ないものをキャッチする方法。 パート4：傘なしの個人データ

長年にわたる規制当局の取り組みにより、この分野の第三世代の法律が我が国に登場しました。 ブログや会議に関する長年の議論では、論争の的となっている問題はすべて解決されるように思われます。 しかし、違います。 （少なくともわが国では）企業が紙の保護に関心を持っていることを実践が示しています。 おそらく、それが法的微妙性に関連する問題がより多く議論されている理由です-保護するもの、同意を得る方法、サーバーを配置する場所。 しかし、脅威評価の方法論と保護対策の選択に関する質問はまったく解決されていません。 信頼できる保護システムの実装は、原則として非現実的です。



もう1つの問題は、「まだ読んでいませんが、話し合っています」です。 議論されている文書を読まずに、膨大な数のリクエストとコメントが作成されます。



同意しませんか？ 2つの簡単な質問：

• 個人データの分野の規制当局の法律および文書には、ウイルス対策保護の使用が必要ですか？
• 保護のために外国の証明書で資金を使用できますか？

答えましたか？ 答えを確認しましょう。



個人データの保護は、おそらく、法的要件のためにおそらくすべての企業が直面しなければならない領域です。 したがって、立法レベルでのアンチウイルス保護の問題の解決策を彼らがどのように見ているかを見ていきます。それから始めます。



2006年7月27日の連邦法No. 152-FZの観点からのアンチウイルス保護



2006年7月27日の連邦法No.152-「個人データについて」（2011年7月25日の連邦法N261-により修正）。 （以下、簡単にするために、非技術的な測定値を測定値リストから削除しました-人のリストの編集、責任者の指定、認証製品の使用など。多くの興味深いこともありますが、この記事はすでに信じられないほど成長しています）

記事18.1。 この連邦法で規定されている義務の運営者による履行を確保することを目的とした措置

1.事業者は、この連邦法およびそれに基づいて採用された規制法的行為によって規定された義務の履行を確保するために必要かつ十分な措置を講じる義務を負います。 オペレーターは、この連邦法または他の連邦法で別段の定めがない限り、この連邦法およびそれに応じて採用される規制法的行為が規定する義務の履行を確保するために必要かつ十分な措置の構成とリストを独自に決定します。 そのような措置には次のものが含まれますが、これらに限定されません...

第19条処理中の個人データのセキュリティを確保するための措置

1.オペレーターは、個人データを処理する際に、必要な法的、組織的および技術的措置を講じるか、または違法または偶発的なアクセス、破壊、変更、ブロック、コピー、提供、およびその他からの個人データを保護するための採用を保証する義務があります個人データに関する違法行為。

2.個人データのセキュリティは、特に次の目的で達成されます。

2）個人データ保護の要件を満たすために必要な個人データ情報システムでの処理中に個人データのセキュリティを確保するための組織的および技術的手段の適用。その実装は、ロシア連邦政府によって確立された個人データのセキュリティのレベルを保証します;

6）個人データへの不正アクセスの発見と対策の採用。

7）個人データへの不正アクセスにより変更または破壊された個人データの復元。

8）個人データ情報システムで処理される個人データへのアクセスに関するルールの確立、および個人データ情報システムで個人データを使用して実行されるすべてのアクションの登録と記録。

それだけです！ 「アンチウイルス」という言葉は一度も言及されていません。 多かれ少なかれ、明示的にアクセス制御、バックアップ、ログシステムが必要です（DLPの観点から）。 ウイルス対策の使用は定義されていません。 連邦法No. 152-FZによると、保護対策のリストは政府が決定する必要があります。

第19条処理中の個人データのセキュリティを確保するための措置

2.個人データのセキュリティは、特に次の目的で達成されます。

2）個人データ保護の要件を満たすために必要な個人データ情報システムでの処理中に個人データのセキュリティを確保するための組織的および技術的手段の適用。その実装は、ロシア連邦政府によって確立された個人データのセキュリティのレベルを保証します;

確かに、同じ連邦法No. 152-FZは、政府によって決定された措置が州または市の機関に対してのみ必須であることを定めています。

記事18.1。 第3項ロシア連邦政府は、この連邦法およびそれに基づいて採択された規制法上の義務を、州または地方自治体の事業者が確実に履行することを目的とした措置のリストを確立します。

これらの対策を一般企業に定義するPP 1119を使用するかどうか。 これについて多くのコピーが壊れていました。

私の個人的な意見：

1. それでも、他のドキュメントはありません。
2. 何を考え出しても、ほとんどの場合、審査官は正しいでしょう。

会社がPP 1119の分類を使用しなかった場合、私にはわかりません。



政府のセキュリティ



私たちの良心をクリアするには、PP 1119をご覧ください。

13.情報システムでの処理中に個人データの第4レベルのセキュリティを確保するには、次の要件を満たす必要があります。

a）情報システムが設置されている施設のセキュリティ体制の組織。これらの施設へのアクセス権を持たない人の管理されていない入場または滞在の可能性を妨げます。

b）個人データキャリアの安全を確保する;

15.情報システムでの処理中に個人データの第2レベルのセキュリティを確保するには、本文書の条項14で規定された要件を満たすことに加えて、電子メッセージログのコンテンツへのアクセスは、オペレーターまたは許可された人物の職員（従業員）のみが可能である必要があります。指定されたジャーナルに含まれる情報が、公務（労働）の遂行に必要な情報。

16.情報システムでの処理中に個人データの第1レベルのセキュリティを確保するには、このドキュメントのパラグラフ15で規定されている要件に加えて、次の要件を満たす必要があります。

a）情報システムに含まれる個人データにアクセスするオペレーターの従業員の権限の変更の電子セキュリティジャーナルへの自動登録。

線を引く場合は、警備員を雇う必要がある個人データを保護するために、フロッピーディスクとドキュメントを紛失しないでください。責任者を任命し、部外者にログを教えないでください。 これらは、特別な重要度の尺度です。 美人 アンチウイルスは再び必要ありません。



確かに、PP 1119は予約をしました。

4.個人データ保護システム用の情報保護ツールの選択は、ロシア連邦連邦保安局および連邦法「個人データに関する」第19条第4部に基づく技術および輸出管理のための連邦サービスによって採用された規制法に従って、事業者によって行われます。

ロシアのFSTECの個人データ保護要件



現時点では、ロシアのFSTECによって発行された唯一の文書は注文番号21です。FSTECに敬意を表しましょう。 PP 1119の困難な遺産にもかかわらず、この文書は、対策のリスト（および脅威の計算手順がまだ決定されていない）と見なされても、悪くはありません。 開けましょう。

8.6。 ウイルス対策対策は、不正な破壊、ブロック、変更、コンピューター情報のコピー、または情報保護ツールの無効化を目的とする情報システム内のコンピュータープログラムまたはその他のコンピューター情報の検出、およびこれらのプログラムおよび情報の検出への応答を保証する必要があります。

したがって：

• 順序で定義された他の保護対策（およびそれらの多く：オブジェクトへのアクセスサブジェクトのアクセス制御、ソフトウェア環境の制限、整合性の確保など）は、悪意のあるプログラムに対する保護の順序に従っては指示されません。
• 「ウイルス対策対策」はウイルス対策ではなく、マルウェアから脅威を排除することを目的とした対策のリストです。 さらに、システム要件が低いためにウイルス対策ソフトウェアをインストールできない場合、それを使用しないという障害はありません。

10.個人データのセキュリティを確保するために個々の選択された対策を技術的に実施することが不可能であり、経済的実現可能性を考慮すると、現在のセキュリティ脅威を中和することを目的とした他の（補償する）対策が、対策の基本セットの適応および（または）適応された対策の明確化の段階で開発される個人データ。

アンチウイルス保護機能も順番に定義されていません-言及されているすべて：

1. AVZ.1アンチウイルス保護の実装
2. AVZ.2悪意のあるコンピュータープログラム（ウイルス）の兆候のデータベースの更新

幸いなことに、注文番号17で完全に同様のウイルス対策対策を定義しているため、ロシアのFSTEC文書「方法論文書」を使用できます。 州の情報システムにおける情報保護対策」を参照し、規制当局がウイルス対策の機能についてどのように考えているのかを確認してください。

3.6。 ウイルス対策保護（AVZ）

AVZ.1ウイルス対策保護の実装

AVZ.1の実装要件：オペレーターは、不正な破壊、ブロック、変更、コンピューター情報のコピーまたは情報保護ツールの無効化を目的とするコンピュータープログラムまたはその他のコンピューター情報の検出、およびこれらのプログラムの検出に対する応答を含む、情報システムのアンチウイルス保護を提供する必要があります情報。

アンチウイルス保護の実装には次が含まれます。

• 自動化されたワークステーション、サーバー、境界情報保護手段（ファイアウォール、プロキシ、メールゲートウェイ、その他の情報保護手段）、モバイル技術手段、およびマルウェアの導入（感染）を受けやすい情報システムへのその他のアクセスポイントでのアンチウイルス保護の使用取り外し可能なコンピューター記憶媒体またはネットワーク接続を介したコンピュータープログラム（ウイルス）、パブリックネットワーク（電子添付ファイルを含む） もし、Webおよびその他のネットワークサービス）。

この規定では、感染しやすいすべてのコンピューターとデバイス（情報システムにアクセスするパーソナルデバイスとホームコンピューターを含む）にアンチウイルス保護をインストールすることが絶対に必要です。 ただし：

• 必要な保護装置のインストールが不可能な多くのコンピューターとデバイスがあります。 特に、そのようなデバイスには、厳密に指定された手順を実行する技術的システムと組み込みシステムが含まれます（シーケンス図）。 アンチウイルスツールはスキャンが一定時間完了することを保証しないという事実により、アンチウイルススキャナーのみがシステム起動時または外部コマンドによって実行されるデバイスにインストールできます。
• あまり一般的ではないオペレーティングシステムまたはオペレーティングシステムの下で動作するデバイスがあり、その作成者はウイルス対策ツール（Apple iOSなど）の作成を許可していません。
• RAMサイズが小さいデバイス（古いコンピューター、ネットワークデバイス、プリンター、テレビなど）にウイルス対策ツールをインストールすることはできません。 これらのデバイスの感染および/または攻撃者による使用は可能ですが、最新のセキュリティツールをインストールして操作するのに十分なリソースがありません。
• ウイルス対策ツールの本格的なインストールも、負荷の高いシステムでは望ましくありません。

さらに、ウイルス対策保護を備えたサーバーの保護は、それらで実行されているサービスの保護を意味しない場合があることに注意する必要があります。 そのため、サーバー（ファイルモニター）のリアルタイムアンチウイルス保護を設定しても、MS Exchangeを通過するメールやMS ISA / TMGを通過するトラフィックをチェックすることにはなりません。 この点で、いくつかのアンチウイルス保護ツールをサーバーにインストールする必要があります。サービス自体を保護するとともに、サーバーで実行されているサービスを通過し、何らかの理由でファイルウイルス対策にアクセスできないオブジェクトを保護します。



感染は悪意のあるプログラムの起動とアクティブ化を伴い、導入はファイルを配置するだけで実行できるため、「導入（感染）」という言葉を使用することはあまり成功しません。OSを含め、このマルウェアに感染できない（マルウェアを配置するなど） Linuxファイルサーバー）。

• 外部ソース（リムーバブルコンピューターストレージメディア、パブリックネットワークを含むネットワーク接続、およびその他の外部ソース）からのオブジェクト（ファイル）を、そのようなファイルをダウンロード、開く、または実行するときに、実質に近いタイムスケールでチェックします。

セキュリティタスクの定義における重要な間違い。 外部ソースから受信した場合、以前に受信したオブジェクトだけでなく、他のファイル/オブジェクト（インストール時に利用可能であった、および/または攻撃者がセキュリティシステムをバイパスして配置したものを含む）に対しても再チェックが必要です。 侵入（導入）の時点で、マルウェアがアンチウイルスシステムに認識されていない可能性があるため、チェックが必要ですが、次の更新後に既知になります。



さらに。 すでに実行中のプロセスを確認する必要があります-以前には未知の脅威も存在する可能性があります。



さて、悪意のあるプログラムがこれらのプログラムの脆弱性を使用してそれらに組み込まれた保護システムをバイパスすることを排除するために、クライアントプログラム（ブラウザー、電子メールクライアント）がオブジェクトを受信する前にブート時のチェックを行う必要があることを追加します。

AVZ.1を強化するための要件：

2）情報システムでは、情報システムのコンポーネント（サーバー、ワークステーション）にインストールされているアンチウイルス保護ツールを使用して、集中管理（ウイルス対策ツールのソフトウェアバージョンの関連性のインストール、削除、更新、構成、監視）を提供する必要があります;

一般的な現象は、システムのユーザーである管理者によって指定された設定を変更することであり、セキュリティを改善するための緊急アクションに関する推奨事項を無視します。 しかし、上記のすべてのネットワークノードの保護が必要であるという事実にもかかわらず、この段落ではモバイルデバイス、パーソナルコンピューターなどの集中管理は提供されていません。

3）オペレーターは、悪意のあるコンピュータープログラム（ウイルス）のソースである可能性のあるリムーバブルコンピューター記憶媒体の使用の禁止を確認する必要があります。

面白いですが、情報システムのクラスに応じて保護対策を配布する表では、この要件はまったく言及されていません。 なぜ「すべき」という言葉が必要なのですか

4）情報システムは、異なるメーカーのウイルス対策ツールの情報システムの異なるレベルでの使用を保証する必要があります。

この要件は、作成された悪意のあるプログラムのストリームがいつでも十分に大きいという事実に基づいて、各ウイルス対策プログラムが常に最新のマルウェアの一部しか知らないという事実に基づいています。 また、各ベンダーが独自のマルウェア検出ネットワークを持っているため、一部のベンダーは一部の悪意のあるファイルを見つけ、他のベンダーは他のベンダーを見つけることも論理的です。 展開された形式では、このルールは、ユーザーが受信したドキュメントは2つのアンチウイルスのテストに合格する必要があることを示しています。

• ファイルサーバーまたはストレージからドキュメントを受信すると、ファイルサーバー上のアンチウイルスとワークステーション上のアンチウイルスによって。
• メッセージを受信または送信する場合-メールサーバー上のウイルス対策とワークステーション上のウイルス対策。
• ファイルをインターネットに送受信する場合-ゲートウェイ上のウイルス対策とワークステーション上のウイルス対策。

このフォームでは、要件は2014年3月24日付けのロシア銀行レター49-Tに記載されています。

2.1.10。 さまざまな製造組織またはサプライヤーのVKの保護装置の使用、および以下のコンピューター装置のグループおよび保護対象への個別のインストール：

• ワークステーション;
• サーバー
• ルーターとファイアウォール。

2012年6月9日付けのロシア銀行規則第382-P号（2013年5月6日のロシア銀行3007-U、2014年8月14日のN 3361-Uの指示により修正）：

2.7.3 , (), , , , , .

ただし、この要件では、変更されたマルウェア開発システムを考慮していません。実際、主な危険は、検出されていない現在のバージョンの保護システムでテストされたマルウェアです。これに関連して、アンチウイルスの数は重要な役割を果たしません（同等レベルの保護システムが使用されている場合）。



しかし、システムでの2つのウイルス対策の使用は依然として正当化されます-2番目のウイルス対策が、製造業者にまだ知られていない悪意のあるファイルの定期的なチェック用に設計されている場合。実際、ロシアでは、Dr.Web CureItは緊急治療ツールとして使用されています！ （個々のコンピューターの処理用）またはDr.Web CureNet！ （ネットワーク全体をスキャンするため）。

6）情報システムは、オペレーティングシステムをロードする前に、ウイルス対策保護によってファイルシステムオブジェクトの検証を提供する必要があります。

繰り返しますが、「should」という言葉が使用されますが、この項目は保護対策のリストでは必要ありません。フルスキャンには非常に長い時間がかかる可能性があり、感染の疑いがある場合、または継続的なアンチウイルス保護の手段がない場合、本当に正当化されます。

8）オペレーターは、コンピューターハードウェアのファームウェアの初期化段階でウイルス対策保護を提供する必要があります。

未知の悪意のあるファイルと脆弱性の存在を考えると、これはブックマークが実装されていないという信頼できる保証を与えるのでしょうか？

AVZ.2 悪意のあるコンピュータープログラム（ウイルス）の兆候のデータベースの更新

AVZ.2を強化するための要件：

2）情報システムは、情報システムのすべてのコンポーネントで悪意のあるコンピュータープログラム（ウイルス）の兆候のデータベースを自動的に更新する必要があります。

情報システムのすべてのコンポーネントで更新が必要ですが、管理はそうではありません。

3）情報システムでは、ワークステーションおよびサーバー上の悪意のあるコンピュータープログラム（ウイルス）の兆候のデータベースを更新するためにシステムの設定を変更することの禁止を禁止する必要があります。

4）情報システムは、悪意のあるコンピュータープログラム（ウイルス）の兆候のデータベースに対する以前の更新に戻る（ロールバックする）機能を提供する必要があります。

実際、これらの最後の2つのポイントのみが、保護がアンチウイルスであることを示しており、それ以外のことは示していません。

ZSV.9

仮想インフラストラクチャでのウイルス対策保護の実装と管理ZSV.9の実装要件：AVZ.1、AVZ.2に従って、情報システムは仮想インフラストラクチャでのウイルス対策保護の実装と管理を提供する必要があります。

適切な対策の実施において、提供されるべきです：

• ファイルシステム、メモリ、実行中のアプリケーションおよびプロセスの監視を含む、ホストオペレーティングシステム内の悪意のあるプログラム（ウイルス）のチェック。

ドキュメントがさまざまなソースから収集されたことが明確にわかります。AVZ.1では、メモリ制御と実行中のプロセスは必要ありません。

• ファイルシステム、メモリ、実行中のアプリケーションおよびプロセスの制御など、ゲストオペレーティングシステムの動作中に悪意のあるプログラムをチェックします。

誰かが仮想メモリマシンのエージェントレス保護と仮想マシンで実行中のプロセスを使用して検証スキームを共有できる場合、私は感謝します。これまで、未知の脅威に対するエージェントレス技術を使用した単一の保護スキームを見たことはありません。

ZSV.9の強化の要件：

2）情報システムでは、アンチウイルス保護ツールを介した仮想インフラストラクチャ内の情報フローのルーティングなど、仮想インフラストラクチャ内のアンチウイルス保護ツールの機能を監視する必要があります。

とても面白いです。アンチウイルス保護ツールを使用して、仮想インフラストラクチャ内の情報フローのルーティングを保証することは可能ですか？情報は交通だけではありません。そして、ルーティングは厳密にはテストではありません。

4）ハイパーバイザー内の悪意のあるプログラム（ウイルス）の存在を情報システムで確認する必要があります。

また、この段落に完全に準拠して、VmWareハイパーバイザー上にアンチウイルスの存在が既に必要です。議員、要件に急ぐな！このすべてを実現するために！



引用を減らすために、マルウェアの定期的な検証（重要なウイルス対策スキャンではなく、スキャンであることに注意）、集中管理と更新、管理のためのアクセス権の配布、管理者通知システムの存在、および適切なメンテナンスの要件が排除されました手順。言及されていない点に関するコメントに誰もが興味を持っている場合（特にそれらの間に不可能な点があるため）-質問してください。



これらの要件は、他の基準やガイダンス文書（外国のものも含む）で提示されているものとそれほど変わらないことに注意できます。



アンチウイルス保護のすべての要件の主な重点は、ファイルモニターとアンチウイルススキャナーモジュールに置かれていることが注目されます。この場合、ファイルモニターによるマルウェアの検出は、侵入（記録）または起動時にのみ決定されます。特に危険な、以前は未知だったマルウェアをウイルス対策タスクとして検出することはまったく考慮されていません！未知のマルウェアの配布に対する唯一の制限、リムーバブルメディアの禁止は明らかに十分ではありません。



興味深いことに、規制当局によると、一般にデータの保護に使用できる対策のリストを検討します（ウイルス対策保護と個々のサブシステムの保護を除き、保護対策は他の対策の組み合わせです）。



次の情報保護対策が情報システムに実装されます。

• アクセスサブジェクトとアクセスオブジェクトの識別と認証。
• オブジェクトにアクセスするためのアクセス対象のアクセス制御。
• ソフトウェア環境の制限。
• コンピュータ記憶媒体の保護。
• セキュリティイベントログ
• 侵入検知（防止）;
• 情報システムと情報の完全性を確保する。
• 情報システム、その手段と通信およびデータ送信のシステムの保護。

このリストを慎重に検討すると、リストされている対策のほとんどがアンチウイルス保護対策に関連していることは明らかです。

• アクセスオブジェクトへのアクセスサブジェクトのアクセス制御、アクセスサブジェクトとアクセスオブジェクトの識別と認証、ソフトウェア環境の制限、コンピューター記憶媒体の保護は、プログラムを実装できるユーザーアクセス権を制限することにより、悪意のあるプログラムの導入を防ぐ手段です。
• 侵入の検出（防止）、情報システムと情報の整合性の確保-これらは、プログラムとシステムの通常の動作の中断による悪意のあるプログラムの導入を防ぐ手段です。

面白いのは、モバイルデバイスを保護する場合、保護要件がウイルス対策保護について一般的に記述するのに必要な要件に近いことです。

.30 ,

.30: .

:

IAF.1およびIAF.5に従った識別および認証手段のモバイル技術的手段（モバイル技術的手段など）に応じた実装、UPD.2、UPD.5、UPD.13およびUPD.15に従ったアクセス制御、 OPS.3に従ったソフトウェア環境の制限、ZNI.1、ZNI.2、ZNI.4、ZNI.8に従ったマシンストレージメディアの保護、RSB.1、RSB.2、RSB.3に従ったセキュリティイベントの登録およびRSB.5、AVZ.1およびAVZ.2に基づくアンチウイルス保護、ANZ.1、ANZ.2に基づくセキュリティの制御（分析）およびANZ.3、OCL.1に準拠した整合性の確保。

個人データを保護するためにアンチウイルスが必要ですか？



最後まで読むことができた人々のために-要約するために：

• № 152-, . . , 1119 — . .
• , , . , , , , , — .
• .

次の記事では、アンチウイルス保護の認証の必要性について説明します。この点で、よく聞かれる質問：

• 連邦法No. 152-FZへの準拠が認定された製品を使用する必要はありますか？
• 保護プロファイルの要件を持つウイルス対策製品に付属のファイアウォールを認証する必要がありますか？

出張に関連して、回答が遅れる可能性があることを事前におaび申し上げます。