6.5.1. Применение информационных систем, используемых для хранения копий ЭФП, требует разработки и внедрения регламента информационной безопасности, основные положения которого должны базироваться на положениях Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и защите информации" и других правовых и нормативно-методических актах в области информационных технологий, действующих на территории Российской Федерации.
6.5.2. Обеспечение сохранности копий ЭФП от несанкционированного доступа, компьютерных атак и воздействий вредоносного ПО в целом может осуществляться с помощью следующих мер защиты:
- использование средств антивирусной защиты и систем защиты от воздействия вредоносного кода в точках соединения систем обработки, хранения и передачи электронных копий с публичными сетями, контроль подозрительных активностей в информационной системе;
- использование средств защиты от несанкционированного доступа на оборудовании;
- реализация систем управления доступом к электронным копиям и использование систем аутентификации субъектов доступа.
При облачном хранении способы обеспечения аутентичности и целостности определяются договором (соглашением) с владельцем облачного хранилища (сервиса).
6.5.3. Необходимо обеспечить соответствие серверов и средств хранения данных требованиям по безопасности информационных систем, программно-аппаратных комплексов и программного обеспечения, установленным федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.
6.5.4. В целях защиты информации, размещенной на сайте (в разделе) ИС, должны быть обеспечены:
- ведение электронных журналов учета операций, выполненных с помощью программного обеспечения и технологических средств ведения сайта (раздела) ИС, позволяющих осуществлять учет всех действий по размещению, изменению и удалению информации на сайте (в разделе) ИС, фиксировать точное время, содержание изменений и информацию об уполномоченном сотруднике, осуществившем изменения на сайте (в разделе) ИС;
- регулярное копирование всей размещенной на сайте (в разделе) ИС информации и электронных журналов учета операций на резервный материальный носитель, обеспечивающее возможность их восстановления;
- защита информации от уничтожения, модификации и блокирования доступа к ней, а также от иных неправомерных действий в отношении такой информации при помощи средств защиты от несанкционированного доступа и антивирусной защиты;
- хранение резервных материальных носителей с копиями всей размещенной на сайте (в разделе) ИС информации и электронных журналов учета операций: с ежедневными копиями - не менее одного года, с еженедельными копиями - не менее двух лет, с ежемесячными копиями - не менее трех лет;
- применение шифрованных транспортных механизмов (HTTPS) и сертификатов безопасности при передаче данных, обеспечивающих шифрование и защиту передаваемой информации, в том числе персональных данных пользователей сайта (раздела) ИС.
6.5.5. Совместное использование HTTP и HTTPS для ИС не рекомендуется.
6.5.6. Рекомендуется зарегистрировать сайт, содержащий ИС, в "Яндекс.Вебмастер", чтобы сервис регулярно проверял страницы сайта на наличие:
- компьютерных вирусов (необходимо подписаться на уведомления о появившемся вредоносном коде на страницах сайта (раздела) ИС и незамедлительно принимать меры при получении такого уведомления);
6.5.7. Все формы для отправки сообщений с сайта должны быть защищены тестом CAPTCHA (капча). Как правило, для этих целей в CMS существуют специальные модули. Если их нет, то можно либо написать их самостоятельно, либо воспользоваться стандартными средствами от популярных разработчиков, например сервисом Yandex SmartCaptcha <75> (доступ осуществляется по запросу в компанию "Яндекс").
--------------------------------
<75> Yandex SmartCaptcha. URL: https://cloud.yandex.ru/services/smartcaptcha (дата обращения: 01.12.2022).
6.5.8. При регистрации пользователя в ИС (заведении ему личного кабинета) необходимо:
- ограничить сбор персональной информации пользователя до необходимого минимума;
- в обязательном порядке требовать согласие пользователя на обработку его персональных данных путем пометки в соответствующем поле (чекбоксе) формы.
Необходимо помнить, что в данном случае архивное учреждение выступает в роли оператора персональных данных, осуществляющего сбор информации в автоматическом режиме и несущего ответственность за использование, защиту и сохранность собранных данных в соответствии с законодательством Российской Федерации.
6.5.9. Архивы обязаны уведомлять пользователя о соблюдении режима конфиденциальности в отношении ставшей ему известной информации, использование и распространение которой ограничено законодательством Российской Федерации <76>:
--------------------------------
<76> П. 45.3 Правил 2020 г.
- в анкете пользователя, работающего в читальном зале, - в случае работы пользователя в читальном зале;
- договорах об оказании услуг архивом - в случае заключения таких договоров;
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875