Организация антивирусной защиты: опыт МО США

Анализ угроз в сфере международного информационного противоборства показывает, что вредоносные программы вирусного типа устойчиво занимают лидирующее место. Например, по оценке Computer Economics, вирусные эпидемии наносят ежегодный ущерб мировой экономике на сумму более 16 млрд. долл., общий ущерб от несанкционированных действий с использованием вредоносного ПО превышает 50 млрд. долл. По утверждению “Лаборатории Касперского”, только за первые шесть месяцев 2007 г. эксперты зарегистрировали около 92 тыс. новых видов вредоносного кода: вирусов, ботов, бэкдор-троянов, шпионских модулей и др.

Проведенные в США крупномасштабные учения по информационной безопасности “Кибершторм” показали актуальность поддержания в оперативном состоянии единой структуры антивирусной защиты информационных систем (ИС) министерства обороны. Особое внимание там уделяют созданию ситуационных центров, обеспечивающих обновление антивирусных баз в реальном времени и оперативное реагирование на вирусные инциденты. Функциональность таких центров определяется требованиями к готовности и живучести соответствующих ИС.

В свете сказанного интересно познакомиться с порядком обеспечения антивирусной защиты, принятым в МО США.

Поставка антивирусных средств в МО США

Организацией антивирусной защиты в министерстве обороны США занимается управление информационных систем (Defense Information Systems Agency, DISA).

В соответствии с руководящим документом DISA “WDA. Security Technical Implementation Guide — Developed by DISA for the DoD, 2007. — V.3.1. — P.213” (STIG) антивирусная защита компьютеров МО США выстроена следующим образом.

Ведущие мировые разработчики средств борьбы с вирусами компании McAfee и Symantec включены в “Программу партнерства МО США” (Enterprise Software Initiative, ESI), с этими фирмами заключен специальный договор на поставку антивирусных систем. Данная программа реализуется DISA для централизованного обеспечения ПО структур министерства.

Все поставляемые версии антивирусов проходят всеобъемлющую проверку и тестирование в подразделении DISA “Объединенный центр проведения испытаний” (Joint Interoperability Testing Command, JITC). После проверки программы размещаются на сайте Группы реагирования на чрезвычайные ситуации, поддерживаемом вычислительной техникой МО США (Computer Emergency Response Team, CERT), по сетевому адресу www.cert.mil/antivirus/av_info.htm, а также на сайте хранилища обновлений МО США (DOD Patch Repository) по сетевому адресу patches.csd.disa.mil. Системные администраторы организаций, находящихся в подчинении министерства, загружают новые антивирусные программы с этих сайтов. Использование антивирусов, полученных из других источников, запрещено.

Требования к использованию антивирусных средств

Согласно директиве министра обороны США за № 8500 антивирусными программами должен быть оснащен каждый компьютер МО. Запрещена установка бета-версий и версий с ограниченной функциональностью. После инсталляции программы конфигурируются в соответствии со следующими требованиями руководящего документа DISA:

• загрузка антивируса должна выполняться автоматически при включении компьютера;
• антивирусное средство должно постоянно работать в фоновом режиме;
• не реже одного раза в неделю антивирусное ПО должно запускаться на сканирование всех жестких дисков;
• обязательна проверка исполняемых файлов (имеющих расширения .bat, .bin, .com, .dll, .exe, .sys и др.), файлов с данными приложений, содержащих мобильный код (с расширениями .doc, .dot, .rtf, .xls, .xlt и др.);
• должны проверяться все файлы, находящиеся на гибких дисках, в приложениях к письмам электронной почты, загружаемые из Интернета или находящиеся на любых других внешних устройствах, таких как ZIP и USB дисках и т. п.;
• при обнаружении вируса пользователь должен быть немедленно извещен об этом антивирусной программой;
• протокол проверки компьютера на вирусы необходимо хранить не мене 30 сут.

Порядок обновления антивирусных баз и реагирование на инциденты

В МО США установлен следующий режим обновления антивирусных средств и баз вирусов к ним:

• рекомендуемый период обновления — ежедневно, для изолированных компьютерных сетей и отдельных компьютеров – еженедельно;
• стандартный период обновления — не реже одного раза в неделю;
• предельный период обновления — 14 дней.

Информация обо всех случаях обнаружения вирусов передается в CERT, которая анализирует инцидент, оперативно разрабатывает в случае необходимости мероприятия по противодействию и обеспечивает своевременное уведомление подразделений, служб и агентств министерства.

Заключение

Анализируя существующий в МО США порядок организации антивирусной защиты, можно выделить несколько ключевых моментов:

• для антивирусной защиты используются программы нескольких ведущих национальных разработчиков в области защиты от вредоносных программ;
• тестируется каждая новая версия антивирусных программ на совместимость и безошибочность;
• оперативная поставка новых версий и обновлений антивирусных программ осуществляется из доверенных источников;
• антивирусные программы регулярно (ежедневно или еженедельно) обновляются из доверенных источников;
• имеются конкретные и однозначные нормативные требования к настройкам антивирусов;
• осуществляется оперативное реагирование на все случаи обнаружения компьютерных вирусов.

Указанный порядок организации антивирусной защиты в министерстве обороны США может быть полезен при построении систем антивирусной защиты российских министерств, ведомств и крупных компаний, банковских ассоциаций и др.

С авторами можно связаться по адресу: mail@npo-echelon.ru