оценке качества антивирусных средств по ГОСТ

[SDA]

Еще один подход к оценке качества антивирусных средств - не утвержденный документ Гостехкомиссии России "Антивирусные средства. показатели защищенности и требования по защите от вирусов" (ссылка документ rtf).
Антивирусные средства сертифицируются на соответствие требованиям Технических условий и РД по отсутствию недекларированнных возможностей. С 1.01.2004 сертифицируются на соответствие требованиям Задания по Безопасности, разрабатываемых в соответствии с ГОСТ Р 15408-2002 «Требования к безопасности ИТ» (правда пока ни одного не видел

[SDA]

ГОСУДАРСТВЕННАЯ ТЕХНИЧЕСКАЯ КОМИССИЯ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ
РУКОВОДЯЩИЙ ДОКУМЕНТ
АНТИВИРУСНЫЕ СРЕДСТВА. ПОКАЗАТЕЛИ ЗАЩИЩЕННОСТИ И ТРЕБОВАНИЯ ПО ЗАЩИТЕ ОТ ВИРУСОВ.
Москва

Содержание
1. ОБЩИЕ ПОЛОЖЕНИЯ......................................... .............................................!
2. ТРЕБОВАНИЯ К АНТИВИРУСНЫМ СРЕДСТВАМ...................................!
2.1 ТРЕБОВАНИЯ К АВС ПЕРВОЙ ГРУППЫ............................................ ................... 1
2.1.1 Требования к классу А6................................................ ......................... 1
2.1.2 Требования к классу А5................................................ ...........................2
2.1.3 Требования к классу А4................................................ .......................... 3
2.1.4 Требования к классу АЗ................................................ .......................... 4
2.1.5 Требования к классу А2................................................ ...........................4
2.1.6 Требования к классу А!................................................ ...........................5
2.2***ТРЕБОВАНИЯ к АВС ВТОРОЙ ГРУППЫ. .................................................. ............ 6
2.2.1 Требования к классу Б5................................................ ...........................6
2.2.2 Требования к классу Б4................................................ ...........................7
2.2.3 Требования к классу БЗ................................................ ...........................7
2.2.4 Требования к классу Б2................................................ ...........................8
2.2.5 Требования к классу Б1................................................ ...........................8
3. ОЦЕНКА КЛАССА ЗАЩИТЫ (СЕРТИФИКАЦИЯ) АВС...........................9
4. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ....................................... .................................9

Лист изменений к проекту Руководящего документа
«Антивирусные средства. Показатели защищенности и требования по защите от вирусов»
1. Вводная часть, первый абзац читать в следующей редакции:
Настоящий Руководящий документ устанавливает классификацию средств антивирусной защиты по уровню обеспечения защиты от воздействия программ-вирусов и далее по тексту.
2. Пункт 2.1.3 Требования к классу А4, Гарантированность свойств: «при изготовлении АВС должен осуществляться контроль точности копирования. Изготавливаемые копи должны в точности повторять образец.» - перенесены в требования для класса Аб и включены в требования для класса Б5
3. Пункт 2.1.3 Требования к классу АЗ, Документация: «документация на АВС должна содержать руководство администратора» читать в следующей редакции:
в руководстве пользователя АВС должны быть отражены вопросы администрирования АВС и далее по тексту.
4. Раздел 4. Термины и определения, определение Антивирусное средство читать в следующей редакции:
Антивирусное средство (АВС) - программное или программно-техническое средство и далее по тексту.

