В информационной системе персональных данных (ИСПДн) должен осуществляться контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации.
Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации, должен предусматривать:
- контроль целостности программного обеспечения средств защиты информации, включая их обновления, по наличию имен (идентификаторов) и (или) по контрольным суммам компонентов средств защиты информации в процессе загрузки и (или) динамически в процессе работы ИСПДн;
- контроль целостности компонентов программного обеспечения (за исключением средств защиты информации), определяемого оператором персональных данных исходя из возможности реализации угроз безопасности персональных данных, по наличию имен (идентификаторов) компонентов программного обеспечения и (или) по контрольным суммам в процессе загрузки и (или) динамически в процессе работы ИСПДн;
- контроль применения средств разработки и отладки программ в составе программного обеспечения ИСПДн;
- тестирование с периодичностью установленной оператором функций безопасности средств защиты информации, в том числе с помощью тест-программ, имитирующих попытки несанкционированного доступа, и (или) специальных программных средств, в соответствии с АНЗ.1 и АНЗ.2;
- обеспечение физической защиты технических средств ИСПДн в соответствии с ЗТС.2 и ЗТС.3.
В случае если функциональные возможности ИСПДн должны предусматривать применение в составе ее программного обеспечения средств разработки и отладки программ, оператором персональных данных обеспечивается выполнение процедур контроля целостности программного обеспечения после завершения каждого процесса функционирования средств разработки и отладки программ.
Правила и процедуры контроля целостности программного обеспечения регламентируются в организационно-распорядительных документах оператора персональных данных по защите персональных данных.
Требования к усилению ОЦЛ.1:
1) в ИСПДн контроль целостности средств защиты информации должен осуществляться по контрольным суммам всех компонентов средств защиты информации, как в процессе загрузки, так и динамически в процессе работы системы;
2) в ИСПДн должен обеспечиваться контроль целостности средств защиты информации с использованием криптографических методов в соответствии с законодательством Российской Федерации, всех компонентов средств защиты информации, как в процессе загрузки, так и динамически в процессе работы системы;
3) оператором персональных данных исключается возможность использования средств разработки и отладки программ во время обработки и (или) хранения персональных данных в целях обеспечения целостности программной среды;
4) оператором персональных данных обеспечивается выделение рабочих мест с установленными средствами разработки и отладки программ в отдельный сегмент (тестовую среду);
5) в ИСПДн должна обеспечиваться блокировка запуска программного обеспечения и (или) блокировка сегмента (компонента) ИСПДн (автоматизированного рабочего места, сервера) в случае обнаружения фактов нарушения целостности.
Содержание базовой меры ОЦЛ.1:
| Мера защиты персональных данных | Уровень защищенности персональных данных | |||
| 4 | 3 | 2 | 1 | |
| ОЦЛ.1 | + | + | ||
| Усиление ОЦЛ.1 | 1, 3 | 1, 3 | ||