О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации
ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОСТАНОВЛЕНИЕ
от 6 июля 2015 г. № 676
МОСКВА
О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации
(В редакции постановлений Правительства Российской Федерации от 14.11.2015 № 1235, от 11.05.2017 № 555, от 11.04.2019 № 420, от 07.08.2019 № 1026, от 04.09.2020 № 1345, от 10.10.2020 № 1650, от 31.05.2021 № 837, от 24.07.2021 № 1260, от 23.12.2021 № 2403, от 16.12.2022 № 2338, от 12.06.2024 № 791, от 18.03.2025 № 332)
В соответствии с частью 6 статьи 14 Федерального закона "Об информации, информационных технологиях и о защите информации" Правительство Российской Федерации постановляет:
1. Утвердить прилагаемые требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации.
2. Установить, что:
мероприятия, предусмотренные требованиями, утвержденными настоящим постановлением, осуществляются:
федеральными органами исполнительной власти в пределах установленной численности работников их центральных аппаратов, территориальных органов и бюджетных ассигнований, предусмотренных федеральным органам исполнительной власти в федеральном бюджете на соответствующий год на руководство и управление в сфере установленных функций;
государственными внебюджетными фондами Российской Федерации в пределах бюджетных ассигнований, предусмотренных органам управления государственных внебюджетных фондов Российской Федерации в бюджете соответствующего государственного внебюджетного фонда Российской Федерации на руководство и управление в сфере установленных функций.
(Пункт в редакции Постановления Правительства Российской Федерации от 23.12.2021 № 2403)
3. Рекомендовать органам местного самоуправления руководствоваться в своей деятельности требованиями, утвержденными настоящим постановлением. (В редакции Постановления Правительства Российской Федерации от 16.12.2022 № 2338)
Председатель Правительства Российской Федерации Д.Медведев
УТВЕРЖДЕНЫ постановлением Правительства Российской Федерацииот 6 июля 2015 г. № 676
ТРЕБОВАНИЯ к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации
(В редакции постановлений Правительства Российской Федерации от 14.11.2015 № 1235, от 11.05.2017 № 555, от 11.04.2019 № 420, от 07.08.2019 № 1026, от 04.09.2020 № 1345, от 10.10.2020 № 1650, от 31.05.2021 № 837, от 24.07.2021 № 1260, от 23.12.2021 № 2403, от 16.12.2022 № 2338, от 12.06.2024 № 791, от 18.03.2025 № 332)
I. Общие положения
1. Настоящий документ определяет требования к порядку реализации мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем (далее - система) и дальнейшему хранению содержащейся в их базах данных информации, осуществляемых органами государственной власти, в том числе федеральными органами исполнительной власти, исполнительными органами субъектов Российской Федерации, органами управления государственными внебюджетными фондами, иными государственными органами (далее - государственные органы) в целях повышения эффективности реализации полномочий государственных органов в результате использования информационно-коммуникационных технологий, либо государственными органами, выступающими от имени публичных партнеров, и частными партнерами в соответствии с соглашениями о государственно-частном партнерстве (далее - частный партнер) в целях реализации указанных соглашений, либо государственными органами, выступающими от имени концедентов, и концессионерами в соответствии с концессионными соглашениями (далее - концессионер) в целях реализации указанных соглашений, а также публично-правовыми компаниями, государственными корпорациями, иными определенными в соответствии с федеральными законами организациями, уполномоченными на осуществление мероприятий по созданию, развитию, эксплуатации государственных информационных систем в иных установленных федеральными законами целях (далее - уполномоченные организации) . (В редакции постановлений Правительства Российской Федерации от 16.12.2022 № 2338, от 18.03.2025 № 332)
Установленные настоящим документом требования к порядку реализации мероприятий, указанных в абзаце первом настоящего пункта, также распространяются на органы местного самоуправления и органы публичной власти федеральных территорий в случаях, когда: (Дополнение абзацем - Постановление Правительства Российской Федерации от 12.06.2024 № 791)
