Положение об антивирусной защите

Компьютерным вирусом называется программа, способная создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты или ресурсы компьютерных систем, сетей и так далее без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения. На сегодняшний день известно 6 основных типов вирусов: файловые, загрузочные, призраки (полиморфные), невидимки, скрипт-вирусы и макро-вирусы. Следует отличать вирусы от вредоносных кодов. К ним относятся Интернет-черви и программы, получившие название «Троянские кони».

Основные симптомы вирусного поражения: замедление работы некоторых программ, увеличение размеров файлов (особенно выполняемых), появление не существовавших ранее подозрительных файлов, уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы), внезапно возникающие разнообразные видео и звуковые эффекты. При всех перечисленных выше симптомах, а также при других странных проявлениях в работе системы (неустойчивая работа, частые самостоятельные перезагрузки и прочее) следует немедленно произвести проверку системы на наличие вирусов.

Зараженный диск - это диск, в загрузочном секторе которого находится программа - вирус. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения ЕХЕ, .СОМ, SYS или ВАТ. Крайне редко заражаются текстовые и графические файлы.

Зараженная программа - это программа, содержащая внедренную в нее программу-вирус.

1.1. Настоящее Положение определяет требования к организации защиты Информационной банковской системы (ИБС) от воздействия компьютерных вирусов и устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих ИБС, за их выполнение.

1.3. Целью мероприятий по антивирусной защите является предотвращение потерь информации в Информационной банковской системе.

1.2. Задачами антивирусной защиты являются:

• определение состава и регламента запуска антивирусных диагностических средств, регламента их ревизии и обновления;
• проведение профилактических работ с применением антивирусных диагностических средств;
• непрерывное обеспечение защиты информации от действия вредоносных программ на всех этапах эксплуатации Информационной банковской системы.

1.4. Уровни ИБС, в силу своей специфики подлежащие защите от вирусов различными способами:

• шлюзы Интернет – проверка входящего/исходящего потоков Интернет - трафика Организации;
• подсистемы электронной почты – контроль входящей/исходящей почты и прикрепленных файлов;
• серверы;
• рабочие станции пользователей.

3.1. Председатель Правления Организации обеспечивает организацию работ по антивирусной защите.

3.2. В Организации планированием и проведением мероприятий по антивирусной защите занимаются выделенные для выполнения таких работ сотрудники Управления информационных технологий.

3.3. К использованию в Организации допускаются только лицензионные антивирусные средства, централизованно закупленные Управлением информационных технологий у разработчиков (поставщиков) указанных средств, рекомендованные к применению Отделом информационной безопасности.

В случае необходимости использования антивирусных средств, не вошедших в перечень рекомендованных, их применение необходимо согласовать с Отделом информационной безопасности Организации.

3.4. Установка средств антивирусной защиты на компьютерах в Организации осуществляется уполномоченными сотрудниками Управления информационных технологий. Настройка параметров средств антивирусной защиты осуществляется сотрудниками Управления информационных технологий в соответствии руководствами по применению конкретных антивирусных средств.

3.5. Обновление антивирусных баз должно производиться не реже 1 раза в сутки автоматически, согласно возможностям программного обеспечения. В случае сбоя автоматического обновления обновление баз производится вручную с той же периодичностью.

3.6. Мероприятия по антивирусной защите на компьютерах в Организации включают в себя:

• профилактика вирусов;
• анализ ситуаций;
• применение средств антивирусной защиты;
• проведение расследований инцидентов связанных с вирусами.

