Чтобы не пропала информация

Этот риск обычно курирует выделенное подразделение или эксперты, которые находятся в подразделении разработки и участвуют в аудите кода.

При сторонней разработке рекомендуем роль данного эксперта привязать к владельцу веб-системы – для независимого и объективного контроля подрядчика.

Обычно риски Информационной безопасности минимизируют следующими процедурами:

• Юридическое оформление соглашения о неразглашении.
• Техническое ограничение доступа Управление доступом в рамках системы подразумевает: доступ к модулям, доступ к элементам динамического контента, доступ к файлам и папкам.
  
  Подробнее ... сотрудникам на разные части веб-системы. Разработчики не должны иметь полные права на все файлы и базы данных на серверах заказчика, что нередко бывает на практике. Сотруднику необходимо выдавать только такие права, с помощью которых он сможет решить поставленную задачу, и не больше. При увольнении сотрудник должен быть ограничен в доступе к ресурсам веб-проекта.
• Ограничение на доступ к серверам веб-проекта только из офисов компании Защита административной части сайта осуществляется с помощью ограничения доступа со всех, кроме указанных в настройках IP-адресов...
  
  Подробнее ... . Если необходим доступ из других точек, можно использовать VPN и другие техники, но с жестким контролем ротации ключей и возможностью быстрого блокирования учетных записей.
• Аудит кода. Рекомендуется просматривать создаваемый в веб-проекте код на предмет ошибок в области ИБ и backdoors, иногда оставляемых (и забываемых) разработчиками.
• Регулярный аудит подразделением информационной безопасности подразделения эксплуатации. Проверка открытых портов, наличия механизма ротации ключей доступа сотрудников на сервера, стойкости ключей/паролей, использования мульти-факторной авторизации, наличия процедуры регулярного обновления серверов веб-проекта для защиты от открывающихся уязвимостей, использование антивирусного ПО.
• Регулярный аудит других подразделений на предмет выполнения требований ИБ. Проверка регулярных обновлений операционной системы и используемого для работы с веб-проектом софта, наличия антивирусной защиты на рабочих местах, ограничения доступа на ресурсы и в административную часть веб-проекта только из офисов компании, использование мульти-факторной авторизации, ротации паролей (раз в несколько месяцев).
• Постоянный мониторинг новостей в области ИБ и быстрое устранение выявленных уязвимостей в программном обеспечении веб-проекта.
• Контроль регулярного обновления релиза операционной системы (который обычно выходит раз в несколько лет). Это необходимо, чтобы была возможность оперативно, средствами операционной системы, устанавливать патчи с исправлением безопасности в системных библиотеках. Если релиз операционной системы устарел и не поддерживается вендором – установить патчи, исправляющие бреши в безопасности операционной системы, практически невозможно.

  Возможности продукта

Для достижения ранее упомянутых целей важно максимально полно использовать встроенные инструменты модуля Проактивная защита Проактивная защита – это комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы.

Подробнее ... и другие возможности продукта:

• Панель безопасности. Для контроля и улучшения общего уровня защищенности веб-системы.
• Проактивный фильтр. Для защиты от попыток взлома веб-проекта внешними хакерскими атаками.
• Веб-антивирус. Для защиты посетителей веб-сайта от заражения контента сайта. Например, оператор новостей веб-сайта с зараженного компьютера загрузил вирус через админку, и он начал распространяться среди посетителей веб-системы. Этот инструмент хорошо дополняет антивирусную защиту на компьютерах посетителей и не раз доказал свою эффективность.
• Инструмент для аудита безопасности PHP-кода. Позволяет выявить популярные ошибки, которые приводят к брешам в информационной безопасности PHP-кода веб-проекта
• Инструменты поддержки мультифакторной авторизации – для защиты от утечки паролей и сессий сотрудников и посетителей веб-системы.
• Облачный сканер безопасности – для выявления распространенных ошибок в конфигурации веб-проектов и типичных неполадок.