АНЗ.4

АНЗ.4 - Контроль состава технических средств, программного обеспечения и средств защиты информации

Описание

Оператором персональных данных должен проводиться контроль состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной системе персональных данных (ИСПДн) (инвентаризация). При контроле состава технических средств, программного обеспечения и средств защиты информации осуществляется:

• контроль соответствия состава технических средств, программного обеспечения и средств защиты информации приведенному в эксплуатационной документации с целью поддержания актуальной (установленной в соответствии с эксплуатационной документацией) конфигурации ИСПДн и принятие мер, направленных на устранение выявленных недостатков;
• контроль состава технических средств, программного обеспечения и средств защиты информации на соответствие сведениям действующей (актуализированной) эксплуатационной документации и принятие мер, направленных на устранение выявленных недостатков;
• контроль выполнения условий и сроков действия сертификатов соответствия на средства защиты информации и принятие мер, направленных на устранение выявленных недостатков;
• исключение (восстановление) из состава ИСПДн несанкционированно установленных (удаленных) технических средств, программного обеспечения и средств защиты информации.

Контроль состава технических средств, программного обеспечения и средств защиты информации проводится с периодичностью, установленной оператором персональных данных в организационно-распорядительных документах по защите персональных данных.

Требования к усилению АНЗ.4:

1. в ИСПДн должна обеспечиваться регистрация событий безопасности, связанных с изменением состава технических средств, программного обеспечения и средств защиты информации;
2. оператором персональных данных должны использоваться автоматизированные средства, обеспечивающие инвентаризацию технических средств, программного обеспечения и средств защиты информации.