4.1. Регулярно проводимые профилактические работы по выявлению вирусов могут полностью исключить появление и распространение вирусов в компьютере. К основным профилактическим работам и мероприятиям относятся:

• ежедневная автоматическая проверка наличия вирусов при включении компьютера;
• регулярная (не реже одного раза в квартал) выборочная проверка компьютеров на наличие вирусов, даже при отсутствии внешних проявлений вирусов;
• изучение информации по сообщениям в компьютерных журналах, газетах и Интернете о новых вирусах;
• проверка наличия вирусов на компьютере, вернувшихся с ремонта (в том числе гарантийного) в сторонних организациях;
• создание резервной копии программного продукта сразу же после приобретения;
• системные дискеты и дискеты с наиболее важными программами защищаются от записи на них информации путем установки переключателя на 3-5«-дискетах в положение только чтения - тем самым вирусы не смогут проникнуть на дискеты;
• тщательная проверка всех поступающих и купленных программ и баз данных;
• ограничение доступа к компьютеру посторонних лиц.

4.2. Регулярную выборочную проверку наличия вирусов выполняет сотрудник Управления информационных технологий.

4.3. При обнаружении вирусов на компьютере, работающем в локальной сети, проверке подлежат все компьютеры, включенные в эту сеть и работающие с общими данными и программным обеспечением.

4.4. Создание резервной копии программного продукта выполняет сотрудник Управления информационных технологий, ответственный за внедрение этого программного продукта.

4.5. Проверку всех поступающих и купленных программ выполняет Управление информационных технологий.

5.1. Если антивирусные программы выдают на экран дисплея сообщения о подозрении на наличие вирусов на компьютере, то прежде всего необходимо убедиться в действительном наличии вирусов. Возможны ситуации, при которых эти сообщения являются следствием неисправности компьютера.

При возникновении подобной ситуации необходимо приостановить работу и немедленно известить об этом руководителя подразделения, ответственного за информационную безопасность в подразделении, сотрудников Управления информационных технологий, а также смежные подразделения, использующие эти файлы в работе.

5.2. Анализ ситуации наличия вирусов или неисправности какого-либо устройства компьютера выполняет сотрудник Управления информационных технологий совместно с ответственным за информационную безопасность в подразделении. При анализе могут использоваться специальные программы проверки исправности компьютера. В результате анализа делается вывод либо об уничтожении вирусов, либо о необходимости дальнейшего восстановления работоспособности компьютера.

5.3. Основные источники вирусов:

• съемный носитель (дискета, флеш-карта, CD-ROM, DVD-ROM, мобильное дисковое устройство) на котором находятся зараженные вирусом файлы;
• компьютерная сеть, в том числе система электронной почты и Интернет;
• жесткий диск, на который попал вирус в результате работы с зараженными программами.

Если вирус проник на компьютер со съемного носителя, то необходимо определить источник и, если источник информации на съемном носителе находится в Организации, то необходимо проверить на наличие вирусов компьютер - источник информации на съемном носителе. Если источник дискеты или съемного носителя - коммерческая или другая организация, то необходимо сообщить в эту организацию о факте выявления вирусов и в дальнейшем обратить особое внимание на носители информации, поступающие из этой организации.

5.4. В случае действительного наличия вирусов привлекаются специалисты Управления информационных технологий и Отдела информационной безопасности для проведения служебного расследования.

6.1. Уничтожение вирусов выполняется сотрудником Управления информационных технологий.

6.2. Если вирус поразил какие-либо программы, то уничтожение вируса выполняется путем уничтожения программы на диске либо на дискете. После уничтожения зараженной программы необходимо восстановить программу, используя резервную копию программы.

6.3. Если вирус поразил файлы, то вирус уничтожается либо путем стирания этих файлов, либо путем использования специальных лечащих программ. Использование лечащих программ не дает полной гарантии восстановления файла. Поэтому после лечения необходима проверка восстановления данного файла. Лечащие программы используются лишь в тех случаях, когда отсутствует резервная копия зараженной программы либо файла с данными, либо восстановление уничтоженного файла с помощью резервной копии очень трудоемко.

6.4. В любом случае после уничтожения вирусов и восстановления зараженных программ и файлов с данными необходимо еще раз выполнить проверку наличия вирусов, используя антивирусные программы. Перед повторной проверкой необходимо перезагрузить компьютер через выключение и последующее включение компьютера. Если повторная проверка не выявила вирусов, то можно быть уверенным в отсутствии вирусов.

