Документ предоставлен КонсультантПлюс
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
О ТРЕБОВАНИЯХ
Список изменяющих документов
В соответствии с частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации " Правительство Российской Федерации постановляет:
1. Утвердить прилагаемые требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации.
2. Установить, что мероприятия, предусмотренные требованиями, утвержденными настоящим постановлением, осуществляются федеральными органами исполнительной власти в пределах бюджетных ассигнований , предусмотренных федеральным законом о федеральном бюджете на соответствующий финансовый год и плановый период на руководство и управление в сфере установленных функций.
3. Рекомендовать иным государственным органам, помимо федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации, а также органам управления государственными внебюджетными фондами, органам местного самоуправления руководствоваться в своей деятельности требованиями, утвержденными настоящим постановлением.
Председатель Правительства
Российской Федерации
Д. МЕДВЕДЕВ
Утверждены
постановлением Правительства
Российской Федерации
ТРЕБОВАНИЯ
К ПОРЯДКУ СОЗДАНИЯ, РАЗВИТИЯ, ВВОДА В ЭКСПЛУАТАЦИЮ,
ЭКСПЛУАТАЦИИ И ВЫВОДА ИЗ ЭКСПЛУАТАЦИИ ГОСУДАРСТВЕННЫХ
ИНФОРМАЦИОННЫХ СИСТЕМ И ДАЛЬНЕЙШЕГО ХРАНЕНИЯ
Список изменяющих документов
(в ред. Постановления Правительства РФ от 01.01.2001 N 1235)
I. Общие положения
1. Настоящий документ определяет требования к порядку реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем и дальнейшему хранению содержащейся в их базах данных информации, осуществляемых федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации (далее соответственно - система, органы исполнительной власти) в целях повышения эффективности реализации полномочий органов исполнительной власти в результате использования информационно-коммуникационных технологий.
II. Требования к порядку создания системы
2. Основанием для создания системы является:
а) обязанность органа исполнительной власти по созданию системы, предусмотренная нормативными правовыми актами ;
б) решение органа исполнительной власти о создании системы с целью обеспечения реализации возложенных на него полномочий.
3. Создание системы осуществляется в соответствии с техническим заданием , утвержденным органом исполнительной власти или являющимся неотъемлемой частью документации о закупке товаров, работ, услуг для обеспечения государственных нужд.
4. Техническое задание на создание системы утверждается должностным лицом органа исполнительной власти, на которое в соответствии с распределением обязанностей возложены полномочия по утверждению таких технических заданий.
5. Порядок создания системы включает следующие последовательно реализуемые этапы:
а) разработка документации на систему и ее части;
б) разработка рабочей документации на систему и ее части;
в) разработка или адаптация программного обеспечения ;
г) пусконаладочные работы;
д) проведение предварительных испытаний системы;
е) проведение опытной эксплуатации системы;
ж) проведение приемочных испытаний системы.
6. Этап разработки документации на систему и ее части включает разработку, согласование и утверждение документации в объеме, необходимом для описания полной совокупности проектных решений и достаточном для дальнейшего выполнения работ по созданию системы.
7. Этап разработки рабочей документации на систему и ее части включает разработку, согласование и утверждение документации, содержащей сведения, необходимые для выполнения работ по вводу системы в эксплуатацию и ее эксплуатации, и порядка эксплуатации системы, содержащего сведения, необходимые для выполнения работ по поддержанию уровня эксплуатационных характеристик (качества) системы, установленных в проектных решениях, указанных в пункте 6 настоящего документа, в том числе:
а) перечень действий сотрудников при выполнении задач по эксплуатации системы, включая перечень, виды, объемы и периодичность выполнения работ по обеспечению функционирования системы;
б) контроль работоспособности системы;
в) перечень неисправностей, которые могут возникнуть в процессе эксплуатации системы, и рекомендации в отношении действий при их возникновении;
г) перечень режимов работы системы и их характеристики, а также порядок и правила перевода системы с одного режима работы на другой с указанием необходимого для этого времени.
8. Этап разработки или адаптации программного обеспечения включает разработку программного обеспечения системы, выбор и адаптацию приобретаемого программного обеспечения.
9. Этап пусконаладочных работ включает автономную наладку технических средств и программного обеспечения частей системы, загрузку информации в ее базу данных, комплексную наладку технических средств и программного обеспечения системы.
10. Этап проведения предварительных испытаний включает:
а) разработку программы и методики предварительных испытаний, в соответствии с которыми осуществляется проверка системы на работоспособность и соответствие техническому заданию на ее создание;
б) проверку системы на работоспособность и соответствие техническому заданию на ее создание;
в) устранение выявленных при проведении таких испытаний неисправностей и внесение изменений в документацию и рабочую документацию на систему;
г) оформление протокола испытаний и акта о приемке системы в опытную эксплуатацию.
11. Этап проведения опытной эксплуатации включает:
а) разработку программы и методики опытной эксплуатации;
б) опытную эксплуатацию системы в соответствии с программой и методикой опытной эксплуатации;
в) доработку программного обеспечения системы и дополнительную наладку технических средств в случае обнаружения недостатков, выявленных при опытной эксплуатации системы;
г) оформление акта о завершении опытной эксплуатации, включающего перечень недостатков, которые необходимо устранить до начала эксплуатации системы.
12. Этап проведения приемочных испытаний включает:
а) испытания системы на соответствие техническому заданию на ее создание в соответствии с программой и методикой приемочных испытаний;
б) анализ результатов устранения недостатков, указанных в акте о завершении опытной эксплуатации;
в) оформление акта о приемке системы в эксплуатацию.
III. Требования к порядку ввода системы в эксплуатацию
13. Основанием для ввода системы в эксплуатацию является правовой акт органа исполнительной власти о вводе системы в эксплуатацию, определяющий перечень мероприятий по обеспечению ввода системы в эксплуатацию и устанавливающий срок начала эксплуатации.
14. Правовой акт органа исполнительной власти о вводе системы в эксплуатацию включает:
а) мероприятия по подготовке органа исполнительной власти к эксплуатации системы;
б) мероприятия по подготовке должностных лиц органа исполнительной власти к эксплуатации системы.
