Указ Главы Республики Саха (Якутия) от 30.07.2020 N 1355 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем Республики Саха (Якутия) и дальнейшего хранения содержащейся в их базах данных информации"

В соответствии с постановлением Правительства Российской Федерации от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации", в целях определения порядка реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем Республики Саха (Якутия) и дальнейшему хранению содержащейся в их базах данных информации, осуществляемых органами государственной власти Республики Саха (Якутия), постановляю:

1. Утвердить требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем Республики Саха (Якутия) и дальнейшего хранения содержащейся в их базах данных информации согласно приложению к настоящему Указу.

2. Органам государственной власти Республики Саха (Якутия) и подведомственным им организациям, за исключением Государственного Собрания (Ил Тумэн) Республики Саха (Якутия), при реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем и дальнейшему хранению содержащейся в их базах данных информации руководствоваться требованиями, утвержденными настоящим Указом.

3. Рекомендовать органам местного самоуправления муниципальных образований Республики Саха (Якутия) использовать в своей деятельности порядок по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем Республики Саха (Якутия) и дальнейшему хранению содержащейся в их базах данных информации.

4. Определить государственное бюджетное учреждение Республики Саха (Якутия) "Республиканский центр инфокоммуникационных технологий" уполномоченным учреждением по координации вопросов (мероприятий) в части создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем Республики Саха (Якутия) и дальнейшего хранения содержащейся в их базах данных информации.

5. Государственному бюджетному учреждению Республики Саха (Якутия) "Республиканский центр инфокоммуникационных технологий" в двухмесячный срок со дня вступления в силу настоящего Указа разработать методические рекомендации по порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем Республики Саха (Якутия) и дальнейшего хранения содержащейся в их базах данных информации.

6. Установить финансирование мероприятий, предусмотренных утверждаемыми требованиями к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем Республики Саха (Якутия) и дальнейшего хранения содержащейся в их базах данных информации, в пределах бюджетных ассигнований, предусмотренных законом о государственном бюджете Республики Саха (Якутия) на соответствующий финансовый год и плановый период.

7. Опубликовать настоящий Указ в официальных средствах массовой информации.

Глава Республики Саха (Якутия)

А. Николаев

Утверждены
Указом Главы
Республики Саха (Якутия)
от 30 июля 2020 г. N 1355

Требования
к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем Республики Саха (Якутия) и дальнейшего хранения содержащейся в их базах данных информации

1. Общие положения

1.1. Настоящий документ определяет порядок реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем Республики Саха (Якутия) (далее - система) и дальнейшему хранению содержащейся в их базах данных информации, осуществляемых органами государственной власти Республики Саха (Якутия) (далее - органы государственной власти)*(1) в целях повышения эффективности реализации полномочий органов государственной власти в результате использования информационно-коммуникационных технологий.

1.2. При реализации органами государственной власти мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем и дальнейшему хранению содержащейся в их базах данных информации должны выполняться:

а) требования о защите информации, содержащейся в системах, устанавливаемые федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий;

б) требования к организации и мерам защиты информации, содержащейся в системах, в том числе посредством обязательного размещения систем в центре обработки данных Республики Саха (Якутия);

в) требования о защите персональных данных, предусмотренные частью 3 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (в случае наличия в системе персональных данных).

1.3. В целях выполнения требований о защите информации, предусмотренных пунктом 1.2. настоящего документа (далее - требования о защите информации), органы государственной власти определяют требования к защите информации, содержащейся в системе органа государственной власти, для чего осуществляют:

а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;

б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать система;

в) классификацию системы в соответствии с требованиями о защите информации;

г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации;

д) определение требований к информационной системе (подсистеме) защиты информации, содержащейся в системе.

