Досье на проект

Пояснительная записка

В соответствии с частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации", а также в целях обеспечения защиты информации, содержащейся в государственных информационных Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые изменения, которые вносятся в Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденные постановлением Правительства Российской Федерации от 6 июля 2015 г. N 676 (Собрание законодательства Российской Федерации, 2015, N 28, ст. 4241; N 47, ст. 6599).

2. Министерству связи и массовых коммуникаций Российской Федерации до 1 июня 2017 г. привести свои нормативные правовые акты в соответствие с настоящим постановлением.

3. Пункт 1 настоящего постановления вступает в силу с 1 июля 2017 г. за исключением пункта 11 изменений, утвержденных настоящим постановлением, вступающего в силу с 1 июля 2018 г.

УТВЕРЖДЕНЫ
постановлением Правительства Российской Федерации
от 2016 г. N

Изменения,
которые вносятся в Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации

1. Дополнить пунктом 1.1 следующего содержания:

"1.1. При реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем и дальнейшему хранению содержащейся в их базах данных информации органами исполнительной власти должны выполняться требования о защите информации, содержащейся в системах, устанавливаемые федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

При формировании требований к защите информации, содержащейся в системе, органы исполнительной власти осуществляют:

а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий в отношении такой информации, соблюдению конфиденциальности информации ограниченного доступа и реализацию права на доступ к информации;

б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать система;

в) классификацию системы по требованиям защиты информации;

г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации.".

2. Пункт 3 изложить в следующей редакции:

"3. Создание системы осуществляется в соответствии с техническим заданием на систему с учетом модели угроз безопасности информации, указанной в подпункте "г" пункта 1.1 настоящего документа, утвержденными органом исполнительной власти и согласованными в части, касающейся требований по защите информации с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах установленных им полномочий и в случаях, определенных нормативными правовыми актами таких органов.

Техническое задание на систему должно включать требования к защите информации, содержащейся в системе.".

3. Пункт 4 изложить в следующей редакции:

"4. Техническое задание на систему и модель угроз безопасности информации утверждается должностным лицом органа исполнительной власти, на которое возложены соответствующие полномочия".

4. В пункте 6 после слов "проектных решений" дополнить словами "в том числе по защите информации".

5. В абзаце первом пункта 7 после слов "характеристик (качества) системы" дополнить словами "в том числе по защите информации".

6. Подпункт "б" пункта 7 изложить в следующей редакции:

"б) контроль работоспособности системы и компонентов, обеспечивающих защиту информации;"

7.В пункте 8 после слов "приобретаемого программного обеспечения" дополнить словами "а также сертификацию в установленных случаях и порядке разработанного программного обеспечения системы и средств защиты информации по требованиям безопасности информации".

8. В пункте 8 после слов "комплексную наладку технических средств и программного обеспечения системы" дополнить словами "включая средства защиты информации".

9. Пункт 14 изложить в следующей редакции:

"14. Правовой акт органа исполнительной власти о вводе системы в эксплуатацию включает:

а) мероприятия по разработке и утверждению организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы, разработка которых предусмотрена нормативными правовыми актами и методическими документами федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также национальными стандартами в области защиты информации;

б) мероприятия по аттестации системы на соответствие требованиям защиты информации, в результате которых в установленных законодательством Российской Федерации случаях подтверждается соответствие защиты информации в системе требованиям, предусмотренным законодательством Российской Федерации об информации, информационных технологиях и о защите информации;

в) мероприятия по подготовке органа исполнительной власти к эксплуатации системы, направленных на реализацию решений по организационной структуре системы в соответствии с документацией, указанной в пункте 6 настоящего документа, в том числе решений по структуре и функциям структурных подразделений органа исполнительной власти, его территориальных органов, подведомственных ему учреждений участвующим в эксплуатации системы;

г) мероприятия по подготовке должностных лиц органа исполнительной власти к эксплуатации системы, включающие проведение подготовки (обучения) указанных должностных лиц и проверку их способности обеспечить функционирование системы, включая лиц, ответственных за обеспечение защиты информации, обеспечить защиту информации.".

10. Пункт 15 изложить в следующей редакции:

"15. Ввод системы в эксплуатацию не допускается в случаях:

а) невыполнение установленных законодательством Российской Федерации требований о защите информации, содержащейся в системе, включая отсутствие действующего аттестата системы на соответствие требованиям защиты информации;

б) отсутствия в реестре территориального размещения объектов контроля, предусмотренном Правилами осуществления контроля за размещением технических средств информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями, государственными и муниципальными учреждениями, на территории Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. N 675, сведений о размещении технических средств информационной системы на территории Российской Федерации;

в) невыполнения требований раздела II и III настоящего документа, выявленных в ходе осуществления контроля в соответствии с Правилами осуществления контроля за соблюдением требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденными постановлением Правительства Российской Федерации, указанным в подпункте "б" настоящего пункта;

г) отсутствия информации об учете системы в соответствии с требованиями Положения о федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов, утвержденного постановлением Правительства Российской Федерации от 26 июня 2012 г. N 644, с учетом положений пункта 5 настоящего документа.".

11. Дополнить пунктом 19.1 следующего содержания:

"19.1. Эксплуатация системы не допускается в случаях указанных в пункте 15 настоящего документа, а также в соответствии с частью 7 статьи 14 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", в случае отсутствия надлежащего оформленных прав на использование компонентов системы, являющихся объектами интеллектуальной собственности.".

12. В подпункте "в" пункта 22 после слов "выводимой из эксплуатации системы" дополнить словами "и обеспечения защиты информации выводимой из эксплуатации системы".

13. Пункт 23 дополнить подпунктом "в" следующего содержания:

"в) обеспечение защиты информации в соответствии с документацией на систему и организационно-распорядительными документами по защите информации, в том числе архивирование информации, содержащейся в системе, уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации, проведение иных мероприятий направленных на обеспечение защиты информации при выводе системы из эксплуатации, предусмотренных законодательством Российской Федерации об информации, информационных технологиях и о защите информации."