Информационное сообщение ФСТЭК России от 22.06.2017 N 240/22/3031 "О порядке рассмотрения и согласования моделей угроз безопасности информации и технических заданий на создание государственных информационных систем"


ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

от 22 июня 2017 г. N 240/22/3031

О ПОРЯДКЕ

РАССМОТРЕНИЯ И СОГЛАСОВАНИЯ МОДЕЛЕЙ УГРОЗ БЕЗОПАСНОСТИ

ИНФОРМАЦИИ И ТЕХНИЧЕСКИХ ЗАДАНИЙ НА СОЗДАНИЕ

ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ

В связи с поступлением в Федеральную службу по техническому и экспортному контролю (ФСТЭК России) вопросов о порядке рассмотрения и согласования моделей угроз безопасности информации и технических заданий на создание государственных информационных систем, считаем целесообразным сообщить следующее.

Постановлением Правительства Российской Федерации от 11 мая 2017 г. N 555 внесены изменения в Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденные постановлением Правительства Российской Федерации от 6 июля 2015 г. N 676 (далее - Требования).

В соответствии с пунктом 3 указанных Требований модели угроз безопасности информации и (или) технические задания на создание государственных информационных систем согласуются с ФСТЭК России в пределах ее полномочий в части выполнения установленных требований о защите информации.

Рассмотрение и согласование моделей угроз безопасности информации и технических заданий на создание федеральных информационных систем осуществляется центральным аппаратом ФСТЭК России. Рассмотрение и согласование моделей угроз безопасности информации и технических заданий на создание региональных информационных систем осуществляется управлениями ФСТЭК России по федеральным округам.

Рассмотрению в ФСТЭК России подлежат проекты моделей угроз безопасности информации и технических заданий на создание государственных информационных систем, оформленные в установленном порядке и поступившие от заказчиков или операторов государственных информационных систем. Проекты моделей угроз безопасности информации и технических заданий на создание государственных информационных систем, разработанные в качестве отчетных материалов в рамках научно-исследовательских и опытно-конструкторских работ, поступившие от организаций, осуществляющих создание (проектирование) государственных информационных систем, будут рассматриваться в исключительных случаях, при наличии письменного обращения от соответствующего заказчика (оператора) государственной информационной системы.

В соответствии с Регламентом Федеральной службы по техническому и экспортному контролю, утвержденным приказом ФСТЭК России от 12 мая 2005 г. N 167, срок рассмотрения в ФСТЭК России проектов моделей угроз безопасности информации и технических заданий на создание государственных информационных систем составляет не более 30 дней.

Правовую основу при рассмотрении и согласовании проектов моделей угроз безопасности информации и технических заданий на создание государственных информационных систем составляют:

Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119;

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17;

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21.

Кроме того, при рассмотрении и согласовании моделей угроз безопасности информации и технических заданий на создание государственных информационных систем будут учитываться методические документы ФСТЭК России и национальные стандарты в области защиты информации, национальные стандарты, регламентирующие вопросы создания автоматизированных систем, а также сведения, содержащиеся в Банке данных угроз безопасности информации (www.bdu.fstec.ru).

Заместитель директора

В.ЛЮТИКОВ

Задайте вопрос юристу:
+7 (499) 703-46-71 - для жителей Москвы и Московской области
+7 (812) 309-95-68 - для жителей Санкт-Петербурга и Ленинградской области