Меры защиты

Article Index
Меры защиты
Security measures
Кроме положений о защите данных, конфиденциальности и безопасности на веб-сайте TSP должны требовать внедрения на прикладном уровне размещаемых в их сетях веб-сайтов пакета мер защиты, базирующихся на передовом опыте, до введения этих веб-сайтов в действие. Это должно включать, в том числе, следующее:
a)    руководящие указания по практике разработки защищенных веб-сайтов и кодирования веб страниц, включая:
i)    отображение коротких извещений о конфиденциальности, которые содержат ясное, краткое одностраничное резюме (составленное на понятном широкому кругу читателей языке) принятой компанией обязательной практики обеспечение конфиденциальности в онлайновой среде. В этом случае пользователи могут делать более осознанный выбор относительно помещения своей информации в онлайновую среду. Короткие извещения должны соответствовать всем нормативным требованиям и обеспечивать доступ по ссылке к полным текстам юридических обоснований и другой необходимой информации, так чтобы клиентам, желающим ознакомиться с более подробной информацией, достаточно было щелкнуть по ссылке, чтобы прочитать полный текст. При наличии единого извещения потребители смогут более единообразно пользоваться всеми средствами компании при тех же стандартах обеспечения конфиденциальности и ожидаемых результатах, распространенных на многие сайты;
ii)    защищенную обработку cookie-файлов;
iii)    защищенную проверку и обработку входных данных для предотвращения типичной атаки, такой как "внедрение оператора sql" (SQL-Injection);
iv)    защищенное написание сценариев веб-страницы для предотвращения типичной атаки, такой как "межсайтовое выполнение сценариев" (Cross-site Scripting); и
v)    анализ и испытание безопасности кодов.
В качестве части инфраструктуры веб-хостинга TSP должны приниматься также следующие меры обеспечения безопасности для защиты веб-серверов от несанкционированного доступа и опасности размещения вредоносного контента, такого как вводящее в заблуждение и шпионское ПО:
b)    конфигурирование веб-сервера, включая базовые операционные системы, в соответствии с руководством по конфигурации основных элементов системы защиты. Это должно включать надлежащее определение пользователей веб-сервера в сравнении с администратором, внедрение средств управления программными и системными директориями и файлам и разрешение ведения контрольного журнала, в частности для регистрации случаев нарушения безопасности и других случаев отказа в системе;
c)    реализация системы, предназначенной для испытания и внедрения обновлений средств защиты, а также для обеспечения своевременной актуализации операционной системы и приложений веб-сервера при появлении новых обновлений средств защиты;
d)    мониторинг эффективности защиты веб-сервера путем периодического анализа контрольных журналов;
e)    функционирование антивирусного и антишпионского программного обеспечения на сервере;
f)    регулярное сканирование всего размещаемого и загружаемого контента с использованием обновленных определений, признавая, что файл может представлять собой шпионское или вводящее в заблуждение ПО, даже если это не выявлено с помощью действующих определений вследствие ограничений, создаваемых неточной информацией;
g)    выполнение регулярных тестов на защиту от несанкционированного доступа для веб-сайтов для обеспечения того, что поддерживается адекватный уровень защиты и что он не был нарушен.
Для того чтобы обеспечить возможность контроля этих мер безопасности, особенно мер, касающихся защищенности веб-сревера, TSP должны предусмотреть включение соответствующих положений в соглашения об обслуживании

 


 



 

Расширенный поиск

Who's Online

We have 159 guests online