Памятка по безопасности при работе с подрядчиками

Про эффективные меры безопасности сайтов можно говорить только если безопасность - комплексная. Комплексная безопасность складывается из набора технических средств защиты, которые настраиваются специалистами по безопасности и огранизационных мер защиты, которые внедряются и поддерживаются на регулярной основе владельцем или менеджером сайта.

Организационные меры защиты позволяют не только минимизировать риск взлома хакерами и хакерскими ботами, но и снизить риски раскрытия "чувствительных"/конфиденциальных данных, и исключить заражение сайта вирусами по вине сторонних специалистов, например при обращении в digital-агентства, веб-студии и к фрилансерам.

К нам в “Ревизиум” регулярно обращаются владельцы взломанных и зараженных сайтов.

В результате аудита веб-ресурса и анализа логов в 1 из 8 случаев оказывалось, что причиной взлома и заражения были сторонние специалисты, которые не соблюдали технику безопасности при работе с сайтами.

Даже если сайт не содержит уязвимостей (например, реализован на безопасной CMS) или хорошо защищен техническими средствами, его могут взломать и на нем могут появиться вирусы. Поэтому крайне важно, чтобы сам владелец сайта был достаточно активно вовлечен в процесс работы с веб-студиями, агентствами или фрилансерами. Памятка, приведенная ниже, поможет существенно минимизировать риск взлома и заражения сайтов по вине подрядчиков.

Памятка по работе со сторонними специалистами

  1. Работайте по договору («подряда», «на оказание услуг»). Не используйте шаблонные договоры, примеры из интернета или от самих подрядчиков, в них не прописаны детали и будет крайне трудно доказать свою правоту в суде. В общем договоре должны обязательно быть определены:
    • виды и объем работ,
    • срок выполнения работ,
    • стоимость,
    • процедура сдачи-приемки,
    • ответственность и штрафы.
  2. Для договора подряда обязательно оформляйте “Соглашение о конфиденциальности (NDA). В “Соглашении…” обязательно должны быть:
    • обозначены стороны соглашения,
    • перечислена информация которая является конфиденциальной,
    • прописано, что является разглашением информации,
    • прописана ответственность за разглашение, как правило финансовая — в виде штрафа,
    • прописаны сроки действия соглашения,
    • прописано применимое законодательство к соглашению.
  3. Для договора на оказание услуг обязательно оформляйте “Соглашение о конфиденциальности” и “Соглашение об уровне оказания услуг” (SLA). В “Соглашении об уровне оказания услуг должно быть прописано:
    • определение услуги или сервиса,
    • рабочее время подрядчика,
    • время реакции на обращение,
    • время решения проблемы,
    • время жизни инцидента,
    • уровни сервиса / метрики сервиса (аварийный, средний, низкий),
    • перечень мероприятий, выполняемый в рамках договора.
  4. Управляйте доступами, которые передаете подрядчикам:
    • Доступы передаются с минимально-необходимыми привилегиями
    • Доступы выдаются на минимально-необходимый специалисту срок
    • Каждому специалисту должен быть создан отдельный доступ к сайту
    • По завершении работ необходимо удалить созданный аккаунт или сменить пароль от аккаунта
    • Пароли должны быть случайными комбинациями букв/цифр/спецсимволов, длиной не менее 8 символов
    • На хостинге и в CMS должны быть включены журналы (логи) операций
  5. Проводите аудит после завершения работ подрядчиком. Аудит желательно выполнять специалисту по безопасности сайта:
    • Проверить, какие файлы появились, насколько они безопасны.
    • Проверить, какие файлы изменились, насколько безопасны изменения.
    • Выполнить сканирование файлов, страниц и базы данных на вирусы и хакерские скрипты.
    • Желательно сделать тест на проникновение (“пентест”) для обнаружения новых уязвимостей или проблем конфигурации.
    • Проверить доступы в панели хостинга, не появились новые пользователи или новые аккаунты.
    • Проверить администраторов сайта в панели CMS, не добавились ли новые.

Все что перечислено выше можно сгруппировать в “три кита” организационных мер защиты сайта от взлома:

  1. Детальное юридическое оформление отношений с подрядчиком
  2. Управление доступами
  3. Аудит после проведения работ

Если самостоятельно вы не готовы на должном уровне принимать перечисленные меры, рекомендуем обратиться к соответствующим специалистам, которые помогут с составлением договора, сопровождением и аудитом сайта.

Наши услуги ИБ

Акция «2 по цене 1»
Подключите 2 сайта к услуге "Сайт под наблюдением" всего за 5000 2500 / мес. Скидка 50% только в апреле.
Акция действует только до 30 апреля.
При подключении услуги "Сайт под наблюдением" для одного сайта, второй на том же аккаунте подключается бесплатно. Последующие сайты на аккаунте — 1500 руб в месяц за каждый сайт.