приказом Минэкономразвития России
от 23.12.2022 N 739
КОТОРЫЕ ВНОСЯТСЯ В ПОЛОЖЕНИЕ ОБ УПРАВЛЕНИИ
ПРОЕКТАМИ ЦИФРОВОЙ ТРАНСФОРМАЦИИ МИНИСТЕРСТВА
ЭКОНОМИЧЕСКОГО РАЗВИТИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ, УТВЕРЖДЕННОЕ
ПРИКАЗОМ МИНЭКОНОМРАЗВИТИЯ РОССИИ ОТ 23 ДЕКАБРЯ 2021 Г.
N 787, И ПРИКАЗ МИНЭКОНОМРАЗВИТИЯ РОССИИ ОТ 18 ФЕВРАЛЯ
2022 Г. N 67 "О ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ
СИСТЕМЕ "ЭКОНОМИКА"
КОТОРЫЕ ВНОСЯТСЯ В ПОЛОЖЕНИЕ ОБ УПРАВЛЕНИИ
ПРОЕКТАМИ ЦИФРОВОЙ ТРАНСФОРМАЦИИ МИНИСТЕРСТВА
ЭКОНОМИЧЕСКОГО РАЗВИТИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ, УТВЕРЖДЕННОЕ
ПРИКАЗОМ МИНЭКОНОМРАЗВИТИЯ РОССИИ ОТ 23 ДЕКАБРЯ 2021 Г.
N 787, И ПРИКАЗ МИНЭКОНОМРАЗВИТИЯ РОССИИ ОТ 18 ФЕВРАЛЯ
2022 Г. N 67 "О ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ
СИСТЕМЕ "ЭКОНОМИКА"
1. В Положении об управлении проектами цифровой трансформации Министерства экономического развития Российской Федерации, утвержденном приказом Минэкономразвития России от 23 декабря 2021 г. N 787:
а) в абзаце первом пункта 2.4 слова "уполномоченное Куратором проекта цифровой трансформации" исключить;
б) пункт 4.1 изложить в следующей редакции:
"4.1. Внедрение проектов цифровой трансформации на сумму, равную или превышающую 5 миллионов рублей, подлежит согласованию с Куратором проекта цифровой трансформации. Внедрение указанных проектов может быть вынесено на согласование с Министром экономического развития Российской Федерации (далее - Министр) в случае принятия такого решения Куратором проекта цифровой трансформации.";
в) пункт 4.2 признать утратившим силу;
г) в пункте 4.6 слова "распоряжения Руководителя цифровой трансформации" заменить словами "правового акта Министерства";
д) абзац третий пункта 5.7 признать утратившим силу.
2. В приказе Минэкономразвития России от 18 февраля 2022 г. N 67 "О государственной информационной системе "Экономика":
а) пункт 1 изложить в следующей редакции:
"1. Департаменту цифровой трансформации (А.В. Комраков):
а) обеспечить создание, сопровождение, а также проведение работ по защите информации в 2022 - 2023 годах государственной информационной системы "Экономика" (далее - ГИС "Экономика"), предусмотрев в том числе поэтапный перевод информационных систем Минэкономразвития России в состав инфраструктуры ГИС "Экономика";
б) обеспечить привлечение структурных подразделений по компетенции к планированию, реализации и согласованию результатов реализации мероприятий по созданию и развитию ГИС "Экономика":
Департамент стратегического развития и инноваций (В.А. Воробьева) - в части создания подсистемы государственной поддержки инновационной деятельности;
Департамент секторов экономики (Р.А. Бекишев) - в части создания подсистемы "Пульс отрасли";
Департамент стратегического планирования и мониторинга (А.В. Ведерникова) - в части создания подсистемы "Цифровая библиотека".";
б) дополнить пунктом 1(1) следующего содержания:
"1(1). Структурным подразделениям, определенным в пункте 1 настоящего приказа, обеспечить участие в планировании, реализации и согласовании результатов реализации мероприятий по созданию и развитию ГИС "Экономика" по компетенции.";
в) в Концепции создания государственной информационной системы "Экономика", утвержденной указанным приказом:
таблицу "Термины и обозначения" дополнить строкой следующего содержания:
раздел "Нормативно-правовая основа разрабатываемой системы" изложить в следующей редакции:
"Правовая основа разрабатываемой системы
Концепция разработана во исполнение настоящего приказа в целях исполнения полномочий, возложенных на Минэкономразвития России для реализации государственной политики и нормативно-правового регулирования в сфере анализа и прогнозирования социально-экономического развития, в том числе с целью осуществления мониторинга эффективности реализованных субсидий, развития предпринимательской деятельности, в том числе среднего и малого бизнеса, государственного контроля (надзора) и муниципального контроля в части осуществления мониторинга эффективности реализованных субсидий, доведенных федеральными органами власти, анализа социально-экономического развития Российской Федерации, а также в целях повышения эффективности мероприятий по использованию информационно-коммуникационных технологий в деятельности федеральных органов исполнительной власти в соответствии с подпунктом "з" пункта 11 Положения о ведомственных программах цифровой трансформации, утвержденного постановлением Правительства Российской Федерации от 10 октября 2020 г. N 1646, на основании статьи 14 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", пункта 2(1) требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденных постановлением Правительства Российской Федерации от 6 июля 2015 г. N 676.
