Jednym ze środków ochrony systemu teleinformatycznego przetwarzającego informacje niejawne jest ochrona antywirusowa.
System TI, w którym przetwarzane są informacje niejawne należy wyposażyć w ochronę przed złośliwym oprogramowaniem. Oprogramowanie musi być sprawdzonego i uznanego producenta. Przy wyborze programu antywirusowego pomocne są rankingi tworzone przez laboratoria badające skuteczność takich programów. Skuteczność badana jest, przede wszystkim, poprzez sprawdzenie wykrywalności wirusów, zarówno tych których sygnatury są znane jak i tych, których nie ma w bazach sygnatur. Wtedy silniki antywirusowe używają algorytmów heurystycznych. Sposób użytkowania programu antywirusowego, jego aktualizacje należy opisać w „procedurach bezpiecznej eksploatacji” PBE. Poniżej przedstawiono przykładowe postępowanie z programem antywirusowym w systemie teleinformatycznym, przetwarzającym informacje niejawne.
Wybór programu antywirusowego:
Nie ma jednego doskonałego programu antywirusowego, którego należy używać. Przede wszystkim, oprogramowanie musi być sprawdzone (jakiś okres na rynku) i uznanego producenta. Unikamy mało znanych produktów lub takich, które dopiero zaistniały na rynku. Można kierować się rankingami skuteczność wykrywania wirusów. No i najważniejsze to możliwość aktualizacji baz sygnatur off-line.
Aktualizacja bazy sygnatur:
Systemy przetwarzające informacje niejawne nie są podłączone do internetu, w związku z tym aktualizacja antywirusa odbywa się off-line. Za aktualizację antywirusa odpowiedzialny jest Administrator Systemu. Na początku ściąga z internetu bazę sygnatur wirusów (niektórzy producenci publikują bazy sygnatur na swojej stronie internetowej, pozostali nie udostępniają takiej możliwości, tutaj uwaga, należy przed zakupem antywirusa dowiedzieć się czy istnieje taka opcja). Następnie bazę sygnatur administrator przegrywa na płytę CD/DVD jednokrotnego zapisu i sprawdza na obecność wirusa. Kolejnym krokiem jest przegranie bazy sygnatur do naszego systemu teleinformatycznego, w którym przetwarzamy informacje niejawne i aktualizacja starej bazy sygnatur. Tak powinna wyglądać aktualizacja, oczywiście wyznacznikiem naszego postępowania są procedury bezpiecznej eksploatacji. Jeżeli w PBE jest inny schemat postępowania, to należy go zastosować. Częstotliwość aktualizacji bazy sygnatur uzależniona jest od poziomu eksploatacji systemu przez użytkowników (czyli częstości pracy, ilości dokumentów wytwarzanych w systemie, ilości dokumentów kopiowanych z i do systemu). Przy pojedynczych stanowiskach można założyć raz na tydzień.
Przenoszenie danych
W przypadku przenoszenia danych do systemu, najlepszym rozwiązaniem jest sprawdzenie nośnika na obecność wirusów w dwóch programach antywirusowych. Pierwszy antywirus będzie sprawdzał nośnik w systemie wyjściowym (komputer z którego przenosimy dane), drugi w systemie docelowym (komputer na który przenosimy dane).
Wykrycie wirusa
Wykryliśmy wirusa i co dalej. Administrator Systemu zawiadamia Inspektora bezpieczeństwa teleinformatycznego i wspólnie wyjaśniają zaistniały incydent bezpieczeństwa teleinformatycznego. Raport powinien zawierać: w jaki sposób wirus dostał się do systemu, jakie szkody wyrządził w systemie, czy przestrzegane były procedury bezpiecznej eksploatacji. Programem antywirusowym usuwamy wirusa. Jeżeli nie ma takie możliwości to odtwarzamy system z kopii zapasowej lub instalujemy od nowa.
Nasz antywirus nie ma już aktualizacji off-line.
Może się zdarzyć, że producent zaniecha publikowania na stronie internetowej aktualizacji baz sygnatur, pozostanie tylko aktualizacja antywirusa on-line, czyli tylko gdy komputer podpięty jest do internetu. W takim przypadku musimy zmienić program antywirusowy lub dokonać aktualizacji do wyższej wersji. Zmiana lub aktualizacja programu wymaga zmiany zapisów dokumentacji bezpieczeństwa. Czyli potrzebny jest aneks do dokumentacji opisujący zaistniałą zmianę. Następnie wysyłamy do zatwierdzenia do ABW lub SKW. Dodać należy, że przed każdą zmianą w systemie teleinformatycznym należy przeprowadzić szacowanie ryzyka określając wpływ wprowadzonych zmian na bezpieczeństwo informacji niejawnych.