Требования к информационной безопасности сайта

Содержание:

Требования к информационной безопасности сайта

Минимальные (базовые) требования безопасности формулируются в общем виде, без учета категории, присвоенной ИС. Они задают базовый уровень информационной безопасности, им должны удовлетворять все информационные системы. Результаты категорирования важны при выборе регуляторов безопасности, обеспечивающих выполнение требований, сформулированных на основе анализа рисков (Рис. 2).

Минимальные требования безопасности (Рис. 3) охватывают административный, процедурный и программно-технический уровни ИБ и формулируются следующим образом.

  • Организация должна разработать, документировать и обнародовать официальную политику безопасности и формальные процедуры, направленные на выполнение приведенных ниже требований, и обеспечить эффективную реализацию политики и процедур.
  • В компании необходимо периодически производить оценку рисков, включая оценку угроз миссии, функционированию, имиджу и репутации организации, ее активам и персоналу. Эти угрозы являются следствием эксплуатации ИС и осуществляемых при этом обработки, хранения и передачи данных.
  • Применительно к закупке систем и сервисов в компании необходимо:

  • выделить достаточный объем ресурсов для адекватной защиты ИС;
  • при разработке систем учитывать требования ИБ;
  • ограничивать использование и установку программного обеспечения;
  • обеспечить выделение внешними поставщиками услуг достаточных ресурсов для защиты информации, приложений и/или сервисов.
  • В области сертификации, аккредитации и оценки безопасности в организации следует проводить:

    • постоянный мониторинг регуляторов безопасности, чтобы иметь доверие к их эффективности;
    • периодическую оценку регуляторов безопасности, применяемых в ИС, чтобы контролировать их эффективность;
    • разработку и претворение в жизнь плана действий по устранению недостатков и уменьшению или устранению уязвимостей в ИС;
    • авторизацию введения в эксплуатацию ИС и установление соединений с другими информационными системами.
  • В области кадровой безопасности необходимо:

    • обеспечить надежность (доверенность) должностных лиц, занимающих ответственные посты, а также соответствие этих лиц предъявляемым к данным должностям требованиям безопасности;
    • обеспечить защиту информации и информационной системы при проведении дисциплинарных акций, таких как увольнение или перемещение сотрудников;
    • применять соответствующие официальные санкции к нарушителям политики и процедур безопасности.
  • Организация должна обеспечить информирование и обучение сотрудников:

    • чтобы руководители и пользователи ИС знали о рисках, связанных с их деятельностью, и о соответствующих законах, нормативных актах, руководящих документах, стандартах, инструкциях и т.п.;
    • чтобы персонал имел должную практическую подготовку для выполнения обязанностей, связанных с информационной безопасностью.
  • В области планирования необходимо разработать, документировать, периодически изменять и реализовать планы обеспечения безопасности ИС, описывающие регуляторы безопасности (имеющиеся и планируемые) и правила поведения персонала, имеющего доступ к ИС.
  • С целью планирования бесперебойной работы в компании следует установить, поддерживать и эффективно реализовать планы реагирования на аварийные ситуации, резервного копирования, восстановления после аварий, чтобы обеспечить доступность критичных информационных ресурсов и непрерывность функционирования в аварийных ситуациях.
  • В плане реагирования на нарушения информационной безопасности организация должна:

    • создать действующую структуру для реагирования на инциденты, имея в виду адекватные подготовительные мероприятия, выявление, анализ и локализацию нарушений, восстановление после инцидентов и обслуживание обращений пользователей;
    • обеспечить прослеживание, документирование и сообщение об инцидентах соответствующим должностным лицам организации и уполномоченным органам.
  • С целью физической защиты организация должна:

    • предоставлять физический доступ к ИС, оборудованию, в производственные помещения только авторизованному персоналу;
    • физически защищать оборудование и поддерживающую инфраструктуру ИС;
    • обеспечить должные технические условия для функционирования ИС;
    • защищать ИС от угроз со стороны окружающей среды;
    • обеспечить контроль условий, в которых функционирует ИС;
    • обеспечить управление доступом, предоставив доступ к активам ИС только авторизованным пользователям, процессам, действующим от имени этих пользователей, а также устройствам (включая другие ИС) для выполнения разрешенных пользователям транзакций и функций.
  • Для обеспечения протоколирования и аудита необходимо:

    • создавать, защищать и поддерживать регистрационные журналы, позволяющие отслеживать, анализировать, расследовать и готовить отчеты о незаконной, несанкционированной или ненадлежащей активности;
    • обеспечить прослеживаемость действий в ИС с точностью до пользователя (подотчетность пользователей).
  • В плане управления конфигурацией в компании следует:

    • установить и поддерживать базовые конфигурации;
    • иметь опись (карту) ИС, актуализируемую с учетом жизненного цикла, в которую входят аппаратура, программное обеспечение и документация;
    • установить и обеспечить практическое применение настроек для конфигурирования средств безопасности в продуктах, входящих в ИС.
  • В области идентификации и аутентификации необходимо обеспечить идентификацию и аутентификацию пользователей ИС, процессов, действующих от имени пользователей, а также устройств как необходимое условие предоставления доступа к ИС.
  • Кроме того, необходимо:

      Применительно к сопровождению:

    • осуществлять периодическое и своевременное обслуживание ИС;
    • обеспечить эффективные регуляторы для средств, методов, механизмов и персонала, осуществляющих сопровождение.
  • Для защиты носителей:

    • защищать носители данных как цифровые, так и бумажные;
    • предоставлять доступ к данным на носителях только авторизованным пользователям;
    • санировать или уничтожать носители перед выводом из эксплуатации или перед передачей для повторного использования.
    Смотрите так же:  Заявление в полицию на соседей за порчу имущества
  • С целью защиты систем и коммуникаций:

    • отслеживать, контролировать и защищать коммуникации (то есть передаваемые и принимаемые данные) на внешних и ключевых внутренних границах ИС;
    • применять архитектурные и аппаратно-программные подходы, повышающие действующий уровень информационной безопасности ИС.
  • Для обеспечения целостности систем и данных:

    • своевременно идентифицировать дефекты ИС и данных, докладывать о них и исправлять;
    • защищать ИС от вредоносного программного обеспечения;
    • отслеживать сигналы о нарушениях безопасности и сообщения о новых угрозах для информационной системы и должным образом реагировать на них.
  • Требования по ИБ к разработчику ПО — Форум по вопросам информационной безопасности

    Требования по ИБ к разработчику ПО — Форум по вопросам информационной безопасности

    to Lex
    «Как обычно проходит процесс внедрения подобных систем?»

    Вообще по уму вы как заказчик ПО, должны составить «Техническое задание» где в том числе можете/должны указать необходимы требования по ИБ. Но ещё раз повторю «вы босс» и вы диктуете разработчику какие вам нужны параметры и характеристики.

    в помощь: https://habr.com/post/328822/
    вот тут человек заморочелся и уже всё подготовил. изучайте))

    to lex
    Существует два подхода:
    1. (Правильный, но и наиболее трудоемкий/затратный): «Нашли Заказчика-ИСПДн -> нашли лицензиата ТЗКИ (сами получили лицензию) -> собрались, обсудили (читай, составили ТЗ) -> написали софт с учетом требований ИБ/ЗИ -> сертифицировали (при необходимости) софт -> внедрили -> проверили -> подправили -> убедились, что новых уязвимостей/угроз безопасности не получили (не только в рамках софта, но и всей ИСПДн в целом) -> Заказчик провел контрольные (или аттестационные) испытаний, подписал акты соответствия (получил Аттестат соответствия) -> вы и лицензиат ТЗКИ (тот же или другой) оказываете Заказчику услуги по сопровождению». Увы, дальше идет клинч в случае, если придется переписывать со временем бОльшую часть софта — весь процесс придется начинать заново, ага.
    2. (Типовой, которым почти все пользуются): «Нашли Заказчика-ИСПДн -> написали под него софт -> внедрили, убедились в работоспособности -> оказываете (или нет, ага) техподдержку; Заказчик же сам ищет лицензиата ТЗКИ, они вдвоем пытаются скрестить ваш софт и существующие СЗИ, проводят испытания, либо реально защищаются, либо защищаются на бумаге». Минусы такого подхода сами понимаете, думаю.

