Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru

АНЗ.3

Материал из wikisec
Версия от 11:12, 7 октября 2021; Wikiadmin (обсуждение | вклад) (Замена текста — «Меры по обеспечению безопасности ПДн]» на «Меры защиты информации в государственных информационных системах]»)
Перейти к навигации Перейти к поиску

АНЗ.3 - Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

Описание

Оператором персональных данных должен проводиться контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации. При контроле работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации осуществляется:

  • контроль работоспособности (неотключения) программного обеспечения и средств защиты информации;
  • проверка правильности функционирования (тестирование на тестовых данных, приводящих к известному результату) программного обеспечения и средств защиты информации, объем и содержание которой определяется оператором персональных данных;
  • контроль соответствия настроек программного обеспечения и средств защиты информации параметрам настройки, приведенным в эксплуатационной документации на систему защиты персональных данных и средства защиты информации;
  • восстановление работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации (при необходимости), в том числе с использованием резервных копий и (или) дистрибутивов.

Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации проводится с периодичностью, установленной оператором персональных данных в организационно-распорядительных документах по защите персональных данных.

Требования к усилению АНЗ.3:

  1. в информационной системе персональных данных (ИСПДн) должны обеспечиваться регистрация событий и оповещение (сигнализация, индикация) администратора безопасности о событиях, связанных с нарушением работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации;
  2. оператором персональных данных в случае обнаружения нарушений работоспособности (правильности функционирования) и параметров настройки программного обеспечения и средств защиты информации должен обеспечиваться перевод ИСПДн, сегмента или компонента ИСПДн в режим ограничения обработки персональных данных и (или) запрет обработки персональных данных в ИСПДн, сегменте или компоненте ИСПДн до устранения нарушений;
  3. оператором персональных данных должны использоваться автоматизированные средства, обеспечивающие инвентаризацию параметров настройки программного обеспечения и средств защиты информации и восстановление параметров настройки программного обеспечения и средств защиты информации;
  4. в ИСПДн должно использоваться программное обеспечение, прошедшее контроль отсутствия недекларированных возможностей и отсутствия влияния на корректность работы средств защиты информации.
Мера защиты персональных данных Уровень защищенности персональных данных
4 3 2 1
АНЗ.3 + + +
Усиление АНЗ.3 1 1
Источник — https://wikisec.ru/index.php?title=АНЗ.3&oldid=17102