Оператор персональных данных обязан регулярно контролировать процесс установки обновлений программного обеспечения (ПО), в том числе ПО средств защиты информации (СЗИ) и базовой системы ввода-вывода (BIOS). Он должен получать обновления только из надежных источников и устанавливать их в строгом соответствии с установленными требованиями.
Планирование и Регламентация
Оператор персональных данных устанавливает периодичность контроля установки обновлений в организационно-распорядительных документах (ОРД), таких как приказы, инструкции и положения. Периодичность определяется исходя из специфики используемого ПО, уровня критичности информационной системы и рекомендаций разработчиков. В ОРД детально описываются правила и процедуры контроля, включая:
- Источники обновлений: Использование только официальных и проверенных источников обновлений (сайты разработчиков, репозитории с подтвержденной репутацией). Запрещается использование неофициальных и непроверенных источников.
- Процедура установки: Четкое описание порядка установки обновлений, включая необходимые права доступа, порядок резервного копирования и восстановления, а также действия в случае возникновения ошибок.
- Ответственные лица: Назначение конкретных сотрудников, ответственных за выполнение работ по обновлению и контролю процесса.
- Ведение журналов: Обязательное ведение журналов учета установленных обновлений с указанием даты, времени, версии ПО, источника обновления и результата установки. Журналы должны быть доступны для аудита и проверки.
- Тестирование обновлений: Перед установкой обновлений в производственной среде обязательна проверка их корректной работы в тестовой среде, имитирующей условия реальной эксплуатации. Результаты тестирования должны быть зафиксированы в отдельном журнале с указанием выявленных ошибок и принятых мер. Это является ключевым требованием для усиления АНЗ.2.
Проверка версий ПО
В ходе контроля оператор персональных данных проводит регулярные проверки версий всего используемого ПО, включая:
- Общесистемное ПО: Операционные системы, драйверы устройств.
- Прикладное ПО: Программы, используемые для обработки персональных данных.
- Специальное ПО: ПО, предназначенное для выполнения специфических задач.
- ПО СЗИ: Антивирусные программы, системы обнаружения вторжений, межсетевые экраны и другие средства защиты информации.
- Микропрограммное обеспечение (BIOS): Проверка актуальности версий BIOS и прошивок оборудования. Проверка осуществляется путем сравнения установленных версий с последними выпущенными разработчиком версиями. Различия в версиях требуют немедленного обновления ПО с последующей фиксацией в журналах.
Контроль обновлений баз данных СЗИ
Оператор персональных данных обязан контролировать своевременное обновление баз данных СЗИ, в соответствии с требованиями АВЗ.2 и СОВ.2:
- Антивирусные базы: Регулярное обновление баз вирусов и вредоносных программ.
- Базы правил СОВ: Обновление баз правил для обнаружения и предотвращения сетевых атак.
- Базы уязвимостей: Обновление баз данных известных уязвимостей для своевременного реагирования на угрозы. Отсутствие своевременного обновления баз данных СЗИ существенно снижает эффективность защиты информационной системы.
Документация
Все действия по установке и контролю обновлений должны быть тщательно задокументированы. Это включает в себя:
- Журналы установки обновлений: С подробной информацией о каждом обновлении.
- Отметки в эксплуатационной документации: Формуляры или паспорта оборудования и ПО должны содержать отметки о проведенных обновлениях.
- Результаты тестирования обновлений: С подробным описанием проведенных тестов и выявленных ошибок.
- ОРД: Документы, регламентирующие процедуру обновления ПО.
Требования к усилению АНЗ.2
- Оператор персональных данных должен проводить проверку корректности функционирования обновлений в тестовой среде с обязательным оформлением результатов проверки в соответствующем журнале.
- Оператор персональных данных обеспечивает регламентацию и контроль обновлений ПО BIOS (иного микропрограммного обеспечения).
