290 likes | 477 Vues
Безопасность коммерческого сайта: защита домена, хостинга, клиента. Малых Даниил. Белгород, 15.11.20 1 2. Доменное имя сегодня. СРЕДСТВО АДРЕСАЦИИ @yandex.ru , @nic.ru. ОБЪЕКТ ИНВЕСТИЦИЙ Аукцион доменов. РЕКЛАМНАЯ ПЛОЩАДКА Паркинг доменов. СРЕДСТВА ИНДИВИДУАЛИЗАЦИИ Товарные знаки.
E N D
Безопасность коммерческого сайта: защитадомена, хостинга, клиента Малых Даниил Белгород, 15.11.2012
Доменное имя сегодня СРЕДСТВО АДРЕСАЦИИ @yandex.ru, @nic.ru ОБЪЕКТ ИНВЕСТИЦИЙ Аукцион доменов РЕКЛАМНАЯ ПЛОЩАДКА Паркинг доменов СРЕДСТВА ИНДИВИДУАЛИЗАЦИИ Товарные знаки
Как работает домен TEL? Как выбрать доменное имя Домен Название компании Область деятельности Пример: Horvis.ru Пример:Euroremont.ru
Российские домены .RU уже 4 000 000 доменов .SU всего 100 000 доменов + IDN (сыры.su) .РФ 800 000 доменов только русскоязычные домены Президент.рф, Почта-России.рф, Яндекс.рф ФорумБезопасногоИнтернета.рф
Как работает домен TEL? Интересно-полезные варианты .МЕ Черногория (Montenegro)/tell.me, call.me, vika.me .TV поддержка IDN .CO и .CC альтернатива .CОМ для «мобильных» сайтов(Nokia.MOBI, BMW.MOBI, FoxNews.MOBI) .MOBI .PRO для лицензированных специалистов http://nic.ru/dns/
Потеря домена: внутренние угрозы 1 - вовремя не зарегистрировали домен 2 -проверяли, свободен ли домен, при помощи сомнительного Whois-сервиса 3 -невнимательно отнеслись к условиям договора на регистрацию домена 4 -зарегистрировали корпоративный домен на сотрудника фирмы 5 - при увольнении сисадмина не поменяли пароли управления доменом 6 - забыли вовремя произвести оплату за перерегистрацию домена
Потеря домена: внешние угрозы КИБЕРСКВОТТИНГ– ради прибыли Kamaz.ru, Lada.ru, Yandex.ee, Porsche924.com ТАЙПСКВОТТИНГ- регистрация доменов с ошибками и опечатками odnoklaSSniKi.ru – odnoklaSniCi.ru www.nic.ru – www.niK.ru www.lenta.ru – wwwlenta.ru ФИШИНГ – клонирование домена, интерфейса и дизайна сайта yandex.ru – yanclex.ru ХАЙДЖЕКИНГ– преступное присвоение доменов (подделка документов) wab.ru: Ru-center Reg.ru ОБРАТНЫЙ ЗАХВАТ - это регистрация товарного знакаради домена ООО «Элек.ру» «Центр передовых технологий» Владелец домена Владелец товарных знаков elec.ru и elec
Потеря домена: снижение рисков Выбирайте только профессиональных регистраторов, аккредитованных ICANN, в правилах которых входит отправка уведомлений о незавершенном процессе передачи домена Поддерживайте точность и актуальность регистрационных записей Обеспечьте конфиденциальность, безопасность хранения и возможность восстановления паролей и иных реквизитов учетной записи владельца домена Предоставляйте доступ к регистрационным данным только сотрудникам организации, функциональной обязанностью которых является администрирование доменного имени Следите за текущей и экстренной информацией регистратора При помощи сервиса WHOIS(официального!) регулярно проверяйте данные о владельце домена, сведения о доменном имени, чтобы не допустить внесения неавторизованных изменений Своевременно регистрировать, оплачивать продление домен; компаниям – регистрировать домен на юр.лицо
Доменные споры: рекомендации Урегулировать спор между сторонами самостоятельно путем переговоров Обратиться за помощью в организацию, специализирующуюся на оказании юридических услуг В случае нарушения законодательства о конкуренции или рекламе, обратиться в территориальные органы Федеральной антимонопольной службы (ФАС РФ) В случае невозможности урегулирования спора указанными методами, обратиться для защиты ваших прав и законных интересов в суд общей юрисдикции или арбитражный суд. Новое! Владельцы зарегистрированных в России ТЗ могут добиться досудебной блокировки домена, который нарушает их права, на 14 дней Новое! Специфика разрешения споров о доменах .РФ (не в пользу правообладателей)
