АНЗ.1 - История изменений

Wikiadmin в 12:17, 22 октября 2021

2021-10-22T12:17:38Z

Wikiadmin: Замена текста — «Меры по обеспечению безопасности ПДн]» на «Меры защиты информации в государственных информационных системах]»

2021-10-07T08:15:14Z

Замена текста — «Меры по обеспечению безопасности ПДн]» на «Меры защиты информации в государственных информационных системах]»

Wikiadmin: Новая страница: «'''АНЗ.1''' - выявление, анализ уязвимостей информационной системы и оперативное устранени...»

2021-02-16T11:29:32Z

Новая страница: «'''АНЗ.1''' - выявление, анализ уязвимостей информационной системы и оперативное устранени...»

Новая страница

'''АНЗ.1''' - выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

== Описание ==
Оператором персональных данных должны осуществляться выявление (поиск), анализ и устранение уязвимостей в информационной системе персональных данных (ИСПДн).
При выявлении (поиске), анализе и устранении уязвимостей в ИСПДн должны проводиться:
*выявление (поиск) уязвимостей, связанных с ошибками кода в программном (микропрограммном) обеспечении (общесистемном, прикладном, специальном), а также программном обеспечении средств защиты информации, правильностью установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректностью работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением;
*разработка по результатам выявления (поиска) уязвимостей отчетов с описанием выявленных уязвимостей и планом мероприятий по их устранению;
*анализ отчетов с результатами поиска уязвимостей и оценки достаточности реализованных мер защиты персональных данных;
*устранение выявленных уязвимостей, в том числе путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств;
*информирование должностных лиц оператора персональных данных (пользователей, администраторов, подразделения по защите информации) о результатах поиска уязвимостей и оценки достаточности реализованных мер защиты персональных данных.
В качестве источников информации об уязвимостях используются опубликованные данные разработчиков средств защиты информации, общесистемного, прикладного и специального программного обеспечения, технических средств, а также другие базы данных уязвимостей.
Выявление (поиск), анализ и устранение уязвимостей должны проводиться на этапах создания и эксплуатации ИСПДн. На этапе эксплуатации поиск и анализ уязвимостей проводится с периодичностью, установленной оператором персональных данных. При этом в обязательном порядке для критических уязвимостей проводится поиск и анализ уязвимостей в случае опубликования в общедоступных источниках информации о новых уязвимостях в средствах защиты информации, технических средствах и программном обеспечении, применяемом в ИСПДн.
В случае невозможности устранения выявленных уязвимостей путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств необходимо предпринять действия (настройки средств защиты информации, изменение режима и порядка использования ИСПДн), направленные на устранение возможности использования выявленных уязвимостей.
Оператором должны осуществляться получение из доверенных источников и установка обновлений базы признаков уязвимостей.
Правила и процедуры выявления, анализа и устранения уязвимостей регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.

==Требования к усилению АНЗ.1: ==

#оператором персональных данных обеспечивается использование для выявления (поиска) уязвимостей средств анализа (контроля) защищенности (сканеров безопасности), имеющих стандартизованные (унифицированные) в соответствии с национальными стандартами описание и перечни программно-аппаратных платформ, уязвимостей программного обеспечения, ошибочных конфигураций, правил описания уязвимостей, проверочных списков, процедур тестирования и языка тестирования ИСПДн на наличие уязвимостей, оценки последствий уязвимостей, имеющих возможность оперативного обновления базы данных выявляемых уязвимостей;
#оператор персональных данных должен уточнять перечень сканируемых в ИСПДн уязвимостей с установленной им периодичностью, а также после появления информации о новых уязвимостях;
#оператором персональных данных определяется информация об ИСПДн, которая может стать известной нарушителям и использована ими для эксплуатации уязвимостей (в том числе уязвимостей «нулевого дня» - уязвимостей, описание которых отсутствует в базах данных разработчиков средств защиты информации, общесистемного, прикладного и специального программного обеспечения, технических средств), и принимаются меры по снижению (исключению) последствий от эксплуатации нарушителями неустранимых уязвимостей;
#оператором персональных данных предоставляется доступ только администраторам к функциям выявления (поиска) уязвимостей (предоставление такой возможности только администраторам безопасности);
#оператором персональных данных применяются автоматизированные средства для сравнения результатов сканирования уязвимостей в разные периоды времени для анализа изменения количества и классов (типов) уязвимостей в ИСПДн;
#оператором персональных данных применяются автоматизированные средства для обнаружения в ИСПДн неразрешенного программного обеспечения (компонентов программного обеспечения) и уведомления об этом уполномоченных должностных лиц (администратора безопасности);
#оператором персональных данных проводится анализ журналов регистрации событий безопасности (журнала аудита) в целях определения, были ли выявленные уязвимости ранее использованы в ИСПДн для нарушения безопасности персональных данных;
#оператором персональных данных обеспечивается проведение выявления уязвимостей «нулевого дня», о которых стало известно, но информация о которых не включена в сканеры уязвимостей;
#оператором персональных данных обеспечивается проведение выявления новых уязвимостей, информация о которых не опубликована в общедоступных источниках;
#оператором персональных данных должно осуществляться выявление (поиск) уязвимостей в ИСПДн с использованием учетных записей на сканируемых ресурсах;
#оператором персональных данных должно использоваться тестирование ИСПДн на проникновение.