6.5. Использование специализированного программного обеспечения для восстановления системных областей (FAT, загрузочной записи, и т.п.) возможно лишь в тех случаях, когда отсутствует резервная копия диска компьютера, либо его восстановление с помощью резервной копии очень трудоемко.

7.1. Ответственность за выполнение мероприятий по антивирусной защите информации на средствах вычислительной техники, эксплуатируемых подчиненными лицами в подразделении, эксплуатирующем Информационную банковскую систему, в соответствии с требованиями настоящего Положения, возлагается на руководителя подразделения.

7.2. Ответственность за выполнение мероприятий антивирусного контроля в подразделении и соблюдение требований настоящего Положения возлагается на ответственного за обеспечение информационной безопасности в подразделении и всех сотрудников подразделения, являющихся пользователями Информационной банковской системы.

7.3. Ответственность за проведение профилактических мероприятий по обеспечению антивирусной защиты в Информационной банковской системе, а также уничтожение выявленных вирусов возлагается на сотрудников Управления информационных технологий.

7.4. Периодический контроль за состоянием антивирусной защиты в Информационной банковской системе, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящего Положения сотрудниками подразделений Организации осуществляется Отделом информационной безопасности.

Настоящее Инструкция определяет требования к организации защиты Информационной банковской системы (ИБС) от воздействия компьютерных вирусов, устанавливает ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих ИБС, за их выполнение.

Установка средств антивирусной защиты на компьютерах и настройка их параметров в Организации осуществляется уполномоченными сотрудниками Управления информационных технологий.

Обновление антивирусных баз должно производиться не реже 1 раза в сутки автоматически, согласно возможностям программного обеспечения. В случае сбоя автоматического обновления обновление баз производится вручную с той же периодичностью.

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

• прекращение работы или неправильная работа ранее успешно функционировавших программ;
• медленная работа компьютера;
• невозможность загрузки операционной системы;
• исчезновение файлов и каталогов или искажение их содержимого;
• изменение даты и времени модификации файлов;
• изменение размеров файлов;
• неожиданное значительное увеличение количества файлов на диске;
• существенное уменьшение размера свободной оперативной памяти;
• вывод на экран непредусмотренных сообщений или изображений;
• подача непредусмотренных звуковых сигналов;
• частые зависания и сбои в работе компьютера.

Если антивирусные программы выдают на экран дисплея сообщения о подозрении на наличие вирусов на компьютере, то прежде всего необходимо убедиться в действительном наличии вирусов.

При возникновении подобной ситуации необходимо приостановить работу и немедленно известить об этом руководителя подразделения, ответственного за информационную безопасность в подразделении, сотрудников Управления информационных технологий, а также смежные подразделения, использующие общие программы и файлы в работе.

Анализ ситуации наличия вирусов или неисправности какого-либо устройства компьютера выполняет сотрудник Управления информационных технологий совместно ответственным за информационную безопасность в подразделении.

Основные источники вирусов:

• съемный носитель (дискета, флеш-карта, CD-ROM, DVD-ROM, мобильное дисковое устройство) на котором находятся зараженные вирусом файлы;
• компьютерная сеть, в том числе система электронной почты и Интернет;
• жесткий диск, на который попал вирус в результате работы с зараженными программами.

Если вирус проник на компьютер со съемного носителя, то необходимо определить источник и, если источник информации на съемном носителе находится в Организации, то необходимо проверить на наличие вирусов компьютер - источник информации на съемном носителе. Если источник дискеты или съемного носителя - коммерческая или другая организация, то необходимо сообщить в эту организацию о факте выявления вирусов и в дальнейшем обратить особое внимание на носители информации, поступающие из этой организации.

В случае действительного наличия вирусов привлекаются специалисты Управления информационных технологий и Отдела информационной безопасности для проведения служебного расследования.

