Новая нормативка для государственных ИС (ПП №676 и ПП № 675)

Новая нормативка для государственных ИС (ПП №676 и ПП № 675)

Документ короткий и, на мой взгляд, не особенно и нужный. Каких-то подводных камней я в нем не обнаружил, а основные положения мы могли уже видеть в Приказе ФСТЭК России №17  или других документах по вводу АС/ИС в эксплуатацию. По сути, Постановление содержит верхнеуровневые положения примерно такого содержания:
"Порядок создания системы включает следующие последовательно реализуемые этапы:
а) разработка документации на систему и ее части;
б) разработка рабочей документации на систему и ее части;
в) разработка или адаптация программного обеспечения;
г) пусконаладочные работы;
д) проведение предварительных испытаний системы;
е) проведение опытной эксплуатации системы;
ж) проведение приемочных испытаний системы."
Чуть более важным для нас является другой документ - Постановление Правительства РФ от 06.07.2015 N 675 " О порядке осуществления контроля за соблюдением требований, предусмотренных частью 2.1 статьи 13 и частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации " (вместе с "Правилами осуществления контроля за размещением технических средств информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями, государственными и муниципальными учреждениями, на территории Российской Федерации", "Правилами осуществления контроля за соблюдением требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации").

Документ устанавливает порядок осуществления контроля за размещением на территории Российской Федерации технических средств информационных систем, используемых государственными органами, органами местного самоуправления, государственными и муниципальными унитарными предприятиями или государственными и муниципальными учреждениями (объекты контроля). И это уже интересно! 

Далее читаем документ и видим, что Министерство связи и массовых коммуникаций Российской Федерации должно вести реестр территориального размещения объектов контроля 
Реестр содержит следующие сведения:
а) наименование информационной системы;
б) наименование владельца и (или) оператора информационной системы;
в) идентификационный номер налогоплательщика владельца и (или) оператора информационной системы;
г) адрес местонахождения владельца и (или) оператора информационной системы;
д) краткое описание характера информации, размещенной в информационной системе;
е) должностное лицо владельца и (или) оператора информационной системы, ответственное за ее эксплуатацию;
ж) реквизиты документа, в соответствии с которым лицо назначено оператором информационной системы, - в случае если оператор информационной системы не является ее владельцем;
з) сетевой адрес информационной системы в информационно-телекоммуникационной сети "Интернет" (при его наличии);
и) адрес электронной почты администратора информационной системы;
к) сведения о территориальном размещении объекта контроля, которые включают в том числе адрес фактического местонахождения входящих в информационную систему технических средств.
Причем не просто ведется реестр, а еще и проверяется:
Министерство связи и массовых коммуникаций Российской Федерации с использованием информационно-телекоммуникационной сети "Интернет" осуществляет автоматизированную проверку содержащихся в реестре сведений о каждом объекте контроля. В случае выявления несоответствия сведений об объекте контроля в реестре формируется запись о выявленном несоответствии, на основании которой составляется акт о выявленных несоответствиях. Акт о выявленных несоответствиях направляется в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций.
На основании акта Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций в пределах своей компетенции осуществляет в отношении субъектов контроля мероприятия, предусмотренные законодательством Российской Федерации об административных правонарушениях.
Итого, чего-то совсем нового и неожиданного в Постановлениях я не увидел, просто сделан очередной шаг по переносу и закреплению государственных ИС на территорию РФ. Причем, насколько я понимаю, большинство и так тут...
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!

Andrey Prozorov

Информационная безопасность в России и мире