2. Порядок создания системы

2.1. Основанием для создания системы являются:

а) обязанность органа государственной власти и подведомственных им организаций по созданию системы, предусмотренная нормативными правовыми актами Российской Федерации, нормативными правовыми актами Республики Саха (Якутия);

б) решение органа государственной власти о создании системы с целью обеспечения реализации возложенных на него полномочий;

в) решение проектного комитета по цифровой трансформации государственного управления Республики Саха (Якутия) о создании системы;

г) решение Главы Республики Саха (Якутия), если публичным партнером является Республика Саха (Якутия) либо планируется проведение совместного конкурса с участием Республики Саха (Якутия) (за исключением случаев проведения совместного конкурса с участием Российской Федерации).

2.2. Мероприятия по созданию системы выполняются с учетом перехода на использование преимущественно отечественного программного обеспечения.

Сведения о программах для электронных вычислительных машин или базах данных, приобретаемых в рамках реализации мероприятий, должны быть включены в единый реестр российского программного обеспечения, созданный в соответствии со статьей 12.1 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

Мероприятия должны предусматривать обеспечение совместимости системы с единой программной средой автоматизированного рабочего места работников органов государственной власти Республики Саха (Якутия), требования к которой установлены распоряжением Правительства Республики Саха (Якутия) от 6 мая 2012 г. N 425-р "Об утверждении технических стандартов на типовое автоматизированное рабочее место работников органов государственной власти Республики Саха (Якутия)".

2.3. Невозможность выполнения требований пункта 2.2 настоящего документа обосновывается органом государственной власти и рассматривается уполномоченным учреждением по координации вопросов (мероприятий) в части создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем Республики Саха (Якутия) и дальнейшего хранения содержащейся в их базах данных информации (далее - уполномоченное учреждение).

2.4. Создание системы осуществляется в соответствии с техническим заданием с учетом модели угроз безопасности информации, предусмотренной подпунктом г) пункта 1.3 настоящего документа, а также уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных и требований настоящего документа.

Модель угроз безопасности информации и (или) техническое задание на создание системы согласуются с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации.

Техническое задание на создание системы должно включать сформированные в соответствии с подпунктами а) и в) пункта 1.2 настоящего документа требования к защите информации, содержащейся в системе.

2.5. Техническое задание на создание системы и модель угроз безопасности информации утверждаются должностным лицом органа государственной власти, на которое возложены соответствующие полномочия.

2.6. Порядок создания системы включает следующие последовательно реализуемые этапы:

а) разработка функциональных и технических требований к системе;

б) разработка документации на систему и ее части, включая систему защиты информации системы;

в) разработка рабочей документации на систему и ее части, включая систему защиты информации системы;

г) разработка или адаптация программного обеспечения;

д) пусконаладочные работы;

е) проведение предварительных испытаний системы, включая систему защиты информации системы;

ж) проведение опытной эксплуатации системы, включая систему защиты информации системы;

з) проведение приемочных испытаний системы, включая систему защиты информации системы.

2.7. Мероприятия по созданию систем в соответствии с пунктом 2.6 настоящего документа выполняются органами государственной власти и подведомственными им организациями во взаимодействии уполномоченным учреждением.

2.8. Этап разработки функциональных и технических требований к системе включает:

а) определение требуемого состава информации, содержащейся (обрабатываемой) в системе;

б) определение требований к обеспечению информационного и технологического взаимодействия системы со смежными информационными системами, в том числе путем интеграции с Единой информационно-технологической платформой электронного правительства Республики Саха (Якутия);

в) обоснование необходимости создания системы, в том числе анализ информационных систем, выполняющих аналогичные, либо смежные функции (при наличии);

г) определение требуемого состава технических средств (в том числе объема вычислительных и дисковых ресурсов серверного оборудования, средств вычислительной техники, машинных носителей информации, средств и систем связи и передачи данных, технических средств обработки буквенно-цифровой, графической, видео- и речевой информации) системы;

д) определение требуемого состава общесистемного, прикладного, специального программного обеспечения системы;

е) определение требуемого состава средств защиты информации системы.