15. Ввод системы в эксплуатацию не допускается в случаях:
а) отсутствия в реестре территориального размещения объектов контроля, предусмотренном Правилами осуществления контроля за размещением технических средств информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями , государственными и муниципальными учреждениями, на территории Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. N 675 "О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2.1 статьи 13 и частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации", сведений о размещении технических средств информационной системы на территории Российской Федерации;
б) невыполнения требований настоящего раздела, выявленных в ходе осуществления контроля в соответствии с Правилами осуществления контроля за соблюдением требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденными постановлением Правительства Российской Федерации, указанным в подпункте "а" настоящего пункта.
(п. 15 в ред. Постановления Правительства РФ от 01.01.2001 N 1235)
16. Срок начала эксплуатации системы не может быть ранее срока окончания последнего мероприятия, предусмотренного правовым актом органа исполнительной власти о вводе системы в эксплуатацию.
IV. Требования к порядку развития системы
17. Мероприятия по развитию системы осуществляются в соответствии с требованиями, установленными для создания системы.
V. Требования к порядку эксплуатации системы
18. Основанием для начала эксплуатации системы является наступление срока, установленного правовым актом органа исполнительной власти о вводе системы в эксплуатацию, указанным в пункте 13 настоящего документа.
19. Орган исполнительной власти осуществляет эксплуатацию системы в соответствии с рабочей документацией, указанной в пункте 7 настоящего документа.
VI. Требования к порядку вывода системы
из эксплуатации и дальнейшего хранения содержащейся
в ее базах данных информации
20. Основанием для вывода системы из эксплуатации является:
а) завершение срока эксплуатации системы, в случае если такой срок был установлен правовым актом органа исполнительной власти о вводе системы в эксплуатацию;
б) нецелесообразность эксплуатации системы, в том числе низкая эффективность используемых технических средств и программного обеспечения, изменение правового регулирования, принятие управленческих решений, а также наличие иных изменений, препятствующих эксплуатации системы;
в) финансово-экономическая неэффективность эксплуатации системы.
21. При наличии одного или нескольких оснований для вывода системы из эксплуатации, указанных в пункте 20 настоящего документа, орган исполнительной власти утверждает правовой акт о выводе системы из эксплуатации.
22. Правовой акт о выводе системы из эксплуатации включает:
а) основание для вывода системы из эксплуатации;
б) перечень и сроки реализации мероприятий по выводу системы из эксплуатации;
в) порядок, сроки, режим хранения и дальнейшего использования информационных ресурсов, включая порядок обеспечения доступа к информационным ресурсам выводимой из эксплуатации системы;
г) порядок, сроки и способы информирования пользователей о выводе системы из эксплуатации.
23. Перечень мероприятий по выводу системы из эксплуатации включает:
а) подготовку правовых актов, связанных с выводом системы из эксплуатации;
б) работы по выводу системы из эксплуатации, в том числе работы по деинсталляции программного обеспечения системы, по реализации прав на программное обеспечение системы, демонтажу и списанию технических средств системы, обеспечению хранения и дальнейшего использования информационных ресурсов системы.
24. Если нормативными правовыми актами Российской Федерации не установлено иное, то сроки хранения информации, содержащейся в базах данных системы, определяются органом исполнительной власти и не могут быть меньше сроков хранения информации, которые установлены для хранения документов в бумажном виде, содержащих такую информацию.
25. Срок вывода системы из эксплуатации не может быть ранее срока окончания последнего мероприятия, предусмотренного правовым актом о выводе системы из эксплуатации.
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации
Документ с изменениями, внесенными:
постановлением Правительства Российской Федерации от 14 ноября 2015 года N 1235 (Официальный интернет-портал правовой информации www.pravo.gov.ru, 20.11.2015, N 0001201511200024) (о порядке вступления в силу см. пункт 5 постановления Правительства Российской Федерации от 14 ноября 2015 года N 1235);
(Официальный интернет-портал правовой информации www.pravo.gov.ru, 15.05.2017, N 0001201705150007) (о порядке вступления в силу см. пункт 2 постановления Правительства Российской Федерации от 11 мая 2017 года N 555);
(Официальный интернет-портал правовой информации www.pravo.gov.ru, 19.04.2019, N 0001201904190009).
____________________________________________________________________
В соответствии с частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации" Правительство Российской Федерации
постановляет:
1. Утвердить прилагаемые требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации.
2. Установить, что мероприятия, предусмотренные требованиями, утвержденными настоящим постановлением, осуществляются федеральными органами исполнительной власти в пределах бюджетных ассигнований, предусмотренных федеральным законом о федеральном бюджете на соответствующий финансовый год и плановый период на руководство и управление в сфере установленных функций.
3. Рекомендовать иным государственным органам, помимо федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации, а также органам управления государственными внебюджетными фондами, органам местного самоуправления руководствоваться в своей деятельности требованиями, утвержденными настоящим постановлением.
Председатель Правительства
Российской Федерации
Д.Медведев
Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации
УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 6 июля 2015 года N 676
I. Общие положения
1. Настоящий документ определяет требования к порядку реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем (далее - система) и дальнейшему хранению содержащейся в их базах данных информации, осуществляемых федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации (далее - органы исполнительной власти) в целях повышения эффективности реализации полномочий органов исполнительной власти в результате использования информационно-коммуникационных технологий либо органами исполнительной власти, выступающими в качестве публичных партнеров, и частными партнерами в соответствии с соглашениями о государственно-частном партнерстве (далее - частный партнер) в целях реализации указанных соглашений.
постановлением Правительства Российской Федерации от 11 апреля 2019 года N 420 .
1_1. При реализации органами исполнительной власти либо частными партнерами мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем и дальнейшему хранению содержащейся в их базах данных информации должны выполняться:
постановлением Правительства Российской Федерации от 11 апреля 2019 года N 420 .
а) требования о защите информации, содержащейся в системах, устанавливаемые федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий;
б) требования к организации и мерам защиты информации, содержащейся в системе;
в) требования о защите персональных данных, предусмотренные частью 3 статьи 19 Федерального закона "О персональных данных" (в случае наличия в системе персональных данных).
