Руководя ранее интернет-сервисом по защите персональных данных, а последние 3 года интернет-сервисом по защите сайтов от потерь и простоев в результате интернет-угроз я регулярно объясняю владельцам сайтов, что необходимо сделать, чтобы сайт не был заблокирован и взломан из-за нарушения законодательства по безопасности и несоблюдения мер защиты сайта

На основании накопленного опыта были агрегированы основные требования по безопасности сайтов, которые необходимо знать и выполнять владельцам сайтов. Если их не знать об этих требованиях и не соблюдать их, то рано или поздно сайт будет заблокирован Роскомнадзором, хостинг-провайдером, поисковыми системами или взломан злоумышленниками.





1. Хранение персональных данных российских граждан на территории Российской Федерации


Чем грозит невыполнение: блокировка сайта по запросу Роскомнадзора

Час Х уже близко – перенести сайты с персональными данными россиян на территорию РФ необходимо до 1 сентября 2015 года! Переносу подлежит именно сайт с БД, а не просто БД – об этом много написано, и такова позиция главного регулятора в этой области – Роскомнадзора.
К тому же, о территориальном местонахождении таких данных нужно будет сообщить в территориальный орган Роскомнадзора в письменном уведомлении об обработке персональных данных.

Если сайт с персональными данными не будет перенесен на территорию РФ, его владельцу грозит небольшой штраф. Но, если и после уплаты штрафа сайт не будет перенесен, то сайт будет заблокирован хостинг-провайдерами по запросу Роскомнадзора.

Никто не сомневается, что будет проводиться проверка выполнения данного требования, но как именно, пока не известно, но стоит помнить, что сегодняшний день Роскомнадзор выполняет свои обязанности по блокировке сайтов с “огоньком в глазах”.

Поэтому постарайтесь по возможность до 1 сентября или чуть позже перенести сайт с персональными данными пользователей (граждан РФ) на российский хостинг.

2. Публикация на сайте политики организации в отношении персональных данных


Чем грозит невыполнение: штраф до 30 тысяч рублей со стороны Роскомнадзора

Практически все сайты дают возможность пользователям зарегистрироваться и оставить свои персональные данные. К таким сайтам Федеральный закон №152-ФЗ “О персональных данных” предъявляет определенное требование: в общем доступе необходимо опубликовать документ, определяющий политику компании в отношении обработки персональных данных, а также сведения о реализуемых требованиях к защите персональных данных.

Если быть точным, то данное требование прописано в ч.2 ст.18.1 Федерального закона №152-ФЗ “О персональных данных:
“Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети”.


Таким документом обычно выступает “Политика в отношении обработки персональных данных”, который лучше размещать на сайте в виде pdf-файла с печатью и подписью генерального директора. Шаблон данного документа можно найти в интернете или на сервисах подготовки документов по персональным данным.

3. Сбор согласий на обработку персональных данных


Чем грозит невыполнение:
  • блокировка сайта хостинг-провайдерами по запросу Роскомнадзора
  • внесение сайта в Реестр нарушителей прав субъектов персональных данных
  • штраф до 300 тысяч рублей со стороны Роскомнадзора


Все тот же закон обязывает сайты, на которых собираются персональные данные, брать согласие на обработку персональных данных у каждого, кто регистрируется или оставляет свои персональные данные. При этом согласие может быть дано в любой форме, позволяющей подтвердить факт его получения, если иное не установлено в законе №152-ФЗ “О персональных данных”.

Соблюдение этого требования уберегает владельца сайта от жалоб физлиц в Роскомнадзор на несоблюдение его прав, как субъекта персональных данных. Если госорган получает подобную жалобу, организуется мониторинг сайта и проверка деятельности компании. Проверка будет включать запрос сведений о сборе согласий на обработку персональных данных и, возможно, выездную проверку.

Вот пример письма Роскомнадзора одному из наших клиентов. Обратите внимание на пункт 1).



Чтобы не доводить дело до блокировки сайта и штрафов, разместите рядом с формой регистрации и обратной связи текст о согласии пользователя на сбор и обработку его персональных данных.

