Требования к жизненному циклу ГИС усилены пунктами о защите информации

469

На официальном портале правовой информации опубликовано постановление правительства РФ от 11.05.2017 № 555 “О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации”. Изменения в основном касаются требований к защите информации.

Так, первый же пункт общих положений дополняется пунктами 1(1) и 1(2) следующего содержания:

“1(1). При реализации органами исполнительной власти мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем и дальнейшему хранению содержащейся в их базах данных информации должны выполняться:

а) требования о защите информации, содержащейся в системах, устанавливаемые федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий;

б) требования к организации и мерам защиты информации, содержащейся в системе.

1(2). В целях выполнения требований о защите информации, предусмотренных пунктом 1(1) настоящего документа (далее – требования о защите информации), органы исполнительной власти определяют требования к защите информации, содержащейся в системе органа исполнительной власти, для чего осуществляют:

а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;

б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать система;

в) классификацию системы в соответствии с требованиями о защите информации;

г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации;

д) определение требований к информационной системе (подсистеме) защиты информации, содержащейся в системе”.

Пункт 3, ранее звучавший как «Создание системы осуществляется в соответствии с техническим заданием, утвержденным органом исполнительной власти или являющимся неотъемлемой частью документации о закупке товаров, работ, услуг для обспечения государственных нужд», излагается в новой редакции:

“3. Создание системы осуществляется в соответствии с техническим заданием с учетом модели угроз безопасности информации, предусмотренной подпунктом “г” пункта 1(2) настоящего документа.

Модель угроз безопасности информации и (или) техническое задание на создание системы согласуются с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации.

Техническое задание на создание системы должно включать сформированные в соответствии с подпунктом “а” пункта 1(1) настоящего документа требования к защите информации, содержащейся в системе”.

Многие пункты требований дополнены фразой «в том числе по защите информации». Также указано, что невыполнение установленных законодательством Российской Федерации требований о защите информации является причиной для недопуска ввода системы в эксплуатацию.

Пункт о случаях, когда эксплуатация системы не допускается, вступит в силу с 1 января 2019 года.

Документ не соотносится с аналогичным документом, разработанным ранее Минкомсвязью.