Настоящий Руководящий документ устанавливает классификацию средств антивирусной защиты по уровню защищенности от воздействия программ-вирусов на базе перечня показателей защищенности и совокупности описывающих их требований.
Под антивирусными средствами (АВС) в данном документе понимаются специализированные средства защиты информации предназначенные для обеспечения защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС), создаваемых на их основе, от воздействия программ-вирусов и вирусоподобных воздействий.
Руководящий документ разработан в дополнение к Руководящим документам Гостех-комиссии России "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.", М., Военное издательство, 1992 и "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", М., Военное издательство, 1992.
Документ предназначен для заказчиков и разработчиков АВС и АС с целью использования при формулировании и реализации требований по антивирусной защите.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Данные показатели содержат требования к антивирусным средствам, обеспечивающим защиту АС в условиях воздействия программ-вирусов и вирусоподобных воздействий как на отдельные элементы АС (СВТ), так и на АС в целом.
1.2. Защита АС и СВТ от вирусов является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите АС от вирусов должны осуществляться взаимосвязанно с мероприятиями по защите от НСД и специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи.
1.3. Показатели защищенности применяются к АВС для определения уровня защищенности
СВТ и АС от воздействия программ-вирусов и вирусоподобных воздействий.
Конкретные перечни показателей определяют классы защищенности АВС. Уменьшение или изменение перечня показателей, соответствующего конкретному
классу защищенности АВС, не допускается.
Каждый показатель описывается совокупностью требований. Дополнительные требования к показателю защищенности АВС и соответствие этим
дополнительным требованиям оговаривается особо.
1.4. Деление АВС на соответствующие классы по условиям их функционирования с точки зрения защиты необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня безопасности и защиты информации.
1.5. Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием конкретных АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.
1.6. Устанавливается одинадцать классов АВС.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на две группы, отличающиеся особенностями обработки информации.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности информации и, следовательно, иерархия классов АВС.
1.7. Первая группа классифицирует АВС, предназначенные для применения в СВТ выполняющих функции автоматизированных рабочих мест операторов (пользователей) - рабочих станциях. Группа содержит шесть классов - А1, А2, АЗ, А4, А5 и А6. Самый низкий класс -А6, самый высокий - А1.
1.8. Вторая группа классифицирует АВС, предназначенные для применения в СВТ выполняющих функции предоставления доступа и обслуживания разделяемых ресурсов - серверах. Группа содержит пять классов - Б1, Б2, БЗ, Б4 и Б5. Самый низкий класс - Б5, самый высокий-Б!.
1.9. Выбор класса АВС для применения в определенной АС производится заказчиком и разработчиком с привлечением специалистов по защите информации и АВС.
1.10. При обработке информации, составляющей государственную тайну, должны применятся АВС классов не ниже А4 и Б4.
1.11. При обработке конфиденциальной информации должны применяться АВС классов не ниже А5 и Б5.
1.12. Применение АВС совместно с СЗИ НСД может быть использовано для повышения гарантий качества антивирусной защиты за счет специальных функций реализованных в СЗИ НСД.
2. ТРЕБОВАНИЯ К АНТИВИРУСНЫМ СРЕДСТВАМ.
2.1
Требования к АВС первой группы
Перечень показателей по классам защищенности АВС первой группы приведен в таблице № 1. Обозначения: "-" - нет требований к данному классу;
"+" - новые или дополнительные требования к данному классу;
"=" - требования к данному классу совпадают с требованиями предыдущего класса;
Таблица 1
Показатели защищенности***А6***А5***А4***АЗ***А2***А1
Обнаружение***+***+***+***+***+***+
Удаление***+***+***=***=***=***=
Восстановление***+***+***+***=***+***=
Блокирование***-***-***-***+***+***+
Регистрация***+***=***=***+***=***=
Администрирование***+***+***=***+***+***+
Гарантированность свойств***+***+***+***+***+***+
Документация***+***=***=***+***=***=

