Проект Приказа Министерства связи и массовых коммуникаций РФ "О внесении изменений в приказ Министерства связи и массовых коммуникаций Российской Федерации от 11.08.2016 № 375" (подготовлен Минкомсвязью России 11.05.2018)
Досье на проект
Пояснительная записка
В соответствии с постановлением Правительства Российской Федерации от 11 мая 2017 г. N 555 "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации" (Собрание законодательства Российской Федерации, 2017, N 21, ст. 3007),
приказываю:
1. Утвердить прилагаемые изменения, которые вносятся в приказ Министерства связи и массовых коммуникаций Российской Федерации от 11.08.2016 N 375 "Об утверждении порядка внесения сведений о выполнении требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, а также состава сведений, которые подлежат внесению, и срока их представления" (зарегистрирован в Министерстве юстиции Российской Федерации 1 сентября 2016 г., регистрационный N 43517).
2. Установить, что пункт 4 и подпункт "е" пункта 7 изменений, утвержденных настоящим приказом, вступают в силу с 1 января 2019 г.
3. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
4. Контроль за исполнением настоящего приказа оставляю за собой.
Министр | Н.А. Никифоров |
Утверждены
приказом Министерства связи и массовых коммуникаций Российской Федерации
от _______________ N _______
Изменения,
которые вносятся в приказ Министерства связи и массовых коммуникаций Российской Федерации от 11.08.2016 N 375
В порядке внесения сведений о выполнении требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, а также составе сведений, которые подлежат внесению, и сроке их представления, утвержденных указанным приказом:
1. Пункт 3 дополнить подпунктами 27 и 28 следующего содержания:
"27) требования к защите информации, содержащейся в государственной информационной системе;
28) информация об оформлении прав на использование компонентов государственной информационной системы, являющихся объектами интеллектуальной собственности.".
2. В пункте 3.9:
а) подпункт "б" пункта 3.9 изложить в следующей редакции:
"б) для типа мероприятия по информатизации - ввод в эксплуатацию государственной информационной системы:
утверждение организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы;
аттестация системы по требованиям защиты информации;
подготовка субъекта контроля к эксплуатации системы;
подготовка должностных лиц субъекта контроля к эксплуатации системы.";
б) подпункт "в" дополнить абзацами шестым - девятым следующего содержания:
"архивирование информации, содержащейся в системе;
обеспечение защиты информации в соответствии с документацией на систему и организационно-распорядительными документами по защите информации;
уничтожение (стирание) данных и остаточной информации с машинных носителей информации;
уничтожение машинных носителей информации.".
3. Дополнить пунктом 3.27 следующего содержания:
"3.27. При заполнении сведений, указанных в подпункте 27 пункта 3 Порядка, указываются:
а) установленный уровень защищенности персональных данных государственной информационной системы (если применимо) с приложением электронной копии утвержденного субъектом контроля акта определения уровня защищенности персональных данных при их обработке в государственной информационной системе;
б) установленный класс защищенности государственной информационной системы по требованиям защиты информации с приложением электронной копии утвержденного субъектом контроля акта классификации государственной информационной системы;
в) дата согласования технического задания на создание государственной информационной системы и наименование федерального органа исполнительной власти в области обеспечения безопасности и (или) федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, согласовавшего техническое задание в части, касающейся выполнения установленных требований о защите информации, с указанием реквизитов подтверждающего документа и приложением его электронной копии;
г) электронная копия утвержденной субъектом контроля модели угроз безопасности информации государственной информационной системы;
д) дата согласования модели угроз безопасности информации государственной информационной системы и наименование федерального органа исполнительной власти в области обеспечения безопасности и (или) федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, согласовавшего техническое задание в части, касающейся выполнения установленных требований о защите информации, с указанием реквизитов подтверждающего документа и приложением его электронной копии;
е) перечень наименований и реквизиты утвержденных субъектом контроля организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации государственной информационной системы, разработка которых предусмотрена нормативными правовыми актами и методическими документами федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также национальными стандартами в области защиты информации (далее - организационно-распорядительные документы, определяющие мероприятия по защите информации в ходе эксплуатации государственной информационной системы), с приложением электронных копий указанных документов.
ж) реквизиты и срок действия аттестата соответствия требованиям безопасности информации с приложением его электронной копии, а также наименование и номер аккредитации органа по аттестации, выдавшего указанный аттестат.".
