Требования к реализации ОЦЛ.1: В информационной системе должен осуществляться контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации.
Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации, должен предусматривать:
контроль целостности программного обеспечения средств защиты информации, включая их обновления, по наличию имен (идентификаторов) и (или) по контрольным суммам компонентов средств защиты информации в процессе загрузки и (или) динамически в процессе работы информационной системы;
контроль целостности компонентов программного обеспечения (за исключением средств защиты информации), определяемого оператором исходя из возможности реализации угроз безопасности информации, по наличию имен (идентификаторов) компонентов программного обеспечения и (или) по контрольным суммам в процессе загрузки и (или) динамически в процессе работы информационной системы;
контроль применения средств разработки и отладки программ в составе программного обеспечения информационной системы;
тестирование с периодичностью установленной оператором функций безопасности средств защиты информации, в том числе с помощью тест-программ, имитирующих попытки несанкционированного доступа, и (или) специальных программных средств, в соответствии с АНЗ.1 и АНЗ.2;
обеспечение физической защиты технических средств информационной системы в соответствии с ЗТС.2 и ЗТС.3.
В случае если функциональные возможности информационной системы должны предусматривать применение в составе ее программного обеспечения средств разработки и отладки программ, оператором обеспечивается выполнение процедур контроля целостности программного обеспечения после завершения каждого процесса функционирования средств разработки и отладки программ.
Правила и процедуры контроля целостности программного обеспечения регламентируются в организационно-распорядительных документах оператора по защите информации.
Требования к усилению ОЦЛ.1:
1) в информационной системе контроль целостности средств защиты информации должен осуществляться по контрольным суммам всех компонентов средств защиты информации, как в процессе загрузки, так и динамически в процессе работы системы;
2) в информационной системе должен обеспечиваться контроль целостности средств защиты информации с использованием криптографических методов в соответствии с законодательством Российской Федерации, всех компонентов средств защиты информации, как в процессе загрузки, так и динамически в процессе работы системы;
3) оператором исключается возможность использования средств разработки и отладки программ во время обработки и (или) хранения информации в целях обеспечения целостности программной среды;
4) оператором обеспечивается выделение рабочих мест с установленными средствами разработки и отладки программ в отдельный сегмент (тестовую среду);
5) в информационной системе должна обеспечиваться блокировка запуска программного обеспечения и (или) блокировка сегмента (компонента) информационной системы (автоматизированного рабочего места, сервера) в случае обнаружения фактов нарушения целостности.
Содержание базовой меры ОЦЛ.1:
Мера защиты | Класс защищенности информационной системы | |||
информации | 4 | 3 | 2 | 1 |
ОЦЛ.1 | + | + | ||
Усиление ОЦЛ.1 | 1, 3 | 1, 3 | ||