Делюсь по этому поводу 3 лайфхакми:
  1. Согласие можно не собирать, есть на сайте размещены правила пользования сайтом или иная публичная оферта (например Пользовательское соглашение). В ней должна быть информация о сайте,  какие услуги и возможности он предоставляет для регистрирующихся пользователей.
  2. Если вы собираете персональные данные о состоянии здоровья, политических и религиозных взглядах и другие критические для человека данные, или предоставляете персональные данные в другие организации, то лучше отдельно разместить на сайте согласие на обработку персональных данных. Для этого разместите на странице регистрации фразу: “Регистрируясь, вы даете согласие на обработку своих персональных данных” и ссылку на публичную оферту согласия на обработку персональных данных.
  3. Включите в согласие на обработку персональных данных согласие на рекламные рассылки по e-mail и sms, чтобы выполнить заодно требование закона “О рекламе”.


4. SSL-сертификат на сайте


Чем грозит невыполнение: перехватом трафика злоумышленником и взломом сайта

SSL-сертификат защищает канал, шифруя все передаваемые между сайтом и пользователем данные, и повышает доверие со стороны пользователей.

Для тех, кто не знает или позабыл, SSL-сертификат отображается в виде зеленого замочка рядом с адресом сайта в браузере.



SSL-сертификат подтверждает владение доменом (например, что вы подсоединяетесь к настоящему сайту SiteSecure) и то, что это сайт принадлежит определенной компании. В последнем случае SSL-сертификат отображает в адресной строке браузера название организации:



В Европе и США без SSL-сертификата практически невозможно представить ни один интернет-магазин, коммерческий веб-сайт или интернет-сервис. В России же SSL-сертификаты только набирают обороты, но уже многие компании установили его на свои сайты. SSL-сертификат, помимо защиты канала от перехвата данных, повышает доверие клиентов к сайту и способствует SEO продвижению — Google официально заявил, что с 6 августа 2014 года валидный SSL-сертификат является позитивным фактором при ранжирования сайта в поисковой выдаче.

5. Резервное копирование сайта


Чем грозит невыполнение: полная потеря сайта

В ходе защиты и лечения сайтов клиентов в рамках нашего интернет-сервиса, мы с коллегами часто сталкиваемся с сайтами, которые “обезображены” вирусами. Намного быстрее и проще восстановить сайт из резервной копии, а затем устранить уязвимости и защитить от заражений. Но бывают случаи, когда сайт не подлежит лечению из-за отсутствия резервной копии.

Многие рассчитывают, что хостинг-провайдеры автоматически делают резервные копии всех сайтов, но на самом деле это функция часто не включена и не оплачена.

Как отсутствие резервной копии может нанести вред сайту?
Типичная проблема безопасности – дефейс, когда группа хакеров взламывает сразу сервер с сайтами и заменяет на них главные страницы или все файлы. Вот так выглядит главная страница сайта после взлома и дефейса (контакты хакерской группы скрыты):



В нашей практике были случаи, когда у владельца сайта или ответственного за сайт лица не было резервной копии, чтобы восстановить страницы после дефейса. Поэтому обязательно проверяйте, делается ли резервное копирование сайта на хостинге. А так как у хостингов тоже бывают проблемы, то используйте на всякий случай дополнительное резервное копирование.

6. Защита сайта от DDOS-атак


Чем грозит невыполнение: недоступность сайта, падения продаж и репутации

DDoS-атаки превратились в инструмент подрыва репутации, дохода и способ шантажа. Компании используют их для подрыва продаж и репутации своих конкурентов, делая сайты последних недоступными для потенциальных клиентов. Особенно такой способ практикуется в тех отраслях, где наблюдается сезонный спрос (туризм, продажа цветов, услуга “дед мороз” в новый год, торговля авиабилетами), а так же сайты СМИ, политических партий и правительства. При этом достаточно часто атаки совершаются на сайты небольших и средних компаний, так как почти все крупные компании уже защитили свои сайты от DDoS-атак.

Стоит отдельно отметить рынок электронной торговли. Именно на нем особо чувствительны DDoS-атаки, ведь сайт является одним из ключевых активов и его недоступность ведет к прямым убыткам.

При этом количество DDoS-атак на сайты неуклонно растет. Это связано с увеличением во всем мире числа ботнетов  (зараженных компьютеров, которые выполняют атаку без ведома его владельца) и снижением цен на организацию DDoS-атак (стоимость 1 часа атаки снизилась от 38$).

