Постановление Правительства ДНР № 84-7 от 29.09.2022 г. | Об утверждении Требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации

Дата публикации

19:00 18.10.2022

ПРАВИТЕЛЬСТВО
ДОНЕЦКОЙ НАРОДНОЙ РЕСПУБЛИКИ

 

ПОСТАНОВЛЕНИЕ
от 29 сентября 2022 г. № 84-7

 

Об утверждении Требований к порядку создания, развития, ввода
в эксплуатацию, эксплуатации и вывода из эксплуатации государственных
информационных систем и дальнейшего хранения содержащейся
в их базах данных информации

 

 

В целях определения требований к порядку реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем и дальнейшему хранению содержащейся в их базах данных информации, осуществляемых органами исполнительной власти Донецкой Народной Республики, руководствуясь статьей 23 Закона Донецкой Народной Республики от 30 ноября 2018 года № 02-IIНС «О Правительстве Донецкой Народной Республики», Правительство Донецкой Народной Республики

ПОСТАНОВЛЯЕТ:

1. Утвердить прилагаемые Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации (далее — Требования).

2. Органам исполнительной власти Донецкой Народной Республики руководствоваться Требованиями при реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем (далее — ГИС) и дальнейшему хранению содержащейся в их базах данных информации.

3. Рекомендовать органам государственной власти, иным государственным органам и органам местного самоуправления Донецкой Народной Республики руководствоваться Требованиями при реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации ГИС (информационных систем органов местного самоуправления) и дальнейшему хранению содержащейся в их базах данных информации.

4. Определить, что до вступления в силу нормативного правового акта, устанавливающего требования о защите информации, содержащейся в ГИС, мероприятия по защите информации, предусмотренные Требованиями, реализуются органами исполнительной власти Донецкой Народной Республики по согласованию с Министерством государственной безопасности Донецкой Народной Республики.

5. Установить, что до вступления в силу нормативного правового акта, который определяет порядок аттестации ГИС по требованиям защиты информации, подтверждение соответствия ГИС требованиям по защите информации осуществляется путем получения заключений Министерства государственной безопасности Донецкой Народной Республики и Министерства связи Донецкой Народной Республики об уровне защиты ГИС, предоставляемых в пределах компетенции данных органов исполнительной власти Донецкой Народной Республики, в соответствии с утвержденным ими порядком.

6. Контроль исполнения настоящего Постановления возложить на заместителя Председателя Правительства Донецкой Народной Республики Солнцева Е. А.

7. Настоящее Постановление вступает в силу со дня его подписания.

 

 

Председатель Правительства                                                                     В. П. Хоценко

 

 

УТВЕРЖДЕНЫ

Постановлением Правительства
Донецкой Народной Республики
от 29 сентября 2022 г. № 84-7

 

 

ТРЕБОВАНИЯ
к порядку создания, развития, ввода в эксплуатацию, эксплуатации
и вывода из эксплуатации государственных информационных систем
и дальнейшего хранения содержащейся в их базах данных информации

 

 

I. Общие положения

 

1.1. Настоящий производный нормативный правовой акт определяет требования к порядку реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем (далее — ГИС) и дальнейшему хранению содержащейся в их базах данных информации, осуществляемых органами исполнительной власти Донецкой Народной Республики (далее — ОИВ) в целях повышения эффективности реализации полномочий таких органов в результате использования информационно-коммуникационных технологий.

1.2. При реализации ОИВ мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации ГИС и дальнейшему хранению содержащейся в их базах данных информации должны выполняться:

а) требования о защите информации, содержащейся в ГИС, устанавливаемые Министерством государственной безопасности Донецкой Народной Республики (далее — требования о защите информации);

б) требования о защите персональных данных, предусмотренные частью 3 статьи 20 Закона Донецкой Народной Республики «О персональных данных» (в случае наличия в ГИС персональных данных).

1.3. В целях выполнения требований о защите информации, ОИВ устанавливают требования к защите информации, содержащейся в ГИС ОИВ, для чего осуществляют:

а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;

б) анализ нормативных правовых актов, методических документов и стандартов, которым должна соответствовать ГИС;

в) классификацию ГИС в соответствии с требованиями о защите информации;

г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ГИС, и разработку на их основе модели угроз безопасности информации;

д) определение требований к информационной системе (подсистеме) защиты информации, содержащейся в ГИС.

1.4. Создание, развитие, ввод в эксплуатацию, эксплуатация и вывод из эксплуатации ГИС и дальнейшее хранение содержащейся в их базах данных информации осуществляется с учетом методических рекомендаций по составу, структуре и содержанию организационного, методического, технического, математического, программного, информационного, документационного, правового и иных видов обеспечения ГИС, утверждаемых Министерством связи Донецкой Народной Республики.

