VI. Требования к контролю защищенности технических средств, программного обеспечения и информационных активов объекта защиты

28. Должна проводиться регулярная инвентаризация элементов объекта защиты: технических средств, программного обеспечения и информационных активов, развернутых на объекте защиты, - а также должны фиксироваться все изменения, происходящие с объектом защиты.

29. Должен проводиться контроль уязвимостей, включающий в себя обнаружение уязвимостей (постоянное отслеживание уязвимостей), оценку угроз безопасности, связанных с обнаруженными уязвимостями, принятие мер защиты по устранению (изоляции) уязвимостей.

30. Документация о контроле защищенности технических средств, программного обеспечения и информационных активов, развернутых на объекте защиты, должна содержать:

а) порядок проведения регулярной инвентаризации элементов объекта защиты: технических средств, программного обеспечения и информационных активов, развернутых на объекте защиты;

б) порядок проведения контроля уязвимостей, включающий в себя отслеживание уязвимостей, оценку угроз безопасности, связанных с обнаруженными уязвимостями, принятие мер защиты по устранению (изоляции) уязвимостей;

в) описание защитных мер.