    ЗЫ А за желание получить доступ к «эталонной документации ИСПДн гос.органов» стоило бы давать по рукам. Пусть даже юр.оснований почти нет (если явно не прописано).

    «Подскажите должен ли разработчик программного обеспечения (система обработки обращений граждан) учитывать при разработке, прописывать в эксплуатационной документации требования по ИБ (организация не имеет лицензию по ТЗКИ). Как обычно проходит процесс внедрения подобных систем?»

    Многие не обратили внимание на путаницу у автора обращения между разработкой софта, разработкой и вводом в эксплуатацию ИСПДн.

    Нужен прикладной софт с функцией защиты? Это одно.
    Нужна защищенная ИСПДн в которой использован «софт с функцией защиты» или «просто софт»? Это другое.

    Этапы и стадии создания отражены в:
    ГОСТ 19.102-77 «ЕДИНАЯ СИСТЕМА ПРОГРАММНОЙ ДОКУМЕНТАЦИИ. Стадии разработки»
    ГОСТ 19.101-77 «ЕДИНАЯ СИСТЕМА ПРОГРАММНОЙ ДОКУМЕНТАЦИИ. Виды программ и программных документов»
    ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы стадии создания»
    ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»

    Требования по безопасности к официальным сайтам государственных органов и органов местного самоуправления. — Форум по вопросам информационной безопасности

    Требования по безопасности к официальным сайтам государственных органов и органов местного самоуправления. — Форум по вопросам информационной безопасности

    Добрый день!
    Суть вопроса такова.
    Есть сайт администрации города построенный на 1с-битрикс, расположен на сервере самой администрации.
    Какие нужно проводить работы по защите информации?
    1. Предполагаю что из технических это установить МЭ и организовать резервное копирование.
    2. Из организационных нужно ли классифицировать, составлять модель угроз, и прописывать требования (и какие вообще требования)?

    Информация по идеи общедоступная.
    Предполагаю что это будет АС 1Г, но не уверен.

    Как минимум, не забудьте:
    1. включить встроенный WAF на Битриксе
    2. перед вводом в эксплуатацию проверить сайт на предмет уязвимостей (хотя бы просто посканируйте его).

    Будет очень обидно, если где-нибудь на @Op_Russia начнут хвастаться «,Мы поимели администрацию города» 🙂

    Как я понимаю, нет утверждённых документов федерального уровня обязывающих проводить какие-либо работы для защиты сайтов городских властей. Возможно есть городские документы, но скорее всего нет.
    Здравый смысл подсказывает:
    Назначить ответственного. Не совсем безопасность — кто, что когда откуда должен выкладывать (и кто что когда и откуда не должен).
    Безопасность:
    Как минимум политика паролей и чтобы не только на бумаге. Включая наказания для тех кто слишком умный (занятый, квалифицированный, креативный, нужное подчеркнуть, недостающее вписать). Пароль/логин admin/admin или admin/administrator не очень хорошие но в моей практике три компании с годовым оборотом более 100000000р в год похожие пароли использовали.
    Требования к безопасности рабочих мест которые используются для управления.
    Возможность быстро восстановить заведомо чистый бэкап силами тех специалистов которые реально есть сейчас.
    Обновления всего что можно обновить.
    Если исполняемые файлы предполагается изменять так или иначе то нужен учёт кто когда и зачем меняет. И эталонное состояние к которому можно вернуться в случае чего.

