Требования к жизненному циклу ГИС усилены пунктами о защите информации

28

На официальном портале правовой информации опубликовано постановление правительства РФ от 11.05.2017 № 555 «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации». Изменения в основном касаются требований к защите информации.

Так, первый же пункт общих положений дополняется пунктами 1(1) и 1(2) следующего содержания:

«1(1). При реализации органами исполнительной власти мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем и дальнейшему хранению содержащейся в их базах данных информации должны выполняться:

а) требования о защите информации, содержащейся в системах, устанавливаемые федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий;

б) требования к организации и мерам защиты информации, содержащейся в системе.

1(2). В целях выполнения требований о защите информации, предусмотренных пунктом 1(1) настоящего документа (далее — требования о защите информации), органы исполнительной власти определяют требования к защите информации, содержащейся в системе органа исполнительной власти, для чего осуществляют:

а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;

б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать система;

в) классификацию системы в соответствии с требованиями о защите информации;

г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации;

д) определение требований к информационной системе (подсистеме) защиты информации, содержащейся в системе».

Пункт 3, ранее звучавший как «Создание системы осуществляется в соответствии с техническим заданием, утвержденным органом исполнительной власти или являющимся неотъемлемой частью документации о закупке товаров, работ, услуг для обспечения государственных нужд», излагается в новой редакции:

«3. Создание системы осуществляется в соответствии с техническим заданием с учетом модели угроз безопасности информации, предусмотренной подпунктом «г» пункта 1(2) настоящего документа.

Модель угроз безопасности информации и (или) техническое задание на создание системы согласуются с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации.

Техническое задание на создание системы должно включать сформированные в соответствии с подпунктом «а» пункта 1(1) настоящего документа требования к защите информации, содержащейся в системе».

Многие пункты требований дополнены фразой «в том числе по защите информации». Также указано, что невыполнение установленных законодательством Российской Федерации требований о защите информации является причиной для недопуска ввода системы в эксплуатацию.

Пункт о случаях, когда эксплуатация системы не допускается, вступит в силу с 1 января 2019 года.

Документ не соотносится с аналогичным документом, разработанным ранее Минкомсвязью.