{| class="wikitable" style="text-align:center;"
|- style="text-align:left;"
! rowspan="2" | Мера защиты персональных данных
! colspan="4" style="text-align:center;" | Уровень защищенности персональных данных
|-
| 4
| 3
| 2
| 1
|-
| style="text-align:left;" | АНЗ.1
|
| +
| +
| +
|-
| style="text-align:left;" | Усиление АНЗ.1
|
| 1,4
| 1,2,4
| 1,2,4,7
|}
[[Категория: Меры по обеспечению безопасности ПДн]]

@@ Строка 2: / Строка 2: @@
 == Описание ==
-Оператором персональных данных должны осуществляться выявление (поиск), анализ и устранение уязвимостей в информационной системе персональных данных (ИСПДн).
+Оператором должны осуществляться выявление (поиск), анализ и устранение уязвимостей в информационной системе.
-При выявлении (поиске), анализе и устранении уязвимостей в ИСПДн должны проводиться:
-*выявление (поиск) уязвимостей, связанных с ошибками кода в программном (микропрограммном) обеспечении (общесистемном, прикладном, специальном), а также программном обеспечении средств защиты информации, правильностью установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректностью работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением;
+При выявлении (поиске), анализе и устранении уязвимостей в информационной системе должны проводиться:
-*разработка по результатам выявления (поиска) уязвимостей отчетов с описанием выявленных уязвимостей и планом мероприятий по их устранению;
+*выявление (поиск) уязвимостей, связанных с ошибками кода в программном (микропрограммном) обеспечении (общесистемном, прикладном, специальном), а также программном обеспечении средств защиты информации, правильностью установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректностью работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением;
-*анализ отчетов с результатами поиска уязвимостей и оценки достаточности реализованных мер защиты персональных данных;
+*разработка по результатам выявления (поиска) уязвимостей отчетов с описанием выявленных уязвимостей и планом мероприятий по их устранению;
-*устранение выявленных уязвимостей, в том числе путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств;
+анализ отчетов с результатами поиска уязвимостей и оценки достаточности реализованных мер защиты информации;
-*информирование должностных лиц оператора персональных данных (пользователей, администраторов, подразделения по защите информации) о результатах поиска уязвимостей и оценки достаточности реализованных мер защиты персональных данных.
+*устранение выявленных уязвимостей, в том числе путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств;
-В качестве источников информации об уязвимостях используются опубликованные данные разработчиков средств защиты информации, общесистемного, прикладного и специального программного обеспечения, технических средств, а также другие базы данных уязвимостей.
+*информирование должностных лиц оператора (пользователей, администраторов, подразделения по защите информации) о результатах поиска уязвимостей и оценки достаточности реализованных мер защиты информации.
-Выявление (поиск), анализ и устранение уязвимостей должны проводиться на этапах создания и эксплуатации ИСПДн. На этапе эксплуатации поиск и анализ уязвимостей проводится с периодичностью, установленной оператором персональных данных. При этом в обязательном порядке для критических уязвимостей проводится поиск и анализ уязвимостей в случае опубликования в общедоступных источниках информации о новых уязвимостях в средствах защиты информации, технических средствах и программном обеспечении, применяемом в ИСПДн.
-В случае невозможности устранения выявленных уязвимостей путем установки обновлений программного обеспечения средств защиты информации, общесистемного программного обеспечения, прикладного программного обеспечения или микропрограммного обеспечения технических средств необходимо предпринять действия (настройки средств защиты информации, изменение режима и порядка использования ИСПДн), направленные на устранение возможности использования выявленных уязвимостей.
+В качестве источников информации об уязвимостях используются опубликованные данные разработчиков средств защиты информации, общесистемного, прикладного и специального программного обеспечения, технических средств, а также другие базы данных уязвимостей.
 Оператором должны осуществляться получение из доверенных источников и установка обновлений базы признаков уязвимостей.
-Правила и процедуры выявления, анализа и устранения уязвимостей регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
+Выявление (поиск), анализ и устранение уязвимостей должны проводиться на этапах создания и эксплуатации информационной системы. На этапе эксплуатации поиск и анализ уязвимостей проводится с периодичностью, установленной оператором. При этом в обязательном порядке для критических уязвимостей проводится поиск и анализ уязвимостей в случае опубликования в общедоступных источниках информации о новых уязвимостях в средствах защиты информации, технических средствах и программном обеспечении, применяемом в информационной системе.
 ==Требования к усилению АНЗ.1: ==
-#оператором персональных данных обеспечивается использование для выявления (поиска) уязвимостей средств анализа (контроля) защищенности (сканеров безопасности), имеющих стандартизованные (унифицированные) в соответствии с национальными стандартами описание и перечни программно-аппаратных платформ, уязвимостей программного обеспечения, ошибочных конфигураций, правил описания уязвимостей, проверочных списков, процедур тестирования и языка тестирования ИСПДн на наличие уязвимостей, оценки последствий уязвимостей, имеющих возможность оперативного обновления базы данных выявляемых уязвимостей;
