ないものをキャッチする方法。 パート6 銀行内のウイルス

現在、金融機関はセキュリティに関して最も規制されています。 多数の注文、書簡、および標準が存在することで、セキュリティポリシーの開発および実装中にあらゆる質問に答えることができそうです。



しかし、これは一見しただけであり、実際、同じSTO BR BR規格の要件を満たしても、アンチウイルスセキュリティは提供されません。この規格の開発者は、アンチウイルスおよびアンチウイルス保護システムに関する従来の考え方を捕らえています。 一方、法律および標準の規定を無料で解釈できることにより、悪意のないサプライヤは、要求事項の「コンプライアンス」を正当化することができます。



銀行セクターにアンチウイルス保護を実装する場合、何を探すべきですか？



実践が示すように、質問と誤解の大部分は、ATMと端末の保護に関連しています。 そして、それらは同じPCI-DSSの規定の無知によって引き起こされます。 したがって、私たちは彼らと一緒にレビューを始めます。



PCI-DSS / PA-DSS要件



原則として、このようなデバイスはすべてVisaおよびMasterCardカードで動作するため、PCI-DSS（Payment Card Industry Data Security Standard）標準の要件に従います。PaymentCard業界のデータセキュリティ標準は、Payment Cardの所有者に関する情報のセキュリティを確保するための要件を説明しています処理、転送、または保存、それで始めましょう）/ PA-DSS。 現在、標準PCI-DSS 3.1のバージョン。



PCI-DSS標準は、Payment Card Industry Security Standards Council（PCI SSC）によって開発されました。 PCI SSCは、主要な国際決済システム（Visa、MasterCard、American Express、JCB、Discover）によって設立されました。 PCI SSCは、 サイトでの活動に関する情報を公開しています 。 標準バージョン3.05のロシア語版があります。



この規格は、特に次のような多くの情報保護プログラムの要件を組み合わせています。

• Visa Europeおよびその他の地域：アカウント情報セキュリティ（AIS）;
• Visa USA：カード所有者情報セキュリティ（CISP）。
• MasterCard：サイトデータ保護（SDP）。
  
  

PCI DSS要件は、カード所有者に関する情報を処理する組織に適用されます。 組織が1年間に少なくとも1つのカード取引または支払いカードの所有者に関する情報を保存、処理、または転送する場合、 PCI DSS標準に準拠する必要があります。 このような組織には、貿易およびサービス企業（小売店およびeコマースサービスを含む）のほか、カード情報の処理、保管、送信に関連するサービスプロバイダー（処理センター、支払いゲートウェイ、コールセンター、データバックアップ用のストレージメディア、カードのパーソナライズに関与する組織など）。



PCI DSS規格には、12のテーマセクションに分かれた詳細な情報セキュリティ要件が含まれています。

• ファイアウォールの適用。
• 機器をセットアップするためのルール。
• 支払カード所有者の保存データの保護。
• データ送信中の暗号化保護手段の使用。
• ウイルス対策エージェントの使用。
• アプリケーションとシステムの安全な開発とサポート。
• データへのユーザーアクセスを制御します。
• アカウント管理。
• 物理的セキュリティ;
• データセキュリティ監視。
• 定期的なシステムテスト。
• 情報セキュリティポリシーの開発とサポート。
  
  

アンチウイルス保護要件の可用性に関する質問は、標準自体とその翻訳の両方から生じるため、両方のオプションを引用します。 したがって、 英語とロシア語のオプション。

要件5：すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する



一般に「マルウェア」と呼ばれる悪意のあるソフトウェア（ウイルス、ワーム、トロイの木馬など）は、従業員の電子メールやインターネット、モバイルコンピューター、ストレージデバイスの使用など、ビジネスで承認された多くの活動中にネットワークに侵入します。システムの脆弱性。 現在および進化する悪意のあるソフトウェアの脅威からシステムを保護するために、マルウェアの一般的な影響を受けるすべてのシステムでウイルス対策ソフトウェアを使用する必要があります。 追加のマルウェア対策ソリューションは、ウイルス対策ソフトウェアの補足と見なすことができます。 ただし、このような追加のソリューションは、ウイルス対策ソフトウェアを配置する必要性を置き換えるものではありません 。



