Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Методические рекомендации по созданию и развитию официальных сайтов и официальных страниц органов управления архивным делом, государственных и муниципальных архивов Российской Федерации (утв. Федеральным архивным агентством) (по состоянию на 8 марта 2023 г.)
- Раздел 8. Обеспечение защиты и сохранности ресурсов
Раздел 8. Обеспечение защиты и сохранности ресурсов
Раздел 8. Обеспечение защиты и сохранности ресурсов
8.1. Обеспечение безопасности и защиты информационных ресурсов
8.1.1. Использование программного обеспечения по учету и управлению цифровым контентом, иных информационных систем, в которые интегрированы электронные копии архивных документов, наличие и активное использование в архиве локальной вычислительной сети с доступом в Интернет требуют разработки и внедрения регламента информационной безопасности архива, основные положения которого должны базироваться на положениях Федерального закона N 149-ФЗ и других нормативных правовых и методических актах в области информационных технологий, действующих на территории Российской Федерации (см. подраздел 2.4 Методических рекомендаций).
8.1.2. Обеспечение сохранности информационных ресурсов, защита элементов среды электронного взаимодействия от несанкционированного доступа, компьютерных атак и воздействий вредоносного программного обеспечения в целом должны обеспечиваться применением следующих мер защиты:
- использование средств антивирусной защиты и систем защиты от воздействия вредоносного кода в точках соединения систем обработки, хранения и передачи электронных копий с публичными сетями, контроль подозрительных активностей в информационной системе;
- контроль целостности перемещающихся внутри системы электронных копий;
- использование средств защиты от несанкционированного доступа на оборудовании;
- реализация систем управления доступом к личному кабинету сайта и использование систем аутентификации субъектов доступа;
- контроль целостности информации.
8.1.3. Необходимо обеспечить соответствие серверов требованиям по безопасности информационных систем, программно-аппаратных комплексов и программного обеспечения, установленным федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.
8.1.4. В целях защиты информации, размещенной на сайте, должно быть обеспечено:
- ведение электронных журналов учета операций, выполненных с помощью программного обеспечения CMS, позволяющих осуществлять учет всех действий по размещению, изменению и удалению информации на сайте, фиксировать точное время, содержание изменений и информацию об уполномоченном сотруднике, осуществившем изменения на сайте;
- защита информации от уничтожения, модификации и блокирования доступа к ней, а также от иных неправомерных действий в отношении такой информации при помощи средств защиты от несанкционированного доступа и антивирусной защиты.
8.1.5. Рекомендуется использовать шифрованные транспортные механизмы (протокол HTTPS) и сертификаты безопасности (SSL-сертификаты) при передаче данных, обеспечивающих шифрование и защиту передаваемой информации, в том числе персональных данных пользователей сайта (о переходе сайта на HTTPS подробнее см.: https://yandex.ru/support/search-results/?service=webmaster&query=SSL-%D1%81%D0%B5%D1%80%D1%82%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%82).
8.1.6. Возможно использование для сайта протокола HTTP, но, если функционал сайта предусматривает хранение персональных данных пользователей, совместное использование HTTP и HTTPS запрещается.
8.1.7. После введения санкций против Российской Федерации в 2022 г. многие удостоверяющие центры, выпускающие SSL-сертификаты, прекратили работать в Российской Федерации. Рекомендуется для выбора и покупки SSL-сертификата использовать услуги Ru-Center (https://www.nic.ru/catalog/ssl/).
8.1.8. Рекомендуется использовать сервис "Яндекс.Вебмастер" для своевременного выявления на сайте:
- вредоносного вируса (необходимо подписаться на уведомления о появившемся вредоносном коде на страницах сайта и незамедлительно принимать меры при получении такого уведомления);
- подозрительной активности.
8.1.9. Администраторам сайтов не рекомендуется сохранять пароли от FTP-сервера, сайта, почты и веб-сервисов на своем компьютере или в FTP-клиентах. Безопаснее всегда вводить пароли вручную, когда программа их запрашивает.
8.1.10. Пароли пользователей сайта должны отвечать следующим требованиям:
- пароль должен содержать не менее 8 символов, в том числе цифр - не менее 1, строчных букв - не менее 1, прописных букв - не менее 1, символов, не являющихся буквами и цифрами, - не менее 1;
- CMS должна быть настроена таким образом, чтобы требовать смены пароля у пользователей хотя бы раз в год;
- CMS должна блокировать аккаунт пользователя на 15 мин после трех неправильных попыток ввода пароля, после следующих трех попыток - на 30 мин и информировать пользователя об этом.
8.1.11. Рекомендуется принять следующие меры защиты функционирующих официальных сайтов:
- обновить и/или усложнить парольную политику, сменить пароли администраторов ресурсов, а также при наличии возможности ввести дополнительные факторы аутентификации пользователей;
- использовать серверы DNS, находящиеся на территории Российской Федерации;
- удалить из шаблонов страниц HTML весь код JavaScript, загружаемый с иностранных ресурсов (баннеры, счетчики и т.д.);
- в случае использования иностранного хостинга переместить размещенные на нем сайты на российский хостинг;
- в случае размещения сайта в доменной зоне, отличной от доменной зоны ".ru", по возможности переместить его в доменную зону ".ru".
8.1.12. При создании на сайте ИС УИКАД рекомендуется установить двухфакторную систему аутентификации пользователей (ввод логина/пароля и ввод специального кода, приходящий посредством СМС или по электронной почте).
8.1.13. При регистрации пользователя в ИС УИКАД (заведении ему личного кабинета) необходимо:
- ограничить сбор персональной информации пользователя до необходимого минимума;
- в обязательном порядке требовать волеизъявления пользователя на согласие на обработку его персональных данных путем пометки в соответствующем поле (чекбоксе) формы.
8.1.14. Архивы обязаны уведомлять пользователя о соблюдении режима конфиденциальности в отношении ставшей ему известной информации, использование и распространение которой ограничено законодательством Российской Федерации:
- в анкете пользователя, работающего в читальном зале, - в случае работы пользователя в читальном зале;
- в договорах об оказании услуг архивом - в случае заключения таких договоров;
- в ответах на запросы социально-правового характера.
8.1.15. По вопросам обеспечения информационной безопасности рекомендуем обращаться к материалам интернет-портала "Безопасность пользователей в сети Интернет" (https://safe-surf.ru/).
8.2. Обеспечение надежности функционирования сайта и сохранности информационных ресурсов
8.2.1. Сайт должен бесперебойно функционировать при посещаемости его до 10 тыс. пользователей в месяц.
8.2.2. Суммарная длительность перерывов в работе сайта не должна превышать 4 ч в месяц (за исключением перерывов, связанных с обстоятельствами непреодолимой силы). При необходимости проведения плановых технических работ, в ходе которых доступ пользователей к информации будет невозможен, уведомление об этом должно быть размещено на главной странице сайта не менее чем за сутки до начала работ.
8.2.3. В случае возникновения технических неполадок, сбоев программного обеспечения или иных проблем, влекущих невозможность доступа пользователей информацией к сайту или к его отдельным страницам, на сайте должно быть размещено в срок, не превышающий 2 ч с момента возобновления доступа, объявление с указанием причины, даты и времени прекращения доступа, а также даты и времени возобновления доступа к информации.
8.2.4. Должна быть создана защита информации от уничтожения, модификации и блокирования доступа к ней, а также от иных неправомерных действий в отношении такой информации.
8.2.5. Должно быть обеспечено ежедневное копирование всей размещенной на сайте информации и электронных журналов учета операций на резервный материальный носитель, обеспечивающее возможность их восстановления.
8.2.6. Должно быть обеспечено надежное хранение резервных материальных носителей с ежедневными копиями всей размещенной на сайте информации и электронных журналов учета операций - не менее одного года, с еженедельными копиями всей размещенной на сайте информации - не менее двух лет, с ежемесячными копиями всей размещенной на сайте информации - не менее трех лет.
8.3. Использование облачных технологий
8.3.1. Создание самостоятельных сайтов архивов и архивных порталов регионов, в рамках которых функционируют ИС УИКАД, содержащие большие объемы электронных копий архивных документов, требует повышенных IT-мощностей. В связи с этим рекомендуется проработать вопрос о создании собственного ЦОДа (как правило, на базе IT-органа управления региона) (см. подраздел 8.3 Методических рекомендаций). Альтернативой может стать аренда облачного ЦОДа, которая позволит сэкономить капитальные затраты, связанные с проектированием и строительством дата-центра, расходами на сервисную поддержку и обслуживание, систему охлаждения, генераторы и иную IT-инфраструктуру.
Еще одним преимуществом облачного ЦОДа является автоматизация услуг и управление виртуальным ЦОД в реальном времени. Создавать новые серверы, увеличивать или уменьшать их мощность, изменять количество используемой оперативной памяти, добавлять диски, делать бэкапы, настраивать файрвол - все это администратор сайта может делать удаленно с помощью портала самообслуживания. Биллинг облачного дата-центра сам реагирует на изменения и выставляет счета за услугу согласно изменениям, внесенным в конфигурацию виртуальной системы.
8.3.2. Параметры, которые следует учитывать при выборе облачного провайдера:
- физическое месторасположение ЦОД. Он должен быть расположен только на территории Российской Федерации;
- находится ли ЦОД в собственности у провайдера или провайдер арендует его у своего партнера. Лучше, если он будет находиться в собственности провайдера и его можно будет при необходимости физически посетить;
- центр обработки данных должен соответствовать ГОСТ Р 70139-2022 "Центры обработки данных. Инженерная инфраструктура. Классификация", утвержденному приказом Росстандарта от 2 июня 2022 г. N 445-ст;
- центр обработки данных должен быть сертифицирован, аттестован и отвечать заявленным характеристикам по доступности и по качеству предлагаемых услуг, построенных на базе этого ЦОДа. Желательно, чтобы площадка ЦОД была сертифицирована и построена в соответствии со стандартом Uptime Institute TIER III. Проверить сертификацию площадки по этому стандарту для Российской Федерации можно на сайте: https://uptimeinstitute.com/uptime-institute-awards/list?page=1&ipp=All&clientId=&countryName=Russia&tierLevel;
- при выборе ЦОД необходимо обратить внимание на дисковые ресурсы, которые предоставляются виртуальным машинам, на то, как физически устроено хранилище данных. Предпочтителен вариант, при котором все диски серверов хранятся на подключенных к SAN СХД.
- ЦОД должен предоставлять функции резервного копирования данных. Желательно, чтобы информация хранилась на дисках, а не на лентах в дедуплицированном виде.