2.9. Этап разработки документации на систему и ее части, включая технические средства (при необходимости) и систему защиты информации системы, включает разработку, согласование и утверждение документации, в том числе:

а) разработка документации на систему и ее части включает разработку, согласование и утверждение документации в объеме, необходимом для описания полной совокупности проектных решений (в том числе по техническим средствам и защите информации) и достаточном для дальнейшего выполнения работ по созданию системы;

б) согласование документации на систему и ее части с исполнительным органом государственной власти, осуществляющим функции по выработке государственной политики, нормативному правовому регулированию и управлению в сфере инноваций, цифрового развития и массовой информации, с учетом функциональных и технических требований к системе, в соответствии с пунктом 2.8 настоящего документа.

2.10. Этап разработки рабочей документации на систему и ее части, включая технические средства (при необходимости) и систему защиты информации системы, включает разработку, согласование и утверждение документации, содержащей сведения, необходимые для выполнения работ по вводу системы в эксплуатацию и ее эксплуатации, и порядка эксплуатации системы, содержащего сведения, необходимые для выполнения работ по поддержанию уровня эксплуатационных характеристик (качества) системы (в том числе по защите информации), установленных в проектных решениях, указанных в пункте 2.9 настоящего документа, в том числе:

а) перечень действий сотрудников при выполнении задач по эксплуатации системы, включая перечень, виды, объемы и периодичность выполнения работ по обеспечению функционирования системы;

б) контроль работоспособности системы и компонентов, обеспечивающих защиту информации;

в) перечень неисправностей, которые могут возникнуть в процессе эксплуатации системы, и рекомендации в отношении действий при их возникновении;

г) перечень режимов работы системы и их характеристики, а также порядок и правила перевода системы с одного режима работы на другой с указанием необходимого для этого времени.

2.11. Этап разработки или адаптации программного обеспечения включает разработку программного обеспечения системы, выбор и адаптацию приобретаемого программного обеспечения, а также в установленных случаях и порядке сертификацию разработанного программного обеспечения системы и средств защиты информации по требованиям безопасности информации. На этом же этапе, при необходимости, осуществляется расширение объема вычислительных и дисковых ресурсов серверного оборудования, в том числе за счет приобретения дополнительных технических средств.

2.12. Этап пусконаладочных работ включает автономную наладку технических средств и программного обеспечения частей системы, загрузку информации в ее базу данных, комплексную наладку технических средств и программного обеспечения системы, включая средства защиты информации.

2.13. Этап проведения предварительных испытаний, включая систему защиты информации системы, включает:

а) разработку программы и методики предварительных испытаний, в соответствии с которыми осуществляется проверка системы на работоспособность и соответствие техническому заданию на ее создание;

б) проверку системы на работоспособность и соответствие техническому заданию на ее создание;

в) испытания системы защиты информации на работоспособность и соответствие техническому заданию в соответствии с программой и методикой предварительных испытаний;

г) устранение недостатков, выявленных в процессе испытаний, и внесение изменений в документацию на систему защиты информации создаваемой (модернизируемой) системы, в том числе эксплуатационную, в соответствии с протоколом испытаний;

д) принятие решения о возможности опытной эксплуатации системы защиты информации системы;

е) устранение выявленных при проведении таких испытаний неисправностей и внесение изменений в документацию и рабочую документацию на систему;

ж) оформление протокола испытаний и акта о приемке системы в опытную эксплуатацию.

2.14. Этап проведения опытной эксплуатации, включая систему защиты информации системы, включает:

а) разработку программы и методики опытной эксплуатации;

б) опытную эксплуатацию системы в соответствии с программой и методикой опытной эксплуатации;

в) доработку программного обеспечения системы и дополнительную наладку технических средств в случае обнаружения недостатков, выявленных при опытной эксплуатации системы;

г) проверку функционирования системы защиты информации в составе системы, в том числе реализованных мер защиты информации;

д) анализ выявленных в ходе опытной эксплуатации системы защиты информации уязвимостей системы, доработку, наладку системы защиты информации;

е) проверку готовности пользователей и администраторов к эксплуатации системы защиты информации информационной системы;

ж) оформление акта о завершении опытной эксплуатации, в том числе системы защиты информации, включающего перечень недостатков, которые необходимо устранить до начала эксплуатации системы.