постановлением Правительства Российской Федерации от 11 апреля 2019 года N 420)
постановлением Правительства Российской Федерации от 11 мая 2017 года N 555)
1_2. В целях выполнения требований о защите информации, предусмотренных пунктом 1_1 настоящего документа (далее - требования о защите информации), органы исполнительной власти определяют требования к защите информации, содержащейся в системе органа исполнительной власти, для чего осуществляют:
а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;
б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать система;
в) классификацию системы в соответствии с требованиями о защите информации;
г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации;
д) определение требований к информационной системе (подсистеме) защиты информации, содержащейся в системе.
(Пункт дополнительно включен с 23 мая 2017 года постановлением Правительства Российской Федерации от 11 мая 2017 года N 555)
II. Требования к порядку создания системы
2. Основанием для создания системы является:
а) обязанность органа исполнительной власти по созданию системы, предусмотренная нормативными правовыми актами;
б) решение органа исполнительной власти о создании системы с целью обеспечения реализации возложенных на него полномочий;
в) решение Правительства Российской Федерации о реализации проекта государственно-частного партнерства;
(Подпункт дополнительно включен с 27 апреля 2019 года постановлением Правительства Российской Федерации от 11 апреля 2019 года N 420)
г) решение высшего исполнительного органа государственной власти субъекта Российской Федерации, если публичным партнером является субъект Российской Федерации либо планируется проведение совместного конкурса с участием субъекта Российской Федерации (за исключением случаев проведения совместного конкурса с участием Российской Федерации).
(Подпункт дополнительно включен с 27 апреля 2019 года постановлением Правительства Российской Федерации от 11 апреля 2019 года N 420)
3. Создание системы осуществляется в соответствии с техническим заданием с учетом модели угроз безопасности информации, предусмотренной подпунктом "г" пункта 1_2 настоящего документа, а также уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных и требований настоящего документа.
(Абзац в редакции, введенной в действие с 27 апреля 2019 года постановлением Правительства Российской Федерации от 11 апреля 2019 года N 420 .
Модель угроз безопасности информации и (или) техническое задание на создание системы согласуются с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации.
Техническое задание на создание системы должно включать сформированные в соответствии с подпунктами "а" и "в" пункта 1_1 настоящего документа требования к защите информации, содержащейся в системе.
(Абзац в редакции, введенной в действие с 27 апреля 2019 года постановлением Правительства Российской Федерации от 11 апреля 2019 года N 420 .
постановлением Правительства Российской Федерации от 11 мая 2017 года N 555 .
4. Техническое задание на создание системы и модель угроз безопасности информации утверждаются должностным лицом органа исполнительной власти, на которое возложены соответствующие полномочия.
(Пункт в редакции, введенной в действие с 23 мая 2017 года постановлением Правительства Российской Федерации от 11 мая 2017 года N 555 .
5. Порядок создания системы включает следующие последовательно реализуемые этапы:
а) разработка документации на систему и ее части;
б) разработка рабочей документации на систему и ее части;
в) разработка или адаптация программного обеспечения;
г) пусконаладочные работы;
д) проведение предварительных испытаний системы;
е) проведение опытной эксплуатации системы;
ж) проведение приемочных испытаний системы.
6. Этап разработки документации на систему и ее части включает разработку, согласование и утверждение документации в объеме, необходимом для описания полной совокупности проектных решений (в том числе по защите информации) и достаточном для дальнейшего выполнения работ по созданию системы.
(Пункт в редакции, введенной в действие с 23 мая 2017 года постановлением Правительства Российской Федерации от 11 мая 2017 года N 555 .
7. Этап разработки рабочей документации на систему и ее части включает разработку, согласование и утверждение документации, содержащей сведения, необходимые для выполнения работ по вводу системы в эксплуатацию и ее эксплуатации, и порядка эксплуатации системы, содержащего сведения, необходимые для выполнения работ по поддержанию уровня эксплуатационных характеристик (качества) системы (в том числе по защите информации), установленных в проектных решениях, указанных в пункте 6 настоящего документа, в том числе:
(Абзац в редакции, введенной в действие с 23 мая 2017 года постановлением Правительства Российской Федерации от 11 мая 2017 года N 555 .
а) перечень действий сотрудников при выполнении задач по эксплуатации системы, включая перечень, виды, объемы и периодичность выполнения работ по обеспечению функционирования системы;
б) контроль работоспособности системы и компонентов, обеспечивающих защиту информации;
постановлением Правительства Российской Федерации от 11 мая 2017 года N 555 .
в) перечень неисправностей, которые могут возникнуть в процессе эксплуатации системы, и рекомендации в отношении действий при их возникновении;
г) перечень режимов работы системы и их характеристики, а также порядок и правила перевода системы с одного режима работы на другой с указанием необходимого для этого времени.
8. Этап разработки или адаптации программного обеспечения включает разработку программного обеспечения системы, выбор и адаптацию приобретаемого программного обеспечения, а также в установленных случаях и порядке сертификацию разработанного программного обеспечения системы и средств защиты информации по требованиям безопасности информации.
(Пункт в редакции, введенной в действие с 23 мая 2017 года постановлением Правительства Российской Федерации от 11 мая 2017 года N 555 .
9. Этап пусконаладочных работ включает автономную наладку технических средств и программного обеспечения частей системы, загрузку информации в ее базу данных, комплексную наладку технических средств и программного обеспечения системы, включая средства защиты информации.
(Пункт в редакции, введенной в действие с 23 мая 2017 года постановлением Правительства Российской Федерации от 11 мая 2017 года N 555 .
10. Этап проведения предварительных испытаний включает:
а) разработку программы и методики предварительных испытаний, в соответствии с которыми осуществляется проверка системы на работоспособность и соответствие техническому заданию на ее создание;
б) проверку системы на работоспособность и соответствие техническому заданию на ее создание;
в) устранение выявленных при проведении таких испытаний неисправностей и внесение изменений в документацию и рабочую документацию на систему;
г) оформление протокола испытаний и акта о приемке системы в опытную эксплуатацию.