要件5.すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新します。



ウイルス、ワーム、トロイの木馬などの悪意のあるソフトウェアは、従業員による電子メール、インターネット、モバイルコンピューター、ストレージデバイスの使用など、ビジネスで承認された多くのアクション中にネットワークに侵入し、システムの脆弱性の悪用につながります。 現在および潜在的なマルウェアの脅威からシステムを保護するために、 通常マルウェアにさらされるすべてのシステムでアンチウイルスソフトウェアを使用する必要があります。 追加のマルウェア対策ソリューションは、ウイルス対策ソフトウェアを補完するものとして使用できます。 ただし、このような追加のソリューションでは、ウイルス対策ソフトウェアの必須可用性の要件は削除されません 。

ソースを読む必要がある理由をすぐに確認できます。

• 侵入チャネルをメール、フラッシュドライブ、インターネットに限定することはできません。 ソーステキストには、「多くのビジネス承認済みアクティビティ中」というフレーズが含まれています。 特定の組織で何が使用されるかを誰が知っていますか？ たぶんICQ？
• 標準では、感染しやすいすべてのシステムに保護装置を設置する必要があるとされています。
  
  よくある誤解は、これは、ウイルスの導入が考えられない場合にウイルス対策をインストールする必要がないことを示唆しているということです。 しかし、これはそうではありません。 法律の精神に従って、マルウェアはどのシステムでも作成でき、すべてを保護する必要があります。
  
  
  
  

  原則として、メインフレーム、ミッドレンジコンピューター（AS / 400など）、および同様のシステムは、現在マルウェアに感染していないか、ターゲットではありません。 ただし、マルウェアの傾向は急速に変化する可能性があるため、組織にとって、システムにとって危険な新しい種類のマルウェアを認識することが重要です。

  
  
  
• ATMや端末のアンチウイルスの代わりに、チェックサムに基づいたソフトウェア制御ツールを使用することが非常に頻繁に提案されています。 これは、標準の観点からも受け入れられません。「追加のマルウェア対策ソリューションは、ウイルス対策ソフトウェアへの追加として使用できます。 ただし、このような追加のソリューションは、ウイルス対策ソフトウェアの必須可用性の要件を削除しません。
  
  

5.1悪意のあるソフトウェア（ 特にパーソナルコンピューターとサーバー ）によって一般的に影響を受けるすべてのシステムにウイルス対策ソフトウェアを展開します 。

5.1悪意のあるソフトウェアによって一般的に影響を受けるすべてのオペレーティングシステムタイプを含むシステムコンポーネントのサンプルについては、該当するアンチウイルステクノロジーが存在する場合、アンチウイルスソフトウェアが展開されていることを確認してください。



広く公開されているエクスプロイトを使用した攻撃の流れは絶えずあり、多くの場合、「ゼロデイ」（以前は未知の脆弱性を悪用する攻撃）と呼ばれます。 定期的に更新されるウイルス対策ソリューションがないと、これらの新しい悪意のあるソフトウェアはシステムを攻撃したり、ネットワークを無効にしたり、データの侵害につながる可能性があります。

5.1通常、マルウェアにさらされるすべてのシステム （ 特にパーソナルコンピューターとサーバー ）にウイルス対策ソフトウェアを展開します 。

5.1該当するアンチウイルス技術が利用可能な場合、通常マルウェアにさらされるすべてのタイプのOSを含む、選択したシステムコンポーネントにアンチウイルスソフトウェアが展開されていることを確認します。

一見安全なシステムに対して、広く利用可能なエクスプロイトを使用する攻撃の流れが絶えずあり、「ゼロデイ攻撃」と呼ばれることもあります（このような攻撃は以前は未知の脆弱性を使用します）。 定期的に更新されるウイルス対策ソフトウェアがないと、新しいマルウェアがシステムを攻撃し、ネットワークを混乱させ、データの侵害につながる可能性があります。

この規格では、感染しやすいすべてのシステムに例外なくウイルス対策ソフトウェアをインストールする必要があることを再度確認しています。 唯一の注意点は、ウイルス対策ソリューションの可用性です。



残念ながら、括弧内の説明（特にパーソナルコンピューターとサーバー）は、実際には絶対的なものです。 スタンドアロンデバイスの感染の大部分は、メンテナンス担当者のデバイスおよびリムーバブルメディアから実行されます。 特に、感染したデバイスでの感染時の保護レベルが必要以上に低いという事実のため（再起動が必要な更新プログラムのインストールの失敗を含む）。 残念ながら、残念なことに、従業員の個人用デバイスと自宅のコンピューターの保護が会社によって実行されるケースはほとんどありません。



奇妙なことに、需要を背景に、ゼロデイ脅威に関するメモは次のように見えます。 実際、ウイルス対策ソフトは、侵入時にすべてのマルウェアをすべて認識することはできません。 しかし、標準では実際にこの事実にのみ言及していますが、アンチウイルスにとって未知の脅威と戦うための手段は提供していません。

5.1.1アンチウイルスプログラムがすべての既知の種類の悪意のあるソフトウェアを検出、削除、および保護できることを確認する

5.1.1ベンダーのドキュメントを確認し、アンチウイルス構成を調べて、アンチウイルスプログラムを検証します。

• 既知のすべての種類の悪意のあるソフトウェアを検出し、
• 既知のすべての種類の悪意のあるソフトウェアを削除し、
• 既知のすべての種類の悪意のあるソフトウェアから保護します。
  
  

悪意のあるソフトウェアの種類の例には、ウイルス、トロイの木馬、ワーム、スパイウェア、アドウェア、およびルートキットが含まれます。

すべての種類と形式の悪意のあるソフトウェアから保護することが重要です



5.1.1アンチウイルスソフトウェアが既知のすべての種類のマルウェアを検出および排除できることを確認し、それらに対する保護を提供します。

5.1.1ベンダーのドキュメントと、ウイルス対策プログラムのウイルス対策ソフトウェアの構成を確認します。

• 既知のすべての種類のマルウェアを検出する
• 既知の種類のマルウェアをすべて削除します。
• 既知のすべての種類のマルウェアから保護します。
  
  

マルウェアの例には、ウイルス、ワーム、トロイの木馬、スパイウェアとアドウェア、ルートキットがあります。

すべての種類および形式のマルウェアに対する保護を提供することが重要です。

PCI-DSSは、ウイルス対策の目的を正しく定義する数少ない標準の1つです。PCI-DSSは、既知のマルウェアのみを検出でき、修復できる必要があります。 後者は一般に、ウイルス対策保護の要件において非常にまれなゲストです。

5.1.2悪意のあるソフトウェアの影響を一般に受けないと考えられるシステムについては、定期的な評価を実施して、進化するマルウェアの脅威を特定および評価し、そのようなシステムが引き続きウイルス対策ソフトウェアを必要としないかどうかを確認します。

5.1.2マルウェアによる感染の影響を受けないと一般に考えられているシステムで定期的にチェックを行い、新しい形式のマルウェアによる感染の脅威を特定および評価して、これらのシステムが依然としてウイルス対策ソフトウェアを必要としないことを確認します。

また、非常に重要なポイントです。 保護を作成したため、栄光に頼ることはできません。 考えられる脆弱性に関する情報を常に受け​​取り、保護を改善する必要があります。

5.2すべてのウイルス対策メカニズムが次のように維持されていることを確認します。

• 最新の状態に保たれ、
• 定期的なスキャンを実行する
• PCI DSS要件10.7ごとに保持される監査ログを生成します
  
  

5.2.aポリシーと手順を調べて、ウイルス対策ソフトウェアと定義を最新の状態に保つ必要があることを確認します。

5.2.dソフトウェアのマスターインストールやシステムコンポーネントのサンプルなど、ウイルス対策構成を調べて、次のことを確認します。

• ウイルス対策ソフトウェアのログ生成が有効になっている
• ログは、PCI DSS要件10.7に従って保持されます。
  
  

最高のアンチウイルスソリューションでさえ、最新のセキュリティ更新プログラム、署名ファイル、またはマルウェア対策で維持および最新の状態に保たれていないと、効果が制限されます。

監査ログは、ウイルスおよびマルウェアの活動とマルウェア対策の反応を監視する機能を提供します。 したがって、マルウェア対策ソリューションを構成して監査ログを生成し、これらのログを要件10に従って管理することが不可欠です。

5.2すべてのウイルス対策エンジンが次のことを確認します。

• 最新の状態に保たれます。
• 定期的なスキャンを実行します。
• PCI DSS標準の要件10.7に従って保存されるイベントログを作成します。
  
  

5.2.aウイルス対策ソフトウェアとデータベースを最新の状態に保つために必要なポリシーと手順を確認します。

5.2.b以下について、インストールイメージやシステムコンポーネントの選択など、アンチウイルス構成を確認します。

• イベントログの作成が含まれています。
• ログは、PCI DSS標準の要件10.7に従って保存されます。
  
  

最新のセキュリティ更新プログラム、ウイルス対策データベース、またはマルウェア対策メカニズムがないため、最高のウイルス対策ソフトであっても効果は限られています。

イベントログは、ウイルスとマルウェアの活動を監視し、それに対応する機能を提供します。 したがって、要件10に従ってイベントログのエントリを生成および管理できるように、マルウェア対策ソリューションを構成することが重要です。

段落番号の誤りと元の文からの翻訳句読点



ここで、おそらく最も重要なことはロギングの要件です。 実装。インシデントの分析を可能にするアイテム。

5.3アンチウイルスメカニズムがアクティブに実行されていることを確認し、限られた期間、管理者によって個別に許可されない限り、ユーザーが無効化または変更できないようにします。

注：アンチウイルスソリューションは、正当な技術的ニーズがある場合にのみ、一時的に無効になる場合があります。 特定の目的でアンチウイルス保護を無効にする必要がある場合は、正式に許可する必要があります。 アンチウイルス保護がアクティブでない期間には、追加のセキュリティ対策も実装する必要があります。

5.3.aソフトウェアのマスターインストールやシステムコンポーネントのサンプルなど、ウイルス対策構成を調べて、ウイルス対策ソフトウェアがアクティブに実行されていることを確認します。

5.3.bソフトウェアのマスターインストールやシステムコンポーネントのサンプルを含むウイルス対策構成を調べて、ユーザーがウイルス対策ソフトウェアを無効化または変更できないことを確認します。

5.3.c責任者を面接し、プロセスを観察して、限られた期間、ケースバイケースで管理者によって特に許可されない限り、ユーザーがアンチウイルスソフトウェアを無効化または変更できないことを確認します。

継続的に実行され、変更できないアンチウイルスは、マルウェアに対する永続的なセキュリティを提供します。

すべてのシステムでポリシーベースの制御を使用して、マルウェア対策保護を変更または無効にできないようにすることで、システムの脆弱性が悪意のあるソフトウェアによって悪用されるのを防ぐことができます。

アンチウイルス保護がアクティブでない期間には、追加のセキュリティ対策を実装する必要があります。たとえば、アンチウイルス保護が無効になっている間に保護されていないシステムをインターネットから切断し、その後フルスキャンを実行する再び有効になります。



5.3アンチウイルスメカニズムが常に実行されていることを確認し、ユーザーが明示的な許可なしにそれらをオフにしたり変更したりできないことを確認します。これは、特定のケースおよび期間ごとに管理者によって発行されます。

注：アンチウィルスツールは、正当な技術的ニーズがある場合にのみ一時的に無効にでき、それぞれの場合に管理者の許可が必要です。 特定の目的でアンチウイルス保護を無効にする必要がある場合は、公式の許可を取得する必要があります 。 アンチウイルス保護が無効になる期間には、追加の保護対策も必要になる場合があります。

5.3.aインストールイメージやシステムコンポーネントの選択など、ウイルス対策ソフトウェアの構成を調査し、ウイルス対策ソフトウェアがアクティブモードで動作していることを確認します。

5.3.bソフトウェアのインストールイメージやシステムコンポーネントの選択など、ウイルス対策ソフトウェアを無効にしたり、ユーザーが変更したりできないことを確認するために、ウイルス対策の構成を確認します。

5.3.c責任ある従業員にインタビューし、それぞれの場合および一定期間、管理者の明示的な許可がない限り、ユーザーがウイルス対策ソフトウェアを無効化または変更できないことを確認します。

常に機能し、変更から保護されているウイルス対策は、マルウェアからの信頼できる保護を提供します。

すべてのシステムでポリシーベースのセーフガードを使用して、ウイルス対策ソフトウェアのセーフガードを変更または無効にする可能性を排除します。 これにより、攻撃者がシステムの脆弱性を悪用することを防ぎます。

