9.1. Состав программного обеспечения (далее - ПО) ИСПДн указан в Техническом паспорте ИСПДн.
9.2. Установка ПО, не указанного в Техническом паспорте ИСПДн, без согласования с администратором информационной безопасности, не допускается.
9.3. При возникновении служебной необходимости установки ПО, не указанного в Техническом паспорте ИСПДн лицо, ответственное за обработку ПДн, подготавливает служебную записку на имя лица, ответственного за организацию обработки персональных данных.
9.4. После получения указанной служебной записки администратор информационной безопасности согласовывает данную установку с лицензиатом, выдавшим аттестат соответствия ИСПДн требованиям безопасности информации (далее - аттестат). При отсутствии возражений со стороны лицензиата, администратор информационной безопасности вносит изменение в Технический паспорт ИСПДн.
9.5. После выполнения действий, указанных в п.п. 9.3 - 9.4, сотрудником отдела информационных систем и защиты информации Управления методологии и информационных технологий производится установка ПО.
9.6. При внесении изменений в состав ПО ИСПДн, администратору информационной безопасности необходимо учитывать потенциальное воздействие планируемых изменений на возникновение дополнительных угроз безопасности информации и на работоспособность ИСПДн.
9.7. ПО, используемое в ИСПДн, должно регулярно обновляться. Получение обновлений должно осуществляться из официальных источников производителя ПО. Получение обновлений ПО сертифицированных средств защиты информации должно осуществляться из специализированных источников обновления производителей средств в соответствии с эксплуатационной документацией к ним.
9.8. Установка обновлений ПО не считается внесением изменений в состав ПО ИСПДн.