11. Этап проведения опытной эксплуатации включает:
а) разработку программы и методики опытной эксплуатации;
б) опытную эксплуатацию системы в соответствии с программой и методикой опытной эксплуатации;
в) доработку программного обеспечения системы и дополнительную наладку технических средств в случае обнаружения недостатков, выявленных при опытной эксплуатации системы;
г) оформление акта о завершении опытной эксплуатации, включающего перечень недостатков, которые необходимо устранить до начала эксплуатации системы.
12. Этап проведения приемочных испытаний включает:
а) испытания системы на соответствие техническому заданию на ее создание в соответствии с программой и методикой приемочных испытаний;
б) анализ результатов устранения недостатков, указанных в акте о завершении опытной эксплуатации;
в) оформление акта о приемке системы в эксплуатацию.
III. Требования к порядку ввода системы в эксплуатацию
13. Основанием для ввода системы в эксплуатацию является правовой акт органа исполнительной власти о вводе системы в эксплуатацию, определяющий перечень мероприятий по обеспечению ввода системы в эксплуатацию и устанавливающий срок начала эксплуатации.
14. Правовой акт органа исполнительной власти о вводе системы в эксплуатацию включает:
а) мероприятия по разработке и утверждению организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы, разработка которых предусмотрена нормативными правовыми актами и методическими документами федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также национальными стандартами в области защиты информации;
б) мероприятия по аттестации системы по требованиям защиты информации, в результате которых в установленных законодательством Российской Федерации случаях подтверждается соответствие защиты информации, содержащейся в системе, требованиям, предусмотренным законодательством Российской Федерации об информации, информационных технологиях и о защите информации;
в) мероприятия по подготовке органа исполнительной власти, а также частного партнера в случае заключения соглашения о государственно-частном партнерстве к эксплуатации системы;
постановлением Правительства Российской Федерации от 11 апреля 2019 года N 420 .
г) мероприятия по подготовке должностных лиц органа исполнительной власти, а также работников частного партнера в случае заключения соглашения о государственно-частном партнерстве к эксплуатации системы, включая лиц, ответственных за обеспечение защиты информации.
(Подпункт в редакции, введенной в действие с 27 апреля 2019 года постановлением Правительства Российской Федерации от 11 апреля 2019 года N 420 .
(Пункт в редакции, введенной в действие с 23 мая 2017 года постановлением Правительства Российской Федерации от 11 мая 2017 года N 555 .
15. Ввод системы в эксплуатацию не допускается в следующих случаях:
а) невыполнение установленных законодательством Российской Федерации требований о защите информации, включая отсутствие действующего аттестата соответствия требованиям безопасности информации;
б) отсутствие в реестре территориального размещения объектов контроля, предусмотренном Правилами осуществления контроля за размещением технических средств информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями, государственными и муниципальными учреждениями, на территории Российской Федерации , утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. N 675 "О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2_1 статьи 13 и частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации" , сведений о размещении технических средств информационной системы на территории Российской Федерации;
в) невыполнение требований настоящего раздела, выявленных в ходе осуществления контроля в соответствии с Правилами осуществления контроля за соблюдением требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации , утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. N 675 "О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2_1 статьи 13 и частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации".
(Пункт в редакции, введенной в действие с 23 мая 2017 года постановлением Правительства Российской Федерации от 11 мая 2017 года N 555 .
16. Срок начала эксплуатации системы не может быть ранее срока окончания последнего мероприятия, предусмотренного правовым актом органа исполнительной власти о вводе системы в эксплуатацию.
IV. Требования к порядку развития системы
17. Мероприятия по развитию системы осуществляются в соответствии с требованиями, установленными для создания системы.
V. Требования к порядку эксплуатации системы
18. Основанием для начала эксплуатации системы является наступление срока, установленного правовым актом органа исполнительной власти о вводе системы в эксплуатацию, указанным в пункте 13 настоящего документа.
19. Орган исполнительной власти или частный партнер осуществляют эксплуатацию системы в соответствии с рабочей документацией, указанной в пункте 7 настоящего документа.
(Пункт в редакции, введенной в действие с 27 апреля 2019 года постановлением Правительства Российской Федерации от 11 апреля 2019 года N 420 .
19_1. Эксплуатация системы не допускается в случаях, указанных в части 7 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации" , а также в пункте 15 настоящего документа.
(Пункт дополнительно включен с 1 января 2019 года постановлением Правительства Российской Федерации от 11 мая 2017 года N 555)
VI. Требования к порядку вывода системы из эксплуатации и дальнейшего хранения содержащейся в ее базах данных информации
20. Основанием для вывода системы из эксплуатации является:
а) завершение срока эксплуатации системы, в случае если такой срок был установлен правовым актом органа исполнительной власти о вводе системы в эксплуатацию;
б) нецелесообразность эксплуатации системы, в том числе низкая эффективность используемых технических средств и программного обеспечения, изменение правового регулирования, принятие управленческих решений, а также наличие иных изменений, препятствующих эксплуатации системы;
в) финансово-экономическая неэффективность эксплуатации системы.
21. При наличии одного или нескольких оснований для вывода системы из эксплуатации, указанных в пункте 20 настоящего документа, орган исполнительной власти утверждает правовой акт о выводе системы из эксплуатации.
22. Правовой акт о выводе системы из эксплуатации включает:
а) основание для вывода системы из эксплуатации;
б) перечень и сроки реализации мероприятий по выводу системы из эксплуатации;
в) порядок, сроки, режим хранения и дальнейшего использования информационных ресурсов, включая порядок обеспечения доступа к информационным ресурсам выводимой из эксплуатации системы и обеспечения защиты информации, содержащейся в выводимой из эксплуатации системе;
(Подпункт в редакции, введенной в действие с 23 мая 2017 года постановлением Правительства Российской Федерации от 11 мая 2017 года N 555 .
г) порядок, сроки и способы информирования пользователей о выводе системы из эксплуатации.
23. Перечень мероприятий по выводу системы из эксплуатации включает:
а) подготовку правовых актов, связанных с выводом системы из эксплуатации;
б) работы по выводу системы из эксплуатации, в том числе работы по деинсталляции программного обеспечения системы, по реализации прав на программное обеспечение системы, демонтажу и списанию технических средств системы, обеспечению хранения и дальнейшего использования информационных ресурсов системы;
в) обеспечение защиты информации в соответствии с документацией на систему и организационно-распорядительными документами по защите информации, в том числе архивирование информации, содержащейся в системе, уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.
