Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
(1).jpg)
Программа разработана совместно с АО ''СБЕР А". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Досье на проект
Пояснительная записка
В целях выполнения требований части 6 статьи 13 Федерального закона Российской Федерации от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях" приказываю:
1. Утвердить порядок создания, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации информационных систем Министерства промышленности и торговли Российской Федерации, не являющихся государственными информационными системами;
2. Контроль за исполнением настоящего приказа возложить на заместителя Министра промышленности и торговли Российской Федерации В.В. Шпака.
| Министр | А.А. Алиханов |
УТВЕРЖДЕНО
приказом Минпромторга России
от ________________ N ______
1. Настоящий Порядок определяет правила создания, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации информационных систем Министерства промышленности и торговли Российской Федерации, не являющихся государственными информационными системами (далее - Системы).
2. При реализации Министерством промышленности и торговли Российской Федерации мероприятий по созданию и эксплуатации Систем должны выполняться следующие требования:
а) требования о защите информации, содержащейся в Системах, устанавливаемые федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий;
б) требования к организации и мерам защиты информации, содержащейся в Системе, в соответствии с законодательством Российской Федерации;
в) требования о защите персональных данных, предусмотренные частью 3 статьи 19 Федерального закона "О персональных данных" (в случае обработки в Системе персональных данных).
3. В целях выполнения требований о защите информации, предусмотренных пунктом 2 настоящего документа Министерство промышленности и торговли Российской Федерации, определяет требования к защите информации, содержащейся в Системе, оператором которой является Министерство, для чего осуществляет:
а) определение информации, подлежащей защите от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;
б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать Система;
в) классификацию Системы в соответствии с требованиями о защите информации;
г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в Системе.
4. Для обработки информации, необходимость защиты которой определяется законодательством Российской Федерации, в Министерстве промышленности и торговли Российской Федерации должны создаваться Системы, в которых реализованы в соответствии с действующими нормативными правовыми актами требования о защите информации. Реализация требований о защите информации в Системах осуществляется системой защиты.
5. Целью создания системы защиты информации Систем является обеспечение защиты от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении защищаемой информации.
6. При создании системы защиты информации для Систем необходимо руководствоваться следующими общими требованиями:
а) система защиты информации должна обеспечивать комплексное решение задач по защите информации от несанкционированного доступа, от утечки защищаемой информации по техническим каналам, от несанкционированных и непреднамеренных воздействий на информацию, содержащуюся в Системах;
б) система защиты информации Систем должна разрабатываться (проектироваться) с учетом возможности реализации требований о защите обрабатываемой информации при использовании в Системах методов и программно-аппаратных средств организации сетевого взаимодействия;
в) система защиты информации Систем должна создаваться с учетом обеспечения возможности формирования различных вариантов ее построения,а также расширения возможностей ее составных частей (сегментов) в зависимости от условий функционирования Систем и требований о защите информации;
г) защита информации должна обеспечиваться во всех составных частях (сегментах) Систем, используемых в обработке защищаемой информации;
д) входящие в состав Систем средства защиты информации и контроля эффективности защиты информации не должны препятствовать функционированию Систем;
е) программное обеспечение системы защиты информации должно быть совместимым с программным обеспечением других составных частей (сегментов) Систем и не должно снижать требуемый уровень защищенности информации в Системах;
ж) программно-технические средства, используемые для построения системы защиты информации, должны быть совместимы между собой и не должны снижать уровень защищенности информации в Системах.
7. Состав и содержание работ могут уточняться в соответствии с требованиями нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов по защите информации.
8. Мероприятия по защите информации должны проводиться на всех стадиях и этапах создания Систем с учетом применимых (исходя из предназначения создаваемых Систем) требований нормативных правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов в области защиты информации.
9. Приказ Министерства промышленности и торговли Российской Федерации о создании Системы является основанием для ее создания.