01.03.2012, 17:56:34 Доменные споры: рекомендации 1 Использовать положения Правил регистрации RU, РФ, SU 2 Составить ходатайство о приостановке делегирования домена Использовать распечатку интернет-страницы, заверенная нотариусом 3 4 Составить протокол осмотра страницы
Закон «о фильтрации» Одобрен закон о создании в России единого списка доменов и сайтов с противоправным контентом («черный список»), реестр будет создаваться с ноября 2012 года Сайты и страницы не будут попадать в реестр автоматически. Надзирающий орган (Роскомнадзор) возложит на некоммерческую организацию обязанности по мониторингу сайтов с противоправной информацией. После обнаружения, НКО будет передавать сведения о нарушении в Роскомнадзор Роскомнадзор, в свою очередь, должен предупредить владельца интернет-ресурса об обнаружении нелегального контента Если в течение суток владелец интернет-ресурса не отреагирует и не удалит материал, это должен будет сделать хостинг-провайдер. Если хостинг-провайдер также бездействует, страница попадает в "черные списки". Решение о включении в реестр можно будет обжаловать в суде в течение трех месяцев. Блокирование ресурсов будет идти по доменам или IP-адресам, что, является неэффективным и опасным процессом!
Закон «о персональных данных» Компании, которые ведут бизнес в Интернете, – субъект 152-ФЗ «О персональных данных» С какими ПДн чаще всего они работают? • ФИО • Номера телефонов • Адреса электронной почты • Адреса доставки … и не только
Категории ПДн ОПРЕДЕЛЕНИЯ ПДн касаются расовой, нац. принадлежности, политических взглядов, религиозных и философских убеждений, здоровья, интимной жизни ПДн позволяют определить субъекта ПДн и получить о нем доп. информацию, за исключением ПДн категории 1 Обезличенные и (или) общедоступные ПДн ПДн, позволяющие определить субъекта ПДн Категория 4 Категория 3 Категория 2 Категория 1 • ФИО • Email • Серия и номер паспорта • Почтовый адрес • Вероисповедание • Национальность • Состояние в браке • Наличие детей • ФИО • Email • ФИО • Email • Серия и номер паспорта • ФИО • Email • Серия и номер паспорта • Почтовый адрес ПРИМЕРЫ
Кто контролирует? ФСБ, ФСТЭК, РОСКОМНАДЗОР Проверки Роскомнадзора: • Плановые (график есть на сайте Роскомнадзора) • Внеплановые (уведомление за сутки до начала проверки) Причины: требования прокуратуры, жалобы физических лиц 2011 год • Внеплановые проверки > плановые
Ответственность • Штрафы • до 500 тыс. руб. штрафа для юридического лица • до 50 тыс. руб. штрафа для руководителя юридического лица • Приостановка деятельности юр. лица на срок до 90 дней … и это только начало
Длинный список (1) Как работает домен TEL? Что необходимо сделать для правильной обработки персональных данных? • Сформировать рабочую группу по приведению порядка обработки ПДн в соответствие с законом • Проанализировать ПДн, обрабатываемые в ИС • Провести аудит бизнес-процессов и ИС • Разработать модели угроз • Классифицировать ИСПДн • Разработать ТЗ на ИСПДн
