12. Целью защиты информации в центре обработки данных является исключение неправомерного доступа к информации, несанкционированного уничтожения, модифицирования, блокирования, копирования, предоставления, распространения информации, а также обеспечение функционирования центра обработки данных в штатном режиме.
13. Защита информации в центре обработки данных является составной частью работ по эксплуатации центра обработки данных и обеспечивается на всех стадиях (этапах) эксплуатации путем принятия в рамках системы защиты информации организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации.
14. Защита информации в центре обработки данных достигается:
1) своевременным выявлением угроз безопасности информации и уязвимостей в центре обработки данных;
2) реализацией необходимых мер и средств защиты информации и обеспечением их соответствия требованиям уполномоченных федеральных органов исполнительной власти;
3) реализацией единого подхода к обеспечению информационной безопасности в рамках центра обработки данных;
4) реализацией мероприятий по периодическому внутреннему и внешнему контролю состояния обеспечения информационной безопасности в центре обработки данных.
15. Защита информации в ходе эксплуатации центра обработки данных должна обеспечиваться в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, а также требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, установленными Федеральной службой по техническому и экспортному контролю в пределах компетенции. Защита информации с использованием криптографических (шифровальных) средств защиты информации должна обеспечиваться в соответствии с требованиями Федеральной службы безопасности Российской Федерации.
16. Система защиты информации центра обработки данных должна:
1) обеспечивать блокирование (нейтрализацию) угроз безопасности информации в центре обработки данных;
2) учитывать организационные и юридические аспекты защиты информации;
3) иметь подтверждение соответствия требованиям по защите информации (должна быть аттестована на соответствие требованиям по защите информации);
4) проходить периодический внутренний и внешний контроль состояния защиты информации.