10. Создание Систем осуществляется в соответствии с разрабатываемым техническим заданием, а также с учетом Модели угроз безопасности информации, предусмотренной подпунктом "г" пункта 3 настоящего Порядка, а также уровней защищенности персональных данных при их обработке в информационных системах персональных данных, в зависимости от угроз безопасности этих данных и требований о защите информации.
11. Создание Систем допускается осуществлять очередями. В этом случае создание Систем должно включать в себя описание всех очередей Систем. Техническое задание разрабатывается на каждую очередь Систем.
12. Техническое задание на создание Систем (очереди Систем) утверждается должностным лицом, ответственным за создание Систем.
13 В Техническом задании на создание Систем должны быть учтены следующие этапы создания Систем:
а) разработка документации на Системы и ее части;
б) разработка или адаптация программного обеспечения (далее - ПО), разработка рабочей документации на Системы и ее части;
в) пусконаладочные работы;
г) проведение предварительных испытаний Систем;
д) проведение опытной эксплуатации Систем;
е) проведение приемочных испытаний Систем.
14. Этап разработки документации на Системы и их части включает разработку, согласование и утверждение технической документации в объеме, необходимом для описания полной совокупности проектных решений (в том числе по защите информации) и достаточном для дальнейшего выполнения работ по созданию Систем, в том числе описания проектных решений по автоматизируемым процессам деятельности, реализуемых посредством Систем, решений по архитектуре Систем, решений по содержанию, структуре и ограничениям целостности, используемых для создания базы данных Систем.
15. Этап разработки или адаптации ПО, разработки рабочей документации на Системы и их части включает разработку ПО Систем, выбор и адаптацию приобретаемого ПО, а также проведение разработки, согласования и утверждения технической документации, необходимой для выполнения работ по вводу Систем в эксплуатацию и их эксплуатации, методической документации и порядка эксплуатации Систем, содержащего сведения, необходимые для выполнения работ по поддержанию уровня эксплуатационных характеристик (качества) Систем (в том числе по защите информации), установленных в проектных решениях, указанных в пункте 13 настоящего документа.
16. Этап пусконаладочных работ включает автономную наладку технических средств и ПО частей Систем, загрузку информации в ее базу данных, комплексную наладку технических средств и ПО Систем, включая средства защиты информации.
17. Этап проведения предварительных испытаний включает:
а) разработку программы и методики предварительных испытаний,в соответствии с которыми осуществляется проверка Систем на работоспособность и соответствие Техническому заданию на их создание;
б) проверку Систем на работоспособность и соответствие Техническому заданию на их создание;
в) устранение выявленных при проведении таких испытаний неисправностей и внесение изменений в документацию на Системы;
г) оформление протокола испытаний и акта о приемке Систем в опытную эксплуатацию.
18. Этап проведения опытной эксплуатации Систем включает:
а) разработку программы и методики опытной эксплуатации;
б) опытную эксплуатацию Систем в соответствии с программой и методикой опытной эксплуатации;
в) доработку ПО Систем и дополнительную наладку технических средств в случае обнаружения недостатков, выявленных при опытной эксплуатации Систем;
г) оформление акта о завершении опытной эксплуатации, включающего перечень недостатков, которые необходимо устранить до начала эксплуатации Систем.
19. Этап проведения приемочных испытаний включает:
а) испытания Систем на соответствие Техническому заданию на их создание в соответствии с программой и методикой приемочных испытаний;
б) анализ результатов устранения недостатков, указанных в акте о завершении опытной эксплуатации;
в) оформление акта о приемке Систем в эксплуатацию.
20. Технические средства информационных систем, используемых Министерством промышленности и торговли Российской Федерации, должны размещаться на территории Российской Федерации в соответствии с частью 2.1 статьи 13 Федерального закона "Об информации, информационных технологиях и о защите информации".
21. При эксплуатации информационных систем необходимо использовать вычислительные мощности провайдера хостинга, предоставляемые для размещения информации в Системах, постоянно подключенных к сети Интернет, сведения о котором включены в перечень провайдеров хостинга, утверждаемый распоряжением Правительства Российской Федерации от 4 октября 2024 г. N 2753-р.
