МИНИСТЕРСТВО ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ СЛУЖБА
ПРИКАЗ
от 24 ноября 2015 г. N ММВ-7-6/537@
ОБ УТВЕРЖДЕНИИ РЕГЛАМЕНТА АНТИВИРУСНОЙ ЗАЩИТЫ
И ЕЕ УПРАВЛЕНИЯ ФНС РОССИИ
В целях повышения эффективности обеспечения информационной безопасности на объектах информатизации Федеральной налоговой службы приказываю:
1. Утвердить Регламент антивирусной защиты и ее управления ФНС России (далее - Регламент) согласно приложению к настоящему приказу.
2. Управлению информационных технологий (Т.В. Матвеева), руководителям (исполняющим обязанности руководителя) управлений ФНС России по субъектам Российской Федерации, начальникам (исполняющим обязанности начальника) межрегиональных инспекций ФНС России и генеральному директору ФКУ "Налог-Сервис" ФНС России Р.В. Филимошину обеспечить выполнение Регламента.
3. Признать утратившим силу приказ ФНС России от 09.10.2008 N ММ-3-6/460@ "Об утверждении Типового порядка защиты компонентов информационной системы объекта информатизации ФНС России от вредоносного программного обеспечения".
4. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Федеральной налоговой службы А.С. Петрушина.
Руководитель Федеральной
налоговой службы
М.В.МИШУСТИН
Утвержден
приказом ФНС России
от 24 ноября 2015 г. N ММВ-7-6/537@
РЕГЛАМЕНТ
АНТИВИРУСНОЙ ЗАЩИТЫ И ЕЕ УПРАВЛЕНИЯ ФНС РОССИИ
1. Термины и сокращения
| АИС ФНС России | - Автоматизированная информационная система ФНС России |
| Вирусная активность (угроза) | - наличие любых признаков хранения вредоносного программного обеспечения в ИТ-инфраструктуре налогового органа; |
| Вирусное заражение | - наличие любых признаков выполнения вредоносного программного обеспечения в ИТ-инфраструктуре налогового органа (хранение в оперативной памяти); |
| Запрещенное программное обеспечение | - программное обеспечение, ограниченное для использования на рабочих местах в ФНС России приказами, распоряжениями и указаниями ФНС России и Управления информационных технологий ФНС России; |
| ИР | - информационные ресурсы; |
| ЛВС | - локальная вычислительная сеть; |
| ПО | - программное обеспечение; |
| Пользователь | - сотрудник налогового органа или подведомственной организации, использующий автоматизированное рабочее место, входящее в состав ИТ-инфраструктуры налогового органа; |
| Составные файлы | - архивы, файлы базы данных, установочные файлы, а также другие типы файлов, которые могут содержать в себе один или несколько иных файлов; |
| Специальные рабочие места | - рабочие места, не подключенные к ЛВС и предназначенные для обработки информации ограниченного доступа; |
| СТП | - сайт технической поддержки ФКУ "Налог-Сервис" ФНС России (http://support.tax.nalog.ru/); |
| Централизованная антивирусная система ФНС России | - совокупность компонентов средств антивирусной защиты, подключенных к единому серверному модулю ФНС России. |
2. Общие положения
2.1. Настоящий Регламент определяет порядок организации защиты информационной системы территориального налогового органа от вредоносного ПО, в том числе порядок настройки и эксплуатации средств антивирусной защиты, а также обновления сигнатур антивирусных баз.
2.2. Регламент антивирусной защиты и ее управления ФНС России разработан на основании:
приказа ФНС России от 13.01.2012 N ММВ-7-4/6@ "Об утверждении Концепции информационной безопасности Федеральной налоговой службы";
приказа ФНС России от 25.02.2014 N ММВ-7-6/66@ "Об утверждении Концепции системы управления информационной безопасностью ФНС России".
2.3. С целью реализации настоящего Регламента в налоговых органах приказом соответствующего руководителя назначается Администратор информационной безопасности.
2.4. Положения настоящего Регламента не распространяются на компоненты ИТ-инфраструктуры ФКУ "Налог-Сервис" ФНС России.
3. Основные цели антивирусной защиты и ее управления в ФНС России
Целями настоящего Регламента являются:
организация защиты от проникновения в АИС ФНС России вирусного, шпионского и другого вредоносного программного обеспечения, несущего угрозу нарушения штатного режима функционирования АИС ФНС России посредством:
- выведения из строя аппаратно-программных комплексов;
- блокирования работы прикладных информационных систем;
- нарушения доступности информационных ресурсов (ИР) и сервисов;
- уничтожения искажения или раскрытия информации обрабатываемой в АИС ФНС России;
создание антивирусной подсистемы, функционирующей в условиях территориальной распределенности объектов автоматизации ФНС России;
реализация единой политики антивирусной защиты.
4. Ответственность сторон
4.1. Управление информационных технологий ФНС России - отвечает за:
организацию и координацию антивирусной защиты в ФНС России;
определение технических решений по реализации антивирусной защиты.
