Расширенный поиск

Постановление Правительства Российской Федерации от 11.05.2017 № 555

 



                ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

                           ПОСТАНОВЛЕНИЕ

                      от 11 мая 2017 г. № 555

                              МОСКВА


  О внесении изменений в требования к порядку создания, развития,
    ввода в эксплуатацию, эксплуатации и вывода из эксплуатации
        государственных информационных систем и дальнейшего
        хранения содержащейся в их базах данных информации

     В   целях   обеспечения   защиты   информации,    содержащейся
в государственных информационных системах, Правительство Российской
Федерации п о с т а н о в л я е т:
     1. Утвердить  прилагаемые  изменения,   которые   вносятся   в
требования к порядку  создания,  развития,  ввода  в  эксплуатацию,
эксплуатации   и    вывода    из    эксплуатации    государственных
информационных систем и  дальнейшего  хранения  содержащейся  в  их
базах данных информации, утвержденные постановлением  Правительства
Российской Федерации  от  6 июля  2015 г.  № 676  "О требованиях  к
порядку создания, развития, ввода в  эксплуатацию,  эксплуатации  и
вывода из  эксплуатации  государственных  информационных  систем  и
дальнейшего хранения содержащейся в  их  базах  данных  информации"
(Собрание  законодательства  Российской  Федерации,   2015,   № 28,
ст. 4241; № 47, ст. 6599).
     2. Пункт 9 изменений, утвержденных  настоящим  постановлением,
вступает в силу с 1 января 2019 г.


     Председатель Правительства
     Российской Федерации                                Д.Медведев
     __________________________


                                                УТВЕРЖДЕНЫ
                                       постановлением Правительства
                                           Российской Федерации
                                         от 11 мая 2017 г. № 555


                            ИЗМЕНЕНИЯ,
    которые вносятся в требования к порядку создания, развития,
    ввода в эксплуатацию, эксплуатации и вывода из эксплуатации
        государственных информационных систем и дальнейшего
        хранения содержащейся в их базах данных информации