22. Основанием для ввода Систем в эксплуатацию является приказ Министерства промышленности и торговли Российской Федерации о вводе Систем в эксплуатацию (далее - Приказ), определяющий перечень мероприятий по обеспечению ввода Систем в эксплуатацию и устанавливающий дату начала эксплуатации. При этом дата начала эксплуатации не может быть ранее срока окончания последнего мероприятия, предусмотренного Приказом.
23. Приказ должен содержать:
а) основание ввода в эксплуатацию Систем;
б) мероприятия по оформлению прав на использование компонентов Систем, являющихся объектами интеллектуальной собственности;
в) мероприятия по подготовке должностных лиц Министерства промышленности и торговли Российской Федерации к эксплуатации Систем, включая лиц, ответственных за обеспечение защиты информации.
24. Ввод Систем в эксплуатацию не допускается в случае невыполнения установленных законодательством Российской Федерации требований о защите информации.
25. Срок начала эксплуатации системы не может быть ранее срока окончания последнего мероприятия, предусмотренного Приказом.
26. Основанием для начала эксплуатации системы является наступление срока, установленного Приказом.
27. Министерство при осуществлении взаимодействия в электронной форме,в том числе с гражданами (физическими лицами) и организациями, обязано обеспечивать возможность осуществления такого взаимодействия в соответствии с правилами и принципами, установленными национальными стандартами Российской Федерации в области криптографической защиты информации, утвержденными в соответствии с Федеральным законом от 29 июня 2015 года N 162-ФЗ "О стандартизации в Российской Федерации" в соответствии с частью 2.4 статьи 13 Федерального закона "Об информации, информационных технологиях и о защите информации".
28. Эксплуатация системы не допускается в случае, указанном в пункте 24 настоящего документа.
29. Основанием для вывода Систем из эксплуатации является:
а) завершение срока эксплуатации Систем, в случае если такой срок был установлен Приказом соответствующей Системы;
б) нецелесообразность эксплуатации Систем, в том числе низкая эффективность используемых технических средств и ПО, изменение правового регулирования, принятие управленческих решений, а также наличие иных изменений, препятствующих эксплуатации Систем;
в) финансово-экономическая неэффективность эксплуатации Систем.
30. При наличии одного или нескольких оснований для вывода Систем из эксплуатации, указанных в пункте 29 настоящего Порядка, вопрос о выводе Систем из эксплуатации выносится на рассмотрение комиссии Департамента цифровых технологий по принятию к бюджетному учету (выбытию из учета) результатов научно-исследовательских, опытно-конструкторских, технологических работ и работ, услуг в сфере информационно-коммуникационных технологий, созданных по заказу Минпромторга России, в составе объектов нефинансовых активов (далее - Комиссия), утвержденной приказом Министерства промышленности и торговли Российской Федерации 23 октября 2020 г. N 3652.
31. В случае принятия Комиссией решения о выводе Систем из эксплуатации издается приказ Министерства промышленности и торговли Российской Федерации о выводе Систем из эксплуатации.
Приказ Министерства промышленности и торговли Российской Федерации о выводе Систем из эксплуатации включает:
а) основание для вывода Систем из эксплуатации;
б) перечень и сроки реализации мероприятий по выводу Систем из эксплуатации;
в) порядок, сроки, режим хранения и дальнейшего использования информационных ресурсов, включая порядок обеспечения доступа к информационным ресурсам выводимых из эксплуатации Систем и обеспечения защиты информации содержащейся в выводимых из эксплуатации Системах;
г) порядок информирования пользователей о выводе Систем из эксплуатации.
32. Срок вывода Систем из эксплуатации не может быть ранее срока окончания последнего мероприятия, предусмотренного приказом Министерства промышленности и торговли Российской Федерации о выводе Систем из эксплуатации.
Разработаны правила создания, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации информсистем Минпромторга, не являющихся ГИС. Указаны требования к системе защиты.
