Существует ли документ, подтверждающий безопасность информационного продукта?

Question

busidoway @busidoway

Существует ли документ, подтверждающий безопасность информационного продукта?

Есть сайт, который содержит некую информацию в базе данных. Информация видна только зарегистрированным пользователям. Для клиента необходимо подготовить некий документ, который бы подтверждал, что данный сайт безопасен, вся информация на сайте и в БД защищена, конфиденциальность соблюдена. Кто-нибудь знает, есть ли вообще что-то подобное, какое-нибудь "официальное" подтверждение?

Вопрос задан более трёх лет назад
138 просмотров

7 комментариев

Подписаться 1 Простой 7 комментариев

Everything_is_not_so_bad @2ord

Сайт работает на HTTPS?

Написано более трёх лет назад
АртемЪ @Jump

Для клиента необходимо подготовить некий документ, который бы подтверждал, что данный сайт безопасен
Что значит безопасен.
И самое главное - зачем клиенту этот документ, и какие требования клиент предъявляет к этому документу.

Обычно если кому-то нужны какие-то документы, то они четко заявляют что им нужно и в какой форме.

Написано более трёх лет назад
busidoway @busidoway Автор вопроса

Роман Мирр, еще нет. Планируется подключить.

Написано более трёх лет назад
busidoway @busidoway Автор вопроса

АртемЪ, нужен не столько документ, сколько какое-либо подтверждение. Клиентами могут быть различные предприятия.

Написано более трёх лет назад
dmshar @dmshar

busidoway, Если какое-либо подтверждение, то говорите (ну или пишете своей кровью")- "клянусь,, что сайт безопасен".
Ведь может быть, как в анекдоте - "вам шашечки или ехать". В том смысле, что "подтверждение, что не завалят сайт" есть а информацию просто сперли. И кто будет отвечать?
Так что дело не в подтверждении как таковом, а в целях, которые таким образом желает достичь заказчик.
В принципе в любой стране есть государственный орган, который (обычно) выполняет проверку на уровень безопасности приложений и выдает официальный сертификат. Может выполнить такую-же работу и для частных фирм. Менее строгая форма - аудит ИБ некоторыми сторонними фирмами. Так что вариантов много. Но вопрос "зачем" - это не снимает.

Написано более трёх лет назад
АртемЪ @Jump

busidoway,
нужен не столько документ, сколько какое-либо подтверждение.
Так кому нужен? Если это нужно вашим клиентам они четко укажут что им нужно.
Прям в договоре пропишут - что работа возможна только при наличии действительного сертфиката выданного и далее по тексту.
Т.е будут ссылки на ГОСТ, или на другие нормативные документы.

Если вы просто хотите кому-то пыль в глаза пустить, это уже другое - тут фантазию включать надо.

Написано более трёх лет назад
Everything_is_not_so_bad @2ord

busidoway, мой совет, для начала:
1. Завести HTTPS на сайте (с бесплатным сертификатом Let's Encrypt) и убедиться что взаимодействие с сайтом всегда через HTTPS.
2. Настроить HTTPS на работу с безопасными протоколами.
3. Установить последние обновления систем, на которых работает инфраструктура сайта.
4. Настроить межсетевой экран.
5. Ограничить удаленный доступ к инфраструктуре.
6. Настроить права доступа приложений к файлам и СУБД.
7. Проверить инфраструктуру при помощи Vulnerability Scanners и закрыть все дыры.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 3

Комментировать

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Веб-разработка

+1 ещё

Средний
Как сделано всплывающее окно с моим e-mail адресом Google, который я на этом сервере не оставлял?
- 1 подписчик
- 16 часов назад
- 112 просмотров
2

ответа
WordPress

+2 ещё

Простой
Из-за чего выдает такое на главной после переноса?
- 1 подписчик
- 20 часов назад
- 62 просмотра
1

ответ
JavaScript

+3 ещё

Средний
Какие есть способы организовать редкое добавление статей на сайт?
- 1 подписчик
- 20 часов назад
- 102 просмотра
1

ответ
Веб-разработка

Простой
Как создать сложные css-анимации как в примере?
- 1 подписчик
- вчера
- 99 просмотров
1

ответ
Веб-разработка

+1 ещё

Простой
Какой здесь используется веб приложение для просмотра vnc?
- 1 подписчик
- вчера
- 37 просмотров
1

ответ
Веб-разработка

Средний
Почему Postman выдает ошибку 403?
- 1 подписчик
- 16 апр.
- 98 просмотров
0

ответов
PHP

+2 ещё

Средний
Версии файлов на сайте отличаются от тех что я вижу через админку?
- 1 подписчик
- 15 апр.
- 109 просмотров
1

ответ
Веб-разработка

+1 ещё

Простой
Как правильно в api реализовать систему уведомлений на сайт и в тг бота?
- 4 подписчика
- 14 апр.
- 1025 просмотров
2

ответа
JavaScript

+4 ещё

Средний
Как сделать эффект закруглений как на фото?
- 4 подписчика
- 14 апр.
- 2605 просмотров
2

ответа
Веб-разработка

Простой
Быстрая загрузка баннера. Как лучше реализовать?
- 1 подписчик
- 13 апр.
- 161 просмотр
2

ответа
Показать ещё Загружается…

Веб-разработчик

Art gorka • Санкт-Петербург

от 60 000 ₽

Веб-разработка и управление IT в Sortage

Sortage • Москва

от 180 000 ₽

Fullstack PHP Developer

Smapse Education

от 40 000 до 65 000 ₽

Ищу СЕО специалиста на авто тематику

18 апр. 2024, в 11:21

15000 руб./за проект

Разработать модуль на Python для создания bitcoin транзакций

18 апр. 2024, в 11:20

5000 руб./за проект

Доработать калькулятор, исправить ошибки (PHP, YII2) Часть 3

18 апр. 2024, в 11:12

8200 руб./за проект

Для клиента необходимо подготовить некий документ, который бы подтверждал, что данный сайт безопасен
Что значит безопасен.
И самое главное - зачем клиенту этот документ, и какие требования клиент предъявляет к этому документу.

