2. Контроль за исполнением настоящего Приказа возложить на руководителя Научно-технической службы Федеральной службы безопасности Российской Федерации и первого заместителя директора Федеральной службы по техническому и экспортному контролю.

Директор

Федеральной службы безопасности

Российской Федерации

А.БОРТНИКОВ

Директор

Федеральной службы

по техническому

и экспортному контролю

С.ГРИГОРОВ

Приложение

к Приказу ФСБ России, ФСТЭК России

от 31 августа 2010 г. N 416/489

ТРЕБОВАНИЯ

О ЗАЩИТЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

ОБЩЕГО ПОЛЬЗОВАНИЯ

1. Настоящие Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации <*> (далее - информационные системы общего пользования), и являются обязательными для операторов информационных систем общего пользования при разработке и эксплуатации информационных систем общего пользования.

--------------------------------

<*> Постановление Правительства Российской Федерации от 24 ноября 2009 г. N 953 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти" (Собрание законодательства Российской Федерации, 2009, N 48, ст. 5832).

2. Информационные системы общего пользования должны обеспечивать:

сохранность и неизменность обрабатываемой информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения (далее - целостность информации);

беспрепятственный доступ пользователей к содержащейся в информационной системе общего пользования информации (далее - доступность информации);

защиту от действий пользователей в отношении информации, не предусмотренных правилами пользования информационной системой общего пользования, приводящих в том числе к уничтожению, модификации и блокированию информации (далее - неправомерные действия).

3. Информационные системы общего пользования включают в себя средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки информации, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

4. Информация, содержащаяся в информационной системе общего пользования, является общедоступной.

5. Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса.

5.1. К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти.

5.2. Ко II классу относятся информационные системы общего пользования, не указанные в подпункте 5.1 настоящего пункта.

6. Защита информации, содержащейся в информационных системах общего пользования, достигается путем исключения неправомерных действий в отношении указанной информации.

7. Методы и способы защиты информации в информационных системах общего пользования определяются оператором информационной системы общего пользования и должны соответствовать настоящим Требованиям.

Достаточность принятых мер по защите информации в информационных системах общего пользования оценивается при проведении мероприятий по созданию данных систем, а также в ходе мероприятий по контролю за их функционированием.

8. Работы по защите информации в информационных системах общего пользования являются неотъемлемой частью работ по созданию данных систем.

9. Размещение информационных систем общего пользования, специальное оборудование и охрана помещений, в которых находятся технические средства, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей информации и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

10. Защиту информации в информационных системах общего пользования обеспечивает оператор информационной системы общего пользования.

11. В информационных системах общего пользования должны быть обеспечены:

поддержание целостности и доступности информации;

предупреждение возможных неблагоприятных последствий нарушения порядка доступа к информации;

проведение мероприятий, направленных на предотвращение неправомерных действий в отношении информации;

своевременное обнаружение фактов неправомерных действий в отношении информации;

недопущение воздействия на технические средства информационной системы общего пользования, в результате которого может быть нарушено их функционирование;

возможность оперативного восстановления информации, модифицированной или уничтоженной вследствие неправомерных действий;

проведение мероприятий по постоянному контролю за обеспечением их защищенности;

возможность записи и хранения сетевого трафика.

12. Мероприятия по обеспечению защиты информации в информационных системах общего пользования включают в себя:

определение угроз безопасности информации, формирование на их основе модели угроз;

разработку на основе модели угроз системы защиты информации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты информации, предусмотренных для соответствующего класса информационных систем общего пользования;

проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

обучение лиц, использующих средства защиты информации, применяемые в информационной системе общего пользования, правилам работы с ними;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

проведение разбирательств и составление заключений по фактам несоблюдения условий использования средств защиты информации, которые могут привести к нарушению безопасности информации или другим нарушениям, снижающим уровень защищенности информационной системы общего пользования, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

описание системы их защиты.

13. Для разработки и осуществления мероприятий по защите информации в информационных системах общего пользования оператором информационной системы общего пользования назначается структурное подразделение или должностное лицо (работник), ответственные за обеспечение защиты информации.

14. Запросы пользователей на получение информации, содержащейся в информационных системах общего пользования, а также факты предоставления информации по этим запросам регистрируются автоматизированными средствами информационных систем общего пользования в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) оператора информационной системы общего пользования.

15. При обнаружении нарушений порядка доступа к информации оператор информационной системы общего пользования организует работы по выявлению причин нарушений и устранению этих причин в установленном порядке. Подсистема информационной безопасности должна обеспечивать восстановление информации в информационной системе общего пользования, модифицированной или уничтоженной вследствие неправомерных действий в отношении такой информации. Время восстановления процесса предоставления информации пользователям не должно превышать 8 часов.