4.2. ФКУ "Налог-Сервис" ФНС России - отвечает за:
выполнение работ по установке, настройке, обновлению, сопровождению, контролю эксплуатации, устранению сбоев в работе средств антивирусной защиты налоговых органов;
анализ вирусных угроз, выявление источников заражения, удаление зараженных объектов в ИТ-инфраструктуре ФНС России;
устранение сбоев в работе антивирусных средств;
проведение регламентных работ по обеспечению работоспособности антивирусных средств;
предоставление информации и доступа к серверному модулю средств антивирусной защиты Администратору информационной безопасности для выполнения им своих функций.
4.3. Налоговые органы (Центральный аппарат ФНС России, Управления ФНС России по субъектам Российской Федерации, Межрегиональные инспекции ФНС России, ИФНС России), в лице назначенных Администраторов информационной безопасности - отвечают за:
контроль за применением средств антивирусной защиты в том числе в части установки их на рабочих станциях и серверах, применения установленных политик и правил;
контроль за вирусной активностью в ИТ-инфраструктуре налогового органа;
выполнение работ по установке, настройке, обновлению, сопровождению, контролю эксплуатации, устранению сбоев в работе средств антивирусной защиты, установленных на специальных рабочих местах;
реагирование на инциденты информационной безопасности, связанные с программным обеспечением, несущим угрозу нарушения штатного режима функционирования АИС ФНС России, и их расследование.
4.4. МИ ФНС России по ЦОД отвечает за:
реализацию Централизованной антивирусной системы ФНС России;
мониторинг применения установленных правил и политик средств антивирусной защиты, функционирования системы антивирусной защиты;
разработка правил и политик средств антивирусной защиты;
сбор, накопление и обработку информации об инцидентах информационной безопасности, связанных с функционированием системы антивирусной защиты;
тестирование функционирования новых версий антивирусного ПО;
проведение проверок применения средств антивирусной защиты;
подготовку статистических показателей мониторинга функционирования системы антивирусной защиты, результатов анализа, сделанных на их основе, и предложений по устранению выявленных нарушений и модернизации системы антивирусной защиты.
5. О штатном режиме работы средств антивирусной защиты
5.1. Файловый антивирус в составе средства антивирусной защиты должен постоянно находиться в активированном состоянии на всех рабочих местах и серверах в налоговом органе и проверять все открываемые, сохраняемые и запускаемые файлы (в том числе составные), а также присоединяемые носители информации, на наличие в них вредоносного программного обеспечения.
5.2. Приостановка файлового антивируса и изменение установленного по умолчанию уровня безопасности файлов проводится сотрудниками ФКУ "Налог-Сервис" ФНС России только по согласованию (или по указанию) с Администратором информационной безопасности (с использованием СТП). Выполнение данных действий должно быть недоступно для пользователей.
5.3. Необходимо обеспечить постоянную сетевую связность средств антивирусной защиты на рабочих станциях и серверах с соответствующим серверным модулем антивирусной защиты (за исключением специальных рабочих мест).
5.4. В случае использования рабочего места для отправки и получения почты из сети Интернет, а также при наличии доступа к сети Интернет, обязательна активация режима проверки входящих и исходящих почтовых сообщений на наличие в них вирусов и других программ, представляющих угрозу. Администратор информационной безопасности в случае установки почтового клиента на рабочее место формирует заявку (с использованием СТП) в ФКУ "Налог-Сервис" ФНС России о включении режима почтовой защиты на данном рабочем месте (если данный режим не установлен по умолчанию). Отключение режима почтовой защиты должно быть недоступно для пользователей.
5.5. Режим почтовой защиты должен обеспечивать антивирусную защиту почтовых сообщений и вложенных файлов (в том числе составных), передающихся по протоколам POP3, SMTP, NNTP и IMAP, до их получения на компьютере пользователя.
5.6. Администратор информационной безопасности с целью повышения состояния информационной безопасности, по распоряжению Руководства налогового органа или по указанию Управления информационных технологий, ограничивает запуск запрещенного программного обеспечения, включая данное ПО в соответствующие списки (черные списки) настроек антивирусного средства на всех рабочих местах и серверах организации.
5.7. По инициативе руководителя налогового органа, или по указанию Управления информационных технологий, допускается включения Администратором информационной безопасности режима разрешения запуска программного обеспечения только из списков (белых списков) настроек антивирусного средства на всех или отдельных рабочих местах и серверах налогового органа.
5.8. Антивирусные средства должны быть настроены на поиск вирусов и других программ, представляющих угрозу, не реже одного раза в сутки:
в системной памяти;
в объектах, загрузка которых осуществляется при старте операционной системы.
5.9. Антивирусные средства должны быть настроены на поиск вирусов и других программ, представляющих угрозу не реже одного раза в неделю:
на всех жестких и присоединенных съемных носителях.
5.10. Результаты поиска вирусов и других вредоносных программ должны централизованно сохраняться серверным модулем антивирусной защиты.