полномочия по реализации таких мероприятий органам местного самоуправления и органам публичной власти федеральных территорий были переданы соответственно на основании федеральных законов, законов субъектов Российской Федерации в целях осуществления ими отдельных полномочий Российской Федерации по предметам ведения Российской Федерации или совместного ведения Российской Федерации и субъектов Российской Федерации, полномочий субъектов Российской Федерации по предметам совместного ведения Российской Федерации и субъектов Российской Федерации, отдельных полномочий субъекта Российской Федерации; (Дополнение абзацем - Постановление Правительства Российской Федерации от 12.06.2024 № 791)
органы местного самоуправления и органы публичной власти федеральных территорий осуществляют в соответствии с федеральными законами полномочия (отдельные полномочия) Российской Федерации. (Дополнение абзацем - Постановление Правительства Российской Федерации от 12.06.2024 № 791)
11. При реализации государственными органами, частными партнерами либо концессионерами, уполномоченными организациями мероприятий по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации систем и дальнейшему хранению содержащейся в их базах данных информации должны выполняться: (В редакции постановлений Правительства Российской Федерации от 11.04.2019 № 420, от 04.09.2020 № 1345, от 16.12.2022 № 2338)
а) требования о защите информации, содержащейся в системах, устанавливаемые федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий;
б) требования к организации и мерам защиты информации, содержащейся в системе;
в) требования о защите персональных данных, предусмотренные частью 3 статьи 19 Федерального закона "О персональных данных" (в случае наличия в системе персональных данных) ; (Дополнение подпунктом - Постановление Правительства Российской Федерации от 11.04.2019 № 420)
г) требования к обеспечению доступа к информации, содержащейся в системе, органам местного самоуправления и органам публичной власти федеральных территорий в случаях, указанных в абзацах третьем и четвертом пункта 1 настоящего документа, для обеспечения ее обработки посредством информационных технологий и технических средств, входящих в состав системы. (Дополнение подпунктом - Постановление Правительства Российской Федерации от 12.06.2024 № 791)
(Дополнение пунктом - Постановление Правительства Российской Федерации от 11.05.2017 № 555)
12. В целях выполнения требований о защите информации, предусмотренных подпунктами "а" - "в" пункта 11 настоящего документа (далее - требования о защите информации) , государственные органы, определенные в соответствии с нормативным правовым актом, регламентирующим функционирование системы, определяют требования к защите информации, содержащейся в системе государственного органа, уполномоченной организации, для чего осуществляют: (В редакции постановлений Правительства Российской Федерации от 16.12.2022 № 2338, от 12.06.2024 № 791)
а) определение информации, подлежащей защите от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении такой информации;
б) анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать система;
в) классификацию системы в соответствии с требованиями о защите информации;
г) определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в системе, и разработку на их основе модели угроз безопасности информации;
д) определение требований к информационной системе (подсистеме) защиты информации, содержащейся в системе.
(Дополнение пунктом - Постановление Правительства Российской Федерации от 11.05.2017 № 555)
12-1. Мероприятия, указанные в пункте 1 настоящего документа, реализуются государственными органами, частными партнерами либо концессионерами, а также уполномоченными организациями только при условии осуществления уполномоченными органами, частными партнерами либо концессионерами и уполномоченными организациями учета системы в соответствии с Положением об учете ИТ-активов, используемых для осуществления деятельности по цифровой трансформации системы государственного (муниципального) управления, утвержденным постановлением Правительства Российской Федерации от 1 июля 2024 г. № 900 "О порядке учета ИТ-активов, используемых для осуществления деятельности по цифровой трансформации системы государственного (муниципального) управления". (Дополнение пунктом - Постановление Правительства Российской Федерации от 18.03.2025 № 332)
13. Создание, развитие, ввод в эксплуатацию, эксплуатация и вывод из эксплуатации систем и дальнейшее хранение содержащейся в их базах данных информации осуществляется с учетом методических рекомендаций по составу, структуре и содержанию организационного, методического, технического, математического, программного, информационного, документационного, правового и иных видов обеспечения систем, утверждаемых президиумом Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности.
