Безопасность информационных систем и официальных сайтов

Уважаемые Руководители ГБОУ и ГБУ ДО!

Согласно новости от 21.12.2022 http://nevarono.spb.ru/roo/1-roo/30212-bezopasnost-informatsionnykh-sistem.html

А также в целях повышения защищенности информационных систем и официальных сайтов образовательных учреждений рекомендуем:

• провести инвентаризацию служб и веб-сервисов, используемых для функционирования сайтов;   отключить неиспользуемые службы и веб-сервисы;
• усилить требования к парольной политике администраторов и пользователей ИСР, исключив при этом использование паролей, заданных по умолчанию, отключить сервисные и неиспользуемые учетные записи;

• Провести смену паролей всех администраторов сайтов, в дальнейшем проводить регулярную смену паролей (не реже одного раза в три месяца);
• провести обновление до последней версии системы управления сайтами, операционных систем и системы управления базами данных серверного оборудования, используемого для размещения сайтов;
• отключить неиспользуемые модули, в том числе модулей «Видео» в системе управления сайтом «Ucoz»;
• отключение модулей форумов, исключить возможность комментирования материалов без предварительной модерации администратором сайта;
• обеспечить взаимодействие по защищенному протоколу передачи данных HTTPS,подключить сертификат безопасности сайта;
• предусмотреть использование функции логирования действий (a.log, s.log);
• провести актуализацию сведений о сайтах в государственной информационной системе Санкт-Петербурга «Единая система информационных ресурсов официальных сайтов исполнительных органов государственной власти Санкт-Петербурга и государственных учреждений Санкт-Петербурга»(ЕСИР)
• включить настройки фильтрации комментариев в аккаунтах социальных сетей (в разделе «Комментарии»).

• обеспечить сетевое взаимодействие с применением защищенных актуальных версий протоколов сетевого взаимодействия (HTTPS, SSH и других протоколов);
• исключить применение на сайтах систем подсчета и сбора данных о посетителях, сервисов предоставления информации о местоположении и иных сервисов, разработанных иностранными организациями (например, сервисов onthe.io, ReCAPTCHA, YouTube, Google Analytics, Google Maps, Google Translate, Google Analytics);
• расмотреть возможность исключения использования встроенных видео- и аудио-файлов, интерфейсов взаимодействия API, «виджетов» и других ресурсов, загружаемых со сторонних сайтов, заменив их при необходимости гиперссылкой на такие ресурсы.

Вышеизложенные рекомендации просим довести до сотрудников ответственных за работу информационных систем и официальных сайтов, модерацию социальных сетей и сообщить о проделанной работе заполнив форму в срок до 01.02.20023 до 12:00  https://forms.yandex.ru/u/63d8e0a25d2a06a753b45b63/