Обычно если кому-то нужны какие-то документы, то они четко заявляют что им нужно и в какой форме.
Роман Мирр, еще нет. Планируется подключить.
АртемЪ, нужен не столько документ, сколько какое-либо подтверждение. Клиентами могут быть различные предприятия.
busidoway, Если какое-либо подтверждение, то говорите (ну или пишете своей кровью")- "клянусь,, что сайт безопасен".
Ведь может быть, как в анекдоте - "вам шашечки или ехать". В том смысле, что "подтверждение, что не завалят сайт" есть а информацию просто сперли. И кто будет отвечать?
Так что дело не в подтверждении как таковом, а в целях, которые таким образом желает достичь заказчик.
В принципе в любой стране есть государственный орган, который (обычно) выполняет проверку на уровень безопасности приложений и выдает официальный сертификат. Может выполнить такую-же работу и для частных фирм. Менее строгая форма - аудит ИБ некоторыми сторонними фирмами. Так что вариантов много. Но вопрос "зачем" - это не снимает.
busidoway,
нужен не столько документ, сколько какое-либо подтверждение.
Так кому нужен? Если это нужно вашим клиентам они четко укажут что им нужно.
Прям в договоре пропишут - что работа возможна только при наличии действительного сертфиката выданного и далее по тексту.
Т.е будут ссылки на ГОСТ, или на другие нормативные документы.

Если вы просто хотите кому-то пыль в глаза пустить, это уже другое - тут фантазию включать надо.
busidoway, мой совет, для начала:
1. Завести HTTPS на сайте (с бесплатным сертификатом Let's Encrypt) и убедиться что взаимодействие с сайтом всегда через HTTPS.
2. Настроить HTTPS на работу с безопасными протоколами.
3. Установить последние обновления систем, на которых работает инфраструктура сайта.
4. Настроить межсетевой экран.
5. Ограничить удаленный доступ к инфраструктуре.
6. Настроить права доступа приложений к файлам и СУБД.
7. Проверить инфраструктуру при помощи Vulnerability Scanners и закрыть все дыры.

Answer 1 · 2019-02-21 09:14:17

Кто-нибудь знает, есть ли вообще что-то подобное, какое-нибудь "официальное" подтверждение?

Смотря что в вашем понимании является официальным подтверждением.

Делаете все по ГОСТ'у, подаете заявку на сертификацию, собираете нужные бумаги, оплачиваете, проходите проверку, и получаете сертификат и при запросе выдаете копию сертификата..
Или как вариант, пишите на бумаге в свободной форме, что-то вроде - Сим удостоверяю, что тут все очень безопасно и зело конфиденциально. Подписываетесь, и ставите штамп "Уплочено"

Оба варианта являются вполне официальными подтверждениями.

Answer 2 · 2019-02-21 08:42:36

Думаю нужен сертификат
base.garant.ru/10103678/95ef042b11da42ac166eeedeb9...
полученный на добровольной основе
base.garant.ru/12129354/b5dae26bebf2908c0e8dd3b8a6...

ну и куча контор типа sevtest.com/sertifikaciya-informacionnyx-sistem
которые занимаются выдачей сертификатов, тут надо уже подробно изучать рынок.

Answer 3 · 2019-02-21 12:32:21

Нет таких сертификатов. Есть программа и методика сертификации соответствия информационной системы ОПРЕДЕЛЁННЫМ ТРЕБОВАНИЯМ. В России подобные сертификаты может выдавать ФСТЭК (в отношении мер информационной безопасности) и ФСБ (в отношении средств криптографической защиты информации). Процедура сертификации по требования ФСБ/ФСТЭК -- долгая, сложная и дорогая. В реальности требуется только в случае, если вы работаете с гос-органами.

Если планируете работать с коммерческими предприятиями... Ну, можно заказать аудит у какой-нибудь огранизации, которая занимается аудитом ИБ, и затем их заключение показывать клиентам. Но судя по вашему вопросу, даю 100% гарантии, что подобный аудит ваша информационная система не пройдёт. Особенно учитывая, что у вас даже HTTPS нет -- это однозначно показывает уровень разработки.

Но в любом случае, сертификат только подтверждает соответствие вашей системы и процедур её эксплуатации/развития некоторым стандартам в области ИБ. Стандартов несколько -- как минимум, есть российские требования, типа21 приказ ФСТЭК и документы, его дополняющие, 152-ФЗ (закон о защите перс. данных). Есть европейские стандарты ISO 27000, есть американские NIST 800 series или FIPS 140-2.

Существует ли документ, подтверждающий безопасность информационного продукта?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт