вторник, 15 мая 2018 г.

Актуализация приказа Минкомсвязи № 375

     
       На http://regulation.gov.ru/projects#npa=80697 для общественного обсуждения опубликован проект приказа Минкомсвязи «О внесении изменений в приказ Министерства связи и массовых коммуникаций Российской Федерации от 11.08.2016 № 375».


       Приказ вступает в силу установленным порядком, за исключением пункта 4 и подпункта «е» пункта 7 изменений, утвержденных настоящим приказом, которые вступают в силу с 1 января 2019 г. (в таблице выделено желтым).

      Изменения, вносимые в приказ Минкомсвязи от 11 августа 2016 г. № 375
«Об утверждении порядка внесения сведений о выполнении требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, а также состава сведений, которые подлежат внесению, и срока их представления»

Текущая редакция, синим удалено
Новая версия, красным добавлено
Порядок
внесения сведений о выполнении требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, а также состав сведений, которые подлежат внесению, и срок их представления

II. Состав сведений, подлежащих внесению в реестровые записи реестра
3. В реестровую запись субъектами контроля вносятся следующие сведения:
новый подпункт 27



новый подпункт 28



3. В реестровую запись субъектами контроля вносятся следующие сведения:
27) требования к защите информации, содержащейся в государственной информационной системе;

28) информация об оформлении прав на использование компонентов государственной информационной системы, являющихся объектами интеллектуальной собственности.
3.9. При заполнении сведений, указанных в подпункте 9 пункта 3 Порядка, указывается одно из значений, в зависимости от типа мероприятия по информатизации:
б) для типа мероприятия по информатизации - ввод в эксплуатацию государственной информационной системы:






подготовка субъекта контроля к эксплуатации системы;
подготовка должностных лиц субъекта контроля к эксплуатации системы.

в) для типа мероприятия по информатизации - вывод из эксплуатации государственной информационной системы:
подготовка правовых актов, связанных с выводом системы из эксплуатации;
работы по деинсталляции программного обеспечения системы;
работы по реализации прав на программное обеспечение системы;
работы по демонтажу и списанию технических средств системы.
3.9. При заполнении сведений, указанных в подпункте 9 пункта 3 Порядка, указывается одно из значений, в зависимости от типа мероприятия по информатизации:
б) для типа мероприятия по информатизации – ввод в эксплуатацию государственной информационной системы:
утверждение организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы;
аттестация системы по требованиям защиты информации;
подготовка субъекта контроля к эксплуатации системы;
подготовка должностных лиц субъекта контроля к эксплуатации системы.

в) для типа мероприятия по информатизации - вывод из эксплуатации государственной информационной системы:
подготовка правовых актов, связанных с выводом системы из эксплуатации;
работы по деинсталляции программного обеспечения системы;
работы по реализации прав на программное обеспечение системы;
работы по демонтажу и списанию технических средств системы;
архивирование информации, содержащейся в системе;
обеспечение защиты информации в соответствии с документацией на систему и организационно-распорядительными документами по защите информации;
уничтожение (стирание) данных и остаточной информации с машинных носителей информации;
уничтожение машинных носителей информации.
новый пункт 3.27
3.27. При заполнении сведений, указанных в подпункте 27 пункта 3 Порядка, указываются:

а) установленный уровень защищенности персональных данных государственной информационной системы (если применимо) с приложением электронной копии утвержденного субъектом контроля акта определения уровня защищенности персональных данных при их обработке в государственной информационной системе;

б) установленный класс защищенности государственной информационной системы по требованиям защиты информации с приложением электронной копии утвержденного субъектом контроля акта классификации государственной информационной системы;

в) дата согласования технического задания на создание государственной информационной системы и наименование федерального органа исполнительной власти в области обеспечения безопасности и (или) федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, согласовавшего техническое задание в части, касающейся выполнения установленных требований о защите информации, с указанием реквизитов подтверждающего документа и приложением его электронной копии;

г) электронная копия утвержденной субъектом контроля модели угроз безопасности информации государственной информационной системы;

д) дата согласования модели угроз безопасности информации государственной информационной системы и наименование федерального органа исполнительной власти в области обеспечения безопасности и (или) федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, согласовавшего техническое задание в части, касающейся выполнения установленных требований о защите информации, с указанием реквизитов подтверждающего документа и приложением его электронной копии;

е) перечень наименований и реквизиты утвержденных субъектом контроля организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации государственной информационной системы, разработка которых предусмотрена нормативными правовыми актами и методическими документами федерального органа исполнительной власти в области обеспечения безопасности и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также национальными стандартами в области защиты информации (далее – организационно-распорядительные документы, определяющие мероприятия по защите информации в ходе эксплуатации государственной информационной системы), с приложением электронных копий указанных документов.