(Подпункт дополнительно включен с 23 мая 2017 года постановлением Правительства Российской Федерации от 11 мая 2017 года N 555)
24. Если нормативными правовыми актами Российской Федерации не установлено иное, то сроки хранения информации, содержащейся в базах данных системы, определяются органом исполнительной власти и не могут быть меньше сроков хранения информации, которые установлены для хранения документов в бумажном виде, содержащих такую информацию.
25. Срок вывода системы из эксплуатации не может быть ранее срока окончания последнего мероприятия, предусмотренного правовым актом о выводе системы из эксплуатации.
Редакция документа с учетом
изменений и дополнений подготовлена
АО "Кодекс"
(в ред. Постановлений Правительства РФ от 14.11.2015 № 1235, от 11.05.2017 № 555)
В соответствии с частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемые требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации.
2. Установить, что мероприятия, предусмотренные требованиями, утвержденными настоящим постановлением, осуществляются федеральными органами исполнительной власти в пределах бюджетных ассигнований, предусмотренных федеральным законом о федеральном бюджете на соответствующий финансовый год и плановый период на руководство и управление в сфере установленных функций.
3. Рекомендовать иным государственным органам, помимо федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации, а также органам управления государственными внебюджетными фондами, органам местного самоуправления руководствоваться в своей деятельности требованиями, утвержденными настоящим постановлением.
Председатель Правительства
Российской Федерации
Д.Медведев
Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации
Утверждены
постановлением Правительства
Российской Федерации
от 6 июля 2015 г. № 676
I. Общие положения
1. Настоящий документ определяет требования к порядку реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем и дальнейшему хранению содержащейся в их базах данных информации, осуществляемых федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации (далее соответственно - система, органы исполнительной власти) в целях повышения эффективности реализации полномочий органов исполнительной власти в результате использования информационно-коммуникационных технологий.
1(1). При реализации органами исполнительной власти мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем и дальнейшему хранению содержащейся в их базах данных информации должны выполняться:
а) требования о защите информации, содержащейся в системах, устанавливаемые федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий;
б) требования к организации и мерам защиты информации, содержащейся в системе.
1(2). В целях выполнения требований о защите информации, предусмотренных пунктом 1(1) настоящего документа (далее - требования о защите информации), органы исполнительной власти определяют требования к защите информации, содержащейся в системе органа исполнительной власти, для чего осуществляют:
а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;
б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать система;
в) классификацию системы в соответствии с требованиями о защите информации;
г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации;
д) определение требований к информационной системе (подсистеме) защиты информации, содержащейся в системе.
II. Требования к порядку создания системы
2. Основанием для создания системы является:
а) обязанность органа исполнительной власти по созданию системы, предусмотренная нормативными правовыми актами;
б) решение органа исполнительной власти о создании системы с целью обеспечения реализации возложенных на него полномочий.
3. Создание системы осуществляется в соответствии с техническим заданием с учетом модели угроз безопасности информации, предусмотренной подпунктом «г» пункта 1(2) настоящего документа.
Модель угроз безопасности информации и (или) техническое задание на создание системы согласуются с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации.
Техническое задание на создание системы должно включать сформированные в соответствии с подпунктом «а» пункта 1(1) настоящего документа требования к защите информации, содержащейся в системе.
4. Техническое задание на создание системы и модель угроз безопасности информации утверждаются должностным лицом органа исполнительной власти, на которое возложены соответствующие полномочия.
5. Порядок создания системы включает следующие последовательно реализуемые этапы:
а) разработка документации на систему и ее части;
б) разработка рабочей документации на систему и ее части;
в) разработка или адаптация программного обеспечения;
г) пусконаладочные работы;
д) проведение предварительных испытаний системы;
е) проведение опытной эксплуатации системы;
ж) проведение приемочных испытаний системы.
6. Этап разработки документации на систему и ее части включает разработку, согласование и утверждение документации в объеме, необходимом для описания полной совокупности проектных решений (в том числе по защите информации) и достаточном для дальнейшего выполнения работ по созданию системы.
7. Этап разработки рабочей документации на систему и ее части включает разработку, согласование и утверждение документации, содержащей сведения, необходимые для выполнения работ по вводу системы в эксплуатацию и ее эксплуатации, и порядка эксплуатации системы, содержащего сведения, необходимые для выполнения работ по поддержанию уровня эксплуатационных характеристик (качества) системы (в том числе по защите информации), установленных в проектных решениях, указанных в пункте 6 настоящего документа, в том числе:
а) перечень действий сотрудников при выполнении задач по эксплуатации системы, включая перечень, виды, объемы и периодичность выполнения работ по обеспечению функционирования системы;
б) контроль работоспособности системы и компонентов, обеспечивающих защиту информации;
в) перечень неисправностей, которые могут возникнуть в процессе эксплуатации системы, и рекомендации в отношении действий при их возникновении;
г) перечень режимов работы системы и их характеристики, а также порядок и правила перевода системы с одного режима работы на другой с указанием необходимого для этого времени.
8. Этап разработки или адаптации программного обеспечения включает разработку программного обеспечения системы, выбор и адаптацию приобретаемого программного обеспечения, а также в установленных случаях и порядке сертификацию разработанного программного обеспечения системы и средств защиты информации по требованиям безопасности информации.
9. Этап пусконаладочных работ включает автономную наладку технических средств и программного обеспечения частей системы, загрузку информации в ее базу данных, комплексную наладку технических средств и программного обеспечения системы, включая средства защиты информации.
10. Этап проведения предварительных испытаний включает:
а) разработку программы и методики предварительных испытаний, в соответствии с которыми осуществляется проверка системы на работоспособность и соответствие техническому заданию на ее создание;
б) проверку системы на работоспособность и соответствие техническому заданию на ее создание;
в) устранение выявленных при проведении таких испытаний неисправностей и внесение изменений в документацию и рабочую документацию на систему;
г) оформление протокола испытаний и акта о приемке системы в опытную эксплуатацию.
