GOBIERNO DE LA FEDERACIÓN DE RUSIA
RESOLUCIÓN
De los requisitos para el procedimiento de creación, desarrollo, puesta en servicio, operación y desmantelamiento de los sistemas de información estatales y posterior almacenamiento de la información contenida en sus bases de datos
Documento modificado por:
Decreto del Gobierno de la Federación Rusa del 14 de noviembre de 2015 N 1235 (Portal oficial de Internet de información legal www.pravo.gov.ru, 20 de noviembre de 2015, N 0001201511200024) 2015 N 1235);
(Portal oficial de Internet de información legal www.pravo.gov.ru, 15/05/2017, N 0001201705150007) (para el procedimiento de entrada en vigor, consulte el párrafo 2 del Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 N 555);
(Portal oficial de Internet de información legal www.pravo.gov.ru, 19/04/2019, N 0001201904190009).
____________________________________________________________________
De conformidad con la Parte 6 del Artículo 14 de la Ley Federal "Sobre Información, Tecnologías de la Información y Protección de la Información", el Gobierno de la Federación Rusa
decide:
1. Aprobar los requisitos adjuntos para el procedimiento de creación, desarrollo, puesta en funcionamiento, operación y desmantelamiento de los sistemas de información estatales y posterior almacenamiento de la información contenida en sus bases de datos.
2. Establecer que las medidas previstas en los requisitos aprobados por esta resolución sean ejecutadas por los órganos del ejecutivo federal dentro de las asignaciones presupuestarias previstas en la ley federal sobre el presupuesto de la federación para el ejercicio económico y período de planificación correspondiente para la dirección y gestión en el campo de las funciones establecidas.
3. Recomendar a otros órganos estatales, además de los órganos ejecutivos federales y los órganos ejecutivos de las entidades constitutivas de la Federación de Rusia, así como a los órganos de gestión de fondos no presupuestarios estatales, gobiernos locales, que se guíen en sus actividades por los requisitos aprobados. por esta resolución.
Primer ministro
Federación Rusa
D.Medvedev
APROBADO
Decreto del Gobierno
Federación Rusa
del 6 de julio de 2015 N 676
1. Este documento define los requisitos para el procedimiento de implementación de medidas para la creación, desarrollo, puesta en funcionamiento, operación y desmantelamiento de los sistemas de información estatales (en adelante, el sistema) y posterior almacenamiento de la información contenida en sus bases de datos, llevado a cabo por autoridades ejecutivas federales y autoridades ejecutivas autoridades de las entidades constitutivas de la Federación Rusa (en adelante, autoridades ejecutivas) con el fin de aumentar la eficiencia del ejercicio de los poderes de las autoridades ejecutivas como resultado del uso de las tecnologías de la información y la comunicación , ya sea por las autoridades ejecutivas que actúan como socios públicos y socios privados de conformidad con los acuerdos de asociación público-privada (en adelante, el socio privado) para implementar estos acuerdos.
Decreto del Gobierno de la Federación Rusa del 11 de abril de 2019 N 420.
1_1. Cuando las autoridades ejecutivas o socios privados implementen medidas para crear, desarrollar, poner en marcha, operar y desmantelar sistemas y almacenar posteriormente la información contenida en sus bases de datos, se deberá realizar lo siguiente:
Decreto del Gobierno de la Federación Rusa del 11 de abril de 2019 N 420.
a) los requisitos para la protección de la información contenida en los sistemas establecidos por el órgano ejecutivo federal en materia de seguridad y el órgano ejecutivo federal autorizado en materia de contraataque de inteligencia técnica y protección técnica de la información, en el ámbito de sus competencias;
b) requisitos para la organización y medidas para proteger la información contenida en el sistema;
c) los requisitos para la protección de datos personales, previstos en la Parte 3 del Artículo 19 de la Ley Federal "Sobre Datos Personales" (si hay datos personales en el sistema).
Decreto del Gobierno de la Federación Rusa del 11 de abril de 2019 N 420)
Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 N 555)
1_2. Para cumplir con los requisitos para la protección de la información previstos en el numeral 1.1 de este documento (en adelante, los requisitos para la protección de la información), las autoridades ejecutivas determinan los requisitos para la protección de la información contenida en el sistema de la poder ejecutivo, para lo cual realizan:
a) determinación de la información a ser protegida del acceso no autorizado, destrucción, modificación, bloqueo, copia, suministro, distribución, así como otras acciones ilegales en relación con dicha información;
b) análisis de los actos normativos, documentos metodológicos y normas nacionales que debe cumplir el sistema;
c) clasificación del sistema de acuerdo con los requisitos de seguridad de la información;
d) identificación de amenazas a la seguridad de la información, cuya implementación puede conducir a una violación de la seguridad de la información en el sistema, y el desarrollo de un modelo de amenazas a la seguridad de la información sobre su base;
e) determinación de requisitos para el sistema de información (subsistema) para la protección de la información contenida en el sistema.
(El párrafo se incluyó adicionalmente a partir del 23 de mayo de 2017 por Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 N 555)
2. La base para la creación del sistema es:
a) la obligación del poder ejecutivo de crear un régimen, previsto por actos normativos;
b) la decisión del poder ejecutivo sobre la creación de un sistema para asegurar la implementación de las atribuciones que tiene asignadas;
c) la decisión del Gobierno de la Federación Rusa sobre la implementación del proyecto de asociación público-privada;
(El subpárrafo se incluyó adicionalmente a partir del 27 de abril de 2019 por Decreto del Gobierno de la Federación Rusa del 11 de abril de 2019 N 420)
d) una decisión del máximo órgano ejecutivo del poder estatal de una entidad constitutiva de la Federación Rusa, si el socio público es una entidad constitutiva de la Federación Rusa o se planea una oferta conjunta con la participación de una entidad constitutiva de la Federación Rusa (con la excepción de los casos en que se realiza una licitación conjunta con la participación de la Federación Rusa).
(El subpárrafo se incluyó adicionalmente a partir del 27 de abril de 2019 por Decreto del Gobierno de la Federación Rusa del 11 de abril de 2019 N 420)
3. La creación del sistema se realiza de conformidad con los términos de referencia, teniendo en cuenta el modelo de amenazas a la seguridad de la información previsto en el inciso “d” del numeral 1_2 de este documento, así como los niveles de protección de los datos personales. durante su tratamiento en los sistemas de información de datos personales, en función de las amenazas a la seguridad de estos datos y de los requisitos del presente documento.
(Párrafo modificado, puesto en vigor el 27 de abril de 2019 por Decreto del Gobierno de la Federación Rusa del 11 de abril de 2019 N 420.
El modelo de amenazas a la seguridad de la información y (o) los términos de referencia para la creación del sistema se coordinan con el órgano ejecutivo federal en materia de seguridad y el órgano ejecutivo federal autorizado en materia de contrainteligencia técnica y protección técnica de la información, dentro de los límites de sus competencias en lo que se refiere a la implementación de los requisitos de protección de la información establecidos.
Los términos de referencia para la creación del sistema deberán incluir requisitos para la protección de la información contenida en el sistema, conformados de conformidad con los incisos "a" y "c" del numeral 1_1 de este documento.
(Párrafo modificado, puesto en vigor el 27 de abril de 2019 por Decreto del Gobierno de la Federación Rusa del 11 de abril de 2019 N 420.
Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 N 555.
4. Los términos de referencia para la creación del sistema y el modelo de amenazas a la seguridad de la información son aprobados por el funcionario del poder ejecutivo, a quien se le encomiendan las facultades correspondientes.
(Párrafo modificado, entró en vigor el 23 de mayo de 2017 por Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 N 555.