16. Реализация требований по обеспечению защиты информации в средствах защиты информации возлагается на их разработчиков.

17. При создании и эксплуатации информационных систем общего пользования должны выполняться следующие требования по защите информации:

17.1. В информационных системах общего пользования I класса:

использование средств защиты информации от неправомерных действий, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи обязательно должны применяться к публикуемому информационному наполнению), сертифицированных ФСБ России;

использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России;

использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России;

использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России;

осуществление локализации и ликвидации неблагоприятных последствий нарушения порядка доступа к информации;

осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за десять и более последних дней и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;

обеспечение защиты от воздействий на технические и программные средства информационных систем общего пользования, в результате которых нарушается их функционирование, и несанкционированного доступа к помещениям, в которых находятся данные средства, с использованием технических средств охраны, в том числе систем видеонаблюдения, предотвращающих проникновение в помещения посторонних лиц;

осуществление регистрации действий обслуживающего персонала и пользователей;

обеспечение резервирования технических и программных средств, дублирования носителей и массивов информации;

использование сертифицированных в установленном порядке систем обеспечения гарантированного электропитания (источников бесперебойного питания);

осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСБ России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

17.2. В информационных системах общего пользования II класса:

использование средств защиты информации от неправомерных действий, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции, в том числе средств криптографической защиты информации (электронной цифровой подписи, при этом средства электронной цифровой подписи должны применяться к публикуемому информационному наполнению);

использование средств обнаружения вредоносного программного обеспечения, в том числе антивирусных средств, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

использование средств контроля доступа к информации, в том числе средств обнаружения компьютерных атак, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

использование средств фильтрации и блокирования сетевого трафика, в том числе средств межсетевого экранирования, сертифицированных ФСБ России и (или) ФСТЭК России с учетом их компетенции;

осуществление записи и хранения сетевого трафика при обращении к государственным информационным ресурсам за последние сутки и более и предоставление доступа к записям по запросам уполномоченных государственных органов, осуществляющих оперативно-разыскную деятельность;

осуществление регистрации действий обслуживающего персонала;

обеспечение частичного резервирования технических средств и дублирования массивов информации;

использование систем обеспечения гарантированного электропитания (источников бесперебойного питания);

осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России;

введение в эксплуатацию только после направления оператором информационной системы общего пользования в ФСТЭК России уведомления о готовности ввода информационной системы общего пользования в эксплуатацию и ее соответствии настоящим Требованиям.

Судебная практика и законодательство — Приказ ФСБ РФ N 416, ФСТЭК РФ N 489 от 31.08.2010 Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользованияСудебная практика высших судов РФ

Приказ Минприроды России от 31.03.2017 N 142 (ред. от 29.12.2017) "Об утверждении Плана информатизации Министерства природных ресурсов и экологии Российской Федерации на 2017 финансовый год и плановый период 2018 - 2019 гг."

письмо Минкомсвязи России от 30.12.2015 N ОП-П8-25076ДСП; приказ ФСБ России и ФСТЭК России от 31.08.2010 N 416/489 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования"; приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"; постановление Правительства Российской Федерации от 11.11.2015 N 1219 Об утверждении Положения о Министерстве природных ресурсов и экологии Российской Федерации и об изменении и признании утратившими силу некоторых актов Правительства Российской Федерации"

Приказ Минприроды России от 07.06.2017 N 276 "О внесении изменений в приложение к приказу Министерства природных ресурсов и экологии Российской Федерации от 31 марта 2017 г. N 142 "Об утверждении Плана информатизации Министерства природных ресурсов и экологии Российской Федерации на 2017 финансовый год и плановый период 2018 - 2019 гг."

письмо Минкомсвязи России от 30.12.2015 N ОП-П8-25076ДСП; приказ ФСБ России и ФСТЭК России от 31.08.2010 N 416/489 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования"; приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"; постановление Правительства Российской Федерации от 11.11.2015 N 1219 "Об утверждении Положения о Министерстве природных ресурсов и экологии Российской Федерации и об изменении и признании утратившими силу некоторых актов Правительства Российской Федерации".