2.1.1 Требования к классу А6.
Обнаружение:
=> АВС должно обеспечивать выполнение периодических проверок наличия фактов вирусного заражения в диалоговом и командном (автоматическом) режимах по запросам оператора (пользователя);
=> АВС должно обеспечивать возможность проверки на наличие фактов вирусного заражения физических носителей информации, томов и каталогов;
=> АВС должно обеспечивать обнаружение фактов вирусного заражения известными вирусами всех типов:
• служебных областей носителей информации;
• объектов на носителях информации;
• объектов в архивах, созданных различными средствами архивирования;
• объектов, упакованных различными средствами сжатия (компрессии);
=> обнаружение фактов вирусного заражения неизвестными вирусами:
• служебных областей носителей информации;
• объектов на носителях информации;
• объектов в архивах, созданных различными средствами архивирования;
• объектов, упакованных различными средствами сжатия (компрессии);
=> АВС должно обеспечивать обнаружение известных активных вирусов в оперативной памяти;
=> АВС должно обеспечивать обнаружение не менее 95 % фактов вирусного заражения, вызванного известными вирусами;
=> обнаружение не менее 70 % фактов вирусного заражения, вызванного неизвестными вирусами;
=> не более 3 % фактов ложного обнаружения вирусного заражения объектов;
=> АВС должно обеспечивать сигнализацию фактов обнаружения вирусного заражения;
=> АВС должно обеспечивать возможность обработки обнаруженных фактов вирусного заражения в диалоговом и автоматическом (командном) режимах в соответствии с заданными параметрами функционирования.
Удаление:
=> АВС должно обеспечивать возможность удаления объектов (файлов), в которых обнаружены программы-вирусы;
=> АВС должно обеспечивать возможность переименования и (или) копирования зараженных объектов в заданный (целевой) каталог;
Восстановление:
=> АВС должно обеспечивать возможность восстановления загрузочных записей носителей информации;
=> АВС должно обеспечивать восстановление данных на носителях информации, если они были обратимо изменены в результате вирусного воздействия.
Регистрация:
=> АВС должно обеспечивать возможность создания отчетов по результатам***проверки в текстовом (понятном человеку) формате. В параметрах регистрации должны указываться:
• дата и время;
• объект проверки;
• тип события;
• результат проверки.
Администрирование:
=> В АВС должны быть предусмотрены средства администрирования, позволяющие оператору (пользователю) задавать:
• режимы и условия поиска зараженных объектов;
• режимы обработки зараженных объектов;
• режимы формирования отчетов по результатам проверки.
=> В АВС должны быть предусмотрены средства, обеспечивающие возможность подключения обновлений оператором (пользователем).
Гарантированность свойств:
=> АВС должно обеспечивать возможность периодического обновления по мере появления новых программ-вирусов;
=> при запуске АВС должно автоматически выполнять проверку своих компонентов на предмет выявления фактов их заражения программами-вирусами;
=> АВС должно обеспечивать временную эффективность выполнения функций обнаружения и обработки зараженных объектов, сопоставимую с временем выполнения общесистемных процедур.
Документация:
=> Документация на АВС должна содержать руководство пользователя, содержащее:
• описание условий применения и порядок установки (инсталяции);
• описание режимов функционирования и способов использования;
• описание интерфейса с пользователем;
• порядок и правила получения и подключения обновлений.
2.1.2 Требования к классу А5. Обнаружение:
Данные требования полностью включают в себя аналогичные требования класса А6.
Дополнительно АВС должно обеспечивать:
=> обнаружение полиморфных и сложно шифрованных вирусов;
=> обнаружение не менее 99 % фактов вирусного заражения, вызванного известными вирусами;
=> обнаружение не менее 75 % фактов вирусного заражения, вызванного неизвестными вирусами;
=> не более 2 % фактов ложного обнаружения вирусного заражения объектов;
Удаление:
Данные требования полностью включают в себя аналогичные требования класса А6. Дополнительно АВС должно обеспечивать:
=> возможность удаления кода известных вирусов из тела объектов (лечение);
=> удаление известных активных вирусов из оперативной памяти и (или) блокирование исполнения их программного кода;
Восстановление:
Данные требования полностью включают в себя аналогичные требования класса А6. Дополнительно АВС должно обеспечивать:
=> восстановление объектов, заранее определенных оператором (пользователем).
Регистрация:
Данные требования полностью включают в себя аналогичные требования класса А6.
Администрирование:
Данные требования полностью включают в себя аналогичные требования класса А6. Дополнительно АВС должно содержать:
=> средства администрирования, позволяющие оператору (пользователю):
• сформировать список объектов, которые могут быть в дальнейшем восстановлены;
• подготовить необходимые для восстановления объектов данные.
Гарантированность свойств:
Данные требования полностью включают в себя аналогичные требования класса А6.
