8.1. Обеспечение безопасности и защиты информационных ресурсов

8.1.1. Использование программного обеспечения по учету и управлению цифровым контентом, иных информационных систем, в которые интегрированы электронные копии архивных документов, наличие и активное использование в архиве локальной вычислительной сети с доступом в Интернет требуют разработки и внедрения регламента информационной безопасности архива, основные положения которого должны базироваться на положениях Федерального закона N 149-ФЗ и других нормативных правовых и методических актах в области информационных технологий, действующих на территории Российской Федерации (см. подраздел 2.4 Методических рекомендаций).

8.1.2. Обеспечение сохранности информационных ресурсов, защита элементов среды электронного взаимодействия от несанкционированного доступа, компьютерных атак и воздействий вредоносного программного обеспечения в целом должны обеспечиваться применением следующих мер защиты:

- использование средств антивирусной защиты и систем защиты от воздействия вредоносного кода в точках соединения систем обработки, хранения и передачи электронных копий с публичными сетями, контроль подозрительных активностей в информационной системе;

- контроль целостности перемещающихся внутри системы электронных копий;

- использование средств защиты от несанкционированного доступа на оборудовании;

- реализация систем управления доступом к личному кабинету сайта и использование систем аутентификации субъектов доступа;

- контроль целостности информации.

8.1.3. Необходимо обеспечить соответствие серверов требованиям по безопасности информационных систем, программно-аппаратных комплексов и программного обеспечения, установленным федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.

8.1.4. В целях защиты информации, размещенной на сайте, должно быть обеспечено:

- ведение электронных журналов учета операций, выполненных с помощью программного обеспечения CMS, позволяющих осуществлять учет всех действий по размещению, изменению и удалению информации на сайте, фиксировать точное время, содержание изменений и информацию об уполномоченном сотруднике, осуществившем изменения на сайте;

- защита информации от уничтожения, модификации и блокирования доступа к ней, а также от иных неправомерных действий в отношении такой информации при помощи средств защиты от несанкционированного доступа и антивирусной защиты.

8.1.5. Рекомендуется использовать шифрованные транспортные механизмы (протокол HTTPS) и сертификаты безопасности (SSL- сертификаты) при передаче данных, обеспечивающих шифрование и защиту передаваемой информации, в том числе персональных данных пользователей сайта (о переходе сайта на HTTPS подробнее см.: https://yandex.ru/support/search-results/?service=webmaster&query=SSL-%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82).

8.1.6. Возможно использование для сайта протокола HTTP, но, если функционал сайта предусматривает хранение персональных данных пользователей, совместное использование HTTP и HTTPS запрещается.

8.1.7. После введения санкций против Российской Федерации в 2022 г. многие удостоверяющие центры, выпускающие SSL-сертификаты, прекратили работать в Российской Федерации. Рекомендуется для выбора и покупки SSL-сертификата использовать услуги Ru-Center (https://www.nic.ru/catalog/ssl/).

8.1.8. Рекомендуется использовать сервис "Яндекс.Вебмастер" для своевременного выявления на сайте:

- вредоносного вируса (необходимо подписаться на уведомления о появившемся вредоносном коде на страницах сайта и незамедлительно принимать меры при получении такого уведомления);

- подозрительной активности.

8.1.9. Администраторам сайтов не рекомендуется сохранять пароли от FTP-сервера, сайта, почты и веб-сервисов на своем компьютере или в FTP-клиентах. Безопаснее всегда вводить пароли вручную, когда программа их запрашивает.

8.1.10. Пароли пользователей сайта должны отвечать следующим требованиям:

- пароль должен содержать не менее 8 символов, в том числе цифр - не менее 1, строчных букв - не менее 1, прописных букв - не менее 1, символов, не являющихся буквами и цифрами, - не менее 1;

- CMS должна быть настроена таким образом, чтобы требовать смены пароля у пользователей хотя бы раз в год;

- CMS должна блокировать аккаунт пользователя на 15 мин после трех неправильных попыток ввода пароля, после следующих трех попыток - на 30 мин и информировать пользователя об этом.

8.1.11. Рекомендуется принять следующие меры защиты функционирующих официальных сайтов:

- обновить и/или усложнить парольную политику, сменить пароли администраторов ресурсов, а также при наличии возможности ввести дополнительные факторы аутентификации пользователей;

- использовать серверы DNS, находящиеся на территории Российской Федерации;

- удалить из шаблонов страниц HTML весь код JavaScript, загружаемый с иностранных ресурсов (баннеры, счетчики и т.д.);

- в случае использования иностранного хостинга переместить размещенные на нем сайты на российский хостинг;

- в случае размещения сайта в доменной зоне, отличной от доменной зоны ".ru", по возможности переместить его в доменную зону ".ru".

8.1.12. При создании на сайте ИС УИКАД рекомендуется установить двухфакторную систему аутентификации пользователей (ввод логина/пароля и ввод специального кода, приходящий посредством СМС или по электронной почте).

8.1.13. При регистрации пользователя в ИС УИКАД (заведении ему личного кабинета) необходимо:

- ограничить сбор персональной информации пользователя до необходимого минимума;

- в обязательном порядке требовать волеизъявления пользователя на согласие на обработку его персональных данных путем пометки в соответствующем поле (чекбоксе) формы.

8.1.14. Архивы обязаны уведомлять пользователя о соблюдении режима конфиденциальности в отношении ставшей ему известной информации, использование и распространение которой ограничено законодательством Российской Федерации:

- в анкете пользователя, работающего в читальном зале, - в случае работы пользователя в читальном зале;

- в договорах об оказании услуг архивом - в случае заключения таких договоров;

- в ответах на запросы социально-правового характера.

8.1.15. По вопросам обеспечения информационной безопасности рекомендуем обращаться к материалам интернет-портала "Безопасность пользователей в сети Интернет" (https://safe-surf.ru/).