11. Этап проведения опытной эксплуатации включает:
а) разработку программы и методики опытной эксплуатации;
б) опытную эксплуатацию системы в соответствии с программой и методикой опытной эксплуатации;
в) доработку программного обеспечения системы и дополнительную наладку технических средств в случае обнаружения недостатков, выявленных при опытной эксплуатации системы;
г) оформление акта о завершении опытной эксплуатации, включающего перечень недостатков, которые необходимо устранить до начала эксплуатации системы.
12. Этап проведения приемочных испытаний включает:
а) испытания системы на соответствие техническому заданию на ее создание в соответствии с программой и методикой приемочных испытаний;
б) анализ результатов устранения недостатков, указанных в акте о завершении опытной эксплуатации;
в) оформление акта о приемке системы в эксплуатацию.
III. Требования к порядку ввода системы в эксплуатацию
13. Основанием для ввода системы в эксплуатацию является правовой акт органа исполнительной власти о вводе системы в эксплуатацию, определяющий перечень мероприятий по обеспечению ввода системы в эксплуатацию и устанавливающий срок начала эксплуатации.
14. Правовой акт органа исполнительной власти о вводе системы в эксплуатацию включает:
а) мероприятия по разработке и утверждению организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы, разработка которых предусмотрена нормативными правовыми актами и методическими документами федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также национальными стандартами в области защиты информации;
б) мероприятия по аттестации системы по требованиям защиты информации, в результате которых в установленных законодательством Российской Федерации случаях подтверждается соответствие защиты информации, содержащейся в системе, требованиям, предусмотренным законодательством Российской Федерации об информации, информационных технологиях и о защите информации;
в) мероприятия по подготовке органа исполнительной власти к эксплуатации системы;
г) мероприятия по подготовке должностных лиц органа исполнительной власти к эксплуатации системы, включая лиц, ответственных за обеспечение защиты информации.
15. Ввод системы в эксплуатацию не допускается в следующих случаях:
а) невыполнение установленных законодательством Российской Федерации требований о защите информации, включая отсутствие действующего аттестата соответствия требованиям безопасности информации;
б) отсутствие в реестре территориального размещения объектов контроля, предусмотренном Правилами осуществления контроля за размещением технических средств информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями, государственными и муниципальными учреждениями, на территории Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. № 675 «О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2.1 статьи 13 и частью 6 статьи 14 Федерального закона «Об информации, информационных технологиях и о защите информации», сведений о размещении технических средств информационной системы на территории Российской Федерации;
в) невыполнение требований настоящего раздела, выявленных в ходе осуществления контроля в соответствии с Правилами осуществления контроля за соблюдением требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. № 675 «О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2.1 статьи 13 и частью 6 статьи 14 Федерального закона «Об информации, информационных технологиях и о защите информации».
16. Срок начала эксплуатации системы не может быть ранее срока окончания последнего мероприятия, предусмотренного правовым актом органа исполнительной власти о вводе системы в эксплуатацию.
IV. Требования к порядку развития системы
17. Мероприятия по развитию системы осуществляются в соответствии с требованиями, установленными для создания системы.
V. Требования к порядку эксплуатации системы
18. Основанием для начала эксплуатации системы является наступление срока, установленного правовым актом органа исполнительной власти о вводе системы в эксплуатацию, указанным в пункте 13 настоящего документа.
19. Орган исполнительной власти осуществляет эксплуатацию системы в соответствии с рабочей документацией, указанной в пункте 7 настоящего документа.
VI. Требования к порядку вывода системы из эксплуатации и дальнейшего хранения содержащейся в ее базах данных информации
20. Основанием для вывода системы из эксплуатации является:
а) завершение срока эксплуатации системы, в случае если такой срок был установлен правовым актом органа исполнительной власти о вводе системы в эксплуатацию;
б) нецелесообразность эксплуатации системы, в том числе низкая эффективность используемых технических средств и программного обеспечения, изменение правового регулирования, принятие управленческих решений, а также наличие иных изменений, препятствующих эксплуатации системы;
в) финансово-экономическая неэффективность эксплуатации системы.
21. При наличии одного или нескольких оснований для вывода системы из эксплуатации, указанных в пункте 20 настоящего документа, орган исполнительной власти утверждает правовой акт о выводе системы из эксплуатации.
22. Правовой акт о выводе системы из эксплуатации включает:
а) основание для вывода системы из эксплуатации;
б) перечень и сроки реализации мероприятий по выводу системы из эксплуатации;
в) порядок, сроки, режим хранения и дальнейшего использования информационных ресурсов, включая порядок обеспечения доступа к информационным ресурсам выводимой из эксплуатации системы и обеспечения защиты информации, содержащейся в выводимой из эксплуатации системе;
г) порядок, сроки и способы информирования пользователей о выводе системы из эксплуатации.
23. Перечень мероприятий по выводу системы из эксплуатации включает:
а) подготовку правовых актов, связанных с выводом системы из эксплуатации;
б) работы по выводу системы из эксплуатации, в том числе работы по деинсталляции программного обеспечения системы, по реализации прав на программное обеспечение системы, демонтажу и списанию технических средств системы, обеспечению хранения и дальнейшего использования информационных ресурсов системы;
в) обеспечение защиты информации в соответствии с документацией на систему и организационно-распорядительными документами по защите информации, в том числе архивирование информации, содержащейся в системе, уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.
24. Если нормативными правовыми актами Российской Федерации не установлено иное, то сроки хранения информации, содержащейся в базах данных системы, определяются органом исполнительной власти и не могут быть меньше сроков хранения информации, которые установлены для хранения документов в бумажном виде, содержащих такую информацию.
25. Срок вывода системы из эксплуатации не может быть ранее срока окончания последнего мероприятия, предусмотренного правовым актом о выводе системы из эксплуатации.