+# оператором обеспечивается использование для выявления (поиска) уязвимостей средств анализа (контроля) защищенности (сканеров безопасности), имеющих стандартизованные (унифицированные) в соответствии с национальными стандартами описание и перечни программно¬аппаратных платформ, уязвимостей программного обеспечения, ошибочных конфигураций, правил описания уязвимостей, проверочных списков, процедур тестирования и языка тестирования информационной системы на наличие уязвимостей, оценки последствий уязвимостей, имеющих возможность оперативного обновления базы данных выявляемых уязвимостей;
-#оператор персональных данных должен уточнять перечень сканируемых в ИСПДн уязвимостей с установленной им периодичностью, а также после появления информации о новых уязвимостях;
+# оператор должен уточнять перечень сканируемых в информационной системе уязвимостей с установленной им периодичностью, а также после появления информации о новых уязвимостях;
-#оператором персональных данных определяется информация об ИСПДн, которая может стать известной нарушителям и использована ими для эксплуатации уязвимостей (в том числе уязвимостей «нулевого дня» - уязвимостей, описание которых отсутствует в базах данных разработчиков средств защиты информации, общесистемного, прикладного и специального программного обеспечения, технических средств), и принимаются меры по снижению (исключению) последствий от эксплуатации нарушителями неустранимых уязвимостей;
+# оператором определяется информация об информационной системе, которая может стать известной нарушителям и использована ими для эксплуатации уязвимостей (в том числе уязвимостей «нулевого дня» - уязвимостей, описание которых отсутствует в базах данных разработчиков средств защиты информации, общесистемного, прикладного и специального программного обеспечения, технических средств), и принимаются меры по снижению (исключению) последствий от эксплуатации нарушителями неустранимых уязвимостей;
-#оператором персональных данных предоставляется доступ только администраторам к функциям выявления (поиска) уязвимостей (предоставление такой возможности только администраторам безопасности);
+# оператором предоставляется доступ только администраторам к функциям выявления (поиска) уязвимостей (предоставление такой возможности только администраторам безопасности);
-#оператором персональных данных применяются автоматизированные средства для сравнения результатов сканирования уязвимостей в разные периоды времени для анализа изменения количества и классов (типов) уязвимостей в ИСПДн;
+# оператором применяются автоматизированные средства для сравнения результатов сканирования уязвимостей в разные периоды времени для анализа изменения количества и классов (типов) уязвимостей в информационной системе;
-#оператором персональных данных применяются автоматизированные средства для обнаружения в ИСПДн неразрешенного программного обеспечения (компонентов программного обеспечения) и уведомления об этом уполномоченных должностных лиц (администратора безопасности);
+# оператором применяются автоматизированные средства для обнаружения в информационной системе неразрешенного программного обеспечения (компонентов программного обеспечения) и уведомления об этом уполномоченных должностных лиц (администратора безопасности);
-#оператором персональных данных проводится анализ журналов регистрации событий безопасности (журнала аудита) в целях определения, были ли выявленные уязвимости ранее использованы в ИСПДн для нарушения безопасности персональных данных;
+# оператором проводится анализ журналов регистрации событий безопасности (журнала аудита) в целях определения, были ли выявленные уязвимости ранее использованы в информационной системе для нарушения безопасности информации;
-#оператором персональных данных обеспечивается проведение выявления уязвимостей «нулевого дня», о которых стало известно, но информация о которых не включена в сканеры уязвимостей;
+# оператором обеспечивается проведение выявления уязвимостей «нулевого дня», о которых стало известно, но информация о которых не включена в сканеры уязвимостей;
-#оператором персональных данных обеспечивается проведение выявления новых уязвимостей, информация о которых не опубликована в общедоступных источниках;
+# оператором обеспечивается проведение выявления новых уязвимостей, информация о которых не опубликована в общедоступных источниках;
-#оператором персональных данных должно осуществляться выявление (поиск) уязвимостей в ИСПДн с использованием учетных записей на сканируемых ресурсах;
+# оператором должно осуществляться выявление (поиск) уязвимостей в информационной системе с использованием учетных записей на сканируемых ресурсах;
-#оператором персональных данных должно использоваться тестирование ИСПДн на проникновение.
+# оператором должно использоваться тестирование информационной системы на проникновение.
 {| class="wikitable" style="text-align:center;"
@@ Строка 47: / Строка 53: @@
 | style="text-align:left;" | Усиление АНЗ.1
+|
-| 1,4
+| 1, 4
-| 1,2,4
+| 1, 2, 4
-| 1,2,4,7
+| 1, 2, 4, 7
 |}
 [[Категория: Меры защиты информации в государственных информационных системах]]