Правовую основу Концепции составляют:
Бюджетный кодекс Российской Федерации;
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
Федеральный закон от 9 февраля 2009 г. N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления";
Федеральный закон от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";
Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи";
Федеральный закон от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности";
Федеральный закон от 5 апреля 2013 г. N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд";
Указ Президента Российской Федерации от 7 мая 2012 г. N 601 "Об основных направлениях совершенствования системы государственного управления";
Указ Президента Российской Федерации от 9 мая 2017 г. N 203 "О Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы";
Указ Президента Российской Федерации от 21 июля 2020 г. N 474 "О национальных целях развития Российской Федерации на период до 2030 года";
постановление Правительства Российской Федерации от 5 июня 2008 г. N 437 "О Министерстве экономического развития Российской Федерации";
постановление Правительства Российской Федерации от 18 мая 2009 г. N 424 "Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям";
постановление Правительства Российской Федерации от 24 ноября 2009 г. N 953 "Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти";
постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
постановление Правительства Российской Федерации от 19 ноября 2014 г. N 1222 "О дальнейшем развитии единой системы межведомственного электронного взаимодействия";
постановление Правительства Российской Федерации от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации";
постановление Правительства Российской Федерации от 16 ноября 2015 г. N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд";
постановление Правительства Российской Федерации от 31 октября 2018 г. N 1288 "Об организации проектной деятельности в Правительстве Российской Федерации";
постановление Правительства Российской Федерации от 10 октября 2020 г. N 1646 "О мерах по обеспечению эффективности мероприятий по использованию информационно-коммуникационных технологий в деятельности федеральных органов исполнительной власти и органов управления государственными внебюджетными фондами";
постановление Правительства Российской Федерации от 24 июля 2021 г. N 1264 "Об утверждении Правил обмена документами в электронном виде при организации информационного взаимодействия";
поручение Правительства Российской Федерации от 13 июля 2011 г. N ИШ-П2-4778;
приказ ФСБ России от 9 февраля 2005 г. N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)";
приказ Минкомсвязи России от 25 августа 2009 г. N 104 "Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования";
приказ Минэкономразвития России от 16 ноября 2009 г. N 470 "О Требованиях к технологическим, программным и лингвистическим средствам обеспечения пользования официальными сайтами федеральных органов исполнительной власти";
приказ Минэкономразвития России от 12 февраля 2010 г. N 53 "Об утверждении Порядка организации работы по обеспечению доступа к информации о деятельности Министерства экономического развития Российской Федерации";
приказ ФСБ России, ФСТЭК России от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования";
приказ ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
приказ Минкомсвязи России от 27 июня 2013 г. N 149 "Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети "Интернет" в форме открытых данных, а также для обеспечения ее использования";
приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";
приказ Минэкономразвития России от 11 марта 2016 г. N 119 "Об официальном сайте Министерства экономического развития Российской Федерации в сети Интернет";
приказ ФСТЭК России от 29 апреля 2021 г. N 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну";
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена ФСТЭК России 15 февраля 2008 г.);
Методика оценки угроз безопасности информации (утверждена ФСТЭК России 5 февраля 2021 г.);
Положение по аттестации объектов информатизации по требованиям безопасности информации (утверждено Гостехкомиссией России 25 ноября 1994 г.);
ГОСТ 34.601-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания", утвержденный и введенный в действие постановлением Госстандарта СССР от 29 декабря 1990 г. N 3469;
ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения", утвержденный и введенный в действие приказом Росстандарта от 28 января 2014 г. N 3-ст;
ГОСТ Р 56939-2016 "Защита информации. Разработка безопасного программного обеспечения. Общие требования", утвержденный и введенный в действие приказом Росстандарта от 1 июня 2016 г. N 458-ст;
ГОСТ Р 58412-2019 "Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке безопасного программного обеспечения", утвержденный и введенный в действие приказом Росстандарта от 21 мая 2019 г. N 204-ст;