Судебная практика и законодательство - Постановление Правительства РФ от 06.07.2015 N 676 (ред. от 11.04.2019) "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"
В) информационно-аналитическое и методическое обеспечение субъектов системы координации, в том числе в части мониторинга соблюдения требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденных постановлением Правительства Российской Федерации от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации";
"О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 6 июля 2015 г. N 676
О ТРЕБОВАНИЯХ К ПОРЯДКУ СОЗДАНИЯ, РАЗВИТИЯ, ВВОДА В ЭКСПЛУАТАЦИЮ, ЭКСПЛУАТАЦИИ И ВЫВОДА ИЗ ЭКСПЛУАТАЦИИ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ И ДАЛЬНЕЙШЕГО ХРАНЕНИЯ СОДЕРЖАЩЕЙСЯ В ИХ БАЗАХ ДАННЫХ ИНФОРМАЦИИ
от 14.11.2015 N 1235 , от 11.05.2017 N 555)
1. Утвердить прилагаемые требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации.
2. Установить, что мероприятия, предусмотренные требованиями, утвержденными настоящим постановлением, осуществляются федеральными органами исполнительной власти в пределах бюджетных ассигнований, предусмотренных федеральным законом о федеральном бюджете на соответствующий финансовый год и плановый период на руководство и управление в сфере установленных функций.
3. Рекомендовать иным государственным органам, помимо федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации, а также органам управления государственными внебюджетными фондами, органам местного самоуправления руководствоваться в своей деятельности требованиями, утвержденными настоящим постановлением.
Председатель Правительства
Российской Федерации
Д. МЕДВЕДЕВ
УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 6 июля 2015 г. N 676
ТРЕБОВАНИЯ
К ПОРЯДКУ СОЗДАНИЯ, РАЗВИТИЯ, ВВОДА В ЭКСПЛУАТАЦИЮ, ЭКСПЛУАТАЦИИ И ВЫВОДА ИЗ ЭКСПЛУАТАЦИИ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ И ДАЛЬНЕЙШЕГО ХРАНЕНИЯ СОДЕРЖАЩЕЙСЯ В ИХ БАЗАХ ДАННЫХ ИНФОРМАЦИИ
(в ред. Постановлений Правительства РФ от 14.11.2015 N 1235 , от 11.05.2017 N 555)
I. Общие положения
1. Настоящий документ определяет требования к порядку реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем и дальнейшему хранению содержащейся в их базах данных информации, осуществляемых федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации (далее соответственно - система, органы исполнительной власти) в целях повышения эффективности реализации полномочий органов исполнительной власти в результате использования информационно-коммуникационных технологий.
1.1. При реализации органами исполнительной власти мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем и дальнейшему хранению содержащейся в их базах данных информации должны выполняться: от 11.05.2017 N 555)
а) требования о защите информации, содержащейся в системах, устанавливаемые федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий; (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
б) требования к организации и мерам защиты информации, содержащейся в системе. (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
1.2. В целях выполнения требований о защите информации, предусмотренных пунктом 1.1 настоящего документа (далее - требования о защите информации), органы исполнительной власти определяют требования к защите информации, содержащейся в системе органа исполнительной власти, для чего осуществляют: (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации; (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать система; (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
в) классификацию системы в соответствии с требованиями о защите информации; (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации; (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
д) определение требований к информационной системе (подсистеме) защиты информации, содержащейся в системе. (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
II. Требования к порядку создания системы
2. Основанием для создания системы является:
а) обязанность органа исполнительной власти по созданию системы, предусмотренная нормативными правовыми актами;
б) решение органа исполнительной власти о создании системы с целью обеспечения реализации возложенных на него полномочий.
3. Создание системы осуществляется в соответствии с техническим заданием с учетом модели угроз безопасности информации, предусмотренной подпунктом "г" пункта 1.2 настоящего документа. (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
Модель угроз безопасности информации и (или) техническое задание на создание системы согласуются с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации. (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
Техническое задание на создание системы должно включать сформированные в соответствии с подпунктом "а" пункта 1.1 настоящего документа требования к защите информации, содержащейся в системе. (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
4. Техническое задание на создание системы и модель угроз безопасности информации утверждаются должностным лицом органа исполнительной власти, на которое возложены соответствующие полномочия. (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
5. Порядок создания системы включает следующие последовательно реализуемые этапы:
а) разработка документации на систему и ее части;
б) разработка рабочей документации на систему и ее части;
в) разработка или адаптация программного обеспечения;
г) пусконаладочные работы;
д) проведение предварительных испытаний системы;
е) проведение опытной эксплуатации системы;
ж) проведение приемочных испытаний системы.
6. Этап разработки документации на систему и ее части включает разработку, согласование и утверждение документации в объеме, необходимом для описания полной совокупности проектных решений (в том числе по защите информации) и достаточном для дальнейшего выполнения работ по созданию системы. (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
7. Этап разработки рабочей документации на систему и ее части включает разработку, согласование и утверждение документации, содержащей сведения, необходимые для выполнения работ по вводу системы в эксплуатацию и ее эксплуатации, и порядка эксплуатации системы, содержащего сведения, необходимые для выполнения работ по поддержанию уровня эксплуатационных характеристик (качества) системы (в том числе по защите информации), установленных в проектных решениях, указанных в пункте 6 настоящего документа, в том числе: (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
а) перечень действий сотрудников при выполнении задач по эксплуатации системы, включая перечень, виды, объемы и периодичность выполнения работ по обеспечению функционирования системы;
б) контроль работоспособности системы и компонентов, обеспечивающих защиту информации; (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
в) перечень неисправностей, которые могут возникнуть в процессе эксплуатации системы, и рекомендации в отношении действий при их возникновении;
г) перечень режимов работы системы и их характеристики, а также порядок и правила перевода системы с одного режима работы на другой с указанием необходимого для этого времени.
8. Этап разработки или адаптации программного обеспечения включает разработку программного обеспечения системы, выбор и адаптацию приобретаемого программного обеспечения, а также в установленных случаях и порядке сертификацию разработанного программного обеспечения системы и средств защиты информации по требованиям безопасности информации. (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
9. Этап пусконаладочных работ включает автономную наладку технических средств и программного обеспечения частей системы, загрузку информации в ее базу данных, комплексную наладку технических средств и программного обеспечения системы, включая средства защиты информации. (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
10. Этап проведения предварительных испытаний включает:
а) разработку программы и методики предварительных испытаний, в соответствии с которыми осуществляется проверка системы на работоспособность и соответствие техническому заданию на ее создание;
б) проверку системы на работоспособность и соответствие техническому заданию на ее создание;
в) устранение выявленных при проведении таких испытаний неисправностей и внесение изменений в документацию и рабочую документацию на систему;
г) оформление протокола испытаний и акта о приемке системы в опытную эксплуатацию.