5. El procedimiento para crear un sistema incluye los siguientes pasos implementados sucesivamente:
a) desarrollo de documentación para el sistema y sus partes;
b) desarrollo de documentación de trabajo para el sistema y sus partes;
c) desarrollo o adaptación de software;
d) puesta en servicio;
e) realización de pruebas preliminares del sistema;
f) realizar la operación de prueba del sistema;
g) realización de pruebas de aceptación del sistema.
6. La etapa de desarrollo de la documentación para el sistema y sus partes incluye el desarrollo, aprobación y aprobación de la documentación en la cantidad necesaria para describir el conjunto completo de soluciones de diseño (incluida la seguridad de la información) y suficiente para seguir trabajando en la creación del sistema.
(Párrafo modificado, entró en vigor el 23 de mayo de 2017 por Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 N 555.
7. La etapa de desarrollo de la documentación de trabajo para el sistema y sus partes incluye el desarrollo, aprobación y aprobación de la documentación que contiene la información necesaria para realizar el trabajo de puesta en marcha del sistema y su operación, y el procedimiento para operar el sistema, que contiene la información necesaria realizar trabajos para mantener el nivel de las características operativas (calidad) del sistema (incluida la seguridad de la información) establecido en las decisiones de diseño especificadas en el párrafo 6 de este documento, que incluyen:
(Párrafo modificado, puesto en vigor el 23 de mayo de 2017 por Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 N 555.
a) una lista de acciones de los empleados en el desempeño de tareas para la operación del sistema, incluida la lista, tipos, volúmenes y frecuencia del trabajo realizado para garantizar el funcionamiento del sistema;
b) monitorear el desempeño del sistema y componentes que aseguren la protección de la información;
Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 N 555.
c) una lista de fallas que pueden ocurrir durante la operación del sistema, y recomendaciones para acciones en caso de que ocurran;
d) una lista de los modos de operación del sistema y sus características, así como el procedimiento y reglas para transferir el sistema de un modo de operación a otro, indicando el tiempo requerido para ello.
8. La etapa de desarrollo o adaptación de software comprende el desarrollo del software del sistema, la selección y adaptación del software adquirido, así como, en los casos establecidos y en la forma, la certificación del software del sistema desarrollado y las herramientas de protección de la información según a los requisitos de seguridad de la información.
(Párrafo modificado, entró en vigor el 23 de mayo de 2017 por Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 N 555.
9. La etapa de puesta en servicio incluye el ajuste fuera de línea del hardware y software de las partes del sistema, la carga de información en su base de datos, el ajuste integral del hardware y software del sistema, incluidas las herramientas de seguridad de la información.
(Párrafo modificado, entró en vigor el 23 de mayo de 2017 por Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 N 555.
10. La etapa de prueba preliminar incluye:
a) desarrollo de un programa y metodología de pruebas preliminares, conforme al cual se prueba la operatividad del sistema y el cumplimiento de los términos de referencia para su creación;
b) verificar la operatividad del sistema y el cumplimiento de los términos de referencia para su creación;
c) eliminación de fallas identificadas durante dichas pruebas y cambios en la documentación y documentación de trabajo del sistema;
d) registro del informe de prueba y el acto de aceptación del sistema para la operación de prueba.
11. La etapa de operación de prueba incluye:
a) desarrollo de un programa y metodología para la operación de prueba;
b) operación de prueba del sistema de acuerdo con el programa y metodología de operación de prueba;
c) finalización del software del sistema y ajuste adicional de los medios técnicos en caso de detección de deficiencias identificadas durante la operación de prueba del sistema;
d) registro de un acto sobre la finalización de la operación de prueba, incluida una lista de deficiencias que deben eliminarse antes del inicio de la operación del sistema.
12. La etapa de prueba de aceptación incluye:
a) probar el sistema para el cumplimiento de los términos de referencia para su creación de acuerdo con el programa y metodología de pruebas de aceptación;
b) análisis de los resultados de la eliminación de las deficiencias especificadas en el acto sobre la finalización de la operación de prueba;
c) registro del acto de aceptación del sistema en funcionamiento.
13. La base para la puesta en servicio del sistema es el acto legal del poder ejecutivo sobre la puesta en servicio del sistema, que determina la lista de medidas para asegurar la puesta en servicio del sistema y establece la fecha de inicio de operación.
14. El acto jurídico del poder ejecutivo sobre la puesta en servicio del sistema incluye:
a) medidas para la elaboración y aprobación de documentos organizacionales y administrativos que definan medidas para la protección de la información durante la operación del sistema, cuyo desarrollo esté previsto por actos normativos normativos y documentos metodológicos del órgano ejecutivo federal en la materia de seguridad y el órgano ejecutivo federal autorizado en materia de contrainteligencia técnica y protección técnica de la información, así como las normas nacionales en materia de protección de la información;
b) medidas para certificar el sistema de requisitos de seguridad de la información, como resultado de lo cual, en los casos establecidos por la legislación de la Federación de Rusia, el cumplimiento de la protección de la información contenida en el sistema con los requisitos previstos por la legislación de se confirma la Federación de Rusia sobre información, tecnologías de la información y seguridad de la información;
c) medidas para preparar al poder ejecutivo, así como al socio privado en caso de celebración de un convenio de participación público-privada para la operación del sistema;
Decreto del Gobierno de la Federación Rusa del 11 de abril de 2019 N 420.
d) medidas para capacitar a los funcionarios del poder ejecutivo, así como a los empleados de un socio privado en caso de un acuerdo de asociación público-privada, para operar el sistema, incluidos los responsables de garantizar la seguridad de la información.
(Subpárrafo modificado, entró en vigor el 27 de abril de 2019 por Decreto del Gobierno de la Federación Rusa del 11 de abril de 2019 N 420.
(Párrafo modificado, entró en vigor el 23 de mayo de 2017 por Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 N 555.
15. No se permite poner en funcionamiento el sistema en los siguientes casos:
a) incumplimiento de los requisitos de seguridad de la información establecidos por la legislación de la Federación Rusa, incluida la ausencia de un certificado válido de cumplimiento de los requisitos de seguridad de la información;
b) la ausencia en el registro de la ubicación territorial de los objetos de control prevista por las Reglas para ejercer el control sobre la colocación de los medios técnicos de los sistemas de información utilizados por los organismos estatales, gobiernos locales, empresas unitarias estatales y municipales, instituciones estatales y municipales , en el territorio de la Federación Rusa, aprobado por un decreto del Gobierno de la Federación Rusa de fecha 6 de julio de 2015 N 675 "Sobre el procedimiento para monitorear el cumplimiento de los requisitos previstos en la Parte 2_1 del Artículo 13 y la Parte 6 del Artículo 14 de la Ley Federal "Sobre Información, Tecnologías de la Información y Protección de la Información", información sobre la colocación de medios técnicos del sistema de información en el territorio de la Federación Rusa;
c) el incumplimiento de los requisitos de esta sección, identificado en el curso del monitoreo de acuerdo con las Reglas para monitorear el cumplimiento de los requisitos para la creación, desarrollo, puesta en servicio, operación y desmantelamiento de los sistemas de información estatales y el almacenamiento posterior de la información contenida en sus bases de datos, aprobó el Decreto del Gobierno de la Federación Rusa del 6 de julio de 2015 N 675 "Sobre el procedimiento para monitorear el cumplimiento de los requisitos previstos en la Parte 2_1 del Artículo 13 y la Parte 6 del Artículo 14 de la Ley Federal "Sobre Información, Tecnologías de la Información y Protección de la Información".
(Párrafo modificado, entró en vigor el 23 de mayo de 2017 por Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 N 555.