1.5. Утвержденные, в соответствии с пунктом 1.4 настоящих Требований, методические рекомендации подлежат публикации на официальном сайте Министерства связи Донецкой Народной Республики в срок, не превышающий 5 (пять) рабочих дней со дня их утверждения.

1.6. В настоящих Требованиях используются понятия в следующих значениях:

а) жизненный цикл информационной системы — совокупность взаимосвязанных процессов последовательного изменения состояния информационной системы от формирования потребности в ней до окончания выполнения всех предусмотренных мероприятий по выводу ее из эксплуатации;

б) техническая документация — комплект взаимоувязанных документов, включая программную документацию, формируемых и утверждаемых на соответствующем этапе жизненного цикла информационной системы, полностью определяющих технические требования к информационной системе (к программе для электронных вычислительных машин, входящей в ее состав в качестве компоненты), проектные и организационные решения по ее созданию (развитию) и функционированию (эксплуатации), а также документов, в соответствии с которыми осуществляется проверка выполнения заданных функций информационной системы (программы для электронных вычислительных машин), определение и проверка соответствия требованиям технического задания на информационную систему (программу для электронных вычислительных машин);

в) методическая документация — совокупность документов, описывающих методы выбора и применения пользователями технологических приемов для решения задач посредством использования информационной системы (программы для электронных вычислительных машин).

 

II. Требования к порядку создания ГИС

 

2.1. Основанием для создания ГИС является:

а) обязанность ОИВ по созданию ГИС, предусмотренная нормативными правовыми актами Донецкой Народной Республики;

б) нормативный правовой акт ОИВ о создании ГИС с целью обеспечения реализации возложенных на него полномочий.

2.2. Проекты нормативных правовых актов, указанных в пункте 2.1 настоящих Требований, которые являются основанием для создания ГИС, разрабатываются с учетом концепции создания ГИС (далее — Концепция), включающей в себя технико-экономическое обоснование реализации ГИС. Концепция является документом технической документации на ГИС и содержит обоснование вариантов построения ГИС, условия и мероприятия по ее созданию, на основе которых принимается решение о необходимости и целесообразности создания ГИС, формируются требования к ней, а также обеспечиваются единый контекст и взаимосвязь результатов реализации требований к ГИС на последующих этапах жизненного цикла информационной системы, в том числе при разработке технического задания на ГИС. В Концепции приводятся в том числе:

а) результаты анализа нормативных правовых актов, методических документов и стандартов, действующих на территории Донецкой Народной Республики, в соответствии с которыми разрабатывается ГИС;

б) классификация ГИС в соответствии с требованиями о защите информации;

в) описание выявленных проблем, решение которых возможно средствами ГИС, описание требований к ГИС, включая определение требований к информационной системе (подсистеме) защиты информации и допустимых затрат на разработку, ввод в действие и эксплуатацию ГИС, описание эффекта, ожидаемого от создания ГИС, условий создания и функционирования ГИС, а также описание автоматизируемых процессов деятельности (как существующих, так и планируемых к реализации посредством создания ГИС) и архитектуры ГИС;

г) цели и задачи создания ГИС, архитектура ГИС, включая состав, выполняемые функции и взаимосвязи компонентов ГИС, состав сведений, подлежащих размещению в ГИС, обоснование выбранного варианта построения ГИС;

д) показатели степени автоматизации процессов и их значений, которые должны быть достигнуты в результате создания ГИС, а также критерии оценки достижения целей создания ГИС;

е) оценка финансовых, трудовых и материальных ресурсов, необходимых для реализации требований, указанных в подпункте «в» настоящего пункта (технико-экономическое обоснование), включая оценку указанных ресурсов для создания ГИС, ввода ее в эксплуатацию, эксплуатации и в случае, если установлен срок эксплуатации ГИС, оценку необходимых ресурсов для вывода ГИС из эксплуатации и дальнейшего хранения содержащейся в ее базах данных информации.

2.3. Создание ГИС осуществляется в соответствии с разрабатываемым согласно Концепции техническим заданием с учетом модели угроз безопасности информации, предусмотренной подпунктом «г» пункта 1.3 настоящих Требований, уровней защищенности персональных данных при их обработке в информационных системах персональных данных, в зависимости от угроз безопасности этих данных и настоящих Требований.

2.4. Техническое задание на создание ГИС и (или) модель угроз безопасности информации подлежит согласованию с Министерством государственной безопасности Донецкой Народной Республики и Министерством связи Донецкой Народной Республики в пределах компетенции данных ОИВ.

2.5. Техническое задание на создание ГИС должно включать в себя сформированные, в соответствии с пунктом 1.2 настоящих Требований, требования о защите информации, содержащейся в ГИС.