Дополнительно АВС должно обеспечивать:
=> предварительную проверку критичных элементов ОС на наличие фактов вирусного заражения перед установкой. Процедуры установки АВС должны исключать возможность вирусного заражения устанавливаемых компонентов и дистрибутивных носителей;
=> использование альтернативных, взаимодополняющих механизмов обнаружения, как минимум методы сканирования, эвристического анализа и контроля целостности файловой системы;
=> высокую временную эффективность выполнения функций обнаружения и обработки зараженных объектов, не превышающую время выполнения общесистемных процедур более чем в 5 - 6 раз;
=> взаимодействие компонентов АВС между собой (для многокомпонентных АВС). => АВС должно быть разработано для применения в среде конкретной ОС.
Документация:
Данные требования полностью включают в себя аналогичные требования класса А6. 2.1.3 Требования к классу А4. Обнаружение:
Данные требования полностью включают в себя аналогичные требования класса А5. Дополнительно АВС должно обеспечивать:
=> АВС должно обеспечивать обнаружение неизвестных активных вирусов в оперативной памяти;
=> обнаружение не менее 80 % фактов вирусного заражения, вызванного неизвестными вирусами;
=> не более 1 % фактов ложного обнаружения вирусного заражения объектов;
Удаление:
Данные требования полностью включают в себя аналогичные требования класса А5.
Восстановление:
Данные требования полностью включают в себя аналогичные требования класса А5.
Дополнительно АВС должно обеспечивать:
=> гарантированную работоспособность восстановленных объектов;
=> восстановление не менее 99 % загрузочных секторов дисковых накопителей;
=> восстановление не менее 85 % файлов.
Регистрация:
Данные требования полностью включают в себя аналогичные требования класса А5.
Администрирование:
Данные требования полностью включают в себя аналогичные требования класса А5.
Гарантированность свойств:
Данные требования полностью включают в себя аналогичные требования класса А5. Дополнительно АВС должно обеспечивать:
=> возможность передачи сообщений о выявлении фактов вирусного заражения по линиям (каналам) связи;
Удаление:
Данные требования полностью включают в себя аналогичные требования класса АЗ.
Восстановление:
Данные требования полностью включают в себя аналогичные требования класса АЗ. Дополнительно АВС должно обеспечивать:
=> восстановление областей системной энергонезависимой памяти (СМ0;
Блокирование:
Данные требования полностью включают в себя аналогичные требования класса АЗ. Дополнительно АВС должно обеспечивать:
=> блокировать вирусные воздействия:
• на служебные области носителей информации (загрузочные записи и системные области);
• на критичные файлы и данные операционной системы;
• на служебные области энергонезависимой памяти (ВЮ$, СМ0;
• на прикладное ПО и данные пользователя;
Регистрация:
Данные требования полностью включают в себя аналогичные требования класса АЗ.
Администрирование:
Данные требования полностью включают в себя аналогичные требования класса АЗ. Дополнительно АВС должно обеспечивать:
=> возможность удаленного администрирования АВС по линиям (каналам) связи.
=> надежный (защищенный от вирусного воздействия) канал удаленного администрирования;
=> возможность автоматического обновления АВС по линиям (каналам) связи.
Гарантированность свойств:
Данные требования полностью включают в себя аналогичные требования класса АЗ. Дополнительно АВС должно обеспечивать:
=> возможность интеграции со средствами защиты от НСД.
Документация:
Данные требования полностью включают в себя аналогичные требования класса АЗ.
2.1.6 Требования к классу А1. Обнаружение:
Данные требования полностью включают в себя аналогичные требования класса А2. Дополнительно АВС должно обеспечивать:
=> обнаружение вирусов при декомпозиции вирусоносителя на подобъекты меньшего уровня иерархии (пакеты) в случае применения в распределенной АС;
=> обнаружение не менее 98 % фактов вирусного заражения, вызванного неизвестными вирусами;
Удаление:
Данные требования полностью включают в себя аналогичные требования класса А2.
Восстановление:
Данные требования полностью включают в себя аналогичные требования класса А2.
Блокирование:
Данные требования полностью включают в себя аналогичные требования класса А2. Дополнительно АВС должно:
=> блокировать вирусные воздействия по линиям (каналам) связи.
г=> возможность блокирования сеанса (задачи) пользователя в случае обнаружения фактов вирусного заражения и (или) вирусного воздействия.
Регистрация:
Данные требования полностью включают в себя аналогичные требования класса А2.
Администрирование:
Данные требования полностью включают в себя аналогичные требования класса А2. Дополнительно АВС должно обеспечивать:
=> централизованное управление АВС рабочих станций сети;
Гарантированность свойств:
Данные требования полностью включают в себя аналогичные требования класса А2. Дополнительно:
=> должна существовать формальная модель АВС
=> в составе АВС должны быть средства тестирования.
Документация:
Данные требования полностью включают в себя аналогичные требования класса А2.

