Регламент управления обновлениями программного обеспечения в информационных системах персональных данных (Регламент), разрабатывается на основании методического документа «Методика тестирования обновлений безопасности программных, программно-аппаратных средств», утвержденного ФСТЭК России 28.10.2022 г.
Регламент определяет состав и содержание работ по управлению обновлениями безопасности в информационных системах персональных данных (ИСПДн).
Регламент предназначен для сотрудников оператора выполняющих работы по развертыванию (установке) обновлений безопасности в ИСПДн (ИТ-специалист).
Регламент подлежит применению при принятии мер по устранению уязвимостей программных, программно-аппаратных средств, применяемых
в ИСПДн.
Устранение уязвимостей (установка обновлений безопасности)
в сертифицированных программных, программно-аппаратных средствах защиты информации обеспечивается в приоритетном порядке и осуществляется в соответствии с эксплуатационной документацией на них, а также с рекомендациями разработчика.
Процесс управления обновлениями безопасности
Процесс управления обновлениями безопасности состоит
из приобретения, анализа и развертывание (установка) обновлений безопасности в ИСПДн.
Участниками процесса управления обновлениями безопасности
в ИСПДн являются ИТ-специалисты.
Приобретение обновлений безопасности
Комплекты обновлений безопасности должны быть приобретены только от разработчика программного обеспечения.
ЗАПРЕЩАЕТСЯ приобретать обновления безопасности из недостоверных источников.
Анализ обновлений безопасности
Анализу подлежат обновления безопасности, информация о которых имеется в в Банке данных угроз ФСТЭК России (далее - БДУ ФСТЭК России) в подразделе «Тестирование обновлений» (https://bdu.fstec.ru/software-section/updates).
Анализ обновлений безопасности осуществляется с использованием БДУ ФСТЭК России с целью применения обновлений безопасности, не связанных с наличием недокументированных (недекларированных) возможностей (НДВ).
Если по результатам БДУ ФСТЭК России обновление безопасности имеет положительный вердикт (обозначен зеленым цветом) «В ходе тестирования обновления недекларированные возможности не выявлены», обновление безопасности является безопасным и его установка возможна.
Если по результатам БДУ ФСТЭК России обновление безопасности имеет потенциально опасный вердикт (обозначен желтым цветом) «Обновление может быть установлено при определенных ограничениях», обновление безопасности может быть установлено при определенных ограничениях.
Развертывание (установка) обновлений безопасности
ЗАПРЕЩАЕТСЯ развертывать (устанавливать) обновления безопасности в следующих случаях:
- информация об обновлении безопасности отсутствует в БДУ ФСТЭК России;
- обновление безопасности в БДУ ФСТЭК России имеет опасный вердикт (обозначен красным цветом) «Обновление является небезопасным и устанавливать его не рекомендуется»;
- обновление безопасности не прошло антивирусную проверку;
- контрольная сумма обновления безопасности не совпадает с контрольной суммой данного обновления в БДУ ФСТЭК России.
Предварительно развертывание (установка) обновлений безопасности осуществляется на выбранном тестовом сегменте ИСПДн в целях определения влияния их установки на ее функционирование.
В случае, если негативного влияния от установки обновления безопасности на выбранном сегменте ИСПДн не выявлено, принимается решение о его развертывании (установке) в ИСПДн.
В случае обнаружения негативного влияния от установки обновления безопасности на выбранном сегменте ИСПДн дальнейшее развертывание (установка) обновления безопасности не осуществляется.
Решение о развертывании (установке) обновлений безопасности принимается оператором с учетом результатов БДУ ФСТЭК России и оценки рисков нарушения функционирования ИСПДн от установки таких обновлений.