    Если нужна «борьба с персональными данными» то своими силами вы аттестацию не проведёте в любом случае.

    Пессимист, документы есть:

    Смотрите так же:  Размер пособия по материнству

    — Постановление Правительства РФ от 18 мая 2009 г. N 424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»

    — Приказ ФСБ РФ и Федеральной службы по техническому и экспортному контролю от 31 августа 2010 г. № 416/489 “Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования”

    Общие:
    — Указ Президента РФ № 351 от 17 марта 2008 года «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»

    — Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Статья 16 пункт 4.

    Косвенно:
    — Федеральный закон от 9 февраля 2009 года N 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»

    — Постановление Правительства Российской Федерации от 8 июня 2011 г. № 451 «Об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»

    — Распоряжение правительства РФ от 15 апреля 2011 года N 654-р «О БАЗОВЫХ ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ РЕСУРСАХ»

    Вот еще и такое было.

    Распоряжение Правительства Российской Федерации от 27 сентября 2004 г. N 1244-р г. Москва
    Информационная безопасность
    В соответствии с основными положениями Доктрины информационной безопасности Российской Федерации обеспечение необходимого уровня безопасности государственных информационных систем и ресурсов, их целостности и конфиденциальности основано на применении единых требований защиты информации от несанкционированного доступа или изменения, воздействия компьютерных атак и вирусов, а также на использовании сертифицированных отечественных средств предупреждения и обнаружения компьютерных атак и защиты информации, разрабатываемых и производимых организациями, получившими в установленном порядке необходимые лицензии.

    Применение криптографических средств защиты информации является обязательным для информационных систем и ресурсов, содержащих сведения, составляющие государственную тайну.

    Контроль использования и защита государственных информационных систем и ресурсов от несанкционированных действий должны обеспечиваться на основе создания комплексной системы мониторинга и учета операций при работе с государственными информационными системами и ресурсами.

    Деятельность федеральных органов государственной власти в области обеспечения безопасности информации, подлежащей обязательной защите, регулируется нормативными правовыми актами, издаваемыми в установленном порядке.

    Основными направлениями повышения уровня защищенности объектов общей информационно-технологической инфраструктуры федеральных органов государственной власти являются:

    обеспечение комплексного подхода к решению задач информационной безопасности с учетом необходимости дифференцирования ее уровня в различных федеральных органах государственной власти;

    разработка модели угроз информационной безопасности;

    определение технических требований и критериев определения критических объектов информационно-технологической инфраструктуры, создание реестра критически важных объектов, разработка мер по их защите и средств надзора за соблюдением соответствующих требований;

    обеспечение эффективного мониторинга состояния информационной безопасности;

    совершенствование нормативной правовой и методической базы в области защиты государственных информационных систем и ресурсов, формирование единого порядка согласования технических заданий на обеспечение информационной безопасности государственных информационных систем и ресурсов;

    проведение уполномоченными федеральными органами государственной власти аттестации государственных информационных систем и ресурсов, используемых в деятельности федеральных органов государственной власти, и контроль их соответствия требованиям информационной безопасности;

    создание физически обособленного телекоммуникационного сегмента специального назначения, обеспечивающего возможность обмена в электронном виде информацией, содержащей государственную тайну, ограниченным кругом органов государственной власти;

    развитие средств защиты информации, систем обеспечения безопасности электронного документооборота, системы контроля действий государственных служащих по работе с информацией, развитие и совершенствование защищенных средств обработки информации общего применения, систем удостоверяющих центров в области электронной цифровой подписи, а также систем их сертификации и аудита.

    ИТ безопасность сайта и сервера

    Делая первые шаги в Интернет – бизнесе либо уже имея в наличии действующее «дело» подобного характера, практически каждому владельцу приходится столкнуться (причем, зачастую неоднократно) с угрозами безопасности сайта, на котором они зарабатывают деньги.

    Сразу хотелось бы уточнить, что защита сайта может быть предусмотрена уже на этапе его разработки. Хотя, нередко о данной функции вспоминают только при наличии уже каких-то проблем в данном вопросе.

    Основная цель защиты сайта – это разработка достойного ресурса, который будет в состоянии предельно удовлетворить все требования безопасности либо же приведения к данным требованиям уже функционирующего Интернет – ресурса путем проведения анализа потенциально опасных или используемых уязвимостей с их последующей ликвидацией.

    Необходимо четко осознавать, что безопасность сайта под собой подразумевает не только лишь защищенный надежно код и используемое ПО, но также максимально возможную безопасность сервера, на котором непосредственно он и запущен.

    Основные цели проведения аудита безопасности:

    • Поиск и выявление «слабых мест», через которые злоумышленник получит возможность попасть в обход имеющихся легитимных инструментов управления к административным функциям определенного сайта или даже всего сервера (вот здесь-то и будет очень актуальная упомянутое выше обеспечение безопасности сервера);
    • Проведение анализа всех возможных рисков, которые связаны с осуществлением реальных угроз безопасности;
    • Внедрение надежных средств, которые смогут гарантированно обеспечить безопасность сервера и сайта;
    • Предоставление каждому клиенту полезных рекомендаций на тему внедрения самых действенных механизмов для обеспечения защиты сайта;
    • Оценка фактического соответствия уровня имеющейся защищенности системы действующим стандартам в сфере информационной безопасности.

    Работа по обеспечению безопасности сервера включает в себя:

    • Своевременное обновление CMS, а также очистку самого кода сайта;
    • Обновление операционной системы сервера;
    • Поиск и последующее устранение вирусов и бэкдоров, угрожающих безопасности сайтов;
    • Обеспечение защиты всех имеющихся данных;
    • Антиспам, а также настройка SPF и DKIM;
    • Защита от опасных DDOS;
    • Установка патчей и всех обновлений;
    • Настройка специальной программы – антивируса;
    • Гарантированная защита практически от всех существующих на сегодняшний день векторов атак;
    • Выполнение php-кода без малейшей угрозы безопасности и пр.
    Смотрите так же:  Накопительная пенсия в втб 24 отзывы

    Кому будет полезен аудит ИБ

    Ответ на данный вопрос прост – абсолютно всем организациям, нацеленным на успешную и продуктивную работу. Никогда не получится построить действительно успешный бизнес, если безопасность сайта оставляет желать лучшего. Вполне логично, что в подобной ситуации значительно снижается уровень доверия пользователей, а вместе с тем и понижается посещаемость ресурса. Проще говоря, если безопасность сервера или же сайта не на высоте, владелец рискует довольно большими деньгами (потерей прибыли).

    С учетом того, что злоумышленником привлекают абсолютно все современные Интернет – ресурсы, предложенный аудит ИБ все-таки нельзя назвать бесполезной тратой денег. Скорее это вложения в гарантированную стабильность.

    С чем связана невостребованность аудита безопасности

    К сожалению, в подавляющем большинстве случаев только лишь из-за непонимания того, какое важное значение имеет грамотно организованная защита сайта. Да, очень мало компаний готовы сегодня платить (правда, достаточно большие суммы) за «одно лишь только» проведение проверки на угрозы компрометации всей системы (то есть, определение реального уровня безопасности сайта). И это все происходит потому, что никто не информирует владельцев ресурсов о том, насколько распространены хакерские атаки. Слишком часто организацию начинает беспокоить защита сайта только тогда, когда уже имеют место быть реальные материальные потери. Однако гораздо лучше делать свои выводы все же из чужих ошибок, а не терять при этом собственные деньги!

    Требования к информационной безопасности сайта

    В хелпе Яндекса для веб-мастеров выложили отличнейшую структурированную статью по защите сайтов от разнообразного вида атак и уязвимостей. Там и прозащиту от sql-инъекций, и хороший php код, настройки сервера, кукисы, авторизацию и много другого интересного. Для гуру конечно пшик, но кто же из гуру не был когда то новичком? Да и освежить мозги — никогда не помешает =)

    Чтобы помочь вебмастерам в обеспечении безопасности их веб-сайтов, предлагаем перевод статьи от компании Sophos: help.yandex.ru/webmaster/?id=1071330

    Статья написана в конце 2007 г., но все описанные в ней методы активно используются до сих пор. В статье рассматриваются способы компрометации веб-серверов и методы противодействия им. Последовав приведенным рекомендациям, можно существенно снизить риск проведения успешной атаки на веб-сервер. Это позволит вам избежать заражения посетителей вашего сайта, падения трафика с поисковых систем и возможных проблем с индексацией (например, в тех случаях, когда на страницах сайта хакеры размещают скрытый текст с множеством ссылок).

    Конечно, в рамках одной статьи невозможно охватить все методы взлома и способы противодействия им, но мы надеемся, что это позволит вебмастерам по-новому взглянуть на проблему и предотвратить появление вредоносного кода на сайте.

    С уважением, команда сервиса Яндекс.Вебмастер.

    Есть ли стандарт, регламентирующие обязательные требования для обеспечения безопасности web приложений (сайтов)

    Навеяно последними событиями МТБанка и Билайна…
    По долгу работы интересуюсь безопасностью в области web разработок, в т.ч. web сайтов. Долго искал — существует ли какой либо стандарт и стандартизация сайта на предмет соответствия безопасности.

    Я знаю про iso27001 но де-факто он не сильно защищает сайты, и довольно сложен для внедрения в организациях малого и среднего уровня
    OWASP — как такового стандарта нет, больше набор тулов, сведений, информации для размышления
    OSSTMM — тут больше направленность на тестирование сайтов на предмет уязвимостей.

    В идеале что бы хотелось видеть: документ, дающий четкие указания что и как должно быть для обеспечения безопасности сайта (аналог ISO 27001 но более технической направленности в плане web технологий)

    Другие публикации:

    • Служебная записка на пропуск образец Служебная записка о пропуске автомашины на территорию организации Министерства юстиции РФ от 3 октября 2005 г. N 184 В связи со служебной необходимостью прошу Вас пропустить на территорию Министерства юстиции Российской Федерации, подведомственной […]
    • Антонова татьяна александровна нотариус Нотариус Антонова Татьяна Александровна Московская городская нотариальная палата г. Москва, г. Московский, мкр. 3, д. 1, офис 1 (495) 984-86-44 не известно Лицензия №000508 от 30.12.1994 Приказ №504 от 17.08.2012 Информация получена из открытых […]
    • Лицензия на программное обеспечение образец Лицензионный договор на программное обеспечение (образец) Лицензия на использование программ для ЭВМ: сущность, виды В соответствии с п. 1 ст. 1286 ГК РФ лицензионный договор — это соглашение о предоставлении прав на использование произведения (в данном […]
    • В какой срок налоговая должна вернуть ндфл Право на НДФЛ-вычет ИФНС подтвердила, а деньги так и не пришли: как быть? Далеко не всегда получение денег по заявленному НДФЛ- вычету (имущественному/ социальному/ стандартному) проходит гладко. Давайте разберемся с ситуацией, когда вы представили в […]
    • Размер пособия на второго ребенка до 15 лет Пособие по уходу за ребенком до 3 лет Молодые матери должны знать, что им полагается пособие по уходу за ребенком до 3 лет. Эти выплаты осуществляются или из бюджета города, или из денег предприятия, или из государственных средств. Государство выплачивает […]
    • Как обналичить материнский капитал за 3 ребенка Материнский капитал на третьего ребенка Многие семьи интересуются тем, полагается ли материнский капитал за третьего ребенка? Если да, то как получить выплату, каков будет её размер, на что можно потратить? Ответ на эти вопросы вы получите в данной […]

    Вам также может понравиться