2.2. Требования к АВС второй группы
Перечень показателей по классам защищенности АВС второй группы приведен в таблице № 2. Обозначения: "-" - нет требований к данному классу;
"+" - новые или дополнительные требования к данному классу;
"=" - требования к данному классу совпадают с требованиями предыдущего класса;
Таблица 2
Показатели защищенности***Б5***Б4***БЗ***Б2***Б1
Обнаружение***+***+***+***+***+
Удаление***+***+***=***=***=
Восстановление***-***-***+***=***=
Блокирование***+***=***+***+***+
Регистрация***+***=***=***=***=
Администрирование***+***+***+***=***+
Гарантированность свойств***+***+***+***+***+
Документация***+***+***+***=***=

2.2.1 Требования к классу Б5. Обнаружение:
=> АВС должно обеспечивать активное обнаружение фактов вирусного заражения при выполнении операций доступа к локальным накопителям информации;
=> АВС должно обеспечивать выполнение периодических проверок наличия фактов вирусного заражения по определенному администратором временному расписанию;
=> АВС должно обеспечивать выполнение периодических проверок наличия фактов вирусного заражения в диалоговом режиме по запросам администратора (пользователя);
=> АВС должно обеспечивать возможность проверки на наличие фактов вирусного заражения физических носителей информации, томов и каталогов обслуживаемых СВТ;
=> АВС должно обеспечивать обнаружение фактов вирусного заражения известными вирусами всех типов:
• объектов на носителях информации;
• объектов в архивах, созданных различными средствами архивирования;
• объектов, упакованных различными средствами сжатия (компрессии);
=> обнаружение фактов вирусного заражения неизвестными вирусами:
• служебных областей носителей информации;
• объектов на носителях информации;
• объектов в архивах, созданных различными средствами архивирования;
• объектов, упакованных различными средствами сжатия (компрессии);
=>***АВС должно обеспечивать обнаружение не менее 99 % фактов вирусного заражения, ***вызванного известными вирусами;
=>***обнаружение не менее 75 % фактов вирусного заражения, вызванного неизвестными ***вирусами;
=>***не более 2 % фактов ложного обнаружения вирусного заражения объектов;
=>***АВС должно обеспечивать сигнализацию фактов обнаружения вирусного заражения;
=> АВС должно обеспечивать передачу сообщений об обнаружении фактов вирусного заражения заранее определенным абонентам (пользователям);
=> АВС должно обеспечивать возможность обработки обнаруженных фактов вирусного заражения в диалоговом и автоматическом (командном) режимах в соответствии с заданными параметрами функционирования.
Удаление:
=> АВС должно обеспечивать возможность удаления объектов (файлов), в которых обнаружены программы-вирусы;
=> АВС должно обеспечивать возможность переименования и (или) копирования зараженных объектов в заданный (целевой) каталог;
Блокирование:
=> АВС должно блокировать доступ пользователей к ресурсу в период проведения его проверки;
=> АВС должно обеспечивать завершение сеанса обмена с пользователем в случае обнаружения фактов вирусного заражения.
Регистрация:
=> АВС должно обеспечивать возможность создания отчетов по результатам проверки в текстовом (понятном человеку) формате. В параметрах регистрации должны указываться:
• дата и время;
• объект проверки;
• тип события;
• результат проверки.
Администрирование:
=> В АВС должны быть предусмотрены средства администрирования, позволяющие оператору (пользователю) задавать:
• режимы и условия поиска зараженных объектов;
• режимы обработки зараженных объектов;
• режимы формирования отчетов по результатам проверки.
=> В АВС должны быть предусмотрены средства, обеспечивающие возможность подключения обновлений администратором (пользователем).
Гарантированность свойств:
=> АВС должно обеспечивать возможность периодического обновления по мере появления новых программ-вирусов;
=> при запуске АВС должно автоматически выполнять проверку своих компонентов на предмет выявления фактов их заражения программами-вирусами;
=> АВС должно обеспечивать временную эффективность выполнения функций обнаружения и обработки зараженных объектов, сопоставимую с временем выполнения общесистемных процедур.
=> АВС должно быть разработано для применения в среде конкретной ОС. Документация:
=> Документация на АВС должна содержать руководство администратора, содержащее:
• описание условий применения и порядок установки (инсталяции);
• описание режимов функционирования и способов использования;
• описание интерфейса с пользователем;
• порядок и правила получения и подключения обновлений.
2.2.2 Требования к классу Б4. Обнаружение:
Данные требования полностью включают в себя аналогичные требования класса Б5.
Дополнительно АВС должно обеспечивать:
=> обнаружение не менее 80 % фактов вирусного заражения, вызванного неизвестными вирусами;
=> не более 1 % фактов ложного обнаружения вирусного заражения объектов;
Удаление:
Данные требования полностью включают в себя аналогичные требования класса Б5. Дополнительно АВС должно обеспечивать:
=> возможность удаления кода известных вирусов из тела объектов (лечения);
Блокирование:
Данные требования полностью включают в себя аналогичные требования класса Б5. Регистрация:
Данные требования полностью включают в себя аналогичные требования класса Б5. Администрирование:
Данные требования полностью включают в себя аналогичные требования класса Б5.
***Дополнительно АВС должно содержать:
=>***средства удаленного администрирования с рабочей станции;
=>***средства обработки протоколов по результатам проверки на рабочей станции;
Гарантированность свойств:
Данные требования полностью включают в себя аналогичные требования класса Б5. Дополнительно АВС должно обеспечивать:
=> Процедуры установки АВС должны исключать возможность вирусного заражения устанавливаемых компонентов и дистрибутивных носителей;
=> высокую временную эффективность выполнения функций обнаружения и обработки зараженных объектов, не превышающую время выполнения общесистемных процедур более чем в 5-6 раз;
=> взаимодействие компонентов АВС между собой (для многокомпонентных АВС).
Документация:
Данные требования полностью включают в себя аналогичные требования класса Б5. Дополнительно документация на АВС должна содержать:
• описание режимов удаленного управления (администрирования) и способов их использования;
• описание интерфейса средств удаленного администрирования;
2.2.3 Требования к классу БЗ.
Обнаружение:
Данные требования полностью включают в себя аналогичные требования класса Б4. Дополнительно АВС должно обеспечивать:
=> активное обнаружение фактов вирусного заражения объектов, передаваемых по линиям (каналам) связи;
=> обнаружение не менее 99,9 % фактов вирусного заражения, вызванного известными вирусами;
=> обнаружение не менее 90 % фактов вирусного заражения, вызванного неизвестными вирусами;
=> возможность передачи сообщений о выявлении фактов вирусного заражения по линиям (каналам) связи;
Удаление:
Данные требования полностью включают в себя аналогичные требования класса Б4.
Восстановление:
=> АВС должно обеспечивать восстановление определенных администратором объектов;
Блокирование:
=> АВС должно обеспечивать возможность блокирования доступа к отчуждаемым (сменным) носителям информации в случае обнаружения фактов вирусного заражения.
^> АВС должно обеспечивать возможность блокирования доступа к объектам, получаемым по линиям (каналам) связи в случае обнаружения фактов вирусного заражения.
Регистрация:
Данные требования полностью включают в себя аналогичные требования класса Б4. Администрирование:
Данные требования полностью включают в себя аналогичные требования класса Б4.
Дополнительно АВС должно обеспечивать:
=> надежный канал удаленного администрирования;
=> средства администрирования, позволяющие оператору (пользователю):
• сформировать список объектов, которые могут быть в дальнейшем восстановлены;
• указать метод (способ) восстановления;
• подготовить необходимые для восстановления объектов данные.
=> возможность автоматического обновления АВС по линиям (каналам) связи. Гарантированностьсвойств:
Данные требования полностью включают в себя аналогичные требования класса Б4.
Дополнительно АВС должно обеспечивать:
=> возможность взаимодействия со средствами защиты от НСД. Документация:
Данные требования полностью включают в себя аналогичные требования класса Б4.
Дополнительно документация на АВС должна содержать:
=> описание особенностей применения АВС совместно с СЗИ НСД.
2.2.4 Требования к классу Б2.
Обнаружение:
Данные требования полностью включают в себя аналогичные требования класса БЗ.
Дополнительно АВС должно обеспечивать:
=> активное обнаружение фактов вирусного заражения в потоках информации;
=> обнаружение не менее 99,99 % фактов вирусного заражения, вызванного известными вирусами;
=> обнаружение не менее 92 % фактов вирусного заражения, вызванного неизвестными вирусами;
=> не более 0.5 % ложного обнаружения фактов вирусного заражения;
Удаление:
Данные требования полностью включают в себя аналогичные требования класса БЗ. Восстановление:
Данные требования полностью включают в себя аналогичные требования класса БЗ. Блокирование:
Данные требования полностью включают в себя аналогичные требования класса БЗ.
Дополнительно АВС должно обеспечивать:
=> возможность блокирования конкретного информационного потока в случае обнаружения фактов вирусного заражения. Регистрация:
Данные требования полностью включают в себя аналогичные требования класса БЗ. Администрирование:
Данные требования полностью включают в себя аналогичные требования класса БЗ.
Гарантированность свойств:
Данные требования полностью включают в себя аналогичные требования класса БЗ.
Дополнительно АВС должно обеспечивать:
=> возможность интеграции со средствами защиты от НСД. Документация:
Данные требования полностью включают в себя аналогичные требования класса БЗ.
2.2.5 Требования к классу Б1.
Обнаружение:
Данные требования полностью включают в себя аналогичные требования класса Б2.
Дополнительно АВС должно обеспечивать:
=> активное обнаружение вирусного воздействия по линиям (каналам) связи;
=> обнаружение вирусов при декомпозиции вирусоносителя на подобъекты меньшего уровня иерархии (пакеты) в случае применения в распределенной АС;
=> обнаружение не менее 98 % фактов вирусного заражения, вызванного неизвестными вирусами;
Удаление:
Данные требования полностью включают в себя аналогичные требования класса Б2. Восстановление:
Данные требования полностью включают в себя аналогичные требования класса Б2. Блокирование:
Данные требования полностью включают в себя аналогичные требования класса Б2.
Дополнительно АВС должно:
=> блокировать вирусные воздействия по линиям (каналам) связи. Регистрация:
Данные требования полностью включают в себя аналогичные требования класса Б2. Администрирование:
Данные требования полностью включают в себя аналогичные требования класса Б2.
Дополнительно АВС должно обеспечивать:
=> централизованное управление АВС рабочих станций сети;
Гарантированность свойств:
Данные требования полностью включают в себя аналогичные требования класса Б2.
Дополнительно:
=> должна существовать формальная модель АВС
=> в составе АВС должны быть средства тестирования.
Документация:
Данные требования полностью включают в себя аналогичные требования класса Б2.