アンチウイルス保護が無効になる期間には、追加のセキュリティ対策が必要になる場合があります（たとえば、アンチウイルス保護が無効になっている間に保護されていないシステムをインターネットから切断し、オンに戻した後にフルスキャンを開始するなど）。

引用は非常に長いですが、別の神話に対して必要です-アンチウイルスをインストールした後、それをオフにすることができます。 標準によれば、切断は異常なものです。



上記の引用は、一般的なウイルス対策保護の要件を本質的に説明したものです。 アンチウイルスがどのように検出して対処するかについての要件はありません。 実際、この標準では、ウイルス対策ソフトウェアを使用して定期的に更新するだけです。 ウイルス対策自体の唯一の要件は、5.1.1節で説明されています-使用される製品は、すべての種類の脅威を検出する必要があります。 条項5.1、5.2は、セキュリティシステムにサービスを提供しているサービス部門に既に言及しています。



ただし、市場参加者は、PCI-DSS要件に従って、アンチウイルス業界認定製品のベンダーを必要とすることが非常に多くあります。 したがって、PA-DSSからの別の引用：

PA-DSSは、認証または決済の一部としてカード会員データを保存、処理、または送信するペイメントアプリケーションを開発するソフトウェアベンダーおよびその他に適用されます。これらのペイメントアプリケーションは、第三者に販売、配布、またはライセンス供与されます。

PA-DSS（支払いアプリケーションデータセキュリティ基準）は、Visa PABP（支払いアプリケーションベストプラクティス）要件の開発であり、PCI DSS要件のアプリケーションへの適合です。 より正確には、PA-DSS標準の要件は、承認段階でカード所有者のデータを処理するアプリケーション（ www.pcidss.ru/files/pub/pdf/which_application_are_eligible_for_padss.pdf、www.pcidss.ru/download/#padss ）に適用されますトランザクション。



上記の引用から、ウイルス対策製品は、カード会員データの処理、保存、送信用に特別に設計されていないため、PA-DSSの動作に関連していないということになります。これらは原則として「支払いアプリケーション」ではありません。



これは、ウイルス対策アプリケーションと支払いアプリケーションが明確に分離されている次のフレーズによって確認されます。

ペイメントアプリケーションがコンプライアンスを妨げる可能性のあるほんのいくつかの方法は次のとおりです。

• 承認後の顧客のネットワーク内のチップからの磁気ストライプデータおよび/または同等のデータの保存。
• ペイメントアプリケーションを適切に機能させるために、ウイルス対策ソフトウェアやファイアウォールなど、PCI DSSに必要な他の機能を無効にする必要があるアプリケーション。
  
  

その結果、認定ソリューションのリスト（検証済みペイメントアプリケーション（ www.pcisecuritystandards.org/approved_companies_providers/validated_pa​​yment_applications.php?agree=true#、www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php?mode=list anti-single not-a製品。 リストには実際にシマンテックの製品が含まれていますが、シマンテックはポートフォリオにウイルス対策ソリューションだけを含んでいるわけではありません。



PA-DSSのコンテキストでは、PCI SSCによる監査およびプログラムへの組み込みの対象となる支払いアプリケーションは、トランザクションの承認または確認中にカード所有者（DDC）のデータを保存、処理、または送信するアプリケーションとして定義されます。



ペイメントアプリケーションデータセキュリティ標準には、ペイメントアプリケーションに関する非常に興味深い要件が含まれています（ただし、ウイルス対策製品は含まれていません）。

8.1支払いアプリケーションは、安全なネットワーク環境に実装できる必要があります。 アプリケーションは、PCI DSS準拠に必要なデバイス、アプリケーション、または構成の使用を妨げてはなりません（たとえば、支払いアプリケーションは、ウイルス対策保護、ファイアウォール構成、またはPCI DSS準拠に必要な他のデバイス、アプリケーション、または構成に干渉できません） 。

つまり、ここでも、ウイルス対策製品とファイアウォールは決済アプリケーションに関連しておらず、その結果、ウイルス対策製品はPA-DSSの対象範囲に含まれていません。