ж) реквизиты и срок действия аттестата соответствия требованиям безопасности информации с приложением его электронной копии, а также наименование и номер аккредитации органа по аттестации, выдавшего указанный аттестат.
новый пункт 3.28
вступает в силу с 1 января 2019 г.
3.28. При заполнении сведений, указанных в подпункте 28 пункта 3 Порядка, указываются в отношении:

а) входящих в состав государственной информационной системы программ для электронных вычислительных машин (далее – ЭВМ) и баз данных, исключительные права на которые принадлежат или переданы Российской Федерации или субъекту Российской Федерации:
наименование программы для ЭВМ или базы данных;
реквизиты договора отчуждения исключительного права на программу для ЭВМ или базу данных, с приложением электронной копии указанного договора;
дата и регистрационный номер выданного федеральным органом исполнительной власти по интеллектуальной собственности свидетельства о государственной регистрации программы для ЭВМ или базы данных, с приложением электронной копии указанного свидетельства;
дата окончания срока действия исключительного права на программу для ЭВМ или базу данных;

б) использованных при создании (развитии) государственной информационной системы изобретений, исключительные права на которые принадлежат или переданы Российской Федерации или субъекту Российской Федерации:
название изобретения;
реквизиты договора об отчуждении исключительного права на изобретение, с приложением электронной копии указанного договора;
номер и дата государственной регистрации изобретения, содержащихся в выданном федеральным органом исполнительной власти по интеллектуальной собственности патенте на изобретение, с приложением электронной копии указанного патента;
дата окончания срока действия исключительного права на изобретение;

в) использованных при создании (развитии) государственной информационной системы топологий интегральных микросхем, исключительные права на которые принадлежат или переданы Российской Федерации или субъекту Российской Федерации:
название интегральной микросхемы с зарегистрированной топологией;
реквизиты договора об отчуждении исключительного права на топологию интегральных микросхем, с приложением электронной копии указанного договора;
номер и дата свидетельства о государственной регистрации топологии интегральной микросхемы;
дата истечения срока действия исключительного права на топологию интегральной микросхемы;

г) результатов интеллектуальной деятельности, указанных в подпунктах «а» – «в» настоящего пункта, использованных при создании (развитии) государственной информационной системы в соответствии с лицензионным договором:
наименование результата интеллектуальной деятельности;
вид лицензионного договора (простая (неисключительная) лицензия или исключительная лицензия);
способы использования результата интеллектуальной деятельности;
реквизиты лицензионного договора, с приложением электронной копии указанного договора.

III. Правила формирования (изменения) сведений для включения в реестровые записи реестра
7. Внесение в реестр сведений, указанных в пункте 3 Порядка, осуществляется субъектами контроля в срок не более 10 (десяти) рабочих дней со дня наступления следующих событий:





















2) Утверждение технического задания на создание (развитие) государственной информационной системы.


Указываются сведения согласно следующим пунктам Порядка:
а) соответственно подпункт "а" или "б" пункта 3.4;
б) подпункт "а" пункта 3.8.
новый пункт 23
















новый пункт 24
















новый пункт 25













новый пункт 26













22) Инициирование работ по подготовке субъекта контроля к эксплуатации государственной информационной системы.
Указываются сведения согласно следующим пунктам Порядка:
а) пункт 3.5;
б) абзац второй подпункта "б" пункта 3.9;
в) подпункт "б" пункта 3.7;
г) подпункт "б" пункта 3.11 (указывается дата фактического начала работ по этапу "подготовка органа исполнительной власти к эксплуатации системы");
д) пункт 3.19.

