18  /  22

Информационная безопасность

Просмотров: 22461
Дата последнего изменения: 23.09.2021
Сложность урока:
3 уровень - средняя сложность. Необходимо внимание и немного подумать.
1
2
3
4
5

  Чтобы не пропала информация

Этот риск обычно курирует выделенное подразделение или эксперты, которые находятся в подразделении разработки и участвуют в аудите кода.

При сторонней разработке рекомендуем роль данного эксперта привязать к владельцу веб-системы – для независимого и объективного контроля подрядчика.

Обычно риски Информационной безопасности минимизируют следующими процедурами:

  • Юридическое оформление соглашения о неразглашении.
  • Техническое ограничение доступа Управление доступом в рамках системы подразумевает: доступ к модулям, доступ к элементам динамического контента, доступ к файлам и папкам.

    Подробнее ...
    сотрудникам на разные части веб-системы. Разработчики не должны иметь полные права на все файлы и базы данных на серверах заказчика, что нередко бывает на практике. Сотруднику необходимо выдавать только такие права, с помощью которых он сможет решить поставленную задачу, и не больше. При увольнении сотрудник должен быть ограничен в доступе к ресурсам веб-проекта.
  • Ограничение на доступ к серверам веб-проекта только из офисов компании Защита административной части сайта осуществляется с помощью ограничения доступа со всех, кроме указанных в настройках IP-адресов...

    Подробнее ...
    . Если необходим доступ из других точек, можно использовать VPN и другие техники, но с жестким контролем ротации ключей и возможностью быстрого блокирования учетных записей.
  • Аудит кода. Рекомендуется просматривать создаваемый в веб-проекте код на предмет ошибок в области ИБ и backdoors, иногда оставляемых (и забываемых) разработчиками.
  • Регулярный аудит подразделением информационной безопасности подразделения эксплуатации. Проверка открытых портов, наличия механизма ротации ключей доступа сотрудников на сервера, стойкости ключей/паролей, использования мульти-факторной авторизации, наличия процедуры регулярного обновления серверов веб-проекта для защиты от открывающихся уязвимостей, использование антивирусного ПО.
  • Регулярный аудит других подразделений на предмет выполнения требований ИБ. Проверка регулярных обновлений операционной системы и используемого для работы с веб-проектом софта, наличия антивирусной защиты на рабочих местах, ограничения доступа на ресурсы и в административную часть веб-проекта только из офисов компании, использование мульти-факторной авторизации, ротации паролей (раз в несколько месяцев).
  • Постоянный мониторинг новостей в области ИБ и быстрое устранение выявленных уязвимостей в программном обеспечении веб-проекта.
  • Контроль регулярного обновления релиза операционной системы (который обычно выходит раз в несколько лет). Это необходимо, чтобы была возможность оперативно, средствами операционной системы, устанавливать патчи с исправлением безопасности в системных библиотеках. Если релиз операционной системы устарел и не поддерживается вендором – установить патчи, исправляющие бреши в безопасности операционной системы, практически невозможно.

  Возможности продукта

Для достижения ранее упомянутых целей важно максимально полно использовать встроенные инструменты модуля Проактивная защита Проактивная защита – это комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы.

Подробнее ...
и другие возможности продукта:

  • Панель безопасности. Для контроля и улучшения общего уровня защищенности веб-системы.
  • Проактивный фильтр. Для защиты от попыток взлома веб-проекта внешними хакерскими атаками.
  • Веб-антивирус. Для защиты посетителей веб-сайта от заражения контента сайта. Например, оператор новостей веб-сайта с зараженного компьютера загрузил вирус через админку, и он начал распространяться среди посетителей веб-системы. Этот инструмент хорошо дополняет антивирусную защиту на компьютерах посетителей и не раз доказал свою эффективность.
  • Инструмент для аудита безопасности PHP-кода. Позволяет выявить популярные ошибки, которые приводят к брешам в информационной безопасности PHP-кода веб-проекта
  • Инструменты поддержки мультифакторной авторизации – для защиты от утечки паролей и сессий сотрудников и посетителей веб-системы.
  • Облачный сканер безопасности – для выявления распространенных ошибок в конфигурации веб-проектов и типичных неполадок.

1
Курсы разработаны в компании «1С-Битрикс»