16. La fecha de inicio de la operación del sistema no puede ser anterior a la fecha de terminación del último evento previsto por el acto legal del poder ejecutivo de puesta en operación del sistema.
17. Las actividades para el desarrollo del sistema se realizan de acuerdo con los requisitos establecidos para la creación del sistema.
18. La base para el inicio de la operación del sistema es el inicio del plazo establecido por el acto legal del poder ejecutivo sobre la puesta en funcionamiento del sistema, especificado en el numeral 13 de este documento.
19. La autoridad ejecutiva o un socio privado operará el sistema de acuerdo con la documentación de trabajo especificada en el párrafo 7 de este documento.
(Párrafo modificado, entró en vigor el 27 de abril de 2019 por Decreto del Gobierno de la Federación Rusa del 11 de abril de 2019 N 420.
19_1. La operación del sistema no está permitida en los casos especificados en la Parte 7 del Artículo 14 de la Ley Federal "Sobre Información, Tecnologías de la Información y Protección de la Información", así como en el párrafo 15 de este documento.
(El párrafo se incluyó adicionalmente a partir del 1 de enero de 2019 por Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 N 555)
20. La base para desmantelar el sistema es:
a) finalización de la vida útil del sistema, si tal período fue establecido por un acto legal del poder ejecutivo al momento de la puesta en funcionamiento del sistema;
b) la inconveniencia de operar el sistema, incluyendo la baja eficiencia de los medios técnicos y software utilizados, cambios en la regulación legal, la adopción de decisiones gerenciales, así como la presencia de otros cambios que impidan la operación del sistema;
c) ineficiencia financiera y económica de la operación del sistema.
21. Si hay uno o más motivos para el desmantelamiento del sistema especificado en el párrafo 20 de este documento, la autoridad ejecutiva aprueba un acto legal sobre el desmantelamiento del sistema.
22. El acto legal sobre el desmantelamiento del sistema incluye:
a) la base para el desmantelamiento del sistema;
b) la lista y el momento de la implementación de medidas para desmantelar el sistema;
c) el procedimiento, los términos, el modo de almacenamiento y el uso posterior de los recursos de información, incluido el procedimiento para brindar acceso a los recursos de información del sistema que se retira y garantizar la protección de la información contenida en el sistema que se retira;
(Subpárrafo modificado, entró en vigor el 23 de mayo de 2017 por Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 N 555.
d) el procedimiento, plazos y métodos para informar a los usuarios sobre el desmantelamiento del sistema.
23. La lista de medidas para desmantelar el sistema incluye:
a) elaboración de actos jurídicos relacionados con el desmantelamiento del sistema;
b) trabajar para desmantelar el sistema, incluido el trabajo para desinstalar el software del sistema, para ejercer los derechos de software sistema, desmantelando y cancelando los medios técnicos del sistema, asegurando el almacenamiento y uso posterior de los recursos de información del sistema;
c) garantizar la protección de la información de acuerdo con la documentación del sistema y los documentos organizativos y administrativos sobre la protección de la información, incluido el archivo de la información contenida en el sistema, la destrucción (borrado) de datos e información residual de los medios de almacenamiento de la máquina y (o) destrucción de medios de máquinas de información.
(El subpárrafo se incluyó adicionalmente a partir del 23 de mayo de 2017 por Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 N 555)
24. A menos que se establezca lo contrario por actos legales reglamentarios de la Federación Rusa, los períodos para almacenar información contenida en las bases de datos del sistema están determinados por la autoridad ejecutiva y no pueden ser inferiores a los períodos para almacenar información que se establecen para almacenar documentos en papel que contienen dicha información.
25. El plazo para el desmantelamiento del sistema no podrá ser anterior al plazo para la realización de la última medida prevista por el acto legal de desmantelamiento del sistema.
Revisión del documento, teniendo en cuenta
cambios y adiciones preparados
JSC "Kodeks"
De conformidad con la Parte 6 del Artículo 14 de la Ley Federal "Sobre Información, Tecnologías de la Información y Protección de la Información", el Gobierno de la Federación Rusa decide:
1. Aprobar los requisitos adjuntos para el procedimiento de creación, desarrollo, puesta en funcionamiento, operación y desmantelamiento de los sistemas de información estatales y posterior almacenamiento de la información contenida en sus bases de datos.
2. Establecer que las medidas previstas en los requisitos aprobados por esta resolución sean ejecutadas por los órganos del ejecutivo federal dentro de las asignaciones presupuestarias previstas en la ley federal sobre el presupuesto de la federación para el ejercicio económico y período de planificación correspondiente para la dirección y gestión en el campo de las funciones establecidas.
3. Recomendar a otros órganos estatales, además de los órganos ejecutivos federales y los órganos ejecutivos de las entidades constitutivas de la Federación de Rusia, así como a los órganos de gestión de fondos no presupuestarios estatales, gobiernos locales, que se guíen en sus actividades por los requisitos aprobados. por esta resolución.
Primer ministro
Federación Rusa D. Medvedev
1. Este documento define los requisitos para el procedimiento de implementación de medidas para la creación, desarrollo, puesta en funcionamiento, operación y desmantelamiento de los sistemas de información estatales (en adelante, el sistema) y posterior almacenamiento de la información contenida en sus bases de datos, llevado a cabo por autoridades ejecutivas federales y autoridades ejecutivas autoridades de las entidades constitutivas de la Federación Rusa (en adelante, autoridades ejecutivas) con el fin de aumentar la eficiencia del ejercicio de los poderes de las autoridades ejecutivas como resultado del uso de las tecnologías de la información y la comunicación , ya sea por las autoridades ejecutivas que actúan como socios públicos y socios privados de conformidad con los acuerdos de asociación público-privada (en adelante, el socio privado) para implementar estos acuerdos. (Modificado por Decreto del Gobierno de la Federación Rusa No. 420 del 11 de abril de 2019)
11. Cuando las autoridades ejecutivas o los socios privados implementen medidas para crear, desarrollar, poner en funcionamiento, operar y desmantelar sistemas y almacenar la información contenida en sus bases de datos, se deberá realizar lo siguiente: 420)
a) los requisitos para la protección de la información contenida en los sistemas establecidos por el órgano ejecutivo federal en materia de seguridad y el órgano ejecutivo federal autorizado en materia de contraataque de inteligencia técnica y protección técnica de la información, en el ámbito de sus competencias;
b) requisitos para la organización y medidas para proteger la información contenida en el sistema;
c) los requisitos para la protección de datos personales, previstos en la Parte 3 del Artículo 19 de la Ley Federal "Sobre Datos Personales" (si hay datos personales en el sistema). (Complementado por el Decreto del Gobierno de la Federación Rusa No. 420 del 11 de abril de 2019)
12. A fin de cumplir con los requisitos para la protección de la información previstos en el párrafo 11 de este documento (en adelante, los requisitos para la protección de la información), las autoridades ejecutivas determinan los requisitos para la protección de la información contenida en el sistema del poder ejecutivo, para lo cual realizan:
a) determinación de la información a ser protegida del acceso no autorizado, destrucción, modificación, bloqueo, copia, suministro, distribución, así como otras acciones ilegales en relación con dicha información;
b) análisis de los actos normativos, documentos metodológicos y normas nacionales que debe cumplir el sistema;
c) clasificación del sistema de acuerdo con los requisitos de seguridad de la información;
d) identificación de amenazas a la seguridad de la información, cuya implementación puede conducir a una violación de la seguridad de la información en el sistema, y el desarrollo de un modelo de amenazas a la seguridad de la información sobre su base;
e) determinación de requisitos para el sistema de información (subsistema) para la protección de la información contenida en el sistema.