5.11. ФКУ "Налог-Сервис" ФНС России обеспечивает настройку антивирусных средств (за исключением антивирусных средств, установленных на специальных рабочих местах) в соответствии с соответствующими правилами и политиками. Контроль правил и политик применения антивирусных средств в организации осуществляется Администратором информационной безопасности, который в случае выявления несоответствия имеющимся политикам и правилам, установленным порядком, формирует заявку с использованием СТП в ФКУ "Налог-Сервис" ФНС России.
5.12. В случае невыполнения положений настоящего Регламента, Администратор информационной безопасности докладывает руководителю налогового органа и по его резолюции проводит расследование инцидента. О результатах расследования Администратор информационной безопасности сообщает в Управление информационных технологий и МИ ФНС России по ЦОД.
5.13. При подключении антивирусной системы налогового органа к Централизованной антивирусной системе ФНС России, по решению Управления информационных технологий часть функций по контролю и применению правил и политик антивирусных средств передается в МИ ФНС России по ЦОД.
5.14. МИ ФНС России по ЦОД, в рамках своей компетенции, направляет для исполнения изменения в политики и правила антивирусной защиты.
6. Порядок обновления баз данных и модулей антивирусных средств
6.1. Сотрудниками ФКУ "Налог-Сервис" ФНС России и Администратором информационной безопасности (для специальных рабочих мест) в обязательном порядке обеспечивается регулярное обновление баз данных и модулей антивирусных средств.
6.2. Обновление антивирусных баз данных на рабочих местах (за исключением специальных рабочих мест) и серверах обеспечивается сотрудниками ФКУ "Налог-Сервис" ФНС России (контролируется Администратором информационной безопасности) в автоматическом режиме через соответствующий серверный модуль антивирусной защиты. Загрузка обновления на серверный модуль антивирусной защиты осуществляется через сеть Интернет или через внешний носитель информации.
6.3. Обновление антивирусных баз данных на сервере антивирусной защиты должно осуществляться не реже 1 (одного) раза в сутки.
6.4. Обновление баз данных и модулей антивирусных средств на специальных рабочих местах производится Администратором информационной безопасности в "ручном" режиме не реже 2-х раз в месяц.
7. Порядок работы при обнаружении вирусной активности и вирусных заражений
7.1. Администратор информационной безопасности, в случае необходимости, обеспечивает работу (удаление из списка, восстановление, отправка для исследования разработчику антивирусного средства) с формируемым антивирусным средством списком файлов, которые могут содержать вирусы или другие программы, представляющие угрозу (Карантин).
7.2. В случаях вирусной активности сотрудник ФКУ "Налог-Сервис" ФНС России анализирует вирусную угрозу, выявляет источник ее возникновения и уведомляет об инциденте Администратора информационной безопасности.
7.3. При внутреннем источнике вирусной активности (если источником вирусной активности стал внутренний ресурс данного налогового органа) Администратор информационной безопасности определяет первоначальный источник вирусной активности или, в случае если источник угрозы стал ресурс иного налогового органа или подведомственной организации (в том числе Система электронного документооборота), официально направляет информацию о вирусной активности в соответствующую организацию.
7.4. Сотрудник ФКУ "Налог-Сервис" ФНС России и Администратор информационной безопасности (для специальных рабочих мест) выявляют вирусные заражения в ЛВС налогового органа как средствами антивирусной защиты, так и опосредованно (через анализ списков выполняемых, или запускаемых при загрузке операционной системы исполняемых файлов и т.п.).
7.5. В случае выявления заражения, Сотрудник ФКУ "Налог-Сервис" ФНС России определяет причину заражения и уведомляет об инциденте Администратора информационной безопасности.
7.6. При заражении, причиной которого является уязвимости в политиках и правилах антивирусной системы (или иных информационных системах), Администратор информационной безопасности направляет информацию об инциденте в МИ ФНС России по ЦОД (при наличии, прикладывая предложения по изменению политик и правил).
7.7. МИ ФНС России по ЦОД анализирует поступившую информацию об инциденте, и в течение 15 рабочих дней готовит изменения в политики и правила антивирусной защиты, которые направляет во все налоговые органы и в ФКУ "Налог-Сервис" ФНС России для применения.
7.8. При заражении вследствие отсутствия в базах данных средств антивирусной защиты (в сигнатурах) выполненного вредоносного программного обеспечения, сотрудник ФКУ "Налог-Сервис" ФНС России обращается в службу технической поддержки производителя программного обеспечения антивирусной защиты и совместно с Администратором информационной безопасности минимизирует дальнейшее распространение вредоносного программного обеспечения.
7.9. В случае невозможности остановки выполнения вредоносного программного обеспечения, Администратор информационной безопасности докладывает об инциденте Руководителю налогового органа и по согласованию с ним принимает все возможные меры по локализации вирусного заражения, в том числе:
отключение зараженного оборудования от ЛВС;
остановка и выключение зараженного оборудования;
организация работ по переустановке ОС и прикладного ПО на зараженном оборудовании.
7.10. Администратор информационной безопасности не позднее 5-ого рабочего дня месяца формирует отчет о вирусных заражениях за предыдущий месяц и направляет данную информацию в МИ ФНС России по ЦОД в электронном виде по Системе электронного документооборота ФНС России или иным способом, согласованным с МИ ФНС России по ЦОД.