2012年6月9日付ロシア銀行規則第382-P号の要件



2011年6月27日の連邦法第161号「国民支払いシステムについて」は、国民支払いシステムのすべての事業体が「ロシア銀行が定めた要件に従って送金を行う際に情報を保護する必要がある」と述べています。 そのような要件は、2012年6月9日のロシア銀行規則No. 382-P「送金時の情報保護を確保するための要件、およびロシア銀行が送金時の情報保護を確保するための要件の遵守を監視する手順について」および政府令 2012年6月13日付の第584号 「支払いシステムにおける情報の保護に関する規制の承認について」。 この手順は、 www.cbr.ru / PSystem / P-sys / faq_382-P.pdfで説明されています 。



実際のアンチウイルス保護要件に最も近いのは、2012年6月9日付のロシア銀行規則第382-Pの指示です（ロシア銀行指令3007-U、2013年5月6日付、N 3361-U、2014年8月14日付）。送金時に情報の保護を確保し、送金時に情報の保護を確保するための要件の遵守を監視するためのロシア銀行の手順について。

2.7.1送金オペレーター、銀行支払いエージェント（サブエージェント）、および支払いインフラストラクチャサービスオペレーターは以下を提供します。

• 悪意のあるコードを検出し、情報インフラストラクチャのオブジェクトに対する悪意のあるコードの影響を防ぐために設計された情報保護の技術的手段の使用...技術的に可能な場合、 ATMや支払い端末を含むコンピューター機器を使用して;
• 悪意のあるコードの影響から情報を保護する技術的手段の作業に使用される悪意のあるコードおよびデータベースの影響から情報を保護する技術的手段のバージョンの定期的な更新、および悪意のあるコードの説明とそれらを無効にする方法を含む;
• 技術的に可能な場合、自動モードで悪意のあるコードの影響から情報を保護する技術的手段の機能
  
  

PCI-DSS標準と同様に、インフラストラクチャのすべての要素を市場での適切な保護手段で保護し、それらの継続的な運用の必要性を確認する要件は、定期的なチェックのみの許容範囲ではありません。



ウイルス対策のみが、悪意のあるコードの存在を自動的に検出できます。 他のすべてのツールは、システムの変更に対応しようとする場合があります。



また、自己防衛にも焦点を当てています。これは、マルウェア対策保護ツールを使用するほとんどの企業が認識していない重要な機能です。

2.7.5悪意のあるコードの検出または悪意のあるコードへの暴露の事実の場合、送金オペレーター、銀行支払いエージェント（サブエージェント）、支払いシステムオペレーター、支払いインフラストラクチャサービスオペレーターは、悪意のあるコードの拡散を防ぎ、悪意のあるコードの影響を排除するための対策が講じられていることを確認します...

別の非常に重要なポイントですが、残念ながら、明確に定式化されていません。 原則として、対策を講じる必要があることは明らかですが、どのようにですか？ ウイルス対策コントロールセンターでアクションをスケジュールし、インシデントを手動で追跡するか、自動応答システムを実装しますか？ 休暇中に企業に対して十分な数の攻撃が行われます。1対1（多くの場合、彼が1人であるという事実が原因）の情報セキュリティスペシャリストが休暇中のため、迅速な対応チームはありません。

2.8.1。 送金にインターネットを使用する場合、送金オペレーター、銀行支払いエージェント（サブエージェント）、および支払いインフラストラクチャサービスオペレーターは以下を提供します。

• 情報を保護するための組織的措置の適用、および（または）インターネットを介して送信される保護された情報への不正アクセスを防止するために設計された情報保護の技術的手段の使用。
• 情報を保護するための組織的措置の適用および（または）インターネットを使用する情報インフラ施設での保護された情報への不正アクセスを防止するために設計された情報保護の技術的手段の使用。
• 情報を保護するための組織的措置の適用、および（または）ソフトウェアの脆弱性を悪用して保護された情報への不正アクセスを防止するために設計された情報保護の技術的手段の使用。
• 情報インフラストラクチャオブジェクトの操作における送金、失敗または拒否のタイミングの悪い実施に関連するマイナスの結果の最小化。
• 情報インフラストラクチャオブジェクトが配置されている情報ネットワークと通信ネットワーク、およびインターネットネットワークの間の情報交換中にネットワークパケットをフィルタリングし、インターネットネットワークからの負の外部の影響から保護する
  
  