(Artículo complementado por Decreto del Gobierno de la Federación Rusa No. 555 del 11 de mayo de 2017)
2. La base para la creación del sistema es:
a) la obligación del poder ejecutivo de crear un régimen, previsto por actos normativos;
b) la decisión del poder ejecutivo sobre la creación de un sistema para asegurar la implementación de las atribuciones que tiene asignadas;
c) la decisión del Gobierno de la Federación Rusa sobre la implementación del proyecto de asociación público-privada; (Complementado por el Decreto del Gobierno de la Federación Rusa No. 420 del 11 de abril de 2019)
d) una decisión del máximo órgano ejecutivo del poder estatal de una entidad constitutiva de la Federación Rusa, si el socio público es una entidad constitutiva de la Federación Rusa o se planea una oferta conjunta con la participación de una entidad constitutiva de la Federación Rusa (con la excepción de los casos en que se realiza una licitación conjunta con la participación de la Federación Rusa). (Complementado por el Decreto del Gobierno de la Federación Rusa No. 420 del 11 de abril de 2019)
3. La creación del sistema se realiza de conformidad con los términos de referencia, teniendo en cuenta el modelo de amenazas a la seguridad de la información previsto en el inciso “d” del numeral 12 de este documento, así como los niveles de protección de los datos personales. durante su tratamiento en los sistemas de información de datos personales, en función de las amenazas a la seguridad de estos datos y de los requisitos del presente documento. (Modificado por Decreto del Gobierno de la Federación Rusa No. 420 del 11 de abril de 2019)
El modelo de amenazas a la seguridad de la información y (o) los términos de referencia para la creación del sistema se coordinan con el órgano ejecutivo federal en materia de seguridad y el órgano ejecutivo federal autorizado en materia de contrainteligencia técnica y protección técnica de la información, dentro de los límites de sus competencias en lo que se refiere a la implementación de los requisitos de protección de la información establecidos.
Los términos de referencia para la creación del sistema deberán incluir requisitos para la protección de la información contenida en el sistema, conformados de conformidad con los incisos “a” y “c” del numeral 11 de este documento. (Modificado por Decreto del Gobierno de la Federación Rusa No. 420 del 11 de abril de 2019)
4. Los términos de referencia para la creación del sistema y el modelo de amenazas a la seguridad de la información son aprobados por el funcionario del poder ejecutivo, a quien se le encomiendan las facultades correspondientes. (Modificado por Decreto del Gobierno de la Federación Rusa de fecha 11 de mayo de 2017 No. 555)
5. El procedimiento para crear un sistema incluye los siguientes pasos implementados sucesivamente:
a) desarrollo de documentación para el sistema y sus partes;
b) desarrollo de documentación de trabajo para el sistema y sus partes;
c) desarrollo o adaptación de software;
d) puesta en servicio;
e) realización de pruebas preliminares del sistema;
f) realizar la operación de prueba del sistema;
g) realización de pruebas de aceptación del sistema.
6. La etapa de desarrollo de la documentación para el sistema y sus partes incluye el desarrollo, aprobación y aprobación de la documentación en la cantidad necesaria para describir el conjunto completo de soluciones de diseño (incluida la seguridad de la información) y suficiente para seguir trabajando en la creación del sistema. (Modificado por Decreto del Gobierno de la Federación Rusa de fecha 11 de mayo de 2017 No. 555)
7. La etapa de desarrollo de la documentación de trabajo para el sistema y sus partes incluye el desarrollo, aprobación y aprobación de la documentación que contiene la información necesaria para realizar el trabajo de puesta en marcha del sistema y su operación, y el procedimiento para operar el sistema, que contiene la información necesaria realizar trabajos para mantener las características de rendimiento del nivel (calidad) del sistema (incluida la seguridad de la información) establecidas en las decisiones de diseño especificadas en el párrafo 6 de este documento, que incluyen:
a) una lista de acciones de los empleados en el desempeño de tareas para la operación del sistema, incluida la lista, tipos, volúmenes y frecuencia del trabajo realizado para garantizar el funcionamiento del sistema;
b) monitorear el desempeño del sistema y componentes que aseguren la protección de la información; (Modificado por Decreto del Gobierno de la Federación Rusa de fecha 11 de mayo de 2017 No. 555)
c) una lista de fallas que pueden ocurrir durante la operación del sistema, y recomendaciones para acciones en caso de que ocurran;
d) una lista de los modos de operación del sistema y sus características, así como el procedimiento y reglas para transferir el sistema de un modo de operación a otro, indicando el tiempo requerido para ello.
8. La etapa de desarrollo o adaptación de software comprende el desarrollo del software del sistema, la selección y adaptación del software adquirido, así como, en los casos establecidos y en la forma, la certificación del software del sistema desarrollado y las herramientas de protección de la información según a los requisitos de seguridad de la información. (Modificado por Decreto del Gobierno de la Federación Rusa de fecha 11 de mayo de 2017 No. 555)
9. La etapa de puesta en servicio incluye el ajuste fuera de línea del hardware y software de las partes del sistema, la carga de información en su base de datos, el ajuste integral del hardware y software del sistema, incluidas las herramientas de seguridad de la información. (Modificado por Decreto del Gobierno de la Federación Rusa de fecha 11 de mayo de 2017 No. 555)
10. La etapa de prueba preliminar incluye:
a) desarrollo de un programa y metodología de pruebas preliminares, conforme al cual se prueba la operatividad del sistema y el cumplimiento de los términos de referencia para su creación;
b) verificar la operatividad del sistema y el cumplimiento de los términos de referencia para su creación;
c) eliminación de fallas identificadas durante dichas pruebas y cambios en la documentación y documentación de trabajo del sistema;
d) registro del informe de prueba y el acto de aceptación del sistema para la operación de prueba.
11. La etapa de operación de prueba incluye:
a) desarrollo de un programa y metodología para la operación de prueba;
b) operación de prueba del sistema de acuerdo con el programa y metodología de operación de prueba;
c) finalización del software del sistema y ajuste adicional de los medios técnicos en caso de detección de deficiencias identificadas durante la operación de prueba del sistema;
d) registro de un acto sobre la finalización de la operación de prueba, incluida una lista de deficiencias que deben eliminarse antes del inicio de la operación del sistema.
12. La etapa de prueba de aceptación incluye:
a) probar el sistema para el cumplimiento de los términos de referencia para su creación de acuerdo con el programa y metodología de pruebas de aceptación;
b) análisis de los resultados de la eliminación de las deficiencias especificadas en el acto sobre la finalización de la operación de prueba;
c) registro del acto de aceptación del sistema en funcionamiento.
13. La base para la puesta en servicio del sistema es el acto legal del poder ejecutivo sobre la puesta en servicio del sistema, que determina la lista de medidas para asegurar la puesta en servicio del sistema y establece la fecha de inicio de operación.
