XI. Защита информации, содержащейся в системе

46. Информация, содержащаяся в системе, подлежит защите в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, а также в соответствии с законодательством Российской Федерации о персональных данных.

47. Защита информации, содержащейся в системе, обеспечивается оператором системы посредством применения организационных и технических мер защиты информации, а также осуществления контроля за эксплуатацией системы.

48. Для обеспечения защиты информации в ходе создания, эксплуатации и развития системы оператором системы реализуются следующие мероприятия:

а) формирование требований к защите информации, содержащейся в системе;

б) разработка и внедрение подсистемы защиты информации, содержащейся в системе;

в) применение средств защиты информации, сертифицированных на соответствие обязательным требованиям по безопасности информации, установленным Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в части их полномочий;

г) аттестация системы по требованиям защиты информации;

д) защита информации при ее передаче по информационно-телекоммуникационным сетям;

е) обеспечение защиты информации в ходе эксплуатации системы.

49. В целях защиты информации, содержащейся в системе, оператор системы в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации обеспечивает:

а) предотвращение несанкционированного доступа к информации, содержащейся в системе, и (или) передачи такой информации лицам, не имеющим права доступа к этой информации;

б) незамедлительное обнаружение попыток несанкционированного доступа к информации, содержащейся в системе;

в) недопущение несанкционированного воздействия, нарушающего функционирование входящих в состав системы программно-технических средств обработки информации;

г) возможность незамедлительного выявления фактов модификации, уничтожения или блокирования информации, содержащейся в системе, вследствие несанкционированного доступа и возможность восстановления такой информации;

д) осуществление непрерывного контроля за уровнем защищенности информации, содержащейся в системе;

е) обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты в целях взаимодействия с Национальным координационным центром по компьютерным инцидентам в рамках государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

50. Защита в системе информации, содержащей сведения, составляющие государственную тайну, осуществляется в соответствии с требованиями, установленными законодательством Российской Федерации.

51. Система документированного или электронного учета обрабатываемой в системе информации, содержащей сведения, составляющие государственную тайну, должна быть реализована с учетом требований законодательства Российской Федерации об информации, информационных технологиях и о защите информации, а также законодательства Российской Федерации о защите государственной тайны.

Порядок разработки, изготовления и обеспечения эксплуатации шифровальной техники в случае использования в системе для защиты информации, содержащей сведения, составляющие государственную тайну, должен определяться в соответствии с требованиями законодательства Российской Федерации об информации, информационных технологиях и о защите информации, а также законодательства Российской Федерации о защите государственной тайны.

52. Информационный обмен со специальным контуром системы осуществляется с применением сертифицированных средств однонаправленной передачи данных из контура с более низкой степенью конфиденциальности в контур с более высокой степенью конфиденциальности или через отчуждаемый носитель.