1 / 29

Белгород, 15.11.20 1 2

Безопасность коммерческого сайта: защита домена, хостинга, клиента. Малых Даниил. Белгород, 15.11.20 1 2. Доменное имя сегодня. СРЕДСТВО АДРЕСАЦИИ @yandex.ru , @nic.ru. ОБЪЕКТ ИНВЕСТИЦИЙ Аукцион доменов. РЕКЛАМНАЯ ПЛОЩАДКА Паркинг доменов. СРЕДСТВА ИНДИВИДУАЛИЗАЦИИ Товарные знаки.

estralita-mendez
Télécharger la présentation

Белгород, 15.11.20 1 2

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Безопасность коммерческого сайта: защитадомена, хостинга, клиента Малых Даниил Белгород, 15.11.2012

  2. Доменное имя сегодня СРЕДСТВО АДРЕСАЦИИ @yandex.ru, @nic.ru ОБЪЕКТ ИНВЕСТИЦИЙ Аукцион доменов РЕКЛАМНАЯ ПЛОЩАДКА Паркинг доменов СРЕДСТВА ИНДИВИДУАЛИЗАЦИИ Товарные знаки

  3. Как работает домен TEL? Как выбрать доменное имя Домен Название компании Область деятельности Пример: Horvis.ru Пример:Euroremont.ru

  4. Российские домены .RU уже 4 000 000 доменов .SU всего 100 000 доменов + IDN (сыры.su) .РФ 800 000 доменов только русскоязычные домены Президент.рф, Почта-России.рф, Яндекс.рф ФорумБезопасногоИнтернета.рф

  5. Как работает домен TEL? Интересно-полезные варианты .МЕ Черногория (Montenegro)/tell.me, call.me, vika.me .TV поддержка IDN .CO и .CC альтернатива .CОМ для «мобильных» сайтов(Nokia.MOBI, BMW.MOBI, FoxNews.MOBI) .MOBI .PRO для лицензированных специалистов http://nic.ru/dns/

  6. Потеря домена: внутренние угрозы 1 - вовремя не зарегистрировали домен 2 -проверяли, свободен ли домен, при помощи сомнительного Whois-сервиса 3 -невнимательно отнеслись к условиям договора на регистрацию домена 4 -зарегистрировали корпоративный домен на сотрудника фирмы 5 - при увольнении сисадмина не поменяли пароли управления доменом 6 - забыли вовремя произвести оплату за перерегистрацию домена

  7. Потеря домена: внешние угрозы КИБЕРСКВОТТИНГ– ради прибыли Kamaz.ru, Lada.ru, Yandex.ee, Porsche924.com ТАЙПСКВОТТИНГ- регистрация доменов с ошибками и опечатками odnoklaSSniKi.ru – odnoklaSniCi.ru www.nic.ru – www.niK.ru www.lenta.ru – wwwlenta.ru ФИШИНГ – клонирование домена, интерфейса и дизайна сайта yandex.ru – yanclex.ru ХАЙДЖЕКИНГ– преступное присвоение доменов (подделка документов) wab.ru: Ru-center Reg.ru ОБРАТНЫЙ ЗАХВАТ - это регистрация товарного знакаради домена ООО «Элек.ру» «Центр передовых технологий» Владелец домена Владелец товарных знаков elec.ru и elec

  8. Потеря домена: снижение рисков Выбирайте только профессиональных регистраторов, аккредитованных ICANN, в правилах которых входит отправка уведомлений о незавершенном процессе передачи домена Поддерживайте точность и актуальность регистрационных записей Обеспечьте конфиденциальность, безопасность хранения и возможность восстановления паролей и иных реквизитов учетной записи владельца домена Предоставляйте доступ к регистрационным данным только сотрудникам организации, функциональной обязанностью которых является администрирование доменного имени Следите за текущей и экстренной информацией регистратора При помощи сервиса WHOIS(официального!) регулярно проверяйте данные о владельце домена, сведения о доменном имени, чтобы не допустить внесения неавторизованных изменений Своевременно регистрировать, оплачивать продление домен; компаниям – регистрировать домен на юр.лицо