2.6. Концепция, техническое задание на создание ГИС и модель угроз безопасности информации утверждаются руководителем ОИВ, обеспечивающего создание ГИС.

2.7. Порядок создания ГИС включает следующие последовательно реализуемые этапы:

а) разработка документации на ГИС и ее части;
б) разработка рабочей документации на ГИС и ее части;
в) разработка или адаптация программного обеспечения;
г) пусконаладочные работы;
д) проведение предварительных испытаний ГИС;
е) проведение опытной эксплуатации ГИС;
ж) проведение приемочных испытаний ГИС.

2.8. Этап разработки документации на ГИС и ее части включает разработку, согласование и утверждение технической документации в объеме, необходимом для описания полной совокупности проектных решений (в том числе по защите информации) и достаточном для дальнейшего выполнения работ по созданию ГИС, в том числе описания проектных решений по автоматизируемым процессам деятельности, реализуемым посредством ГИС, решений по архитектуре ГИС, решений по содержанию, структуре и ограничениям целостности, используемых для создания базы данных ГИС.

2.9. Этап разработки рабочей документации на ГИС и ее части включает разработку, согласование и утверждение технической документации, необходимой для выполнения работ по вводу ГИС в эксплуатацию и ее эксплуатации, методической документации и порядка эксплуатации ГИС, содержащего сведения, необходимые для выполнения работ по поддержанию уровня эксплуатационных характеристик (качества) ГИС (в том числе по защите информации), установленных в проектных решениях, указанных в пункте 2.8 настоящих Требований, в том числе:

а) перечень действий сотрудников при выполнении задач по эксплуатации ГИС, включая перечень, виды, объемы и периодичность выполнения работ по обеспечению функционирования ГИС;

б) контроль работоспособности ГИС и компонентов, обеспечивающих защиту информации;

в) перечень неисправностей, которые могут возникнуть в процессе эксплуатации ГИС, и рекомендации в отношении действий при их возникновении;

г) перечень режимов работы ГИС и их характеристики, а также порядок и правила перевода ГИС с одного режима работы на другой с указанием необходимого для этого времени.

2.10. Этап разработки или адаптации программного обеспечения включает разработку программного обеспечения ГИС, выбор и адаптацию приобретаемого программного обеспечения, а также в установленных случаях и порядке, сертификацию разработанного программного обеспечения ГИС и средств защиты информации по требованиям безопасности информации.

2.11. Этап пусконаладочных работ включает автономную наладку технических средств и программного обеспечения частей ГИС, загрузку информации в ее базу данных, комплексную наладку технических средств и программного обеспечения ГИС, включая средства защиты информации.

2.12. Этап проведения предварительных испытаний включает:

а) разработку программы и методики предварительных испытаний, в соответствии с которыми осуществляется проверка ГИС на работоспособность и соответствие техническому заданию на ее создание;

б) проверку ГИС на работоспособность и соответствие техническому заданию на ее создание;

в) устранение выявленных при проведении таких испытаний неисправностей и внесение изменений в документацию и рабочую документацию на ГИС;

г) оформление протокола испытаний и акта о приемке ГИС в опытную эксплуатацию.

2.13. Этап проведения опытной эксплуатации включает:

а) разработку программы и методики опытной эксплуатации;

б) опытную эксплуатацию ГИС в соответствии с программой и методикой опытной эксплуатации;

в) доработку программного обеспечения ГИС и дополнительную наладку технических средств в случае выявления недостатков на этапе опытной эксплуатации ГИС;

г) оформление акта о завершении опытной эксплуатации, включающего перечень недостатков, которые необходимо устранить до начала эксплуатации ГИС.

2.14. Этап проведения приемочных испытаний включает:

а) испытания ГИС на соответствие техническому заданию на ее создание в соответствии с программой и методикой приемочных испытаний;

б) анализ результатов устранения недостатков, указанных в акте о завершении опытной эксплуатации;

в) оформление акта о приемке ГИС в эксплуатацию.

 

III. Требования к порядку ввода ГИС в эксплуатацию

 

3.1. Основанием для ввода ГИС в эксплуатацию является нормативный правовой акт ОИВ о вводе ГИС в эксплуатацию, определяющий перечень мероприятий по обеспечению ввода ГИС в эксплуатацию и устанавливающий срок начала ее эксплуатации.

