1. Заказчик государственной информационной системы на этапе ее создания формирует требования к государственной информационной системе, обеспечивающие выполнение законодательства по информационной безопасности и защите информации, и предусматривает правовые, организационные и технические мероприятия по защите содержащейся в ней информации.
2. Обладатель государственной информационной системы в целях обеспечения информационной безопасности принимает решения о предоставлении (ограничении) доступа к государственной информационной системе и хранящимся в ней данным в соответствии с положением о государственной информационной системе.
3. Оператор государственной информационной системы обеспечивает предоставление (ограничение) доступа к государственной информационной системе и хранящимся в ней данным на основании решений, принимаемых обладателем государственной информационной системы, а также выполняет мероприятия по обеспечению информационной безопасности и принятию мер по минимизации последствий инцидентов в области информационной безопасности на этапе эксплуатации государственных информационных систем.