2.15. Этап проведения приемочных испытаний, включая систему защиты информации системы, включает:

а) испытания системы, в том числе системы защиты информации, на соответствие техническому заданию на ее создание в соответствии с программой и методикой приемочных испытаний;

б) анализ результатов устранения недостатков, указанных в акте о завершении опытной эксплуатации;

в) оформление акта о приемке системы в эксплуатацию, в том числе в части системы защиты информации.

3. Порядок ввода системы в эксплуатацию

3.1. Основанием для ввода системы в эксплуатацию является правовой акт органа государственной власти о вводе системы в эксплуатацию, определяющий перечень мероприятий по обеспечению ввода системы в эксплуатацию и устанавливающий срок начала эксплуатации.

3.2. Правовой акт органа государственной власти о вводе системы в эксплуатацию включает:

а) оператора системы - органа государственной власти или уполномоченного им государственного учреждения, осуществляющего деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в базах данных, имеющего право ограничивать доступ к информации, обрабатываемой в информационной системе;

б) положение о системе;

в) мероприятия по разработке и утверждению организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы, разработка которых предусмотрена нормативными правовыми актами и методическими документами федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также национальными стандартами в области защиты информации;

г) мероприятия по аттестации системы по требованиям защиты информации, в результате которых в установленных законодательством Российской Федерации случаях подтверждается соответствие защиты информации, содержащейся в системе, требованиям, предусмотренным законодательством Российской Федерации об информации, информационных технологиях и о защите информации;

д) мероприятия по подготовке органа государственной власти к эксплуатации системы;

е) мероприятия по подготовке должностных лиц органа государственной власти к эксплуатации системы, включая лиц, ответственных за обеспечение защиты информации;

ж) мероприятия по регистрации системы в реестре государственных информационных систем Республики Саха (Якутия).

3.3. Положение о системе в соответствии с подпунктом б) пункта 3.2 настоящего документа определяет цель создания, назначение и структуру системы и содержит минимальный набор следующей информации:

а) полное и сокращенное наименование системы;

б) общая структура, цель и задачи системы;

в) перечень категорий пользователей (участников взаимодействия) системы;

г) общее описание технологических и программных средств системы;

д) требования к организационным и техническим мерам защиты информации системы;

е) требования к информационному взаимодействию пользователей (участников взаимодействия) системы;

ж) обладатель информации, содержащейся системе;

з) права и обязанности пользователей (участников взаимодействия) системы.

3.4. Форма типового положения о системе разрабатывается и утверждается исполнительным органом государственной власти Республики Саха (Якутия), осуществляющим функции по выработке государственной политики, нормативному правовому регулированию и управлению в сфере инноваций, цифрового развития и массовой информации.

3.5. Правовой акт органа государственной власти о вводе системы в эксплуатацию подлежат согласованию с органом государственной власти, осуществляющим функции по выработке государственной политики, нормативному правовому регулированию и управлению в сфере инноваций, цифрового развития и массовой информации.

В ходе согласования правового акта органа государственной власти о вводе системы в эксплуатацию выполняется его проверка на соответствие настоящему документу.

В ходе согласования правового акта органа государственной власти о вводе системы в эксплуатацию органом государственной власти республики, осуществляющим функции по выработке государственной политики, нормативному правовому регулированию и управлению в сфере инноваций, цифрового развития и массовой информации, могут быть затребованы дополнительные сведения о системе.

3.6. В случае если использование системы будет осуществляться несколькими органами государственной власти либо при использовании системы планируется осуществление взаимодействиями с физическими и/или юридическими лицами Республики Саха (Якутия), правовой акт о вводе системы в эксплуатацию издается в соответствующем порядке на уровне Правительства Республики Саха (Якутия).