14. El acto jurídico del poder ejecutivo sobre la puesta en servicio del sistema incluye:
a) medidas para la elaboración y aprobación de documentos organizacionales y administrativos que definan medidas para la protección de la información durante la operación del sistema, cuyo desarrollo esté previsto por actos normativos normativos y documentos metodológicos del órgano ejecutivo federal en la materia de seguridad y el órgano ejecutivo federal autorizado en materia de contrainteligencia técnica y protección técnica de la información, así como las normas nacionales en materia de protección de la información;
b) medidas para certificar el sistema de requisitos de seguridad de la información, como resultado de lo cual, en los casos establecidos por la legislación de la Federación de Rusia, el cumplimiento de la protección de la información contenida en el sistema con los requisitos previstos por la legislación de se confirma la Federación de Rusia sobre información, tecnologías de la información y seguridad de la información;
c) medidas para preparar al poder ejecutivo, así como al socio privado en caso de celebración de un convenio de participación público-privada para la operación del sistema; (Modificado por Decreto del Gobierno de la Federación Rusa No. 420 del 11 de abril de 2019)
d) medidas para capacitar a los funcionarios del poder ejecutivo, así como a los empleados de un socio privado en caso de un acuerdo de asociación público-privada, para operar el sistema, incluidos los responsables de garantizar la seguridad de la información. (Modificado por Decreto del Gobierno de la Federación Rusa No. 420 del 11 de abril de 2019)
(Artículo modificado por Decreto del Gobierno de la Federación Rusa de fecha 11 de mayo de 2017 No. 555)
15. No se permite poner en funcionamiento el sistema en los siguientes casos:
a) incumplimiento de los requisitos de seguridad de la información establecidos por la legislación de la Federación Rusa, incluida la ausencia de un certificado válido de cumplimiento de los requisitos de seguridad de la información;
b) la ausencia en el registro de ubicación territorial de los objetos de control previstos en las Reglas para ejercer el control sobre la ubicación de los medios técnicos de los sistemas de información utilizados por los organismos estatales, gobiernos locales, empresas unitarias estatales y municipales, instituciones estatales y municipales, en el territorio de la Federación Rusa, aprobado por un decreto del Gobierno de la Federación Rusa de fecha 6 de julio de 2015 No. 675 "Sobre el procedimiento para monitorear el cumplimiento de los requisitos previstos en la Parte 21 del Artículo 13 y la Parte 6 del Artículo 14 de la Ley Federal "Sobre Información, Tecnologías de la Información y Protección de la Información", información sobre la colocación de medios técnicos del sistema de información en el territorio de la Federación Rusa;
c) incumplimiento de los requisitos de esta sección, identificados en el curso del seguimiento de acuerdo con las Reglas para el seguimiento del cumplimiento de los requisitos para la creación, desarrollo, puesta en servicio, operación y desmantelamiento de los sistemas de información estatales y el almacenamiento posterior de la información contenida en sus bases de datos, aprobó el Decreto del Gobierno de la Federación Rusa del 6 de julio de 2015 No. 675 "Sobre el procedimiento para monitorear el cumplimiento de los requisitos previstos en la Parte 21 del Artículo 13 y la Parte 6 del Artículo 14 de la Ley Federal " Sobre la Información, las Tecnologías de la Información y la Protección de la Información".
(Artículo modificado por Decreto del Gobierno de la Federación Rusa de fecha 11 de mayo de 2017 No. 555)
16. La fecha de inicio de la operación del sistema no puede ser anterior a la fecha de terminación del último evento previsto por el acto legal del poder ejecutivo de puesta en operación del sistema.
17. Las actividades para el desarrollo del sistema se realizan de acuerdo con los requisitos establecidos para la creación del sistema.
18. La base para el inicio de la operación del sistema es el inicio del plazo establecido por el acto legal del poder ejecutivo sobre la puesta en funcionamiento del sistema, especificado en el numeral 13 de este documento.
19. La autoridad ejecutiva o un socio privado operará el sistema de acuerdo con la documentación de trabajo especificada en el párrafo 7 de este documento. (Modificado por Decreto del Gobierno de la Federación Rusa No. 420 del 11 de abril de 2019)
191. La operación del sistema no está permitida en los casos especificados en la Parte 7 del Artículo 14 de la Ley Federal "Sobre Información, Tecnologías de la Información y Protección de la Información", así como en el párrafo 15 de este documento. (Desde el 1 de enero de 2019, complementado por el Decreto del Gobierno de la Federación Rusa del 11 de mayo de 2017 No. 555)
20. La base para desmantelar el sistema es:
a) finalización de la vida útil del sistema, si tal período fue establecido por un acto legal del poder ejecutivo al momento de la puesta en funcionamiento del sistema;
b) la inconveniencia de operar el sistema, incluyendo la baja eficiencia de los medios técnicos y software utilizados, cambios en la regulación legal, la adopción de decisiones gerenciales, así como la presencia de otros cambios que impidan la operación del sistema;
c) ineficiencia financiera y económica de la operación del sistema.
21. Si hay uno o más motivos para el desmantelamiento del sistema especificado en el párrafo 20 de este documento, la autoridad ejecutiva aprueba un acto legal sobre el desmantelamiento del sistema.
22. El acto legal sobre el desmantelamiento del sistema incluye:
a) la base para el desmantelamiento del sistema;
b) la lista y el momento de la implementación de medidas para desmantelar el sistema;
c) el procedimiento, los términos, el modo de almacenamiento y el uso posterior de los recursos de información, incluido el procedimiento para brindar acceso a los recursos de información del sistema que se retira y garantizar la protección de la información contenida en el sistema que se retira; (Modificado por Decreto del Gobierno de la Federación Rusa de fecha 11 de mayo de 2017 No. 555)
d) el procedimiento, plazos y métodos para informar a los usuarios sobre el desmantelamiento del sistema.
23. La lista de medidas para desmantelar el sistema incluye:
a) elaboración de actos jurídicos relacionados con el desmantelamiento del sistema;
b) trabajar en el desmantelamiento del sistema, incluido el trabajo en la desinstalación del software del sistema, el ejercicio de derechos sobre el software del sistema, el desmantelamiento y el desmantelamiento del hardware del sistema, asegurando el almacenamiento y el uso posterior de los recursos de información del sistema;
c) garantizar la protección de la información de acuerdo con la documentación del sistema y los documentos organizativos y administrativos sobre la protección de la información, incluido el archivo de la información contenida en el sistema, la destrucción (borrado) de datos e información residual de los medios de almacenamiento de la máquina y (o) destrucción de medios de máquinas de información. (Complementado por el Decreto del Gobierno de la Federación Rusa No. 555 del 11 de mayo de 2017)
24. A menos que se establezca lo contrario por actos legales reglamentarios de la Federación Rusa, los períodos para almacenar información contenida en las bases de datos del sistema están determinados por la autoridad ejecutiva y no pueden ser inferiores a los períodos para almacenar información que se establecen para almacenar documentos en papel que contienen dicha información.
25. El plazo para el desmantelamiento del sistema no podrá ser anterior al plazo para la realización de la última medida prevista por el acto legal de desmantelamiento del sistema.
(modificado por Decretos del Gobierno de la Federación Rusa del 14 de noviembre de 2015 No. 1235, del 11 de mayo de 2017 No. 555)
De conformidad con la Parte 6 del Artículo 14 de la Ley Federal "Sobre Información, Tecnologías de la Información y Protección de la Información", el Gobierno de la Federación Rusa decide:
1. Aprobar los requisitos adjuntos para el procedimiento de creación, desarrollo, puesta en funcionamiento, operación y desmantelamiento de los sistemas de información estatales y posterior almacenamiento de la información contenida en sus bases de datos.
2. Establecer que las medidas previstas en los requisitos aprobados por esta resolución sean ejecutadas por los órganos del ejecutivo federal dentro de las asignaciones presupuestarias previstas en la ley federal sobre el presupuesto de la federación para el ejercicio económico y período de planificación correspondiente para la dirección y gestión en el campo de las funciones establecidas.
3. Recomendar a otros órganos estatales, además de los órganos ejecutivos federales y los órganos ejecutivos de las entidades constitutivas de la Federación de Rusia, así como a los órganos de gestión de fondos no presupuestarios estatales, gobiernos locales, que se guíen en sus actividades por los requisitos aprobados. por esta resolución.
