Положение о проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений
(с изменениями на 24 марта 2023 года)
1. Настоящее Положение устанавливает порядок проведения эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений (далее - эксперимент).
2. Понятия, используемые в настоящем Положении, означают следующее:
"информационная система" - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
"государственная информационная система" - информационная система, которая создается в целях реализации полномочий государственных органов и обеспечения обмена информацией между такими государственными органами, а также в иных установленных федеральными законами целях.
3. Участниками эксперимента являются:
а) Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации;
б) федеральные органы исполнительной власти и подведомственные им учреждения - на добровольной основе на основании совместных ведомственных актов (соглашений о взаимодействии).
4. Государственные внебюджетные фонды и иные организации могут привлекаться к участию в эксперименте по согласованию с ними и по решению президиума Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности.
5. Целями эксперимента являются:
а) получение независимой оценки текущего уровня защищенности государственных информационных систем;
б) сбор информации (инвентаризация) о системах защиты информации, размещенной в государственных информационных системах, выявление недостатков (уязвимости) средств защиты информации и программного обеспечения, применяемых в государственных информационных системах, а также оценка возможности их использования нарушителем;
в) проверка практической возможности использования нарушителем выявленных недостатков (уязвимости) средств защиты информации и программного обеспечения, применяемых в государственных информационных системах;
г) получение оценки возможности возникновения недопустимых для процессов государственной информационной системы событий;
д) выявление существующих недостатков (уязвимости) в инфраструктурных, архитектурных и организационных решениях государственных информационных систем, которые могут быть использованы внешними и внутренними нарушителями для осуществления несанкционированных действий, направленных на нарушение конфиденциальности, целостности и доступности обрабатываемой в государственной информационной системе информации;
е) разработка перечня мер, направленных на нейтрализацию выявленных в государственных информационных системах в рамках эксперимента недостатков (уязвимости);
ж) оценка уровня защищенности государственных информационных систем и их компонентов в рамках создания (развития) единой цифровой платформы Российской Федерации "ГосТех";
(Подпункт дополнительно включен с 4 апреля 2023 года постановлением Правительства Российской Федерации от 24 марта 2023 года N 469)
з) проведение мероприятий по устранению выявленных в государственных информационных системах недостатков (уязвимостей).
(Подпункт дополнительно включен с 4 апреля 2023 года постановлением Правительства Российской Федерации от 24 марта 2023 года N 469)
6. Для участия в эксперименте федеральным органом исполнительной власти или его подведомственным учреждением (по согласованию с федеральным органом исполнительной власти, осуществляющим функции его учредителя) в Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации подается в письменной форме заявка на участие в эксперименте согласно приложению (далее - заявка), которой подтверждается готовность государственной информационной системы, указанной в заявке, к участию в эксперименте.
7. Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации обеспечивает рассмотрение заявки в целях определения готовности государственной информационной системы, указанной в заявке, к участию в эксперименте и в 30-дневный срок со дня получения заявки уведомляет федеральный орган исполнительной власти или подведомственное ему учреждение о результатах рассмотрения заявки, а также о возможности проведения эксперимента в отношении заявленной государственной информационной системы и принятия совместного ведомственного акта (заключения соглашения о взаимодействии).
8. Организация проведения в рамках эксперимента работ по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации в соответствии с совместным ведомственным актом (соглашением о взаимодействии).
9. До выполнения работ по повышению уровня защищенности государственных информационных систем в рамках эксперимента Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации уведомляет об их выполнении:
участников эксперимента, указанных в подпункте "б" пункта 3 настоящего Положения;
Федеральную службу безопасности Российской Федерации;