     1. Дополнить пунктами 1-1 и 1-2 следующего содержания:
     "1-1. При   реализации    органами    исполнительной    власти
мероприятий  по   созданию,   развитию,   вводу   в   эксплуатацию,
эксплуатации и выводу из эксплуатации систем и дальнейшему хранению
содержащейся в их базах данных информации должны выполняться:
     а) требования о защите информации,  содержащейся  в  системах,
устанавливаемые федеральным органом исполнительной власти в области
обеспечения  безопасности  и  федеральным  органом   исполнительной
власти,  уполномоченным  в  области   противодействия   техническим
разведкам  и технической   защиты   информации,   в   пределах   их
полномочий;
     б) требования  к  организации  и  мерам   защиты   информации,
содержащейся в системе.
     1-2. В  целях  выполнения  требований  о  защите   информации,
предусмотренных   пунктом  1-1  настоящего    документа    (далее -
требования  о  защите  информации),  органы  исполнительной  власти
определяют требования к защите информации, содержащейся  в  системе
органа исполнительной власти, для чего осуществляют:
     а) определение информации, подлежащей защите от  неправомерных
доступа, уничтожения, модифицирования,  блокирования,  копирования,
предоставления,  распространения,  а   также   иных   неправомерных
действий в отношении такой информации;
     б) анализ нормативных правовых актов, методических  документов
и национальных стандартов, которым должна соответствовать система;
     в) классификацию  системы  в  соответствии  с  требованиями  о
защите информации;
     г) определение  угроз  безопасности   информации,   реализация
которых  может  привести  к  нарушению  безопасности  информации  в
системе,  и разработку  на  их  основе  модели  угроз  безопасности
информации;
     д) определение    требований    к    информационной    системе
(подсистеме) защиты информации, содержащейся в системе.".
     2. Пункт 3 изложить в следующей редакции:
     "3. Создание   системы   осуществляется   в   соответствии   с
техническим заданием с учетом модели угроз безопасности информации,
предусмотренной подпунктом "г" пункта 1-2 настоящего документа.
     Модель  угроз  безопасности  информации  и (или)   техническое
задание на  создание  системы  согласуются  с  федеральным  органом
исполнительной  власти  в  области   обеспечения   безопасности   и
федеральным органом исполнительной власти, уполномоченным в области
противодействия  техническим   разведкам   и   технической   защиты
информации, в пределах их полномочий в части, касающейся выполнения
установленных требований о защите информации.
     Техническое  задание  на  создание  системы  должно   включать
сформированные   в   соответствии   с   подпунктом "а"   пункта 1-1
настоящего документа требования к защите информации, содержащейся в
системе.".
     3. Пункт 4 изложить в следующей редакции:
     "4. Техническое задание на создание  системы  и  модель  угроз
безопасности  информации  утверждаются  должностным  лицом   органа
исполнительной  власти,  на   которое   возложены   соответствующие
полномочия.".
     4. Пункт 6 после слов "проектных  решений"  дополнить  словами
"(в том числе по защите информации)".
     5. В пункте 7:
     а) абзац первый после слов "характеристик (качества)  системы"
дополнить словами "(в том числе по защите информации)";
     б) подпункт   "б"   дополнить    словами    "и    компонентов,
обеспечивающих защиту информации".
     6. Пункт 8  дополнить  словами  ",  а  также  в  установленных
случаях  и   порядке   сертификацию   разработанного   программного
обеспечения системы и  средств  защиты  информации  по  требованиям
безопасности информации".
     7. Пункт 9  дополнить  словами  ",  включая  средства   защиты
информации".
     8. Пункты 14 и 15 изложить в следующей редакции:
     "14. Правовой акт органа исполнительной власти о вводе системы
в эксплуатацию включает:
     а) мероприятия      по      разработке      и      утверждению
организационно-распорядительных      документов,       определяющих
мероприятия по  защите  информации  в  ходе  эксплуатации  системы,
разработка которых предусмотрена нормативными  правовыми  актами  и
методическими документами федерального органа исполнительной власти
в  области   обеспечения   безопасности   и   федерального   органа
исполнительной власти, уполномоченного  в  области  противодействия
техническим разведкам и  технической  защиты  информации,  а  также
национальными стандартами в области защиты информации;
     б) мероприятия по аттестации  системы  по  требованиям  защиты
информации, в результате которых в установленных  законодательством
Российской Федерации  случаях  подтверждается  соответствие  защиты
информации, содержащейся в  системе,  требованиям,  предусмотренным
законодательством    Российской    Федерации     об     информации,
информационных технологиях и о защите информации;
     в) мероприятия по подготовке органа  исполнительной  власти  к
эксплуатации системы;
     г) мероприятия   по   подготовке   должностных   лиц    органа
исполнительной  власти  к  эксплуатации   системы,   включая   лиц,
ответственных за обеспечение защиты информации.
     15. Ввод системы в эксплуатацию  не  допускается  в  следующих
случаях:
     а) невыполнение  установленных  законодательством   Российской
Федерации  требований  о  защите  информации,  включая   отсутствие
действующего  аттестата   соответствия   требованиям   безопасности
информации;
     б) отсутствие в реестре территориального  размещения  объектов
контроля,   предусмотренном   Правилами   осуществления    контроля
за размещением   технических   средств    информационных    систем,
используемых   государственными   органами,    органами    местного
самоуправления,  государственными   и   муниципальными   унитарными
предприятиями,  государственными  и  муниципальными   учреждениями,
на территории Российской  Федерации,  утвержденными  постановлением
Правительства  Российской  Федерации  от   6 июля   2015 г.   № 675
"О порядке  осуществления  контроля  за   соблюдением   требований,
предусмотренных   частью 2-1   статьи 13   и   частью 6   статьи 14
Федерального закона "Об информации, информационных технологиях и  о
защите  информации",  сведений  о  размещении  технических  средств
информационной системы на территории Российской Федерации;
     в) невыполнение требований настоящего  раздела,  выявленных  в
ходе   осуществления   контроля   в   соответствии   с    Правилами
осуществления  контроля  за  соблюдением   требований   к   порядку
создания, развития, ввода в эксплуатацию, эксплуатации и вывода  из
эксплуатации государственных информационных  систем  и  дальнейшего
хранения содержащейся в их базах данных  информации,  утвержденными
постановлением Правительства Российской Федерации от 6 июля 2015 г.
№ 675 "О порядке осуществления контроля за соблюдением  требований,
предусмотренных   частью 2-1   статьи 13   и   частью 6   статьи 14
Федерального закона "Об информации, информационных технологиях и  о
защите информации".".
     9. Дополнить пунктом 19-1 следующего содержания:
     "19-1. Эксплуатация  системы   не   допускается   в   случаях,
указанных в части 7 статьи 14 Федерального  закона  "Об информации,
информационных технологиях  и  о  защите  информации",  а  также  в
пункте 15 настоящего документа.".
     10. Подпункт "в" пункта 22 дополнить  словами  "и  обеспечения
защиты  информации,  содержащейся  в  выводимой   из   эксплуатации
системе".
     11. Пункт 23 дополнить подпунктом "в" следующего содержания:
     "в) обеспечение   защиты   информации   в    соответствии    с
документацией   на   систему   и   организационно-распорядительными
документами  по  защите  информации,  в  том  числе   архивирование
информации, содержащейся в системе, уничтожение (стирание) данных и
остаточной  информации  с  машинных  носителей  информации  и (или)
уничтожение машинных носителей информации.".


                           ____________