Primer ministro
Federación Rusa
D.Medvedev
Aprobado
Decreto del Gobierno
Federación Rusa
de fecha 6 de julio de 2015 No. 676
1. Este documento define los requisitos para el procedimiento de implementación de medidas para la creación, desarrollo, puesta en servicio, operación y desmantelamiento de los sistemas de información estatales y el posterior almacenamiento de la información contenida en sus bases de datos, llevado a cabo por las autoridades ejecutivas federales y autoridades ejecutivas del constituyente. entidades de la Federación Rusa ( en adelante respectivamente - el sistema, autoridades ejecutivas) con el fin de aumentar la eficiencia de la implementación de los poderes de las autoridades ejecutivas como resultado del uso de las tecnologías de la información y la comunicación.
1(1). Cuando las autoridades ejecutivas implementen medidas para la creación, desarrollo, puesta en marcha, operación y desmantelamiento de sistemas y posterior almacenamiento de la información contenida en sus bases de datos, se deberá realizar lo siguiente:
a) los requisitos para la protección de la información contenida en los sistemas establecidos por el órgano ejecutivo federal en materia de seguridad y el órgano ejecutivo federal autorizado en materia de contraataque de inteligencia técnica y protección técnica de la información, en el ámbito de sus competencias;
b) requisitos para la organización y medidas para proteger la información contenida en el sistema.
1(2). Para cumplir con los requisitos para la protección de la información previstos en el párrafo 1(1) de este documento (en lo sucesivo, los requisitos para la protección de la información), las autoridades ejecutivas determinan los requisitos para la protección de la información contenida en el del poder ejecutivo, para lo cual realizan:
a) determinación de la información a ser protegida del acceso no autorizado, destrucción, modificación, bloqueo, copia, suministro, distribución, así como otras acciones ilegales en relación con dicha información;
b) análisis de los actos normativos, documentos metodológicos y normas nacionales que debe cumplir el sistema;
c) clasificación del sistema de acuerdo con los requisitos de seguridad de la información;
d) identificación de amenazas a la seguridad de la información, cuya implementación puede conducir a una violación de la seguridad de la información en el sistema, y el desarrollo de un modelo de amenazas a la seguridad de la información sobre su base;
e) determinación de requisitos para el sistema de información (subsistema) para la protección de la información contenida en el sistema.
2. La base para la creación del sistema es:
a) la obligación del poder ejecutivo de crear un régimen, previsto por actos normativos;
b) la decisión del poder ejecutivo sobre la creación de un sistema con el fin de asegurar la ejecución de las facultades que tiene asignadas.
3. La creación del sistema se realiza de acuerdo con los términos de referencia, teniendo en cuenta el modelo de amenazas a la seguridad de la información previsto en el inciso “d” del párrafo 1(2) de este documento.
El modelo de amenazas a la seguridad de la información y (o) los términos de referencia para la creación del sistema se coordinan con el órgano ejecutivo federal en materia de seguridad y el órgano ejecutivo federal autorizado en materia de contrainteligencia técnica y protección técnica de la información, dentro de los límites de sus competencias en lo que se refiere a la implementación de los requisitos de protección de la información establecidos.
Los términos de referencia para la creación del sistema deberán incluir requisitos para la protección de la información contenida en el sistema, conformada de conformidad con el inciso “a” del párrafo 1(1) de este documento.
4. Los términos de referencia para la creación del sistema y el modelo de amenazas a la seguridad de la información son aprobados por el funcionario del poder ejecutivo, a quien se le encomiendan las facultades correspondientes.
5. El procedimiento para crear un sistema incluye los siguientes pasos implementados sucesivamente:
a) desarrollo de documentación para el sistema y sus partes;
b) desarrollo de documentación de trabajo para el sistema y sus partes;
c) desarrollo o adaptación de software;
d) puesta en servicio;
e) realización de pruebas preliminares del sistema;
f) realizar la operación de prueba del sistema;
g) realización de pruebas de aceptación del sistema.
6. La etapa de desarrollo de la documentación para el sistema y sus partes incluye el desarrollo, aprobación y aprobación de la documentación en la cantidad necesaria para describir el conjunto completo de soluciones de diseño (incluida la seguridad de la información) y suficiente para seguir trabajando en la creación del sistema.
7. La etapa de desarrollo de la documentación de trabajo para el sistema y sus partes incluye el desarrollo, aprobación y aprobación de la documentación que contiene la información necesaria para realizar el trabajo de puesta en marcha del sistema y su operación, y el procedimiento para operar el sistema, que contiene la información necesaria realizar trabajos para mantener el nivel de las características operativas (calidad) del sistema (incluida la seguridad de la información) establecido en las decisiones de diseño especificadas en el párrafo 6 de este documento, que incluyen:
a) una lista de acciones de los empleados en el desempeño de tareas para la operación del sistema, incluida la lista, tipos, volúmenes y frecuencia del trabajo realizado para garantizar el funcionamiento del sistema;
b) monitorear el desempeño del sistema y componentes que aseguren la protección de la información;
c) una lista de fallas que pueden ocurrir durante la operación del sistema, y recomendaciones para acciones en caso de que ocurran;
d) una lista de los modos de operación del sistema y sus características, así como el procedimiento y reglas para transferir el sistema de un modo de operación a otro, indicando el tiempo requerido para ello.
8. La etapa de desarrollo o adaptación de software comprende el desarrollo del software del sistema, la selección y adaptación del software adquirido, así como, en los casos establecidos y en la forma, la certificación del software del sistema desarrollado y las herramientas de protección de la información según a los requisitos de seguridad de la información.
9. La etapa de puesta en servicio incluye el ajuste fuera de línea del hardware y software de las partes del sistema, la carga de información en su base de datos, el ajuste integral del hardware y software del sistema, incluidas las herramientas de seguridad de la información.
10. La etapa de prueba preliminar incluye:
a) desarrollo de un programa y metodología de pruebas preliminares, conforme al cual se prueba la operatividad del sistema y el cumplimiento de los términos de referencia para su creación;
b) verificar la operatividad del sistema y el cumplimiento de los términos de referencia para su creación;
c) eliminación de fallas identificadas durante dichas pruebas y cambios en la documentación y documentación de trabajo del sistema;
d) registro del informe de prueba y el acto de aceptación del sistema para la operación de prueba.
11. La etapa de operación de prueba incluye:
a) desarrollo de un programa y metodología para la operación de prueba;
b) operación de prueba del sistema de acuerdo con el programa y metodología de operación de prueba;
c) finalización del software del sistema y ajuste adicional de los medios técnicos en caso de detección de deficiencias identificadas durante la operación de prueba del sistema;
d) registro de un acto sobre la finalización de la operación de prueba, incluida una lista de deficiencias que deben eliminarse antes del inicio de la operación del sistema.
12. La etapa de prueba de aceptación incluye:
a) probar el sistema para el cumplimiento de los términos de referencia para su creación de acuerdo con el programa y metodología de pruebas de aceptación;
b) análisis de los resultados de la eliminación de las deficiencias especificadas en el acto sobre la finalización de la operación de prueba;
c) registro del acto de aceptación del sistema en funcionamiento.
13. La base para la puesta en servicio del sistema es el acto legal del poder ejecutivo sobre la puesta en servicio del sistema, que determina la lista de medidas para asegurar la puesta en servicio del sistema y establece la fecha de inicio de operación.
14. El acto jurídico del poder ejecutivo sobre la puesta en servicio del sistema incluye:
a) medidas para la elaboración y aprobación de documentos organizacionales y administrativos que definan medidas para la protección de la información durante la operación del sistema, cuyo desarrollo esté previsto por actos normativos normativos y documentos metodológicos del órgano ejecutivo federal en la materia de seguridad y el órgano ejecutivo federal autorizado en materia de contrainteligencia técnica y protección técnica de la información, así como las normas nacionales en materia de protección de la información;
b) medidas para certificar el sistema de requisitos de seguridad de la información, como resultado de lo cual, en los casos establecidos por la legislación de la Federación de Rusia, el cumplimiento de la protección de la información contenida en el sistema con los requisitos previstos por la legislación de se confirma la Federación de Rusia sobre información, tecnologías de la información y seguridad de la información;
c) medidas para preparar al poder ejecutivo para la operación del sistema;
d) medidas para preparar a los funcionarios del poder ejecutivo para la operación del sistema, incluidos los encargados de velar por la protección de la información.
15. No se permite poner en funcionamiento el sistema en los siguientes casos:
a) incumplimiento de los requisitos de seguridad de la información establecidos por la legislación de la Federación Rusa, incluida la ausencia de un certificado válido de cumplimiento de los requisitos de seguridad de la información;
b) la ausencia en el registro de ubicación territorial de los objetos de control previstos en las Reglas para ejercer el control sobre la ubicación de los medios técnicos de los sistemas de información utilizados por los organismos estatales, gobiernos locales, empresas unitarias estatales y municipales, instituciones estatales y municipales, en el territorio de la Federación Rusa, aprobado por un decreto del Gobierno de la Federación Rusa de fecha 6 de julio de 2015 No. 675 “Sobre el procedimiento para monitorear el cumplimiento de los requisitos previstos en la Parte 2.1 del Artículo 13 y la Parte 6 del Artículo 14 de la Ley Federal "Sobre Información, Tecnologías de la Información y Protección de la Información", información sobre la colocación de medios técnicos del sistema de información en el territorio de la Federación Rusa;
c) incumplimiento de los requisitos de esta sección, identificados en el curso del seguimiento de acuerdo con las Reglas para el seguimiento del cumplimiento de los requisitos para la creación, desarrollo, puesta en servicio, operación y desmantelamiento de los sistemas de información estatales y el almacenamiento posterior de la información contenida en sus bases de datos, aprobó el Decreto del Gobierno de la Federación Rusa del 6 de julio de 2015 No. 675 "Sobre el procedimiento para monitorear el cumplimiento de los requisitos previstos en la Parte 2.1 del Artículo 13 y la Parte 6 del Artículo 14 de la Ley Federal " Sobre la Información, las Tecnologías de la Información y la Protección de la Información”.
16. La fecha de inicio de la operación del sistema no puede ser anterior a la fecha de terminación del último evento previsto por el acto legal del poder ejecutivo de puesta en operación del sistema.
17. Las actividades para el desarrollo del sistema se realizan de acuerdo con los requisitos establecidos para la creación del sistema.
18. La base para el inicio de la operación del sistema es el inicio del plazo establecido por el acto legal del poder ejecutivo sobre la puesta en funcionamiento del sistema, especificado en el numeral 13 de este documento.
19. La autoridad ejecutiva opera el sistema de acuerdo con la documentación de trabajo especificada en el párrafo 7 de este documento.
20. La base para desmantelar el sistema es:
a) finalización de la vida útil del sistema, si tal período fue establecido por un acto legal del poder ejecutivo al momento de la puesta en funcionamiento del sistema;
b) la inconveniencia de operar el sistema, incluyendo la baja eficiencia de los medios técnicos y software utilizados, cambios en la regulación legal, la adopción de decisiones gerenciales, así como la presencia de otros cambios que impidan la operación del sistema;
c) ineficiencia financiera y económica de la operación del sistema.
21. Si hay uno o más motivos para el desmantelamiento del sistema especificado en el párrafo 20 de este documento, la autoridad ejecutiva aprueba un acto legal sobre el desmantelamiento del sistema.
22. El acto legal sobre el desmantelamiento del sistema incluye:
a) la base para el desmantelamiento del sistema;
b) la lista y el momento de la implementación de medidas para desmantelar el sistema;
c) el procedimiento, los términos, el modo de almacenamiento y el uso posterior de los recursos de información, incluido el procedimiento para brindar acceso a los recursos de información del sistema que se retira y garantizar la protección de la información contenida en el sistema que se retira;
d) el procedimiento, plazos y métodos para informar a los usuarios sobre el desmantelamiento del sistema.
23. La lista de medidas para desmantelar el sistema incluye:
a) elaboración de actos jurídicos relacionados con el desmantelamiento del sistema;
b) trabajar en el desmantelamiento del sistema, incluido el trabajo en la desinstalación del software del sistema, el ejercicio de derechos sobre el software del sistema, el desmantelamiento y el desmantelamiento del hardware del sistema, asegurando el almacenamiento y el uso posterior de los recursos de información del sistema;
c) garantizar la protección de la información de acuerdo con la documentación del sistema y los documentos organizativos y administrativos sobre la protección de la información, incluido el archivo de la información contenida en el sistema, la destrucción (borrado) de datos e información residual de los medios de almacenamiento de la máquina y (o) destrucción de medios de máquinas de información.
24. A menos que se establezca lo contrario por actos legales reglamentarios de la Federación Rusa, los períodos para almacenar información contenida en las bases de datos del sistema están determinados por la autoridad ejecutiva y no pueden ser inferiores a los períodos para almacenar información que se establecen para almacenar documentos en papel que contienen dicha información.
25. El plazo para el desmantelamiento del sistema no podrá ser anterior al plazo para la realización de la última medida prevista por el acto legal de desmantelamiento del sistema.
De conformidad con la Parte 6 del Artículo 14 de la Ley Federal "Sobre Información, Tecnologías de la Información y Protección de la Información", el Gobierno de la Federación Rusa decide:
1. Aprobar los requisitos adjuntos para el procedimiento de creación, desarrollo, puesta en funcionamiento, operación y desmantelamiento de los sistemas de información estatales y posterior almacenamiento de la información contenida en sus bases de datos.
2. Establecer que las medidas previstas en los requisitos aprobados por esta resolución sean ejecutadas por los órganos del ejecutivo federal dentro de las asignaciones presupuestarias previstas en la ley federal sobre el presupuesto de la federación para el ejercicio económico y período de planificación correspondiente para la dirección y gestión en el campo de las funciones establecidas.
3. Recomendar a otros órganos estatales, además de los órganos ejecutivos federales y los órganos ejecutivos de las entidades constitutivas de la Federación de Rusia, así como a los órganos de gestión de fondos no presupuestarios estatales, gobiernos locales, que se guíen en sus actividades por los requisitos aprobados. por esta resolución.
Primer ministro
Federación Rusa
D. Medvédev
Requisitos para el procedimiento de creación, desarrollo, puesta en servicio, operación y desmantelamiento de los sistemas de información estatales y posterior almacenamiento de la información contenida en sus bases de datos
I. Disposiciones generales
1. Este documento define los requisitos para el procedimiento de implementación de medidas para la creación, desarrollo, puesta en servicio, operación y desmantelamiento de los sistemas de información estatales y el posterior almacenamiento de la información contenida en sus bases de datos, llevado a cabo por las autoridades ejecutivas federales y autoridades ejecutivas del constituyente. entidades de la Federación Rusa ( en adelante respectivamente - el sistema, autoridades ejecutivas) para aumentar la eficiencia de la implementación de los poderes de las autoridades ejecutivas como resultado del uso de tecnologías de la información y la comunicación.
II. Requisitos para la orden de creación del sistema
2. La base para la creación del sistema es:
a) la obligación del poder ejecutivo de crear un régimen, previsto por los actos jurídicos reglamentarios;
b) la decisión del poder ejecutivo sobre la creación de un sistema con el fin de asegurar la ejecución de las facultades que tiene asignadas.
3. La creación del sistema se realiza de conformidad con los términos de referencia aprobados por el poder ejecutivo o que sea parte integrante de la documentación para la contratación de bienes, obras, servicios para satisfacer las necesidades del Estado.
4. Los términos de referencia para la creación del sistema son aprobados por un funcionario del poder ejecutivo, quien, de acuerdo con la distribución de responsabilidades, tiene la facultad de aprobar dichos términos de referencia.
5. El procedimiento para crear un sistema incluye los siguientes pasos implementados sucesivamente:
A) desarrollo de documentación para el sistema y sus partes;
b) desarrollo de documentación de trabajo para el sistema y sus partes;
c) desarrollo o adaptación de software;
d) puesta en servicio;
e) realización de pruebas preliminares del sistema;
f) realizar la operación de prueba del sistema;
g) realización de pruebas de aceptación del sistema.
6. La etapa de desarrollo de documentación para el sistema y sus partes incluye el desarrollo, aprobación y aprobación de la documentación en la cantidad necesaria para describir el conjunto completo de soluciones de diseño y suficiente para seguir trabajando en la creación del sistema.
7. La etapa de desarrollo de la documentación de trabajo para el sistema y sus partes incluye el desarrollo, aprobación y aprobación de la documentación que contiene la información necesaria para realizar el trabajo de puesta en marcha del sistema y su operación, y el procedimiento para operar el sistema, que contiene la información necesaria realizar trabajos para mantener el nivel de las características operativas (calidad) del sistema establecido en las decisiones de diseño especificadas en el párrafo 6 de este documento, que incluyen:
A) una lista de acciones de los empleados en el desempeño de tareas para la operación del sistema, incluida la lista, tipos, volúmenes y frecuencia de trabajo para garantizar el funcionamiento del sistema;
b) seguimiento del rendimiento del sistema;
c) una lista de fallas que pueden ocurrir durante la operación del sistema, y recomendaciones para acciones en caso de que ocurran;
d) una lista de los modos de operación del sistema y sus características, así como el procedimiento y reglas para transferir el sistema de un modo de operación a otro, indicando el tiempo requerido para ello.
8. La etapa de desarrollo o adaptación del software incluye el desarrollo del software del sistema, la selección y adaptación del software adquirido.
9. La etapa de puesta en servicio incluye el ajuste fuera de línea del hardware y software de las partes del sistema, la carga de información en su base de datos, el ajuste integral del hardware y software del sistema.
10. La etapa de prueba preliminar incluye:
A) desarrollo de un programa y metodología de pruebas preliminares, de acuerdo con el cual se prueba la operatividad del sistema y el cumplimiento de los términos de referencia para su creación;
b) verificar la operatividad del sistema y el cumplimiento de los términos de referencia para su creación;
c) eliminación de fallas identificadas durante dichas pruebas y cambios en la documentación y documentación de trabajo del sistema;
d) registro del informe de prueba y el acto de aceptación del sistema para la operación de prueba.
11. La etapa de operación de prueba incluye:
A) desarrollo de un programa y metodología para la operación de prueba;
b) operación de prueba del sistema de acuerdo con el programa y metodología de operación de prueba;
c) finalización del software del sistema y ajuste adicional de los medios técnicos en caso de detección de deficiencias identificadas durante la operación de prueba del sistema;
d) registro de un acto sobre la finalización de la operación de prueba, incluida una lista de deficiencias que deben eliminarse antes del inicio de la operación del sistema.
12. La etapa de prueba de aceptación incluye:
A) probar el sistema para el cumplimiento de los términos de referencia para su creación de acuerdo con el programa y la metodología para las pruebas de aceptación;
b) análisis de los resultados de la eliminación de las deficiencias especificadas en el acto sobre la finalización de la operación de prueba;
c) registro del acto de aceptación del sistema en funcionamiento.
tercero Requisitos para la puesta en servicio del sistema
13. La base para la puesta en servicio del sistema es el acto legal del poder ejecutivo sobre la puesta en servicio del sistema, que determina la lista de medidas para asegurar la puesta en servicio del sistema y establece la fecha de inicio de operación.
14. El acto jurídico del poder ejecutivo sobre la puesta en servicio del sistema incluye:
a) medidas para preparar al poder ejecutivo para el funcionamiento del sistema;
b) medidas para preparar a los funcionarios del poder ejecutivo para el funcionamiento del sistema.
15. El procedimiento para la puesta en marcha de sistemas de información estatales federales que están destinados a ser utilizados en el desempeño de funciones estatales y (o) la prestación de servicios estatales se determina teniendo en cuenta los requisitos establecidos por Decreto del Gobierno de la Federación Rusa del 10 de septiembre. , 2009 N 723 "Sobre el procedimiento para la entrada en funcionamiento de sistemas de información estatales separados".
16. La fecha de inicio de la operación del sistema no puede ser anterior a la fecha de terminación del último evento previsto por el acto legal del poder ejecutivo de puesta en operación del sistema.
IV. Requisitos para la orden de desarrollo del sistema
17. Las actividades para el desarrollo del sistema se realizan de acuerdo con los requisitos establecidos para la creación del sistema.
V. Requisitos para el funcionamiento del sistema
18. La base para el inicio de la operación del sistema es el inicio del plazo establecido por el acto legal del poder ejecutivo sobre la puesta en funcionamiento del sistema, especificado en el numeral 13 de este documento.
19. La autoridad ejecutiva opera el sistema de acuerdo con la documentación de trabajo especificada en el párrafo 7 de este documento.
VI. Requisitos para el procedimiento de desmantelamiento del sistema y posterior almacenamiento de la información contenida en sus bases de datos
20. La base para desmantelar el sistema es:
A) finalización de la vida útil del sistema, si tal período fue establecido por un acto legal del poder ejecutivo en la puesta en funcionamiento del sistema;
b) la inconveniencia de operar el sistema, incluyendo la baja eficiencia de los medios técnicos y software utilizados, cambios en la regulación legal, la adopción de decisiones gerenciales, así como la presencia de otros cambios que impidan la operación del sistema;
c) ineficiencia financiera y económica de la operación del sistema.
21. Si hay uno o más motivos para el desmantelamiento del sistema especificado en el párrafo 20 de este documento, la autoridad ejecutiva aprueba un acto legal sobre el desmantelamiento del sistema.
22. El acto legal sobre el desmantelamiento del sistema incluye:
A) la base para el desmantelamiento del sistema;
b) la lista y el momento de la implementación de medidas para desmantelar el sistema;
c) el procedimiento, plazos, modo de almacenamiento y uso posterior de los recursos de información, incluido el procedimiento para proporcionar acceso a los recursos de información del sistema fuera de servicio;
d) el procedimiento, plazos y métodos para informar a los usuarios sobre el desmantelamiento del sistema.
23. La lista de medidas para desmantelar el sistema incluye:
A) elaboración de actos jurídicos relacionados con el desmantelamiento del sistema;
B) trabajar en el desmantelamiento del sistema, incluido el trabajo en la desinstalación del software del sistema, el ejercicio de los derechos sobre el software del sistema, el desmantelamiento y el desmantelamiento del hardware del sistema, asegurando el almacenamiento y el uso posterior de los recursos de información del sistema.
24. A menos que se establezca lo contrario por actos legales reglamentarios de la Federación Rusa, los períodos para almacenar información contenida en las bases de datos del sistema están determinados por la autoridad ejecutiva y no pueden ser inferiores a los períodos para almacenar información que se establecen para almacenar documentos en papel que contienen dicha información.
25. El plazo para el desmantelamiento del sistema no podrá ser anterior al plazo para la realización de la última medida prevista por el acto legal de desmantelamiento del sistema.