Разработка указанных методических рекомендаций, включая их внесение для рассмотрения и утверждения в Правительственную комиссию по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности, осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации.
Утвержденные в соответствии с абзацем первым настоящего пункта методические рекомендации подлежат публикации Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации на портале федеральной государственной информационной системы координации информатизации в срок, не превышающий 5 рабочих дней со дня их утверждения.
(Дополнение пунктом - Постановление Правительства Российской Федерации от 24.07.2021 № 1260)
14. Для целей настоящего документа используются следующие понятия:
"итерация" - совокупность работ, предусмотренных этапами создания системы (очереди системы) , начиная с этапа разработки или адаптации программного обеспечения, разработки рабочей документации на систему или ее части и завершая этапом проведения опытной эксплуатации системы, направленных на реализацию отдельных требований к системе (очереди системы) и получение реализуемых системой одной или нескольких функций (задач, комплексов задач) (далее - группа требований) , указанных в техническом задании на создание системы (очереди системы) ;
"итерационный подход к разработке" - подход, основанный на выполнении необходимого числа итераций для поиска и реализации наиболее эффективных технических, эргономических и (или) технико-экономических решений по созданию системы (очереди системы) ;
"очередь системы" - целевое состояние системы, для которого определен набор реализуемых системой функций и (или) задач.
Термины "жизненный цикл информационной системы", "техническая документация", "методическая документация", "свободное программное обеспечение", "дистрибутив", "клиентское программное обеспечение информационной системы", "программный интерфейс информационной системы", "модель", "электронная модель", "модель автоматизируемых процессов деятельности", "модель архитектуры информационной системы", "модель базы данных информационной системы", "методический документ о моделировании", используемые в настоящем документе, применяются в тех же значениях, как они определены в Положении о национальном фонде алгоритмов и программ для электронных вычислительных машин, утвержденном постановлением Правительства Российской Федерации от 30 января 2013 г. № 62 "О национальном фонде алгоритмов и программ для электронных вычислительных машин" (далее - Положение о национальном фонде алгоритмов и программ) .
(Дополнение пунктом - Постановление Правительства Российской Федерации от 23.12.2021 № 2403) (Пункт в редакции Постановления Правительства Российской Федерации от 16.12.2022 № 2338)
II. Требования к порядку создания системы
2. Основанием для создания системы является:
а) обязанность государственного органа по созданию системы, предусмотренная нормативными правовыми актами; (В редакции Постановления Правительства Российской Федерации от 16.12.2022 № 2338)
а1) обязанность уполномоченной организации по созданию системы, предусмотренная федеральным законом; (Дополнение подпунктом - Постановление Правительства Российской Федерации от 16.12.2022 № 2338)
б) решение государственного органа о создании системы с целью обеспечения реализации возложенных на него полномочий; (В редакции Постановления Правительства Российской Федерации от 16.12.2022 № 2338)
в) решение Правительства Российской Федерации о реализации проекта государственно-частного партнерства; (Дополнение подпунктом - Постановление Правительства Российской Федерации от 11.04.2019 № 420)
г) решение высшего исполнительного органа субъекта Российской Федерации о реализации проекта государственно-частного партнерства, если публичным партнером является субъект Российской Федерации либо планируется проведение совместного конкурса с участием субъекта Российской Федерации (за исключением случаев проведения совместного конкурса с участием Российской Федерации) ; (В редакции постановлений Правительства Российской Федерации от 11.04.2019 № 420, от 04.09.2020 № 1345, от 16.12.2022 № 2338)
д) решение Правительства Российской Федерации о заключении концессионного соглашения; (Дополнение подпунктом - Постановление Правительства Российской Федерации от 04.09.2020 № 1345)
е) решение высшего исполнительного органа субъекта Российской Федерации о заключении концессионного соглашения, если концедентом является субъект Российской Федерации. (Дополнение подпунктом - Постановление Правительства Российской Федерации от 04.09.2020 № 1345) (В редакции Постановления Правительства Российской Федерации от 16.12.2022 № 2338)
21. Проекты правовых актов, указанных в пункте 2 настоящего документа, являющихся основанием для создания системы, разрабатываются с учетом концепции создания системы (далее - концепция) , включающей в себя технико-экономическое обоснование реализации системы. Концепция является документом технической документации на систему и содержит обоснование вариантов построения системы, условия и мероприятия по ее созданию, на основе которых принимается решение о необходимости и целесообразности создания системы, формируются требования к ней, а также обеспечиваются единый контекст и взаимосвязь результатов реализации требований к системе на последующих этапах ее жизненного цикла, в том числе при разработке технического задания на систему. В концепции приводятся в том числе:
а) результаты анализа нормативных правовых актов, методических документов, международных и национальных стандартов Российской Федерации, в соответствии с которыми разрабатывается система;
б) классификация системы в соответствии с требованиями о защите информации;
в) описание выявленных проблем, решение которых возможно средствами системы, описание требований к системе, включая определение требований к информационной системе (подсистеме) защиты информации и допустимых затрат на разработку, ввод в действие и эксплуатацию системы, описание эффекта, ожидаемого от создания системы, условий создания и функционирования системы, а также описание автоматизируемых процессов деятельности (как существующих, так и планируемых к реализации посредством создания системы) и архитектуры системы; (В редакции Постановления Правительства Российской Федерации от 23.12.2021 № 2403)
г) цели и задачи создания системы, архитектура системы, включая состав, выполняемые функции и взаимосвязи компонентов системы, состав сведений, подлежащих размещению в системе, обоснование выбранного варианта построения системы;
д) показатели степени автоматизации процессов и их значений, которые должны быть достигнуты в результате создания системы, а также критерии оценки достижения целей создания системы;
е) оценка финансовых, трудовых и материальных ресурсов, необходимых для реализации требований, указанных в подпункте "в" настоящего пункта (технико-экономическое обоснование) , включая оценку указанных ресурсов для создания системы, ввода ее в эксплуатацию, эксплуатации и в случае, если установлен срок эксплуатации системы, оценку необходимых ресурсов для вывода системы из эксплуатации и дальнейшего хранения содержащейся в ее базах данных информации;
ж) способ создания системы - последовательный или с применением итерационного подхода к разработке системы. (Дополнение подпунктом - Постановление Правительства Российской Федерации от 16.12.2022 № 2338)
(Дополнение пунктом - Постановление Правительства Российской Федерации от 10.10.2020 № 1650)
22. Создание системы допускается осуществлять очередями. В этом случае концепция создания системы должна включать в себя описание всех очередей системы, техническое задание разрабатывается на каждую очередь системы.
Установленные настоящим документом требования к порядку создания системы применяются к созданию очереди системы.
(Дополнение пунктом - Постановление Правительства Российской Федерации от 16.12.2022 № 2338)
23. Концепция утверждается должностным лицом государственного органа, указанного в пункте 12 настоящего документа. (Дополнение пунктом - Постановление Правительства Российской Федерации от 16.12.2022 № 2338)
3. Создание системы осуществляется в соответствии с разрабатываемым согласно концепции техническим заданием на создание системы (очереди системы) с учетом модели угроз безопасности информации, предусмотренной подпунктом "г" пункта 12 настоящего документа, а также уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных и требований настоящего документа.
Техническое задание на создание системы (очереди системы) и (или) модель угроз безопасности информации согласуются с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации.
В случае если в соответствии с технико-экономическим обоснованием, указанным в подпункте "е" пункта 21 настоящего документа, объем требуемого федеральным органам исполнительной власти или уполномоченным организациям финансирования на реализацию необходимых для создания системы мероприятий составляет более 100 млн. рублей, техническое задание согласуется