Меры защиты данных
Кроме положений о защите данных, конфиденциальности и безопасности на веб-сайте TSP должны требовать внедрения на прикладном уровне размещаемых в их сетях веб-сайтов пакета мер защиты, базирующихся на передовом опыте, до введения этих веб-сайтов в действие. Это должно включать, в том числе, следующее:
a) руководящие указания по практике разработки защищенных веб-сайтов и кодирования веб страниц, включая:
i) отображение коротких извещений о конфиденциальности, которые содержат ясное, краткое одностраничное резюме (составленное на понятном широкому кругу читателей языке) принятой компанией обязательной практики обеспечение конфиденциальности в онлайновой среде. В этом случае пользователи могут делать более осознанный выбор относительно помещения своей информации в онлайновую среду. Короткие извещения должны соответствовать всем нормативным требованиям и обеспечивать доступ по ссылке к полным текстам юридических обоснований и другой необходимой информации, так чтобы клиентам, желающим ознакомиться с более подробной информацией, достаточно было щелкнуть по ссылке, чтобы прочитать полный текст. При наличии единого извещения потребители смогут более единообразно пользоваться всеми средствами компании при тех же стандартах обеспечения конфиденциальности и ожидаемых результатах, распространенных на многие сайты;
ii) защищенную обработку cookie-файлов;
iii) защищенную проверку и обработку входных данных для предотвращения типичной атаки, такой как «внедрение оператора sql» (SQL-Injection);
iv) защищенное написание сценариев веб-страницы для предотвращения типичной атаки, такой как «межсайтовое выполнение сценариев» (Cross-site Scripting); и
v) анализ и испытание безопасности кодов.В качестве части инфраструктуры веб-хостинга TSP должны приниматься также следующие меры обеспечения безопасности для защиты веб-серверов от несанкционированного доступа и опасности размещения вредоносного контента, такого как вводящее в заблуждение и шпионское ПО:
b) конфигурирование веб-сервера, включая базовые операционные системы, в соответствии с руководством по конфигурации основных элементов системы защиты. Это должно включать надлежащее определение пользователей веб-сервера в сравнении с администратором, внедрение средств управления программными и системными директориями и файлам и разрешение ведения контрольного журнала, в частности для регистрации случаев нарушения безопасности и других случаев отказа в системе;
c) реализация системы, предназначенной для испытания и внедрения обновлений средств защиты, а также для обеспечения своевременной актуализации операционной системы и приложений веб-сервера при появлении новых обновлений средств защиты;
d) мониторинг эффективности защиты веб-сервера путем периодического анализа контрольных журналов;
e) функционирование антивирусного и антишпионского программного обеспечения на сервере;
f) регулярное сканирование всего размещаемого и загружаемого контента с использованием обновленных определений, признавая, что файл может представлять собой шпионское или вводящее в заблуждение ПО, даже если это не выявлено с помощью действующих определений вследствие ограничений, создаваемых неточной информацией;
g) выполнение регулярных тестов на защиту от несанкционированного доступа для веб-сайтов для обеспечения того, что поддерживается адекватный уровень защиты и что он не был нарушен.
Для того чтобы обеспечить возможность контроля этих мер безопасности, особенно мер, касающихся защищенности веб-сревера, TSP должны предусмотреть включение соответствующих положений в соглашения об обслуживании.
Security measures
In addition to the data protection and personal privacy and safety provisions on the web site, TSP should require web sites hosted on their network to implement a set of best practices security measures at the application level before they could go live. This should include but not limited to the following:
a. Guidance for secure web site development and web page coding practices, including:
i) Display of Short Privacy Notices, which provides a clear, concise one-page summary (in layman’s terms) of the company’s essential online privacy practices. With this, users are able to make more informed choices about sharing their information online. The short notices should conform to all regulatory requirements and provide links to full legal statements and other relevant information, so customers who want more detail can easily click through to read the longer version. With a single notice, customers can have a more consistent experience across all of the company’s properties, with the same privacy standards and expectations extended to many sites;
ii) Secure handling of Cookies;
iii) Secure input validation and handling to prevent common attack such as SQL-Injection;
iv) Secure web page scripting to prevent common attack such as Cross-site Scripting; and
v) Code security review and testing.As part of TSP web hosting infrastructure, the following security measures should also be undertaken to protect the web servers against unauthorized access and compromised to host malicious contents such as deceptive software and spyware:
b. Configure the web server, including underlying operating systems in accordance to a baseline security configuration guide. This should include proper definition of web-server users versus administrator, enforce access controls on program and systems directories and files, and enabling of audit trails, in particular, for security and other failure events on the system;
c. Implement a system to test and deploy security updates, and ensure web server operating system and applications are kept up-to-date promptly when new security updates are available;
d. Monitoring of security performance of the web server through regular review of the audit trails;
e. Run both anti-virus and anti-spyware on the server.
f. Scan all hosted and uploaded content regularly using up to date definitions. Recognize that a file may still be spyware or malware even if not detected by the current definitions due to the constraints of imperfect information;
g. Perform regular security penetration testing for the web sites to ensure that their security are adequately maintained and have not been compromised by perpetrators.
To permit the enforcement of these security measures, in particular, those relating to the web site security, TSP should consider incorporating these provisions in the terms of services agreement.
Система управления безопасностью
