5 июня, пятница 06:47
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Требования по ИБ к сайту Банка

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Требования по ИБ к сайту Банка

    Здравствуйте, коллеги.
    Собираемся делать новый сайт Банка. Разработчика практически нашли. Начинаем процесс написания техзадания.
    Требования по информационному содержанию к сайту Банка установлены, тут все понятно. Вопрос именно в требованиях по обеспечению информационной безопасности. Какие они должны быть? Пусть даже и не такие что нормативно установлены, а просто исходя из здравого смысла и косвенно рекомендация различных документов.
    О том что сайт не должен быть подвержен Open Redirect, XSS скриптингу, иметь фильтрацию полей ввода и текста адресной строки, принудительно переводить на использование HTTPS, не раскрывать техническую информацию о веб-сервере и системе.
    Как все это сформулировать в требования к исполнителю. Может кто сталкивался и отражал подобные пункты в техзадании?
    И кроме техзадания, возможно нужно как то отразить в договоре на разработку сайта ответственность исполнителя за то, что сайт будет взломан из за их недоработок при создании сайта?

  • #2
    Говоря кратко, исходя из содержимого и предполагаемого способа работы.

    Далее говорю про свой опыт - когда сайт после разработки передается банку и поддерживается банковкими работниками. Сайт на ауторсе не юзал, ничего не скажу.

    Минимум - это
    1. бэкапы (архивы) содержимого разворачиваемые на (новой площадке) за время не большее 1 дня
    2. наполнение информационных страничек только из интрасети с авторизацией, в частности отсутствие после сдачи сайта оставленных "на всякий случай" скриптов тестирования, бэкдоров, ключей ssh и прочего и прочего
    3. крайне желательно - использование поддерживаемой платформы ("движка") с "хорошей" репутацией (Вам решать по какому листингу и критериям), причем поддерживаемой вашими специалистами (включая чтение мейллиста, и установку обновлений как по алертам, так и регулярную)

    По Вашему тексту.
    Если у Вас будет раздел для зарубежных клиентов, читаете GDPR и не забываете что куки и ip адреса относятся к персональным данным.
    Если планируется обмен сообщениями через сайт, то помимо фильтрации XSS, надо жестко ограничивать вложения. Если обмена сообщениями нет, то соответственно XSS вам ничем не грозит.
    На https-страницах не должно быть плэйн-содержимого (включая скрипты,css, шрифты и прочую чепуху)
    Про "взломан из-за недоработок", мое мнение таково, что надо юзать поддерживаемые движок и тему, и не допускать гряных хаков. К сожалению, это два практически исключающие требования, поэтому устанавливать пропорцию одного и второго, а также проводить аудит хаков придётся самостоятельно.
    /kiv

    Комментарий


    • #3
      Присоединяюсь к вопросу.
      Хотелось бы услышать именно про требования регуляторов, включая косвенные, в зависимости от функционала сайта.
      Соответственно, эти требования должны удовлетворять ИБ-аудиторов для получения положительной оценки.

      Комментарий


      • #4
        Нужно смотреть на состав информации, который будет обрабатываться на сайте:
        - для Персданных - есть требования регулятора ( 152 - ФЗ. 378 - ФСБ, GDRP - для иностранцев и д.р.)
        - для платежных страниц - тоже ( 382-П , ГОСТ 57580.1 и др.)

        Если исходить из здравой логике, то помимо чисто ИТ-шных ( бэкап, правильная архитектура и т.п.), то защита от DDOS, WAF, протоколирование, патч-менеджмент, регулярная проверка на уязвимость.
        "сила в правде: у кого правда, тот и сильней!"

        Комментарий


        • #5
          Сайт Банка можно также отнести к информационной системе общего пользования (ИСОП)
          Требования к ИСОП установлены в рамках Приказ ФСТЭК России от 31 августа 2010 г. N 489

          Комментарий


          • #6
            Сообщение от Dmitry Leviev Посмотреть сообщение
            Сайт Банка можно также отнести к информационной системе общего пользования (ИСОП)
            Требования к ИСОП установлены в рамках Приказ ФСТЭК России от 31 августа 2010 г. N 489
            Приказ не для нас.
            1. Настоящие Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти...
            Но вот как пример использовать можно.

            Комментарий

            Обработка...
            X