Приказ Минфина России от 28.09.2016 N 397 "Об официальном сайте Министерства финансов Российской Федерации в информационно-телекоммуникационной сети "Интернет" (вместе с "Положением об официальном сайте Министерства финансов Российской Федерации в информационно-телекоммуникационной сети "Интернет", "Регламентом информационного наполнения официального сайта Министерства финансов Российской Федерации в информационно-телекоммуникационной сети "Интернет")

приказ Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования";

Постановление ЦИК России от 20.04.2016 N 4/33-7 (ред. от 26.08.2020) "Об Инструкции по размещению данных Государственной автоматизированной системы Российской Федерации "Выборы" в информационно-телекоммуникационной сети "Интернет"

1.4.12. Приказ Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю Российской Федерации от 31.08.2010 N 416/489 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования";

Приказ Росреестра от 26.07.2016 N П/0359 "Об официальном сайте Федеральной службы государственной регистрации, кадастра и картографии" (вместе с "Положением об официальном сайте Федеральной службы государственной регистрации, кадастра и картографии в информационно-телекоммуникационной сети "Интернет", содержащем блоки региональной информации территориальных органов Росреестра", "Регламентом взаимодействия структурных подразделений центрального аппарата и территориальных органов Росреестра по информационному наполнению официального сайта Федеральной службы государственной регистрации, кадастра и картографии, содержащего блоки региональной информации территориальных органов Росреестра")

приказом Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования";

Приказ ФССП России от 23.06.2016 N 385 (ред. от 15.06.2017) "Об официальном интернет-сайте Федеральной службы судебных приставов" (вместе с "Положением об официальном интернет-сайте Федеральной службы судебных приставов")

приказом Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31.08.2010 N 416/489 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования".

1.3. Перечень информации о деятельности Федеральной службы судебных приставов, размещаемой на сайте, определяется в соответствии с Указом Президента Российской Федерации от 10.08.2011 N 1072 "Об утверждении перечня информации о деятельности Федеральной службы судебных приставов, размещаемой в информационно-телекоммуникационной сети "Интернет", Методическими рекомендациями по реализации принципов открытости в федеральных органах исполнительной власти, утвержденными Правительственной комиссией по координации деятельности открытого правительства от 26.12.2013 N АМ-П36-89пр, приказом Минтруда России от 07.10.2013 N 530н "О требованиях к размещению и наполнению подразделов, посвященных вопросам противодействия коррупции, официальных сайтов федеральных государственных органов, Центрального банка Российской Федерации, Пенсионного фонда Российской Федерации, Фонда социального страхования Российской Федерации, Федерального фонда обязательного медицинского страхования, государственных корпораций (компаний), иных организаций, созданных на основании федеральных законов, и требованиях к должностям, замещение которых влечет за собой размещение сведений о доходах, расходах, об имуществе и обязательствах имущественного характера" (зарегистрировано Минюстом России 25 декабря 2013 г. N 30803).

Приказ Минфина России от 27.12.2013 N 141н (ред. от 03.03.2016) "О создании и ведении единого портала бюджетной системы Российской Федерации" (вместе с "Порядком создания и ведения единого портала бюджетной системы Российской Федерации") (Зарегистрировано в Минюсте России 29.04.2014 N 32153)

7) средства защиты информации портала бюджетной системы должны соответствовать положениям приказа Министерства связи и массовых коммуникаций Российской Федерации от 25 августа 2009 г. N 104 "Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования" (зарегистрирован в Министерстве юстиции Российской Федерации 25 сентября 2009 г., регистрационный N 14874) и приказа Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования" (зарегистрирован в Министерстве юстиции Российской Федерации 13 октября 2010 г., регистрационный N 18704).

Приказ ФССП России от 23.06.2014 N 344 (ред. от 17.12.2015) "Об официальном интернет-сайте Федеральной службы судебных приставов" (вместе с "Положением об официальном интернет-сайте Федеральной службы судебных приставов")

приказом ФСБ России и ФСТЭК России от 31.08.2010 N 416/489 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования".

1.3. Перечень информации о деятельности Федеральной службы судебных приставов, размещаемой на сайте, определяется в соответствии с Указом Президента Российской Федерации от 10.08.2011 N 1072 "Об утверждении перечня информации о деятельности Федеральной службы судебных приставов, размещаемой в сети Интернет", Методическими рекомендациями по реализации принципов открытости в федеральных органах исполнительной власти, утвержденными Правительственной комиссией по координации деятельности открытого правительства от 26.12.2013 N АМ-П36-89пр, приказом Минтруда России от 07.10.2013 N 530н "О требованиях к размещению и наполнению подразделов, посвященных вопросам противодействия коррупции, официальных сайтов федеральных государственных органов, Центрального банка Российской Федерации, Пенсионного фонда Российской Федерации, Фонда социального страхования Российской Федерации, Федерального фонда обязательного медицинского страхования, государственных корпораций (компаний), иных организаций, созданных на основании федеральных законов, и требованиях к должностям, замещение которых влечет за собой размещение сведений о доходах, расходах, об имуществе и обязательствах имущественного характера" (зарегистрировано Минюстом России 25 декабря 2013 г. N 30803).