3. ОЦЕНКА КЛАССА ЗАЩИТЫ (СЕРТИФИКАЦИЯ) АВС
3.1. Оценка класса защиты АВС проводится в соответствии с Положением о сертификации средств и систем вычислительной техники и связи по требованиям защиты информации, Временным положением по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники и другими документами.
3.2. Испытания АВС проводятся испытательными лабораториями (центрами), аккредитованными Гостехкомиссией России.
3.3. Сертификации могут подлежать как отдельные антивирусные программы, так и программные (программно-аппаратные) комплексы АВС.
3.4. Испытания должны проводится на тестовых коллекциях объектов, содержащих программы-вирусы. Перед испытаниями актуальность тестовой коллекции должна быть подтверждена на основании информации о наиболее распространенных вирусах. В качестве источников такой информации могут использоваться данные респондентов и публикации специализированных изданий.
3.5. На основании результатов сертификационных испытаний АВС, успешно прошедшим сертификацию, выдается Сертификат соответствия, в котором указывается, что он действителен при условии регулярного подтверждения защитных свойств АВС испытательной лабораторией.
3.6. Испытательная лаборатория, в рамках инспекционного контроля, проводит периодические испытания АВС и его обновлений и выдает заключение о степени соответствия АВС выданному сертификату.

4. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Вирус (программа-вирус) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойством несанкционированного распространения и самовоспроизведения (репликации). В процессе распространения вирусные субъекты могут себя модифицировать.
Активный вирус - вирус, программный код или часть программного кода которого находится в оперативной или виртуальной памяти и периодически выполняется. Активизированный вирус - вирус, программный код иди часть программного кода которого хотя бы однократно выполнялась.
Известный вирус - вирус, информация о котором содержится в АВС. Неизвестный вирус - вирус, информация о котором не содержится в АВС. Вирусное воздействие (ВВ) - изменение состояния АС, вызванное как проникновением элементов программного кода вируса в систему, так и результатом его выполнения (активизации вируса).
Вирусное заражение (ВЗ) - изменение состояния АС или отдельных ее элементов, вызванное распространением вируса.
Вирусоподобное воздействие (разрушающее программное воздействие, РПВ) - изменение состояния АС, вызванное выполнением кода специально созданного программного субъекта или совокупности таких субъектов не обладающих свойством репликации. Антивирусное средство (АВС) - программно-техническое средство (или комплекс средств) предназначенное для выявления фактов вирусного воздействия как на отдельные элементы АС, так и на АС в целом и обладающее средствами восстановления исходного состояния АС.
Обнаружение вируса - процедура (алгоритм) вероятностного или детерминированного характера, позволяющая сделать вывод о наличии вирусного воздействия на основе априорно заданных критериев.
Проверка ВЗ - процедура поиска выполняемая с целью обнаружения фактов вирусного заражения отдельных элементов АС, которая выполняется дискретно в определенные моменты времени по заданию оператора или на определенных этапах функционирования СВТ. Активное обнаружение - процедура контроля и обнаружения (мониторинг) фактов вирусного воздействия в процессе функционирования АС.
Блокирование внедрения - процедура (алгоритм) вероятностного или детерминированного характера, призванная предотвратить проникновение и активизацию субъекта-вируса из объекта-источника.
Удаление вируса (лечение) - удаление программного кода вируса из объектов в которых он был обнаружен.
Сканирование - процедура поиска вирусов на основе имеющейся информации о уникальных кодовых последовательностях, заранее определенных разработчиком АВС (определение аномалии по заданному образцу).
Эвристический анализ - процедура вероятностного характера, позволяющая производить выявление вируса (или РПВ) на основе априорно заданных критериев, описывающих группы свойств вируса (или РПВ).
Полиморфный вирус - вирус, который обладает способностью полностью или частично изменять свой код при каждой репликации.
Файловый вирус - вирус, который внедряется в файловую структуру и распространяется вместе с файлами.
Вирус-спутник - разновидность файлового вируса, который не внедряется явно в файловую структуру, но использует имя существующей программы, изменяя его или создавая дополнительный файл с тем же именем, но с другим расширением. При попытке запуска оригинального файла управление получает файл-двойник, который затем запускает исходный файл.
Загрузочный вирус - вирус, в котором реализован алгоритм внедрения в загрузочные секторы дисков и распространения на этапе загрузки со сменных (отчуждаемых) носителей данных.
Шифро-вирус - вирус, в котором реализован алгоритм изменения своего исполняемого кода методами маскирования (шифрования).
Комбинированный вирус - вирус, в котором реализована комбинация различных алгоритмов внедрения, распространения и маскировки.
Стелс-вирус - вирус, в котором реализован алгоритм обеспечивающий активное противодействие процедуре его обнаружения с помощью соответствующего изменения выполнения функций операционной системы.
Макрокомандный вирус - вирус, объектом-источником которого является интерпретируемая последовательность инструкций.

[Minos]

Статья скопирована на www.securinfo.ru

[SDA]

Статья взята с форума тестировщика, а не с www.securinfo.ru, если посмотреть оригинальную статью там указан год, я его тоже убрал 1998 http://forums.software-testing.ru/in...aaf56b8378a14c

[Minos]

Статья взята с форума тестировщика, а не с www.securinfo.ru, если посмотреть оригинальную статью там указан год, я его тоже убрал 1998 http://forums.software-testing.ru/in...aaf56b8378a14c

Я написал, что татья скопирована НА www.securinfo.ru, там ее будет проще найти спустя какое-то время. Geser рекомендовал помещать большие статьи именно туда, а в форуме выкладывать ссылки потому, что при повышении объема базы данных проекта, форум начнет "тормозить".
Большое спасибо за текст.