ГОСТ Р 2.105-2019 "Единая система конструкторской документации. Общие требования к текстовым документам", утвержденный и введенный в действие приказом Росстандарта от 29 апреля 2019 г. N 175-ст;
ГОСТ 34.201-2020 "Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем", утвержденный и введенный в действие приказом Росстандарта от 19 ноября 2021 г. N 1521-ст;
ГОСТ 34.602-2020 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы", утвержденный и введенный в действие приказом Росстандарта от 19 ноября 2021 г. N 1522-ст;
ГОСТ 59792-2021 "Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды испытаний автоматизированных систем", утвержденный и введенный в действие приказом Росстандарта от 25 октября 2021 г. N 1284-ст, - в части определения видов испытаний;
ГОСТ Р 59853-2021 "Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения", утвержденный и введенный в действие приказом Росстандарта от 19 ноября 2021 г. N 1520-ст.";
в разделе "Цели и задачи создания информационной системы":
абзац третий изложить в следующей редакции:
"- создание платформенных сервисов для повышения достоверности информации за счет получения информации из первичных источников и обеспечение реализации принципа единства ввода информации;";
абзацы одиннадцатый, четырнадцатый - семнадцатый, двадцать второй признать утратившими силу;
дополнить новыми абзацами двадцать третьим и двадцать четвертым следующего содержания:
"- автоматизация управления документацией проектов цифровой трансформации;
- обеспечение информационной поддержки участников инвестиционной деятельности.";
абзац двадцать третий считать абзацем двадцать пятым;
в разделе "Основные принципы создания и функционирования информационной системы" абзацы одиннадцатый - пятнадцатый, семнадцатый признать утратившими силу;
раздел "Архитектура информационной системы и ее функции" изложить в следующей редакции:
"Архитектура информационной системы и ее функции
Общая архитектура Системы (рисунок 1) представляет собой модули (реестры, регистры, компоненты) и интеграционные сервисы, взаимодействующие между собой и иными информационными модулями и сервисами, платформами, в том числе внешними информационными ресурсами и системами, необходимые для достижения цели создания Системы, реализации ее функций и эффективного функционирования.
Концептуально ГИС должна состоять из:
1) подсистемы администрирования и информационной безопасности;
Подсистема администрирования и информационной безопасности будет выполнять функции, предусмотренные в таблице 1.
Функциональные подсистемы будут созданы на базе существующих научно-технических наработок информационных систем Минэкономразвития России с использованием типовых решений. Предварительный вариант целевой структуры ГИС в разрезе ее функциональных подсистем, а также с увязкой функциональности каждой подсистемы с требованиями к ГИС приведен в таблице 2.
Функции подсистемы администрирования
и информационной безопасности
Автоматизируемые функции ГИС в разрезе
ее функциональных подсистем
При размещении сведений в ГИС обеспечиваются следующие принципы:
- проверка электронной подписи уполномоченного лица поставщика информации, а также последующее формирование аналитической и статистической отчетности;
- ответственность участников информационной системы за полноту, актуальность и достоверность сведений, размещаемых ими в информационной системе или направляемых в рамках информационного взаимодействия с иными участниками информационной системы;
- использование электронной подписи в целях придания юридической значимости сведениям и документам, размещенным в государственной информационной системе;
- обеспечение идентификации, аутентификации и авторизации участников информационной системы с использованием единой системы идентификации и аутентификации и сертификата ключа проверки усиленной квалифицированной электронной подписи;
- обеспечение бесперебойности и надежности функционирования информационной системы с организацией защиты информации и информационных каналов;
- единство стандартов, классификаторов, технологий, форматов для поставщиков информации при размещении информации в информационной системе, обязательность применения единых справочников, классификаторов и реестров;
- интеграция и взаимодействие государственной информационной системы с иными информационными системами, использование единых форматов для информационного взаимодействия иных информационных систем с государственной информационной системой;
- обеспечение возможности развития и модернизации государственной информационной системы;
- надежность программных и технических средств системы;
- приоритетное применение российского программного обеспечения или свободно распространяемого программного обеспечения в соответствии с постановлением Правительства Российской Федерации от 16 ноября 2015 г. N 1236 "Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд".
