправителя сообщения и адресата.
4. Действия при обнаружении вирусов
4.1. Если администратор АС, обрабатывающей конфиденциальную
информацию, подозревает или получил сообщение о том, что его система
подвергается атаке или уже была скомпрометирована, он должен определить
системные ресурсы, безопасность которых была нарушена, и установить:
– была ли попытка несанкционированного доступа;
– когда, как и при каких обстоятельствах была предпринята попытка
НСД;
– продолжается ли НСД в настоящий момент;
– кто является источником НСД;
– что является объектом НСД;
– какова была мотивация нарушителя;
– точку входа нарушителя в систему;
– была ли попытка НСД успешной.
4.2. Для выявления попытки НСД необходимо:
– установить, какие пользователи в настоящее время работают в
системе и на каких рабочих станциях;
5
– выявить подозрительную активность пользователей, проверить, все
ли пользователи вошли в систему со своих рабочих мест и не работает ли кто
из них в системе необычно долго;
– убедиться, что никто из пользователей не использует подозрительные
программы или программы, не относящиеся к его области деятельности.
4.3. При анализе системных журналов администратор должен:
– проверить наличие подозрительных записей в системных журналах,
сделанных в период предполагаемой попытки НСД, включая вход в систему
пользователей, которые должны были отсутствовать в этот период времени, а
также входы в систему из неожиданных мест, в необычное время и на
короткий период времени;
– убедиться в том, что системный журнал не уничтожен и в нем
отсутствуют пробелы;
– просмотреть списки команд, выполненных пользователями в
рассматриваемый период времени;
– проверить наличие исходящих сообщений электронной почты,
адресованных подозрительным хостам;
– проверить журналы на наличие мест, которые выглядят необычно;
– выявить неудачные попытки входа в систему.
4.4. В ходе анализа журналов активного сетевого оборудования
(мостов, переключателей, маршрутизаторов, шлюзов) следует проверить:
– нет ли в них подозрительных записей, сделанных в период
предполагаемой попытки НСД;
– есть ли в них пробелы, а также места, которые выглядят необычно;
– были ли попытки изменения таблиц маршрутизации и адресных
таблиц.
– необходимо проверить конфигурацию сетевых устройств с целью
определения
возможности
нахождения
в
системе
программы,
просматривающей весь сетевой трафик.
4.5. Для
обнаружения
в
системе
следов,
оставленных
злоумышленником в виде файлов, вирусов, троянских программ, изменения
системной конфигурации следует:
– составить базовую схему того, как обычно выглядит система;
– провести поиск подозрительных файлов, скрытых файлов, имен
файлов
– и каталогов, которые обычно используются злоумышленниками;
– проверить содержимое системных файлов, которые обычно
изменяются злоумышленниками;
– оценить целостность системных программ;
– проверить систему аутентификации и авторизации.
4.6. Администратор должен проводить регулярные проверки
протоколов работы антивирусных программ с целью выявления
пользователей и каналов, через которых распространяются вирусы. При
обнаружении зараженных вирусом файлов администратору необходимо
выполнить следующие действия:
6
– отключить от компьютерной сети рабочие станции, представляющие
вирусную опасность, до полного выяснения каналов проникновения вирусов
и их уничтожения;
– немедленно
сообщить
о
факте
обнаружения
вирусов
непосредственному начальнику, в т. ч. указать предположительный источник
(отправитель, владелец и т. д.) зараженного файла, тип зараженного файла,
тип вируса, а также рассказать о характере содержащейся в файле
информации и выполненных антивирусных мероприятиях.
4.7. В случае обнаружения на носителе информации нового вируса, не
поддающегося лечению, администратор обязан запретить использование
дисководов внешних носителей информации.
4.8. В случае обнаружения на ЖМД не поддающегося лечению вируса,
системный администратор обязан поставить в известность ответственного за
эксплуатацию ПЭВМ, руководителя, запретить работу на ПЭВМ и в
возможно короткие сроки обновить пакет антивирусных программ.
4.9. При возникновении подозрения на наличие компьютерного вируса
(нетипичная работа программ, появление графических и звуковых эффектов,
искажений данных, пропадание файлов, частое появление сообщений о
системных ошибках и т.п.) сотрудник подразделения самостоятельно или
вместе с ответственным за обеспечение безопасности информации
подразделения (технологического участка) должен провести внеочередной
антивирусный контроль своей рабочей станции.
4.10. При
проведении
антивирусной
проверки
зараженных
компьютерными вирусами файлов сотрудники подразделений обязаны:
– приостановить работу;
– немедленно поставить в известность о факте обнаружения
зараженных вирусом файлов руководителя и ответственного за обеспечение
информационной безопасности своего подразделения, владельца зараженных
файлов, а также смежные подразделения, использующие эти файлы в работе;
– совместно с владельцем зараженных вирусом файлов провести анализ
необходимости дальнейшего их использования;
– провести лечение или уничтожение зараженных файлов;
– в случае обнаружения нового вируса, не поддающегося лечению
применяемыми антивирусными средствами, передать зараженный вирусом
файл администратору для дальнейшей отправки его в организацию, с
которой заключен договор на антивирусную поддержку;
– по факту обнаружения зараженных вирусом файлов составить
служебную записку в отдел обеспечения безопасности информации, в
которой необходимо указать предположительный источник (отправителя,
владельца и т.д.) зараженного файла, тип зараженного файла, характер
содержащейся в файле информации, тип вируса и выполненные
антивирусные мероприятия.
5. Ответственность
7
5.1. Ответственность за организацию антивирусного контроля в
подразделении, эксплуатирующем подсистему АС, в соответствии с
требованиями настоящей Инструкции возлагается на руководителя
подразделения.
5.2. Ответственность за проведение мероприятий антивирусного
контроля в подразделении и соблюдение требований настоящей Инструкции
возлагается на ответственного за обеспечение безопасности информации и
всех сотрудников подразделения, являющихся пользователями АС.
5.3. Периодический контроль за состоянием антивирусной защиты, а
также за соблюдением установленного порядка антивирусного контроля и
выполнением
требований
настоящей
Инструкции
сотрудниками
подразделений организации осуществляется администратором безопасности.
6. Заключение.
6.1. Настоящая Инструкция доводится до сотрудников, имеющих
доступ, обусловленный исполнением служебных обязанностей, к
конфиденциальной информации под подпись.
6.2. Настоящая Инструкция вступает в силу с момента её подписания.
8
ЛИСТ
ознакомления с инструкцией антивирусного контроля на ПЭВМ, входящих в
состав автоматизированной системы Администрации Инжавинского района
Тамбовской области
№
п.п.
Дата
Должность
Фамилия, имя, отчество
Подпись
Скачать