- установку средств антивирусной защиты на все объекты антивирусной защиты, добавляемые в средства защиты ИСПДн Росреестра, в порядке, описанном в эксплуатационной документации;
- контроль наличия связи между сервером администрирования и защищаемыми объектами;
- необходимые обновления версий средств антивирусной защиты на объектах антивирусной защиты;
- контроль над выполнением задач постоянной защиты;
- настройку автоматических проверок объектов антивирусной защиты не реже одного раза в неделю с целью профилактики;
- контроль актуальности версий антивирусных баз и модулей сканирования ПО сервера администрирования;
- непрерывный мониторинг информационного обмена в средствах защиты ИСПДн Росреестра с целью выявления проявлений программно-математических воздействий;
- обработку сведений, поступающих от средств антивирусной защиты;
- формирование сводных отчетов о работе средств антивирусной защиты, инцидентах и проч.;
- обработку отчетов о состоянии логических сетей;
- формирование отчётов о работе средств антивирусной защиты логической сети.
3.2. Процесс управления системой антивирусной защиты включает в себя следующие действия администратора безопасности либо уполномоченного работника подразделения ИТ:
- внесение изменений в политику антивирусной защиты;
- управление средствами антивирусной защиты, входящими в состав системы антивирусной защиты;
- мониторинг событий, информация о которых поступает от средств антивирусной защиты с объектов защиты.
3.3. В обязанности администратора безопасности либо уполномоченного работника подразделения ИТ входит проведение мероприятий, обеспечивающих возможность анализа результатов работы средств системы антивирусной защиты:
- разработка отчетов о работе средств антивирусной защиты;
- разработка сводных отчетов о работе средств антивирусной защиты, инцидентах и пр. за месяц.
В отчетах о состоянии системы антивирусной защиты отражается следующая информация:
- количество обнаруженных вредоносных программ за данный период;
- наиболее активные обнаруженные вредоносные программы;
- объекты, где наблюдается наибольшая частота обнаружения вредоносных программ;
- список зараженных объектов.
4. Мероприятия по нештатному управлению средствами антивирусного контроля
4.1. В случае заражения рабочих станций (серверов) вредоносными программами администратор безопасности выполняет следующие действия:
- централизованно обновляет антивирусные базы сервера администрирования и всех объектов антивирусной защиты;
- проверяет состояние всех объектов антивирусной защиты, наличие зараженных рабочих станций в случае обнаружения пораженных узлов;
- оперативно принимает меры по предотвращению распространения заражения вредоносными программами и при необходимости отключает от сети зараженную рабочую станцию (сервер);
- проводит действия, направленные на устранение вредоносной программы на всех пораженных узлах ИСПДн Росреестра;
- по завершении мероприятий по устранению последствий заражения восстанавливает работоспособность рабочей станции и передает ее ответственному пользователю.
4.2. Все или часть вышеперечисленных мероприятий может быть делегирована уполномоченному работнику подразделения ИТ.
5. Уничтожение вредоносных программ
5.1. Уничтожение вредоносных программ выполняется администратором безопасности либо уполномоченным работником подразделения ИТ.
5.2. Если вредоносная программа поразила какие-либо программы, то уничтожение вредоносной программы выполняется путем уничтожения программы на жестком диске либо на ином магнитном носителе. После уничтожения зараженной программы восстанавливают программу, используя ее резервную копию.
5.3. Если вредоносная программа поразила файлы, то вредоносная программа уничтожается либо путем стирания этих файлов, либо путем использования специального "лечащего" режима антивирусного ПО. Использование "лечащего" режима не дает полной гарантии восстановления файла, поэтому после "лечения" необходима проверка восстановления данного файла. "Лечащие" программы используются лишь в тех случаях, когда отсутствует резервная копия зараженной программы или файла с данными либо восстановление уничтоженного файла с помощью резервной копии очень трудоемко.
5.4. В любом случае после уничтожения вредоносных программ и восстановления зараженных программ и файлов с данными еще раз выполняется проверка наличия вредоносных программ, используя антивирусную программу с установленными последними обновлениями. Перед повторной проверкой производится перезагрузка сервера или рабочей станции через выключение и последующее их включение. Если повторная проверка не выявила вредоносных программ, то можно быть уверенным в их отсутствии.
6. Ответственность пользователей
6.1. Организация мероприятий по централизованной антивирусной защите ИСПДн Росреестра возлагается на администратора безопасности.
6.2. Администратор безопасности несет ответственность за формирование политики антивирусной защиты, организацию своевременной инсталляции средств антивирусной защиты информации и централизованное обновление баз данных вирусных описаний на комплексе программно-технических средств ИСПДн Росреестра.
6.3. Выполнение технических мероприятий по централизованной антивирусной защите в ИСПДн Росреестра производится непосредственно администратором безопасности либо делегируется уполномоченному работнику подразделения ИТ.
6.4. Непосредственную ответственность за соблюдение в повседневной деятельности установленных норм обеспечения антивирусной защиты информации и требований настоящей Инструкции в части защиты ИСПДн Росреестра несут пользователи, за которыми закреплены соответствующие рабочие станции ИСПДн Росреестра.