"Методические рекомендации по публикации открытых данных государственными органами и органами местного самоуправления, а также технические требования к публикации открытых данных. Версия 3.0" (утв. протоколом заседания Правительственной комиссии по координации деятельности Открытого Правительства от 29.05.2014 N 4)

<1> Официальный сайт должен сохранять соответствие требованиям совместного приказа ФСБ России и ФСТЭК России от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования", подготовленный во исполнение Постановления Правительства Российской Федерации от 18 мая 2009 г. N 424.

Приказ Минэкономразвития России от 01.03.2013 N 115 Об утверждении требований к технологическим, программным и организационным средствам сбора данных, обеспечивающим возможность обработки и мониторинга результатов оценки в автоматизированной информационной системе "Информационно-аналитическая система мониторинга качества государственных услуг

6. При обмене данными между средствами сбора данных и ИАС МКГУ должны соблюдаться Требования по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования, утвержденные приказом Минкомсвязи России от 25 августа 2009 г. N 104 (зарегистрирован в Минюсте России 25 сентября 2009 г., регистрационный N 14874), и Требования о защите информации, содержащиеся в информационных системах общего пользования, утвержденные приказом ФСБ России, ФСТЭК России от 31 августа 2010 г. N 416/489 (зарегистрирован в Минюсте России 13 октября 2010 г., регистрационный N 18704).

Популярные статьи и материалы

N 400-ФЗ от 28.12.2013

ФЗ о страховых пенсиях

N 69-ФЗ от 21.12.1994

ФЗ о пожарной безопасности

N 40-ФЗ от 25.04.2002

ФЗ об ОСАГО

N 273-ФЗ от 29.12.2012

ФЗ об образовании

N 79-ФЗ от 27.07.2004

ФЗ о государственной гражданской службе

N 275-ФЗ от 29.12.2012

ФЗ о государственном оборонном заказе

N2300-1 от 07.02.1992 ЗППП

О защите прав потребителей

N 273-ФЗ от 25.12.2008

ФЗ о противодействии коррупции

N 38-ФЗ от 13.03.2006

ФЗ о рекламе

N 7-ФЗ от 10.01.2002

ФЗ об охране окружающей среды

N 3-ФЗ от 07.02.2011

ФЗ о полиции

N 402-ФЗ от 06.12.2011

ФЗ о бухгалтерском учете

N 135-ФЗ от 26.07.2006

ФЗ о защите конкуренции

N 99-ФЗ от 04.05.2011

ФЗ о лицензировании отдельных видов деятельности

N 14-ФЗ от 08.02.1998

ФЗ об ООО

N 223-ФЗ от 18.07.2011

ФЗ о закупках товаров, работ, услуг отдельными видами юридических лиц

N 2202-1 от 17.01.1992

ФЗ о прокуратуре

N 127-ФЗ 26.10.2002

ФЗ о несостоятельности (банкротстве)

N 152-ФЗ от 27.07.2006

ФЗ о персональных данных

N 44-ФЗ от 05.04.2013

ФЗ о госзакупках

N 229-ФЗ от 02.10.2007

ФЗ об исполнительном производстве

N 53-ФЗ от 28.03.1998

ФЗ о воинской службе

N 395-1 от 02.12.1990

ФЗ о банках и банковской деятельности

ст. 333 ГК РФ

Уменьшение неустойки

ст. 317.1 ГК РФ

Проценты по денежному обязательству

ст. 395 ГК РФ

Ответственность за неисполнение денежного обязательства

ст 20.25 КоАП РФ

Уклонение от исполнения административного наказания

ст. 81 ТК РФ

Расторжение трудового договора по инициативе работодателя

ст. 78 БК РФ

Предоставление субсидий юридическим лицам, индивидуальным предпринимателям, физическим лицам

ст. 12.8 КоАП РФ

Управление транспортным средством водителем, находящимся в состоянии опьянения, передача управления транспортным средством лицу, находящемуся в состоянии опьянения

ст. 161 БК РФ

Особенности правового положения казенных учреждений

ст. 77 ТК РФ

Общие основания прекращения трудового договора

ст. 144 УПК РФ

Порядок рассмотрения сообщения о преступлении

ст. 125 УПК РФ

Судебный порядок рассмотрения жалоб

ст. 24 УПК РФ

Основания отказа в возбуждении уголовного дела или прекращения уголовного дела

ст. 126 АПК РФ

Документы, прилагаемые к исковому заявлению

ст. 49 АПК РФ

Изменение основания или предмета иска, изменение размера исковых требований, отказ от иска, признание иска, мировое соглашение

ст. 125 АПК РФ

Форма и содержание искового заявления