11. Этап проведения опытной эксплуатации включает:
а) разработку программы и методики опытной эксплуатации;
б) опытную эксплуатацию системы в соответствии с программой и методикой опытной эксплуатации;
в) доработку программного обеспечения системы и дополнительную наладку технических средств в случае обнаружения недостатков, выявленных при опытной эксплуатации системы;
г) оформление акта о завершении опытной эксплуатации, включающего перечень недостатков, которые необходимо устранить до начала эксплуатации системы.
12. Этап проведения приемочных испытаний включает:
а) испытания системы на соответствие техническому заданию на ее создание в соответствии с программой и методикой приемочных испытаний;
б) анализ результатов устранения недостатков, указанных в акте о завершении опытной эксплуатации;
в) оформление акта о приемке системы в эксплуатацию.
III. Требования к порядку ввода системы в эксплуатацию
13. Основанием для ввода системы в эксплуатацию является правовой акт органа исполнительной власти о вводе системы в эксплуатацию, определяющий перечень мероприятий по обеспечению ввода системы в эксплуатацию и устанавливающий срок начала эксплуатации.
14. Правовой акт органа исполнительной власти о вводе системы в эксплуатацию включает: (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
а) мероприятия по разработке и утверждению организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы, разработка которых предусмотрена нормативными правовыми актами и методическими документами федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также национальными стандартами в области защиты информации; (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
б) мероприятия по аттестации системы по требованиям защиты информации, в результате которых в установленных законодательством Российской Федерации случаях подтверждается соответствие защиты информации, содержащейся в системе, требованиям, предусмотренным законодательством Российской Федерации об информации, информационных технологиях и о защите информации; (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
в) мероприятия по подготовке органа исполнительной власти к эксплуатации системы; (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
г) мероприятия по подготовке должностных лиц органа исполнительной власти к эксплуатации системы, включая лиц, ответственных за обеспечение защиты информации. (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
15. Ввод системы в эксплуатацию не допускается в следующих случаях: (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
а) невыполнение установленных законодательством Российской Федерации требований о защите информации, включая отсутствие действующего аттестата соответствия требованиям безопасности информации; (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
б) отсутствие в реестре территориального размещения объектов контроля, предусмотренном Правилами осуществления контроля за размещением технических средств информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями, государственными и муниципальными учреждениями, на территории Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. N 675 "О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2.1 статьи 13 и частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации", сведений о размещении технических средств информационной системы на территории Российской Федерации; (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
в) невыполнение требований настоящего раздела, выявленных в ходе осуществления контроля в соответствии с Правилами осуществления контроля за соблюдением требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. N 675 "О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2.1 статьи 13 и частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации". (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
16. Срок начала эксплуатации системы не может быть ранее срока окончания последнего мероприятия, предусмотренного правовым актом органа исполнительной власти о вводе системы в эксплуатацию.
IV. Требования к порядку развития системы
17. Мероприятия по развитию системы осуществляются в соответствии с требованиями, установленными для создания системы.
V. Требования к порядку эксплуатации системы
18. Основанием для начала эксплуатации системы является наступление срока, установленного правовым актом органа исполнительной власти о вводе системы в эксплуатацию, указанным в пункте 13 настоящего документа.
19. Орган исполнительной власти осуществляет эксплуатацию системы в соответствии с рабочей документацией, указанной в пункте 7 настоящего документа.
19.1. Эксплуатация системы не допускается в случаях, указанных в части 7 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации", а также в пункте 15 настоящего документа. (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
VI. Требования к порядку вывода системы из эксплуатации и дальнейшего хранения содержащейся в ее базах данных информации
20. Основанием для вывода системы из эксплуатации является:
а) завершение срока эксплуатации системы, в случае если такой срок был установлен правовым актом органа исполнительной власти о вводе системы в эксплуатацию;
б) нецелесообразность эксплуатации системы, в том числе низкая эффективность используемых технических средств и программного обеспечения, изменение правового регулирования, принятие управленческих решений, а также наличие иных изменений, препятствующих эксплуатации системы;
в) финансово-экономическая неэффективность эксплуатации системы.
21. При наличии одного или нескольких оснований для вывода системы из эксплуатации, указанных в пункте 20 настоящего документа, орган исполнительной власти утверждает правовой акт о выводе системы из эксплуатации.
22. Правовой акт о выводе системы из эксплуатации включает:
а) основание для вывода системы из эксплуатации;
б) перечень и сроки реализации мероприятий по выводу системы из эксплуатации;
в) порядок, сроки, режим хранения и дальнейшего использования информационных ресурсов, включая порядок обеспечения доступа к информационным ресурсам выводимой из эксплуатации системы и обеспечения защиты информации, содержащейся в выводимой из эксплуатации системе; (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
г) порядок, сроки и способы информирования пользователей о выводе системы из эксплуатации.
23. Перечень мероприятий по выводу системы из эксплуатации включает:
а) подготовку правовых актов, связанных с выводом системы из эксплуатации;
б) работы по выводу системы из эксплуатации, в том числе работы по деинсталляции программного обеспечения системы, по реализации прав на программное обеспечение системы, демонтажу и списанию технических средств системы, обеспечению хранения и дальнейшего использования информационных ресурсов системы.
в) обеспечение защиты информации в соответствии с документацией на систему и организационно-распорядительными документами по защите информации, в том числе архивирование информации, содержащейся в системе, уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации. (в ред. Постановления Правительства РФ от 11.05.2017 N 555)
24. Если нормативными правовыми актами Российской Федерации не установлено иное, то сроки хранения информации, содержащейся в базах данных системы, определяются органом исполнительной власти и не могут быть меньше сроков хранения информации, которые установлены для хранения документов в бумажном виде, содержащих такую информацию.
25. Срок вывода системы из эксплуатации не может быть ранее срока окончания последнего мероприятия, предусмотренного правовым актом о выводе системы из эксплуатации.