3.2. Нормативный правовой акт ОИВ о вводе ГИС в эксплуатацию включает:

а) мероприятия по разработке и утверждению организационно- распорядительных документов, определяющих мероприятия по защите информации в ходе эксплуатации ГИС, разработка которых предусмотрена нормативными правовыми актами и методическими документами Министерства государственной безопасности Донецкой Народной Республики, а также стандартами в области защиты информации, действующими на территории Донецкой Народной Республики;

б) мероприятия в рамках аттестации ГИС по требованиям защиты информации, в результате которых в установленных законодательством Донецкой Народной Республики случаях подтверждается соответствие защиты информации, содержащейся в ГИС, требованиям, предусмотренным законодательством Донецкой Народной Республики об информации, информационных технологиях и о защите информации;

в) мероприятия по подготовке ОИВ к эксплуатации ГИС;

г) мероприятия по подготовке должностных лиц ОИВ к эксплуатации ГИС, включая лиц, ответственных за обеспечение защиты информации;

д) мероприятия по оформлению прав на использование компонентов ГИС, являющихся объектами интеллектуальной собственности.

3.3. Ввод ГИС в эксплуатацию не допускается в следующих случаях:

а) невыполнение установленных законодательством Донецкой Народной Республики требований о защите информации, включая отсутствие действующего аттестата соответствия требованиям безопасности информации;

б) размещение технических средств ГИС за пределами территории Донецкой Народной Республики;

в) невыполнение требований настоящего раздела;

г) отсутствие надлежащего оформления прав на использование компонентов ГИС, являющихся объектами интеллектуальной собственности.

3.4. Срок начала эксплуатации ГИС не может быть ранее срока окончания последнего мероприятия, предусмотренного нормативным правовым актом ОИВ о вводе ГИС в эксплуатацию.

3.5. Мероприятия по развитию ГИС осуществляются в соответствии с требованиями, установленными для создания ГИС, за исключением требования к разработке Концепции.

 

IV. Требования к порядку эксплуатации ГИС

 

4.1. Основанием для начала эксплуатации ГИС является наступление срока, установленного нормативным правовым актом ОИВ о вводе ГИС в эксплуатацию, указанным в пункте 3.1 настоящих Требований.

4.2. ОИВ осуществляет эксплуатацию ГИС в соответствии с рабочей документацией, указанной в пункте 2.9 настоящих Требований.

4.3. Эксплуатация ГИС не допускается в случаях, указанных в части 7 статьи 16 Закона Донецкой Народной Республики «Об информации, информационных технологиях» и пункте 3.3 настоящих Требований.

 

V. Требования к порядку вывода ГИС из эксплуатации и дальнейшего
хранения содержащейся в ее базах данных информации

 

5.1. Основанием для вывода ГИС из эксплуатации является:

а) завершение срока эксплуатации ГИС, в случае если такой срок был установлен нормативным правовым актом ОИВ о вводе ГИС в эксплуатацию;

б) нецелесообразность эксплуатации ГИС, в том числе низкая эффективность используемых технических средств и программного обеспечения, изменение правового регулирования, принятие управленческих решений, а также наличие иных изменений, препятствующих эксплуатации ГИС;

в) финансово-экономическая неэффективность эксплуатации ГИС.

5.2. При наличии одного или нескольких оснований для вывода ГИС из эксплуатации, указанных в пункте 5.1 настоящих Требований, ОИВ утверждает нормативный правовой акт о выводе ГИС из эксплуатации.

5.3. Нормативный правовой акт о выводе ГИС из эксплуатации включает:

а) основание для вывода ГИС из эксплуатации;

б) перечень и сроки реализации мероприятий по выводу ГИС из эксплуатации;

в) порядок, сроки, режим хранения и дальнейшего использования информационных ресурсов, включая порядок обеспечения доступа к информационным ресурсам выводимой из эксплуатации ГИС и обеспечения защиты информации, содержащейся в выводимой из эксплуатации ГИС;

г) порядок, сроки и способы информирования пользователей о выводе ГИС из эксплуатации.

5.4. Перечень мероприятий по выводу ГИС из эксплуатации включает:

а) подготовку нормативных правовых актов, связанных с выводом ГИС из эксплуатации;

б) работы по выводу ГИС из эксплуатации, в том числе работы по деинсталляции программного обеспечения ГИС, по реализации прав на программное обеспечение ГИС, демонтажу и списанию технических средств ГИС, обеспечению хранения и дальнейшего использования информационных ресурсов ГИС;

в) обеспечение защиты информации в соответствии с документацией на ГИС и организационно-распорядительными документами по защите информации, в том числе архивирование информации, содержащейся в ГИС, уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.

5.5. Если нормативными правовыми актами Донецкой Народной Республики не установлено иное, то сроки хранения информации, содержащейся в базах данных ГИС, определяются ОИВ и не могут быть меньше сроков хранения информации, которые установлены для хранения документов в бумажном виде, содержащих такую информацию.

5.6. Срок вывода ГИС из эксплуатации не может быть ранее срока окончания последнего мероприятия, предусмотренного правовым актом о выводе ГИС из эксплуатации.