Длинный список (2) Как работает домен TEL? • Разграничить доступ к ПДн • Спроектировать и внедрить систему защиты ПДн • Зарегистрироваться в Роскомнадзоре в качестве оператора ПДн • Получить от клиентов и сотрудников согласие на обработку их ПДн • Осуществлять рекламную рассылку или продвигать товары клиентам только с их согласия • Ограничить передачу ПДн третьим лицам
Длинный список (3) Как работает домен TEL? • Правильно взаимодействовать с клиентом по вопросам ПДн • Составить пакет инструкций и регламентов по ПДн • Назначить ответственных лиц за организацию обработки ПДн • Обучить сотрудников правильной обработке ПДн • Разработать и опубликовать в общем доступе политику обработки ПДн
Что еще? Договор с курьерской службой о безопасной обработке ПДн
Средства защиты ПДн • Межсетевой экран • Антивирус • Средства защиты от несанкционированного доступа • Системы обнаружения вторжений и анализа защищенности • Средства криптографической защиты Сертифицировано ФСТЭК, ФСБ РФ
Рецепты успеха • ИСПДн своими силами Крупные компании с большим бюджетом • ИСПДн на заказ • Комбинированный подход Малый и средний бизнес
Комплексный подход: преимущества Использование универсальных готовых решений, имеющихся на рынке = Экономия средств и времени + Автоматизированные сервисы по подготовке документов для обработки ПДн Хостинг конфиденциальной информации • Размещение оборудования в специальной зоне дата-центра • Оборудование, межсетевой экран и антивирус сертифицированы ФСТЭК • Ведение учета носителей информации • Ежедневное резервное копирование данных (две копии) • Гибкость • Подготовка к проверкам • Финансовые гарантии
SSL-сертификат – компонент защиты ПДн клиентов Где рекомендуется устанавливать сертификаты? • В тех разделах сайта, где пользователи вводят и хранят ПДн и другие конфиденциальные данные Личные кабинеты, страницы оплаты товара и др. SSL = ДОВЕРИЕ
Категории SSL-сертификатов WILDCARD OV DV EV SAN Extended validation Мультидоменные сертификаты Domain validation Organisation validation • Удостоверяет только домен • Шифрование соединения • Выпускается в течение 1 дня • Иконка замка в браузере • Удостоверяет домен и организацию, которой он принадлежит • Данные о компании отображаются в сертификате • Голубая строка браузера (Firefox) • Выпускается в течение 3-5 дней • Сертификаты защищают несколько доменов • Принадлежность каждого домена организации, запрашивающей сертификат, проверяется отдельно • Выпускается в течение 7-10 дней • Расширенная проверка данных для выпуска сертификата (устав, свидетельство о регистрации в налоговом органе и пр.) • Зеленая строка браузера (все браузеры) • Выпускается в течение 7-14 дней
Как выглядит сертификат в браузере? (1) Сертификаты категории DV
Как выглядит сертификат в браузере? (2) Сертификаты категорий OV, SAN, WILDCARD
Как выглядит сертификат в браузере? (3) Сертификаты категории EV
Юридические консультации RU-CENTER предоставляет широкий перечень юридических услуг в сфере защиты прав в сети Интернет Консультации в устной и письменной форме по вопросам: защиты доменных имен и прав администраторов доменов; защиты авторских прав и прав на товарные знаки; защиты чести и деловой репутации; досудебного урегулирования споров. Документы: подборка соответствующей судебной практики; подготовка искового заявления и многое другое. Для заказа юридических услуг необходимо предварительно связаться с юридическим департаментом: Телефон: (495) 737-06-48 Эл. почта: law@nic.ru
Спасибоза внимание! +7 (495) 737-0601 +7 (495) 737-0648 8 (800) 555-4601 pr@nic.ru web-lex.ru ssl.ru hosting.nic.ru Даниил Малых,dmalyh@nic.ru ВИЗИТКА RU-CENTER