  9. Доменные споры: рекомендации Урегулировать спор между сторонами самостоятельно путем переговоров Обратиться за помощью в организацию, специализирующуюся на оказании юридических услуг В случае нарушения законодательства о конкуренции или рекламе, обратиться в территориальные органы Федеральной антимонопольной службы (ФАС РФ) В случае невозможности урегулирования спора указанными методами, обратиться для защиты ваших прав и законных интересов в суд общей юрисдикции или арбитражный суд. Новое! Владельцы зарегистрированных в России ТЗ могут добиться досудебной блокировки домена, который нарушает их права, на 14 дней Новое! Специфика разрешения споров о доменах .РФ (не в пользу правообладателей)

  10. 01.03.2012, 17:56:34 Доменные споры: рекомендации 1 Использовать положения Правил регистрации RU, РФ, SU 2 Составить ходатайство о приостановке делегирования домена Использовать распечатку интернет-страницы, заверенная нотариусом 3 4 Составить протокол осмотра страницы

  11. Закон «о фильтрации» Одобрен закон о создании в России единого списка доменов и сайтов с противоправным контентом («черный список»), реестр будет создаваться с ноября 2012 года Сайты и страницы не будут попадать в реестр автоматически. Надзирающий орган (Роскомнадзор) возложит на некоммерческую организацию обязанности по мониторингу сайтов с противоправной информацией. После обнаружения, НКО будет передавать сведения о нарушении в Роскомнадзор Роскомнадзор, в свою очередь, должен предупредить владельца интернет-ресурса об обнаружении нелегального контента Если в течение суток владелец интернет-ресурса не отреагирует и не удалит материал, это должен будет сделать хостинг-провайдер. Если хостинг-провайдер также бездействует, страница попадает в "черные списки". Решение о включении в реестр можно будет обжаловать в суде в течение трех месяцев. Блокирование ресурсов будет идти по доменам или IP-адресам, что, является неэффективным и опасным процессом!

  12. Закон «о персональных данных» Компании, которые ведут бизнес в Интернете, – субъект 152-ФЗ «О персональных данных» С какими ПДн чаще всего они работают? • ФИО • Номера телефонов • Адреса электронной почты • Адреса доставки … и не только

  13. Категории ПДн ОПРЕДЕЛЕНИЯ ПДн касаются расовой, нац. принадлежности, политических взглядов, религиозных и философских убеждений, здоровья, интимной жизни ПДн позволяют определить субъекта ПДн и получить о нем доп. информацию, за исключением ПДн категории 1 Обезличенные и (или) общедоступные ПДн ПДн, позволяющие определить субъекта ПДн Категория 4 Категория 3 Категория 2 Категория 1 • ФИО • Email • Серия и номер паспорта • Почтовый адрес • Вероисповедание • Национальность • Состояние в браке • Наличие детей • ФИО • Email • ФИО • Email • Серия и номер паспорта • ФИО • Email • Серия и номер паспорта • Почтовый адрес ПРИМЕРЫ

  14. Кто контролирует? ФСБ, ФСТЭК, РОСКОМНАДЗОР Проверки Роскомнадзора: • Плановые (график есть на сайте Роскомнадзора) • Внеплановые (уведомление за сутки до начала проверки) Причины: требования прокуратуры, жалобы физических лиц 2011 год • Внеплановые проверки > плановые

  15. Ответственность • Штрафы • до 500 тыс. руб. штрафа для юридического лица • до 50 тыс. руб. штрафа для руководителя юридического лица • Приостановка деятельности юр. лица на срок до 90 дней … и это только начало

  16. Длинный список (1) Как работает домен TEL? Что необходимо сделать для правильной обработки персональных данных? • Сформировать рабочую группу по приведению порядка обработки ПДн в соответствие с законом • Проанализировать ПДн, обрабатываемые в ИС • Провести аудит бизнес-процессов и ИС • Разработать модели угроз • Классифицировать ИСПДн • Разработать ТЗ на ИСПДн