4. Дополнить пунктом 3.28 следующего содержания:
"3.28. При заполнении сведений, указанных в подпункте 28 пункта 3 Порядка, указываются в отношении:
а) входящих в состав государственной информационной системы программ для электронных вычислительных машин (далее - ЭВМ) и баз данных, исключительные права на которые принадлежат или переданы Российской Федерации или субъекту Российской Федерации:
наименование программы для ЭВМ или базы данных;
реквизиты договора отчуждения исключительного права на программу для ЭВМ или базу данных, с приложением электронной копии указанного договора;
дата и регистрационный номер выданного федеральным органом исполнительной власти по интеллектуальной собственности свидетельства о государственной регистрации программы для ЭВМ или базы данных,с приложением электронной копии указанного свидетельства;
дата окончания срока действия исключительного права на программу для ЭВМ или базу данных;
б) использованных при создании (развитии) государственной информационной системы изобретений, исключительные права на которые принадлежат или переданы Российской Федерации или субъекту Российской Федерации:
название изобретения;
реквизиты договора об отчуждении исключительного права на изобретение,с приложением электронной копии указанного договора;
номер и дата государственной регистрации изобретения, содержащихся в выданном федеральным органом исполнительной власти по интеллектуальной собственности патенте на изобретение, с приложением электронной копии указанного патента;
дата окончания срока действия исключительного права на изобретение;
в) использованных при создании (развитии) государственной информационной системы топологий интегральных микросхем, исключительные права на которые принадлежат или переданы Российской Федерации или субъекту Российской Федерации:
название интегральной микросхемы с зарегистрированной топологией;
реквизиты договора об отчуждении исключительного права на топологию интегральных микросхем, с приложением электронной копии указанного договора;
номер и дата свидетельства о государственной регистрации топологии интегральной микросхемы;
дата истечения срока действия исключительного права на топологию интегральной микросхемы;
г) результатов интеллектуальной деятельности, указанных в подпунктах "а" - "в" настоящего пункта, использованных при создании (развитии) государственной информационной системы в соответствии с лицензионным договором:
наименование результата интеллектуальной деятельности;
вид лицензионного договора (простая (неисключительная) лицензия или исключительная лицензия);
способы использования результата интеллектуальной деятельности;
реквизиты лицензионного договора, с приложением электронной копии указанного договора.".
5. В пункте 7:
а) дополнить новым подпунктом 2 следующего содержания:
"2) Согласование федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации технического задания на создание (развитие) государственной информационной системы и (или) модели угроз безопасности информации государственной информационной системы.
Указываются сведения согласно следующим пунктам Порядка:
а) соответственно подпункт "а" или "б" пункта 3.4;
б) подпункт "а" и "б" пункта 3.27;
в) подпункт "в" и (или) подпункт "д" пункта 3.27.";
б) подпункт 2 изложить в следующей редакции:
"3) Утверждение технического задания на создание (развитие) государственной информационной системы и модели угроз безопасности информации государственной информационной системы.
Указываются сведения согласно следующим пунктам Порядка:
а) подпункт "а" пункта 3.8;
б) подпункт "г" пункта 3.27.";
в) дополнить новыми подпунктами 23 - 26 следующего содержания:
"23) Инициирование на основании правового акта субъекта контроля о вводе государственной информационной системы в эксплуатацию работ по разработке организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации государственной информационной системы.
Указываются сведения согласно следующим пунктам Порядка:
а) абзац второй подпункта "б" пункта 3.9;
б) подпункт "б" пункта 3.11 (указывается дата начала работ по этапу "утверждение организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы").
24) Утверждение на основании правового акта субъекта контроля о вводе государственной информационной системы в эксплуатацию организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации государственной информационной системы.
Указываются сведения согласно следующим пунктам Порядка:
а) подпункт "б" пункта 3.11 (указывается дата фактического завершения работ по этапу "утверждение организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы").
б) подпункт "е" пункта 3.27;
25) Инициирование на основании правового акта субъекта контроля о вводе государственной информационной системы в эксплуатацию работ по проведению аттестационных испытаний государственной информационной системы на соответствие требованиям защиты информации.
Указываются сведения согласно следующим пунктам Порядка:
а) пункт 3.5;
б) абзац третий подпункта "б" пункта 3.9;
в) подпункт "б" пункта 3.11 (указывается дата фактического начала работ по этапу "аттестация системы по требованиям защиты информации");
26) Завершение на основании правового акта субъекта контроля о вводе государственной информационной системы в эксплуатацию работ по аттестационным испытаниям государственной информационной системы на соответствие требованиям защиты информации.
Указываются сведения согласно следующим пунктам Порядка:
а) подпункт "б" пункта 3.11 (указывается дата фактического завершения работ по этапу "аттестация системы по требованиям защиты информации");
б) подпункт "ж" пункта 3.27.";
г) в подпункте "б" подпункта 22 слово "второй" заменить словом "четвертый";
д) в подпункте "а" подпункта 24 слово "третий" заменить словом "пятый";
е) подпункт 26 дополнить подпунктами "в" и "г" следующего содержания:
"в) подпункт "ж" пункта 3.27;
г) пункт 3.28.";
ж) подпункты 2 - 21 считать подпунктами 3 - 22 соответственно, а подпункты 22 - 34 считать подпунктами 27 - 39 соответственно.
Обзор документа
Планируется скорректировать Порядок внесения сведений о выполнении требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации госинформсистем (ГИС) и дальнейшего хранения содержащейся в их базах данных информации.
Указывается, что в реестровую запись в т. ч. вносятся сведения требования к защите информации, содержащейся в ГИС; информация об оформлении прав на использование компонентов ГИС, являющихся объектами интеллектуальной собственности.
Прописывается требование по разработке и согласованию с ФСБ и ФСТЭК России техзадания на систему в части, касающейся требований по защите информации и модели угроз безопасности информации.