24) Инициирование работ по подготовке должностных лиц субъекта контроля к эксплуатации государственной информационной системы.
Указываются сведения согласно следующим пунктам Порядка:
а) абзац третий подпункта "б" пункта 3.9;
б) подпункт "б" пункта 3.11 (указывается дата фактического начала работ по этапу "подготовка должностных лиц субъекта контроля к эксплуатации системы);
в) подпункты "а" - "б" пункта 3.20.
26) Инициирование эксплуатации государственной информационной системы.
Указываются сведения согласно следующим пунктам Порядка:
а) пункт 3.3;
б) подпункт "г" пункта 3.4.
7. Внесение в реестр сведений, указанных в пункте 3 Порядка, осуществляется субъектами контроля в срок не более 10 (десяти) рабочих дней со дня наступления следующих событий:
2) Согласование федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации технического задания на создание (развитие) государственной информационной системы и (или) модели угроз безопасности информации государственной информационной системы.
Указываются сведения согласно следующим пунктам Порядка:
а) соответственно подпункт «а» или «б» пункта 3.4;
б) подпункт «а» и «б» пункта 3.27;
в) подпункт «в» и (или) подпункт «д» пункта 3.27.

3) Утверждение технического задания на создание (развитие) государственной информационной системы и модели угроз безопасности информации государственной информационной системы.
Указываются сведения согласно следующим пунктам Порядка:
а) подпункт «а» пункта 3.8;
б) подпункт «г» пункта 3.27.

23) Инициирование на основании правового акта субъекта контроля о вводе государственной информационной системы в эксплуатацию работ по разработке организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации государственной информационной системы.
Указываются сведения согласно следующим пунктам Порядка:
а) абзац второй подпункта «б» пункта 3.9;
б) подпункт «б» пункта 3.11 (указывается дата начала работ по этапу «утверждение организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы»).

24) Утверждение на основании правового акта субъекта контроля о вводе государственной информационной системы в эксплуатацию организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации государственной информационной системы.
Указываются сведения согласно следующим пунктам Порядка:
а) подпункт «б» пункта 3.11 (указывается дата фактического завершения работ по этапу «утверждение организационно-распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации системы»).
б) подпункт «е» пункта 3.27;

25) Инициирование на основании правового акта субъекта контроля о вводе государственной информационной системы в эксплуатацию работ по проведению аттестационных испытаний государственной информационной системы на соответствие требованиям защиты информации.
Указываются сведения согласно следующим пунктам Порядка:
а) пункт 3.5;
б) абзац третий подпункта «б» пункта 3.9;
в) подпункт «б» пункта 3.11 (указывается дата фактического начала работ по этапу «аттестация системы по требованиям защиты информации»);

26) Завершение на основании правового акта субъекта контроля о вводе государственной информационной системы в эксплуатацию работ по аттестационным испытаниям государственной информационной системы на соответствие требованиям защиты информации.
Указываются сведения согласно следующим пунктам Порядка:
а) подпункт «б» пункта 3.11 (указывается дата фактического завершения работ по этапу «аттестация системы по требованиям защиты информации»);
б) подпункт «ж» пункта 3.27.

27) Инициирование работ по подготовке субъекта контроля к эксплуатации государственной информационной системы.
Указываются сведения согласно следующим пунктам Порядка:
а) пункт 3.5;
б) абзац четвертый подпункта "б" пункта 3.9;
в) подпункт "б" пункта 3.7;
г) подпункт "б" пункта 3.11 (указывается дата фактического начала работ по этапу "подготовка органа исполнительной власти к эксплуатации системы");
д) пункт 3.19.

29) Инициирование работ по подготовке должностных лиц субъекта контроля к эксплуатации государственной информационной системы.
Указываются сведения согласно следующим пунктам Порядка:
а) абзац пятый подпункта "б" пункта 3.9;
б) подпункт "б" пункта 3.11 (указывается дата фактического начала работ по этапу "подготовка должностных лиц субъекта контроля к эксплуатации системы);
в) подпункты "а" - "б" пункта 3.20.
31) Инициирование эксплуатации государственной информационной системы.
Указываются сведения согласно следующим пунктам Порядка:
а) пункт 3.3;
б) подпункт "г" пункта 3.4.
вступает в силу с 1 января 2019 г.
в) подпункт «ж» пункта 3.27;
г) пункт 3.28.

Комментариев нет:

Отправить комментарий