Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru

ОЦЛ.1

Материал из wikisec
Версия от 13:54, 16 февраля 2021; Wikiadmin (обсуждение | вклад) (Новая страница: «'''ОЦЛ.1''' - Контроль целостности программного обеспечения, включая программное обеспечен...»)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к навигации Перейти к поиску

ОЦЛ.1 - Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации

Описание

В информационной системе персональных данных (ИСПДн) должен осуществляться контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации. Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации, должен предусматривать:

  • контроль целостности программного обеспечения средств защиты информации, включая их обновления, по наличию имен (идентификаторов) и (или) по контрольным суммам компонентов средств защиты информации в процессе загрузки и (или) динамически в процессе работы ИСПДн;
  • контроль целостности компонентов программного обеспечения (за исключением средств защиты информации), определяемого оператором персональных данных исходя из возможности реализации угроз безопасности персональных данных, по наличию имен (идентификаторов) компонентов программного обеспечения и (или) по контрольным суммам в процессе загрузки и (или) динамически в процессе работы ИСПДн;
  • контроль применения средств разработки и отладки программ в составе программного обеспечения ИСПДн;

тестирование с периодичностью установленной оператором функций безопасности средств защиты информации, в том числе с помощью тест-программ, имитирующих попытки несанкционированного доступа, и (или) специальных программных средств, в соответствии с АНЗ.1 и АНЗ.2;

  • обеспечение физической защиты технических средств ИСПДн в соответствии с ЗТС.2 и ЗТС.3.

В случае если функциональные возможности ИСПДн должны предусматривать применение в составе ее программного обеспечения средств разработки и отладки программ, оператором персональных данных обеспечивается выполнение процедур контроля целостности программного обеспечения после завершения каждого процесса функционирования средств разработки и отладки программ. Правила и процедуры контроля целостности программного обеспечения регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.

Требования к усилению ОЦЛ.1:

  1. в ИСПДн контроль целостности средств защиты информации должен осуществляться по контрольным суммам всех компонентов средств защиты информации, как в процессе загрузки, так и динамически в процессе работы системы;
  2. в ИСПДн должен обеспечиваться контроль целостности средств защиты информации с использованием криптографических методов в соответствии с законодательством Российской Федерации, всех компонентов средств защиты информации, как в процессе загрузки, так и динамически в процессе работы системы;
  3. оператором персональных данных исключается возможность использования средств разработки и отладки программ во время обработки и (или) хранения персональных данных в целях обеспечения целостности программной среды;
  4. оператором персональных данных обеспечивается выделение рабочих мест с установленными средствами разработки и отладки программ в отдельный сегмент (тестовую среду);
  5. в ИСПДн должна обеспечиваться блокировка запуска программного обеспечения и (или) блокировка сегмента (компонента) ИСПДн (автоматизированного рабочего места, сервера) в случае обнаружения фактов нарушения целостности.
Мера защиты персональных данных Уровень защищенности персональных данных
4 3 2 1
ОЦЛ.1 + +
Усиление ОЦЛ.1 1,3 1,3
Источник — https://wikisec.ru/index.php?title=ОЦЛ.1&oldid=15499