  17. Длинный список (2) Как работает домен TEL? • Разграничить доступ к ПДн • Спроектировать и внедрить систему защиты ПДн • Зарегистрироваться в Роскомнадзоре в качестве оператора ПДн • Получить от клиентов и сотрудников согласие на обработку их ПДн • Осуществлять рекламную рассылку или продвигать товары клиентам только с их согласия • Ограничить передачу ПДн третьим лицам

  18. Длинный список (3) Как работает домен TEL? • Правильно взаимодействовать с клиентом по вопросам ПДн • Составить пакет инструкций и регламентов по ПДн • Назначить ответственных лиц за организацию обработки ПДн • Обучить сотрудников правильной обработке ПДн • Разработать и опубликовать в общем доступе политику обработки ПДн

  19. Что еще? Договор с курьерской службой о безопасной обработке ПДн

  20. Средства защиты ПДн • Межсетевой экран • Антивирус • Средства защиты от несанкционированного доступа • Системы обнаружения вторжений и анализа защищенности • Средства криптографической защиты Сертифицировано ФСТЭК, ФСБ РФ

  21. Рецепты успеха • ИСПДн своими силами Крупные компании с большим бюджетом • ИСПДн на заказ • Комбинированный подход Малый и средний бизнес

  22. Комплексный подход: преимущества Использование универсальных готовых решений, имеющихся на рынке = Экономия средств и времени + Автоматизированные сервисы по подготовке документов для обработки ПДн Хостинг конфиденциальной информации • Размещение оборудования в специальной зоне дата-центра • Оборудование, межсетевой экран и антивирус сертифицированы ФСТЭК • Ведение учета носителей информации • Ежедневное резервное копирование данных (две копии) • Гибкость • Подготовка к проверкам • Финансовые гарантии

  23. SSL-сертификат – компонент защиты ПДн клиентов Где рекомендуется устанавливать сертификаты? • В тех разделах сайта, где пользователи вводят и хранят ПДн и другие конфиденциальные данные Личные кабинеты, страницы оплаты товара и др. SSL = ДОВЕРИЕ

  24. Категории SSL-сертификатов WILDCARD OV DV EV SAN Extended validation Мультидоменные сертификаты Domain validation Organisation validation • Удостоверяет только домен • Шифрование соединения • Выпускается в течение 1 дня • Иконка замка в браузере • Удостоверяет домен и организацию, которой он принадлежит • Данные о компании отображаются в сертификате • Голубая строка браузера (Firefox) • Выпускается в течение 3-5 дней • Сертификаты защищают несколько доменов • Принадлежность каждого домена организации, запрашивающей сертификат, проверяется отдельно • Выпускается в течение 7-10 дней • Расширенная проверка данных для выпуска сертификата (устав, свидетельство о регистрации в налоговом органе и пр.) • Зеленая строка браузера (все браузеры) • Выпускается в течение 7-14 дней

  25. Как выглядит сертификат в браузере? (1) Сертификаты категории DV

  26. Как выглядит сертификат в браузере? (2) Сертификаты категорий OV, SAN, WILDCARD

  27. Как выглядит сертификат в браузере? (3) Сертификаты категории EV

  28. Юридические консультации RU-CENTER предоставляет широкий перечень юридических услуг в сфере защиты прав в сети Интернет Консультации в устной и письменной форме по вопросам: защиты доменных имен и прав администраторов доменов; защиты авторских прав и прав на товарные знаки; защиты чести и деловой репутации; досудебного урегулирования споров. Документы: подборка соответствующей судебной практики; подготовка искового заявления и многое другое. Для заказа юридических услуг необходимо предварительно связаться с юридическим департаментом: Телефон: (495) 737-06-48 Эл. почта: law@nic.ru

  29. Спасибоза внимание! +7 (495) 737-0601 +7 (495) 737-0648 8 (800) 555-4601 pr@nic.ru web-lex.ru ssl.ru hosting.nic.ru Даниил Малых,dmalyh@nic.ru ВИЗИТКА RU-CENTER

More Related