Грамотная настройка сервера техническими специалистами, мониторинг сайта и использование сервисов по защите от DDoS-атак позволит защититься от этой угрозы.

7. Осуществление мониторинга безопасности и защиты сайта


Чем грозит невыполнение:
  • взлом и заражение сайта
  • блокировка сайта хостинг-провайдерами, поисковыми системами и антивирусами
  • потеря позиций сайта в поиске


Все давно привыкли ставить антивирусы на компьютеры, ноутбуки и уже даже на смартфоны. Но в отношении защиты сайтов ситуация иная – этому уделяют мало внимания. Хотя беспокоиться есть веские причины.

По данным исследования безопасности 320 000 коммерческих сайтов России, проведенном в 1 квартале 2015 года, каждый 10-й сайт или заражен и заблокирован поисковыми системами, или имеет проблемы безопасности, из-за которых будет заблокирован поисковиками и антивирусами. Хотя поисковые системы выявляют такие проблемы небыстро, но если выявляют, то средний срок блокировки ими сайта составляет 7 дней. Поэтому, если детектировать и исправлять такие проблемы оперативно, сайту и его владельцу не будет грозить блокировка сайта.

При этом оперативно выявлять проблемы с безопасностью на сайте возможно. Для этого созданы сервисы круглосуточного мониторинга безопасности, которые оперативно уведомляют владельца о проникновении вируса или начале атаки, а также помогают в устранении проблемы до блокировки сайта поисковиками.

Если говорить о блокировке сайта поисковиками и аффилированными с ними браузерами (Chrome, Яндекс.Браузер и Opera), то это выглядит, как предупреждение при попытке зайти на заблокированный сайт.



Заражение и блокировка сайта приводят к потере почти всего поискового трафика и пользователей, заходящих на сайт с популярных браузеров, аффилированных с поисковыми системами. А это уже финансовые потери и падение позиций в поисковой выдаче.

Используйте интернет-сервисы мониторинга безопасности и защиты сайта, чтобы первыми узнавать о проблемах с безопасностью и получать помощь в их решении до того, как сайт будет заблокирован поисковиками.

Я намеренно не стал затрагивать требование по парольной защите, т.к. о ней написано очень много и нового ничего не сказать.
А вообще требований, касающихся защиты сайта и требований законодательства наберется еще с десяток, но зная и выполняя хотя бы эти, а также используя сложные пароли, вы снимите со своего сайта множество специфичных для России рисков быть заблокированным и взломанным.



Пруфлинки:

Комментарии (7)


  1. makasin4ik
    15.07.2015 18:44

    Коллеги, а где есть подтверждение от проверяющих органов (Роскомнадзора), что нужно переносить не только базу данных, а так же сам сайт? Ведь персональные данные хранятся в базе… Можно пруфлинки?


    1. maxlag Автор
      15.07.2015 19:03

      1. makasin4ik
        15.07.2015 19:11

        Извините мое занудство, но в п.1. по ссылке явно не сказано, что «база данных» включает в себя сайт. Сайт не содержит данных, поэтому термин база данных не распространяется на сайт судя по документу по ссылке. Сайт только собирает данные.


        1. maxlag Автор
          15.07.2015 20:24

          То, что и сайт должен быть на территории РФ, завуалировано, но четко описано в терминах 152-ФЗ
          Выделил на скриншоте текст из позиции Роскомнадзора, который утверждает, что обработка персональных данных после формирования базы данных должна быть на территории России — joxi.ru/D2P89YJFbJv823


  1. pikla
    15.07.2015 20:04

    Подскажите SSL-сертификат на сайте должен быть обязательно EV (Зеленая строка) или можно использовать любой (например сертификат проверки домена или домена + организации) сертификат купленный у известного регистратора?


    1. maxlag Автор
      15.07.2015 20:26
      +1

      Сертификата с проверкой домена достаточно будет и такие можно купить и регистраторов, насколько мне известно.


      1. pikla
        15.07.2015 20:42

        Спасибо, а то из стать не понятно что можно любой валидный сертификат использовать, а не только EV.