2.10.1送金オペレーター、銀行支払いエージェント（サブエージェント）、および支払いインフラストラクチャサービスオペレーターは、コンピューター機器にインストールされた（または使用された）ソフトウェアの会計と制御を保証します。

正式には、これらの2つのポイントは、悪意のあるプログラムからの機能（382-Pによる）保護とは関係ありませんが、実際にはトラフィック分析システム、不正アクセスに対する保護、バックアップとバックアップ、ファイアウォールを正確に説明しています。



2014年3月24日付ロシア銀行通知書49-Tの要件



2014年3月24日付けロシア銀行レター49-T 「銀行業務でのマルウェア対策プロテクターの使用を組織化するための推奨事項について」では、「コンピューター機器および信用機関の自動システムおよび通信機器の以下のコンポーネント（以下、保護オブジェクト）を保護する必要があります： 」

• システムおよび（または）ネットワーク管理者、データベース管理者、情報セキュリティ管理者などのワークステーション（以降-AWP）。
• ワークステーション;
• 情報ファイルを保存するサーバー（ファイルサーバー）およびそれらへの集中アクセス。
• データベースサーバー;
• アプリケーションサーバー;
• メールサーバー;
• ルーター;
• ファイアウォール;
• , (Web-, FTP-, proxy-, (DNS) );
• , .
  
  

実際、この要件は、ロシアNo. 17のFSTEC命令の要件を繰り返しており、ウイルス対策ソフトウェアをインストールできる場所の保護にも焦点を当てています。



実際、規制当局の文書におけるこのような要件の声明はそれほど無害ではありません。情報セキュリティの専門家の注意がアンチウイルスをインストールできる場所のみの保護に引き付けられた場合、アンチウイルスネットワークゲートウェイはトラフィックをスキャンして、マルウェアがクライアントアプリケーションに届く前にワークステーションおよびサーバーのソフトウェア脆弱性を貫通しないようにすることができます。つまり、ワークステーションとサーバー上のトラフィック検証システムの作業が重複しています。



同様に、ウイルス対策がブロックされている場所に悪意のあるファイルをインストールする可能性をゲートウェイがブロックする必要がある場合、ゲートウェイの役割は非常に重要です。実際、このようなシステムを保護する中心的な手段になります。



レターNo. 49-Tの要件に戻りましょう。内部ネットワーク施設の保護に関する要件に加えて、規制当局は以下を推奨しています。

2.1.5。ソフトウェア開発会社が推奨するものを含む、VKに対する保護の必要な手段のタイムリーな開発と採用を目的とした、VKの配布に関する情報の定期的な収集と分析。

2.1.7。自動モードでのVKに対するリアルタイム保護機能の構成と、ウイルス対策保護のための集中監視および制御ツールの使用。

2.1.9。自動システムのワークステーションの機能の編成。これらのワークステーションのユーザーに機能を実行するために最低限必要な権限を与え、ローカル管理者のグループからアカウントを除外します。

これが、未知のマルウェアの侵入確率を最小限に抑えることを目的とする唯一のポイントであると言えます。

2.1.10。さまざまな製造組織またはサプライヤーのVKの保護装置の使用、および以下のコンピューター装置のグループおよび保護対象への個別のインストール：

• ワークステーション;
• サーバー
• ルーターとファイアウォール。
  
  

既に述べたように、この項目は意味がありません。標的型攻撃の場合、使用されるアンチウイルスシステムの数は問題にならないためです。

2.1.13。VKに対する保護手段の開発者によって配置（更新）されると、VKに対する保護手段のVCデータベースを更新する自動モードでの実装。

また、内部ネットワークへの更新の配信に問題があるため、非常に重要なポイントです。

2.1.14。金融機関のすべての電子メールメッセージでVKをフィルタリングする（保護メールゲートウェイの使用）。

原則として、フィルタリングはメールサーバーのレベルで実行されます。ゲートウェイレベルのフィルタリングは、はるかに高いレベルのメッセージ分析を提供できます。

2.1.18。接続されたデバイスを集中監視するための組織的な手段と専用ツールを使用して、リムーバブルストレージメディアの使用を監視し、リムーバブルストレージメディアの使用を制限します。

2.1.25。金融機関のワークステーションをターミナルモード（機能制限あり）で使用して、専用サーバーを介してインターネットへのアクセスを提供します。システムソフトウェアの整合性は、開発および承認された規制に従って定期的に監視されます。

この項目に注意することをお勧めします。その実装は、インシデントを分析する目的でコンピューターを押収する場合に役立ちます。

4.2.1. , — ( — ), — .

