23 сентября, воскресенье 13:30
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Требования по ИБ к сайту Банка

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Требования по ИБ к сайту Банка

    Здравствуйте, коллеги.
    Собираемся делать новый сайт Банка. Разработчика практически нашли. Начинаем процесс написания техзадания.
    Требования по информационному содержанию к сайту Банка установлены, тут все понятно. Вопрос именно в требованиях по обеспечению информационной безопасности. Какие они должны быть? Пусть даже и не такие что нормативно установлены, а просто исходя из здравого смысла и косвенно рекомендация различных документов.
    О том что сайт не должен быть подвержен Open Redirect, XSS скриптингу, иметь фильтрацию полей ввода и текста адресной строки, принудительно переводить на использование HTTPS, не раскрывать техническую информацию о веб-сервере и системе.
    Как все это сформулировать в требования к исполнителю. Может кто сталкивался и отражал подобные пункты в техзадании?
    И кроме техзадания, возможно нужно как то отразить в договоре на разработку сайта ответственность исполнителя за то, что сайт будет взломан из за их недоработок при создании сайта?

  • #2
    Писал подобное. Писал прям также как в Вашем сообщении:
    "необходимо обеспечить:
    - сайт не должен быть подвержен Open Redirect
    - XSS скриптингу"
    - и т.д.

    Если разработчик согласится на такой пункт договора, то Вам повезло. Но скорее всего он скажет так, описывайте все требования в тех.задании и если мы не выполним то ответственность на нас, а если вы не учли в тех.задании то на Вас.

    Комментарий


    • #3
      Сообщение от Galivut Посмотреть сообщение
      Вопрос именно в требованиях по обеспечению информационной безопасности. Какие они должны быть?
      1. Требования должны быть к функциям безопасности. Например, должна быть аутентификация по паролю, каптча для противодействия бруфорсу и т.п Если затрудняетесь сформулировать сами, возьмите методичку ФСТЭК "Меры защиты информации в государственных информационных системах" и выпишите оттуда применимые требования.

      2. Требования должны быть конструктивными. "Не должно быть уязвимостей" - это не требование. Вместо этого включите в договор порядок приемки работы. В порядке приемке пропишите, что в ходе приемки вы проведете (сами или с привлечением третьих лиц)анализ уязвимостей в соответствии с РС БР ИББС 2.6. У исполнителя должна быть обязанность устранить выявленные уязвимости. Если при заключении договора возникнет спор, что именно считать уязвимостями, дайте явную отсылку к OWASP Top-10.

      При этом имейте в виду, что любая программа - литературное произведение. Автор так видит, и никаких претензий по поводу законченного произведения вы иметь не можете. Т.е. после того, как вы примете работу, разработчик вам больше ничего не должен. Можете попробовать прописать в договор обязанность обеспечивать техническую поддержку, но на бесплатную техподдержку никто не согласится. Можно попробовать заключить рамочный договор на платную техподдержку, то есть на устранение недостатков, если они будут выявлены в ходе эксплуатации. В договоре прописываете порядок определения расценок на работы по устранению недостатков.

      Комментарий

      Пользователи, просматривающие эту тему

      Свернуть

      Присутствует 1. Участников: 0, гостей: 1.

      Обработка...
      X