Памятка владельцам сайта по безопасной работе с подрядчиками

Обсудить

Про эффективные меры безопасности сайтов можно говорить только если безопасность - комплексная. Комплексная безопасность складывается из набора технических средств защиты, которые настраиваются специалистами по безопасности и огранизационных мер защиты, которые внедряются и поддерживаются на регулярной основе владельцем или менеджером сайта. 

Организационные меры защиты позволяют не только минимизировать риск взлома хакерами и хакерскими ботами, но и снизить риски раскрытия чувствительных/конфиденциальных данных, и исключить заражение сайта вирусами по вине сторонних специалистов, например при обращении в digital-агентства, веб-студии и к фрилансерам.

К нам в “Ревизиум” регулярно обращаются владельцы взломанных и зараженных сайтов. В результате аудита веб-ресурса и анализа логов в 1 из 8 случаев оказывается, что причиной взлома и заражения стали сторонние специалисты, которые не соблюдали технику безопасности при работе с сайтами.

Даже если сайт не содержит уязвимостей (например, реализован на безопасной CMS) или хорошо защищен техническими средствами, его могут взломать и на нем могут появиться вирусы. Поэтому крайне важно, чтобы сам владелец сайта был достаточно активно вовлечен в процесс работы с веб-студиями, агентствами или фрилансерами. Памятка, приведенная ниже, поможет существенно минимизировать риск взлома и заражения сайтов по вине подрядчиков.

 

Памятка по работе со сторонними специалистами 

  • Работайте по договору («подряда», «на оказание услуг»). Не используйте шаблонные договоры, примеры из интернета или от самих подрядчиков, в них не прописаны детали и будет крайне трудно доказать свою правоту в суде. В общем договоре должны обязательно быть определены:
    • виды и объем работ,
    • срок выполнения работ,
    • стоимость,
    • процедура сдачи-приемки,
    • ответственность и штрафы.
  • Для договора подряда обязательно оформляйте “Соглашение о конфиденциальности (NDA). В “Соглашении…” обязательно должны быть:
    • обозначены стороны соглашения,
    • перечислена информация которая является конфиденциальной,
    • прописано, что является разглашением информации,
    • прописана ответственность за разглашение, как правило финансовая — в виде штрафа,
    • прописаны сроки действия соглашения,
    • прописано применимое законодательство к соглашению.
  • Для договора на оказание услуг обязательно оформляйте “Соглашение о конфиденциальности” и “Соглашение об уровне оказания услуг” (SLA). В “Соглашении об уровне оказания услуг должно быть прописано:
    • определение услуги или сервиса,
    • рабочее время подрядчика,
    • время реакции на обращение,
    • время решения проблемы,
    • время жизни инцидента,
    • уровни сервиса / метрики сервиса (аварийный, средний, низкий),
    • перечень мероприятий, выполняемый в рамках договора.
  • Управляйте доступами, которые передаете подрядчикам:
    • Доступы передаются с минимально-необходимыми привилегиями
    • Доступы выдаются на минимально-необходимый специалисту срок
    • Каждому специалисту должен быть создан отдельный доступ к сайту
    • По завершении работ необходимо удалить созданный аккаунт или сменить пароль от аккаунта
    • Пароли должны быть случайными комбинациями букв/цифр/спецсимволов, длиной не менее 8 символов
    • На хостинге и в CMS должны быть включены журналы (логи) операций
  • Проводите аудит после завершения работ подрядчиком. Аудит отвечает на вопросы:
    • Проверяем, какие файлы появились, насколько они безопасны.
    • Проверяем, какие файлы изменились, насколько безопасны изменения.
    • Выполняем сканирование файлов, страниц и базы данных на вирусы и хакерские скрипты.
    • Желательно сделать тест на проникновение (“пентест”) для обнаружения новых уязвимостей или проблем конфигурации.
    • Проверяем доступы в панели хостинга, не появились новые пользователи или новые аккаунты.
    • Проверяем администраторов сайта в панели CMS, не добавились ли новые. 

Все что перечислено выше можно сгруппировать в “три кита” организационных мер защиты сайта от взлома:

  1. Детальное юридическое оформление отношений с подрядчиком
  2. Управление доступами
  3. Аудит после проведения работ

Если самостоятельно вы не готовы на должном уровне принимать перечисленные меры, рекомендуем обратиться к соответствующим специалистам, которые помогут с составлением договора, сопровождением и аудитом сайта.

Комментарии