, , , .

2.1.16. () , , .

5.4. , , , , , , - , .

上記の規定では、銀行のすべての顧客に対する悪意のあるプログラムからの保護と、インターネットサービスプロバイダーによる独自のインフラストラクチャを保護するための要件の遵守が必要です。



要件STO BR IBBS-1.0-2014



この標準はすべての金融機関に必須ではありませんが、その実装の品質により、金融セクターだけでなく使用することを推奨できます。

7.5.1。RF BS組織のすべての自動化されたワークステーションとABSサーバーは、技術プロセスの実装によって別の方法で提供されない限り、アンチウイルス保護手段を使用する必要があります。

RF BS組織では、バージョンおよびデータベース用のウイルス対策ツールをインストールおよび定期的に更新する手順をワークステーションおよびABSサーバーで決定、実行、登録、および監視する必要があります。

奇妙なことに、この節はすべてのネットワークノードを保護する必要がある節7.5.6と矛盾しています。

7.5.2。ウイルス対策ソフトウェアとそのデータベースの更新プログラムの自動モードと自動インストールモードで、リアルタイムのウイルス対策保護の機能を整理することをお勧めします。

保護を無効にできないことも示す句。

7.5.3。リムーバブルストレージメディアを銀行の技術プロセスの実装に関与するコンピューターテクノロジーの手段に接続する前に、専用のスタンドアロンコンピューターツールでウイルス対策スキャンを実行することをお勧めします。

レター49-Tでも詳しく説明されている非常に危険なポイントであるリムーバブルメディアのチェックは、マルウェアがウイルス対策ソフトウェアによってまだ検出されていない場合は機能しません。

7.5.5。すべての電子メール交換トラフィックのアンチウイルスフィルタリングは、RF BS組織で編成する必要があります。

7.5.6。RF BSの組織では、次の目的でさまざまなメーカーのアンチウイルス保護ツールを使用できるように、階層化された集中型アンチウイルス保護システムを組織する必要があります。

• ワークステーション;
• 電子メールサーバーを含むサーバーハードウェア。
• ファイアウォールハードウェア。
  
  

レターNo. 49-Tの要件と同様の要件。残念ながら、時代遅れですが、さまざまな文書で繰り返されています。

7.5.7。ウイルスのインストールまたは変更されたソフトウェアの予備検証の手順を定義、実行、登録、および監視する必要があります。ソフトウェアをインストールまたは変更した後、ウイルス対策スキャンを実行する必要があります。

規則No. 382-Pの要件と同様の要件。これも、権利の制限システムではなく、ウイルス対策を使用する必要があることを示しています。マルウェアを自動的に検出できるのはウイルス対策のみです。

7.5.8。コンピュータウイルスを検出した場合に実行する手順を決定、実行、登録、および監視する必要があります。特に、次の点を修正する必要があります。

• ウイルス攻撃の結果を撃退し、排除するために必要な手段。
• 公式情報管理の手順。
• 必要に応じて（ウイルス攻撃の結果を排除する期間）停止手順。
  
  

原則として、これらの要件は残念ながら無視されます。

7.5.9。ABSのすべての技術的手段でのウイルス対策製品の切断と更新を監視する手順を定義、実装、および記録する必要があります。

PCI-DSSの要件を繰り返すもう1つの要件は、セキュリティ機能を無効にすることは受け入れられないということです。

7.6.4。RF BS組織では、インターネットと対話する際の情報セキュリティ違反のリスクの増加に関連して、ファイアウォール、ウイルス対策ツール、侵入検知ツール、および特に情報の送受信のみを保証する暗号情報保護手段などの保護対策を適用する必要があります。確立された形式で、特定の技術のみ。

ATMおよび端末は、原則としてインターネットを介して動作するため、トラフィック検証システムが必要です。



合計：

1. , ( PCI-DSS) ( ) , ( , ), — ( ).
2. . . , , .
3. .
4. , , -. , .
5. PCI DSS PA-DSS , PCI DSS PA-DSS , , PA-DSS.
6. —