3.7. Ввод системы в эксплуатацию не допускается в следующих случаях:

а) невыполнение установленных законодательством Российской Федерации требований о защите информации, включая отсутствие действующего аттестата соответствия требованиям безопасности информации;

б) отсутствие в реестре территориального размещения объектов контроля сведений о размещении технических средств информационной системы на территории Российской Федерации, предусмотренном правилами осуществления контроля за размещением технических средств информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями, государственными и муниципальными учреждениями, на территории Российской Федерации, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. N 675 "О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2.1 статьи 13 и частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации";

в) невыполнение требований настоящего раздела, выявленных в ходе осуществления контроля в соответствии с правилами осуществления контроля за соблюдением требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденными постановлением Правительства Российской Федерации от 6 июля 2015 г. N 675 "О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2.1 статьи 13 и частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации";

г) невыполнение согласования правового акт органа государственной власти Республики Саха (Якутия) о вводе системы в эксплуатацию с исполнительным органом государственной власти, осуществляющим функции по выработке государственной политики, нормативному правовому регулированию и управлению в сфере инноваций, цифрового развития и массовой информации.

3.8. Срок начала эксплуатации системы не может быть ранее срока окончания последнего мероприятия, предусмотренного правовым актом органа государственной власти о вводе системы в эксплуатацию.

4. Порядок развития системы

4.1. Мероприятия по развитию системы осуществляются в соответствии с требованиями, установленными для создания системы.

5. Порядок эксплуатации системы

5.1. Основанием для начала эксплуатации системы является наступление срока, установленного правовым актом органа государственной власти о вводе системы в эксплуатацию, указанным в пункте 3.1 настоящего документа.

5.2. Орган государственной власти осуществляет эксплуатацию системы в соответствии с рабочей документацией, указанной в пункте 2.10 настоящего документа.

5.3. Не допускается эксплуатация системы без надлежащего оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности, и в случаях, указанных в пункте 3.7 настоящего документа.

6. Порядок вывода системы из эксплуатации и дальнейшего хранения содержащейся в ее базах данных информации

6.1. Основанием для вывода системы из эксплуатации является:

а) завершение срока эксплуатации системы, в случае если такой срок был установлен правовым актом органа государственной власти о вводе системы в эксплуатацию;

б) нецелесообразность эксплуатации системы, в том числе низкая эффективность используемых технических средств и программного обеспечения, изменение правового регулирования, принятие управленческих решений, а также наличие иных изменений, препятствующих эксплуатации системы;

в) финансово-экономическая неэффективность эксплуатации системы.

6.2. При наличии одного или нескольких оснований для вывода системы из эксплуатации, указанных в пункте 6.1 настоящего документа, орган государственной власти утверждает правовой акт о выводе системы из эксплуатации.

6.3. Правовой акт о выводе системы из эксплуатации согласовывается с уполномоченным учреждением и включает в себя:

а) основание для вывода системы из эксплуатации;

б) перечень и сроки реализации мероприятий по выводу системы из эксплуатации;

в) порядок, сроки, режим хранения и дальнейшего использования информационных ресурсов, включая порядок обеспечения доступа к информационным ресурсам выводимой из эксплуатации системы и обеспечения защиты информации, содержащейся в выводимой из эксплуатации системе;

г) порядок, сроки и способы информирования пользователей о выводе системы из эксплуатации.

6.4. Перечень мероприятий по выводу системы из эксплуатации включает:

а) подготовку правовых актов, связанных с выводом системы из эксплуатации;

б) работы по выводу системы из эксплуатации, в том числе работы по деинсталляции программного обеспечения системы, по реализации прав на программное обеспечение системы, демонтажу и списанию технических средств системы (при необходимости), обеспечению хранения и дальнейшего использования информационных ресурсов системы;

в) обеспечение защиты информации в соответствии с документацией на систему и организационно-распорядительными документами по защите информации, в том числе архивирование информации, содержащейся в системе, уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации;

г) мероприятия по отмене регистрации системы в реестре государственных информационных систем Республики Саха (Якутия).

6.5. Сроки хранения информации, содержащейся в базах данных системы, определяются органом государственной власти и не могут быть меньше сроков хранения информации, которые установлены для хранения документов в бумажном виде, содержащих такую информацию, если нормативными правовыми актами Российской Федерации не установлено иное.

6.6. Срок вывода системы из эксплуатации не может быть ранее срока окончания последнего мероприятия, предусмотренного правовым актом о выводе системы из эксплуатации.

-----------------------------

*(1) Примечание: за исключением Государственного Собрания (Ил Тумэн) Республики Саха (Якутия)