6.1. Заказчик в целях выполнения требований о защите персональных данных, предусмотренных пунктом 1.5 настоящего Порядка, определяет требования к защите персональных данных, содержащихся в информационной системе, для чего осуществляет:
определение информации, подлежащей защите от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;
анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
классификацию информационной системы в соответствии с требованиями о защите информации;
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
формирование требований к подсистеме защиты информации и информационной системе в целом с учетом реализации данных требований, в том числе к механизмам, встроенным в прикладное программное обеспечение.
6.2. Защита информации осуществляется обладателем, оператором, участниками информационного обмена и пользователями информационной системы в соответствии с пределами их полномочий, определяемыми положением об информационной системе, на всех этапах эксплуатации информационной системы, включая ввод в эксплуатацию, эксплуатацию, развитие и вывод из эксплуатации.
6.3. В случае если в информационной системе не осуществляется обработка персональных данных, требования к необходимым и достаточным мерам по защите информации, направленным на обеспечение целостности и доступности системы, устанавливаются заказчиком по согласованию с уполномоченным органом при создании (развитии) соответствующей информационной системы.