Уничтожение вирусов выполняется сотрудником Управления информационных технологий.

Если вирус поразил какие-либо программы, то уничтожение вируса выполняется путем уничтожения программы на диске либо на дискете. После уничтожения зараженной программы необходимо восстановить программу, используя резервную копию программы.

Если вирус поразил файлы, то вирус уничтожается либо путем стирания этих файлов, либо путем использования специальных лечащих программ. Использование лечащих программ не дает полной гарантии восстановления файла. Поэтому после лечения необходима проверка восстановления данного файла. Лечащие программы используются лишь в тех случаях, когда отсутствует резервная копия зараженной программы либо файла с данными, либо восстановление уничтоженного файла с помощью резервной копии очень трудоемко.

В любом случае после уничтожения вирусов и восстановления зараженных программ и файлов с данными необходимо еще раз выполнить проверку наличия вирусов, используя антивирусные программы. Перед повторной проверкой необходимо перезагрузить компьютер через выключение и последующее включение компьютера. Если повторная проверка не выявила вирусов, то можно быть уверенным в отсутствии вирусов.

Использование специализированного программного обеспечения для восстановления системных областей (FAT, загрузочной записи, и т.п.) возможно лишь в тех случаях, когда отсутствует резервная копия диска компьютера, либо его восстановление с помощью резервной копии очень трудоемко.

• Сотрудник обязан проводить антивирусный контроль всех внешних носителей информации (дискет, компакт-дисков, магнитооптических дисков и т.п.), поступающих со стороны (из внешних организаций, других подразделений Организации и т.п.) или полученных по компьютерным сетям (скопированных на общедоступный ресурс локального компьютера другими пользователями). Если антивирусная программа не работает в фоновом режиме, самому проводить проверку всех этих файлов или обращаться для этого в Управление информационных технологий;
• Во всех случаях возможного проявления действия вирусов, обнаружения файлов, пораженных вирусом или подозрении на наличие вируса сотрудник должен:
  • без попытки какого-либо лечения незамедлительно сообщить об этом любому сотруднику Управления информационных технологий и оценить с ним возможные пути заражения и распространения данного вируса;
  • совместно с сотрудником Управления информационных технологий провести лечебно-восстановительные мероприятия.
• Сотрудник обязан делать резервные копии файлов, содержащих ценную служебную информацию, если эти файлы не размещены в сетевых папках на серверах Организации;
• Сотрудник не должен самостоятельно устанавливать программное обеспечение, если это не входит в его обязанности. Запрещается устанавливать и запускать нелицензионное или не относящееся к выполнению им своих должностных обязанностей программное обеспечение;
• КАТЕГОРИЧЕСКИ ЗАПРЕЩЕНО использование съёмных носителей, принадлежащих лицам, временно допущенным к работе на компьютере в Организации (студенты-практиканты, временно замещающие, сотрудники сторонних организаций и т.п.).

Ответственность за выполнение мероприятий по антивирусной защите информации на средствах вычислительной техники, эксплуатируемых подчиненными лицами в подразделении, эксплуатирующем Информационную банковскую систему, в соответствии с требованиями настоящего Положения, возлагается на руководителя подразделения.

Ответственность за выполнение мероприятий антивирусного контроля в подразделении и соблюдение требований настоящего Положения возлагается на ответственного за обеспечение информационной безопасности в подразделении и всех сотрудников подразделения, являющихся пользователями Информационной банковской системы.

Ответственность за проведение профилактических мероприятий по обеспечению антивирусной защиты в Информационной банковской системе, а также уничтожение выявленных вирусов возлагается на сотрудников Управления информационных технологий.

Периодический контроль за состоянием антивирусной защиты в Информационной банковской системе, а также за соблюдением установленного порядка антивирусного контроля и выполнением требований настоящего Положения сотрудниками подразделений Организации осуществляется Отделом информационной безопасности.