Состав сведений, подлежащих размещению в ГИС, и обоснование выбранного варианта построения ГИС будут также выработаны по результатам обследования на первом этапе работ по созданию ГИС. По результатам первого этапа работ по обследованию Концепция может быть актуализирована в соответствии с полученными сведениями.";
раздел "Очередность создания программного обеспечения, формирования, ведения и развития информационной системы" изложить в следующей редакции:
"Очередность создания программного обеспечения,
формирования, ведения и развития информационной системы
Учитывая сложность, масштаб и комплексность проблем, связанных с реализацией задач по созданию, ведению и использованию информационной системы, а также достигнутый уровень развития информационных систем поставщиков информации, предполагается осуществление работ поэтапно, на основе планируемых темпов создания и развития информационных систем поставщиков информации, их готовности размещать сведения в информационной ГИС и обеспечивать их защиту.
Создание Системы осуществляется в два этапа (две очереди Системы).
В рамках очереди 1 планируется обеспечить:
1) разработку подсистемы администрирования и информационной безопасности, предназначенной для обеспечения возможности настройки и администрирования подсистем ГИС, обеспечения информационной безопасности и контроля доступа к данным, обрабатываемым в ГИС;
2) разработку стартовой страницы навигации по Системе;
3) разработку подсистемы "Пульс отрасли";
4) разработку подсистемы "Цифровая библиотека";
5) разработку подсистемы государственной поддержки инновационной деятельности;
6) разработку подсистемы аналитики и моделирования;
7) разработку подсистемы информационно-аналитических материалов путем миграции подсистемы аналитики информационной системы "Официальный сайт Министерства экономического развития Российской Федерации в информационно-телекоммуникационной сети "Интернет" версии 2.0";
8) разработку подсистемы ведения реестров и сбора форм путем миграции подсистемы сбора и хранения данных информационной системы "Официальный сайт Министерства экономического развития Российской Федерации в информационно-телекоммуникационной сети "Интернет" версии 2.0" (с одновременным развитием);
9) разработку подсистемы "Корпоративная шина обмена данными" путем миграции подсистемы управления корпоративной шиной обмена данными Информационного корпоративного портала Минэкономразвития (с одновременным развитием);
10) разработку технической и эксплуатационной документации на работу Системы в результате ее создания в рамках очереди 1;
11) разработку документации по информационной безопасности;
12) проведение предварительных испытаний Системы, включая квалификационное тестирование прикладного программного обеспечения;
13) проведение пусконаладочных работ;
14) проведение опытной эксплуатации Системы;
15) проведение приемочных испытаний Системы и передача Заказчику исключительных (неисключительных) прав на результаты интеллектуальной деятельности.
После окончания работ в рамках очереди 1 Заказчик обеспечит в рамках отдельного контракта аттестацию закрытого и открытого контуров ГИС по требованиям информационной безопасности, а также ввод ГИС "Экономика" очереди 1 в промышленную эксплуатацию.
В рамках очереди 2 планируется обеспечить:
1) развитие подсистемы аналитики и моделирования;
2) развитие подсистемы информационно-аналитических материалов;
3) развитие подсистемы ведения реестров и сбора форм;
4) развитие подсистемы "Пульс отрасли";
5) развитие подсистемы государственной поддержки инновационной деятельности;
6) развитие подсистемы "Корпоративная шина обмена данными";
7) создание подсистемы управления документацией проектов цифровой трансформации путем миграции "Автоматизированной информационной системы управления программами и проектами Минэкономразвития России";
8) разработку технической и эксплуатационной документации на работу Системы в результате ее создания в рамках очереди 2;
9) проведение предварительных испытаний Системы, включая квалификационное тестирование прикладного программного обеспечения;
10) проведение пусконаладочных работ;
11) проведение опытной эксплуатации Системы;
12) проведение приемочных испытаний Системы и передачу Заказчику исключительных (неисключительных) прав на результаты интеллектуальной деятельности.
