Постановление Правительства РФ от 11 мая 2017 г. № 555 “О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации” (не вступило в силу)
В целях обеспечения защиты информации, содержащейся в государственных информационных системах, Правительство Российской Федерации постановляет:
1. Утвердить прилагаемые изменения, которые вносятся в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденные постановлением Правительства Российской Федерации от 6 июля 2015 г. № 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации" (Собрание законодательства Российской Федерации, 2015, № 28, ст. 4241; № 47, ст. 6599).
2. Пункт 9 изменений, утвержденных настоящим постановлением, вступает в силу с 1 января 2019 г.
Председатель Правительства Российской Федерации |
Д. Медведев |
УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 11 мая 2017 г. № 555
Изменения,
которые вносятся в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации
1. Дополнить пунктами 1.1 и 1.2 следующего содержания:
"1.1. При реализации органами исполнительной власти мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем и дальнейшему хранению содержащейся в их базах данных информации должны выполняться:
а) требования о защите информации, содержащейся в системах, устанавливаемые федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий;
б) требования к организации и мерам защиты информации, содержащейся в системе.
1.2. В целях выполнения требований о защите информации, предусмотренных пунктом 1.1 настоящего документа (далее - требования о защите информации), органы исполнительной власти определяют требования к защите информации, содержащейся в системе органа исполнительной власти, для чего осуществляют:
а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;
б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать система;
в) классификацию системы в соответствии с требованиями о защите информации;
г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации;
д) определение требований к информационной системе (подсистеме) защиты информации, содержащейся в системе.".
2. Пункт 3 изложить в следующей редакции:
"3. Создание системы осуществляется в соответствии с техническим заданием с учетом модели угроз безопасности информации, предусмотренной подпунктом "г" пункта 1.2 настоящего документа.
Модель угроз безопасности информации и (или) техническое задание на создание системы согласуются с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации.
Техническое задание на создание системы должно включать сформированные в соответствии с подпунктом "а" пункта 1.1 настоящего документа требования к защите информации, содержащейся в системе.".
3. Пункт 4 изложить в следующей редакции:
"4. Техническое задание на создание системы и модель угроз безопасности информации утверждаются должностным лицом органа исполнительной власти, на которое возложены соответствующие полномочия.".
4. Пункт 6 после слов "проектных решений" дополнить словами "(в том числе по защите информации)".
5. В пункте 7:
а) абзац первый после слов "характеристик (качества) системы" дополнить словами "(в том числе по защите информации)";
б) подпункт "б" дополнить словами "и компонентов, обеспечивающих защиту информации".
6. Пункт 8 дополнить словами ", а также в установленных случаях и порядке сертификацию разработанного программного обеспечения системы и средств защиты информации по требованиям безопасности информации".
7. Пункт 9 дополнить словами ", включая средства защиты информации".
8. Пункты 14 и 15 изложить в следующей редакции:
"14. Правовой акт органа исполнительной власти о вводе системы в эксплуатацию включает:
а) мероприятия по разработке и утверждению организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы, разработка которых предусмотрена нормативными правовыми актами и методическими документами федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также национальными стандартами в области защиты информации;
б) мероприятия по аттестации системы по требованиям защиты информации, в результате которых в установленных законодательством Российской Федерации случаях подтверждается соответствие защиты информации, содержащейся в системе, требованиям, предусмотренным законодательством Российской Федерации об информации, информационных технологиях и о защите информации;
в) мероприятия по подготовке органа исполнительной власти к эксплуатации системы;
г) мероприятия по подготовке должностных лиц органа исполнительной власти к эксплуатации системы, включая лиц, ответственных за обеспечение защиты информации.
15. Ввод системы в эксплуатацию не допускается в следующих случаях:
а) невыполнение установленных законодательством Российской Федерации требований о защите информации, включая отсутствие действующего аттестата соответствия требованиям безопасности информации;
б) отсутствие в реестре территориального размещения объектов контроля, предусмотренном Правилами осуществления контроля за размещением технических средств информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями, государственными и муниципальными учреждениями, на территории Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. № 675 "О порядке осуществления контроля за соблюдением требований, предусмотренных частью 21 статьи 13 и частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации", сведений о размещении технических средств информационной системы на территории Российской Федерации;
в) невыполнение требований настоящего раздела, выявленных в ходе осуществления контроля в соответствии с Правилами осуществления контроля за соблюдением требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. № 675 "О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2.1 статьи 13 и частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации".".
9. Дополнить пунктом 19.1 следующего содержания:
"19.1. Эксплуатация системы не допускается в случаях, указанных в части 7 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации", а также в пункте 15 настоящего документа.".
10. Подпункт "в" пункта 22 дополнить словами "и обеспечения защиты информации, содержащейся в выводимой из эксплуатации системе".
11. Пункт 23 дополнить подпунктом "в" следующего содержания:
"в) обеспечение защиты информации в соответствии с документацией на систему и организационно-распорядительными документами по защите информации, в том числе архивирование информации, содержащейся в системе, уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.".
Обзор документа
Внесены изменения в порядок создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем (ГИС) и дальнейшего хранения содержащейся в их базах данных информации.
В частности, установлено требование по разработке и согласованию с ФСБ России и ФСТЭК России в пределах их полномочий технического задания на систему в части, касающейся требований по защите информации и модели угроз безопасности информации. Определены случаи, при которых не допускаются ввод системы в эксплуатацию, а также ее эксплуатация.
Прописаны требования, которые должны выполняться при реализации органами исполнительной власти мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из нее систем и дальнейшему хранению содержащейся в их базах данных информации.