По результатам приемки работ Заказчиком будет обеспечен ввод ГИС "Экономика" в промышленную эксплуатацию и актуализация документов по требованиям информационной безопасности. Ввод в промышленную эксплуатацию обеспечивается на основе аттестата на ГИС "Экономика".";
в разделе "Классификация Системы в соответствии с требованиями по защите информации":
абзац шестой изложить в следующей редакции:
"- обрабатываются ПДн менее, чем 100 000 субъектов ПДн;";
абзацы девятый - одиннадцатый изложить в следующей редакции:
"- уровень значимости информации - низкий;
- масштаб системы - региональный.
В соответствии с пунктом 4 приложения N 1 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, предполагаемый класс защищенности ГИС "Экономика" - К3.";
раздел "Обеспечение информационной безопасности" дополнить абзацами следующего содержания:
"С учетом обстоятельств повышенной нагрузки на средства обеспечения безопасности информационных систем, в том числе с учетом повышенных кибератак, необходимым является выполнение требований ФСТЭК России, аналогичных требованиям, предъявляемым к органам власти, среди которых, в частности:
обновление программного обеспечения системы, включая программное обеспечение веб-приложений, веб-сервера, операционной системы веб-сервера, сервера баз данных, системы управления контентом, библиотек и другое используемое программное обеспечение, до актуальных версий, не содержащих уязвимостей, сведения о которых содержатся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), а также в иных источниках, содержащих сведения об уязвимостях;
обеспечение безопасности процессов развертывания системы на серверах и администрирования Системы (в том числе удаление метаданных при экспорте веб-приложений, защита рабочих мест администраторов и разработчиков). При экспорте веб-приложений Системы из репозитория рекомендуется использовать механизмы, предотвращающие выгрузку метаданных, или удалять директории и файлы с метаданными после их выгрузки;
обеспечение поддержки системой соединения с применением защищенных протоколов сетевого взаимодействия (HTTPS, SSH и другие протоколы). Рекомендуется использовать только актуальные версии таких протоколов. Не рекомендуется использовать ссылки на сайты с заголовками HTTP даже в теле страниц веб-приложения, поскольку при переходе по такой ссылке есть риск перехвата файлов cookie пользователей;
обеспечение фильтрации сетевого трафика с целью исключения возможности подключения внешних пользователей к TCP-интерфейсам систем управления базами данных и интерфейсам удаленного управления компонентами системы. Рекомендуется оставлять доступными для подключения внешних пользователей только веб-интерфейсы 443/TCP (HTTPS) и 80/TCP (с принудительным перенаправлением на порт 443/TCP с HTTPS);
обеспечение фильтрации трафика прикладного уровня с применением средств межсетевого экранирования уровня приложения (web application firewall (WAF), установленных в режим противодействия атакам;
обеспечение устойчивости системы к распределенным атакам, направленным на отказ в обслуживании (DDoS-атакам), с использованием средств защиты от DDoS-атак, реализация защиты и мониторинга DNS серверов, отвечающих за делегирование доменного имени системы;
реализация мониторинга событий безопасности системы, включая мониторинг показателей нагрузки на вычислительные мощности системы, и ведение журналов регистрации событий безопасности;
обеспечение проверки форм, которые могут отправлять и принимать запросы (комментарии, поиск, обратная связь), на наличие уязвимостей межсайтового скриптинга (xss-уязвимостей). В обязательном порядке необходимо проверять все URL, где возможна отправка данных со стороны пользователя (формы комментариев, обратная связь, поиск). Для нейтрализации уязвимостей межсайтового скриптинга необходимо реализовать кодирование входных данных и управляющих HTML-символов, JavaScript, CSS и URL перед отображением в браузере;
исключение возможности применения сервисов подсчета сбора данных о посетителях, сервисов предоставления информации о месторасположении и иных сервисов, разработанных иностранными организациями (например, ReCAPTCHA, YouTube, Google Analytics, Google Maps, Google Translate);
исключение возможности использования встроенных видео- и аудиофайлов, интерфейсов взаимодействия API, "виджетов" и других ресурсов, загружаемых со сторонних сайтов, с заменой их при необходимости гиперссылкой на такие ресурсы;
исключение применения символов переопределения Unicode Bidi (Unicode Bidirectional Algoritm) в комментариях и строках программного кода.";
в разделе "Описание эффекта и степени автоматизации, ожидаемых от создания Системы":
абзац четвертый признать утратившим силу;
дополнить новым абзацем десятым следующего содержания:
"- повышение степени автоматизации процессов осуществления инвестиционной деятельности.";
абзацы десятый - девятнадцатый считать соответственно абзацами одиннадцатым - двадцатым.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей