Navigation path

Tīmekļa vietnes aizsardzība

Tīmekļa vietnes aizsardzība

Izstrādājot tīmekļa vietni vai izmantojot trešās puses pakalpojumus, īpaša uzmanība jāpievērš gan tīmekļa vietnes izstrādei, gan uzturēšanai. Kiberdrošības incidenti var ievērojami apdraudēt jūsu uzņēmējdarbību un jūsu uzņēmuma zīmolu (piemēram, kaitējot zīmola tēlam), traucēt pakalpojumu sniegšanu, izraisīt klientu neuzticēšanos un, iespējams, pat juridiskas sankcijas vai tiesas prāvas. Šie incidenti var būt klientu datu zādzība, platformā esošās informācijas maiņa, tīmekļa vietnes slēgšana, konfidenciālas informācijas par organizāciju noplūde utt.

Ir ļoti svarīgi iegūt pārskatu par visiem aspektiem jau pirms drošības pārkāpuma. Kāda informācija ir būtiski svarīga jūsu organizācijas darbības nodrošināšanai? Kur tā atrodas? Cik ātri to var atjaunot, ja tā tiek nozagta uzbrukuma rezultātā? Jums būtu jāveic visu jūsu sistēmu pilna revīzija, jākonstatē, kuri ir vissvarīgākie komponenti, un jāseko līdzi visiem procesiem. Nodrošiniet, lai ar šo dokumentu iepazītos arī citi organizācijas darbinieki.

Tīmekļa vietnē esošās informācijas aizsardzība

Pirms veicat pārrunas ar mitināšanas pakalpojumu sniedzējiem, ievērojiet trīs informācijas drošības pamata aspektus — tīmekļa vietnes un pakalpojumu konfidencialitātes, integritātes un pieejamības prasības — un nosakiet nepieciešamās pakalpojuma līmeņa prasības.

Lai aizsargātu sistēmas dizainu, jums nepieciešamas stingras garantijas un šādu aspektu aizsardzība:
•    konfidencialitāte, t. i., informācijas aizsardzība (piemēram, kredītkaršu numuri, personīgā informācija) no izpaušanas personām, kuras nav tiesīgas to saņemt. To var paveikt, piemēram, uzstādot atbilstošu autentificēšanas mehānismu (piemēram, divu faktoru autentificēšanas risinājumus). Alternatīva iespēja ir izmantot šifrētus savienojumus (HTTPS; SSL drošības protokolu), lai informācijai piekļūt/to lasīt varētu tikai attiecīgās personas;
•    integritāte, t. i., informācijas aizsardzība, lai nepiederošas personas to nevarētu mainīt un lai nodrošinātu precīzu un uzticamu informāciju. To var panākt, ik dienu pārbaudot mainītos failus, veicot profilaktisku tīmekļa vietnes un pakalpojumu drošības testēšanu (nepieļaujot tādus vienkāršus uzbrukumus kā SQL injekcijas), vai uzstādot iejaukšanās novēršanas sistēmu; 
•    pieejamība, t. i., tīmekļa vietnes pastāvīgas darbības nodrošināšana. Lai to panāktu, der uzstādīt rezerves enerģijas sistēmu ārkārtas situācijām un ievērot stingru aparatūras uzturēšanas kārtību.

Lai ievērotu visus trīs aspektus, piekļuvi visām datu sistēmām ieteicams piešķirt tikai pamatojoties uz “nepieciešamību zināt”.

Reaģēšana uz drošības incidentiem

Kopš pārkāpuma brīža tiek apdraudēta klientu uzticēšanās jums un ir nepieciešama ātra reakcija, lai ierobežotu nelabvēlīgo ietekmi. Svarīgi, lai jūs informētu klientus par notikušo. Piemēram, ja skartas paroles, par to jāinformē klienti, lai tie varētu nomainīt paroles, jo klienti tās mēdz izmantot ne tikai jūsu tīmekļa vietnei. 

Kā norādīts iepriekš tekstā, tiklīdz ir skaidrs, kas ir vissvarīgākais, nodrošiniet, lai par to būtu informēti visi procesā iesaistītie dalībnieki. Šajā nolūkā drošības apdraudējuma konstatēšanas gadījumā par IT īpašnieku ir ieteicams izraudzīties vienu personu. Šai personai ir jābūt pieejamai ārkārtas situācijās un jāspēj pārvaldīt daudzos iekšējos tehniskos komponentus, kas nodrošina atgūšanos no drošības pārkāpuma. Tāpat ir ieteicams izveidot datu pārkāpumu paziņošanas politiku (ko var ietvert jūsu privātuma paziņojumā ). Tajā jābūt informācijai par to, kā un kad jūs paziņosiet klientiem (piemēram, pasta/e-pasta ziņojumos) par personas datu aizsardzības pārkāpumu. Iespējams, ka šī labā prakse nākotnē kļūs par juridisku pienākumu visās ES valstīs (ko papildinās pienākums par datu aizsardzības pārkāpumu paziņot Datu aizsardzības iestādei ).

Nosakiet pārkāpuma cēloni. Dariet to tādā veidā, lai liecību varētu izmantot tiesā (piemēram, ja var pierādīt, ka pārkāpums nenotika nepietiekamu drošības pasākumu dēļ). Ja skarta finanšu informācija, piemēram, kredītkartes informācija, informējiet par to pakalpojumu sniedzēju, kas veic jūsu finanšu darījumus, lai tas varētu veikt nepieciešamos pasākumus.

Kopumā ņemot, patiesi svarīgi ir tas, lai būtu izstrādāts praktiski īstenojams plāns, kurā noteikti konkrēti pasākumi un procedūras, kas veicamas pēc drošības incidenta. Procedūrās jānosaka, kas uzņemas galveno atbildību, kā sazināties ar attiecīgajiem darbiniekiem, kādus datus, tīklus un pakalpojumus jāatjauno kā pirmos un kam (datu īpašniekiem, klientiem vai partneru uzņēmumiem) jāziņo par notikušo gadījumā, ja ir nopludināti viņu dati vai dati, kas skar viņu tīklus.

Ievērojiet, ka drošības pārkāpumi var būt arī vienkārši cilvēku/personāla nejauši pieļauta kļūda. Noteikti apmāciet darbiniekus, ja tādi ir, kā atpazīt pārkāpumus un ziņot par tiem, un kā ievērot piesardzību. Datu pārkāpumus bieži izraisa darbinieku nolaidība (piemēram, klēpjdatora vai mobilā tālruņa zādzība).

Atlasiet savu valsti un apmeklējiet valsts datorapdraudējumu reaģēšanas vienības (CERT) — par drošības incidentu pārvaldību (piemēram, ziņošanu un reaģēšanu uz drošības apdraudējumiem) atbildīgās drošības speciālistu komandas — tīmekļa vietni. Šie speciālisti jūs informēs par to, kā rīkoties un pie kā vērsties pēc palīdzības jebkāda kiberuzbrukuma gadījumā. Viņi publicē arī brīdinājumus par jūsu valstij raksturīgo ievainojamību un draudiem.

Austria Computer Emergency Response Team Austria: http://www.cert.at/
Belgium Computer Emergency Response Team Belgium: www.cert.be
Download the Belgian Cyber Security Guide: adopt the 10 key security principles, and implement the 10 “must-do” actions.
Bulgaria Computer Emergency Response Team Bulgaria: https://govcert.bg/
Find out more about some good security practices when setting up your website and other related security issues in your country (such as ‘Protecting Your Computer From Malicious Code’ guide (in English only).
Croatia Computer Emergency Response Team Croatia: www.cert.hr/
Cyprus n/a.
Czech Republic Computer Emergency Response Team Czech Republic: www.csirt.cz/
Denmark Computer Emergency Response Team Denmark: www.govcert.dk
Estonia Computer Emergency Response Team Estonia: www.cert.ee
In order to protect your information systems, follow the cyber-security check list  and other guidelines available on the website (Estonian or English).
Finland Computer Emergency Response Team Finland: www.cert.fi
France Computer Emergency Response Team France: www.cert.ssi.gouv.fr
Find out more about simple measures that will make your business more secure, and more (such as ‘Les 10 commandements de la sécurité sur l’internet’).
Germany Computer Emergency Response Team Germany: https://www.cert-bund.de/
Greece Computer Emergency Response Team Greece: http://www.nis.gr
Hungary Computer Emergency Response Team Hungary: http://www.cert-hungary.hu/
Ireland IRISS – Computer Emergency Response Team Ireland: http://www.iriss.ie/
Italy CERT Nazionale: To come
Latvija Latvijas datorapdraudējumu reaģēšanas vienība: www.cert.lv
Apmeklējiet vietni esidross.lv, kur atrodama informācija par to, kā aizsargāt datoru un nodrošināt drošību internetā (tikai latviski).
Lithuania Computer Emergency Response Team Lithuania: www.cert.lt
Visit http://www.esaugumas.lt which gives information on how to protect your computer and to be safe on the Internet (in Lithuanian only).
Luxembourg Computer Emergency Response Team Luxembourg: http://www.circl.lu/
Malta Computer Emergency Response Team Malta: https://www.mita.gov.mt/en/Security/Pages/Security.aspx
Netherlands Computer Emergency Response Team Netherlands: https://www.ncsc.nl/
Find out more about Good Security Practices when setting up your website and other related security issues in your country.
Poland Computer Emergency Response Team Poland: https://www.cert.pl/
Portugal Computer Emergency Response Team Portugal: https://www.cncs.gov.pt/certpt/
Romania Computer Emergency Response Team Romania: https://cert.ro/
Slovakia Computer Emergency Response Team Slovakia: https://www.csirt.gov.sk/
Slovenia Computer Emergency Response Team Slovenia: https://www.cert.si/
Spain Computer Emergency Response Team Spain: https://www.ccn-cert.cni.es/
Sweden Computer Emergency Response Team Sweden: https://www.cert.se/
United Kingdom Computer Emergency Response Team United Kingdom: https://www.cpni.gov.uk/
Find out more at  about simple measures that will make your business more secure, and more.

 

Country specifics

Suggested country specifics to be covered:

National CERT

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?

Informācijas avoti

Tīmekļa vietnē esošās informācijas aizsardzība
•    Samara Hart, Kā pārliecināties, ka mana tīmekļa vietne ir droša (How can I be sure my website is secure), pieejams: http://pixsym.com/blog/website-security/how-can-i-be-sure-my-website-is-secure/
•    Justin Stravarius (2010. g.), 15 lieliski veidi, kā padarīt drošu savu tīmekļa vietni (15 great ways to secure your website), pieejams: http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website/
•    Tery Chia (2012. g.), Konfidencialitāte, integritāte, pieejamība — trīs CIA triādes komponenti (Confidentiality, Integrity, Availability: The three components of the CIA Triad), pieejams: http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad/, IT Security Community Blog

Reaģēšana uz drošības incidentiem
•    Experian® Data Breach Resolution (2013.–2014. gada izdevums), Norādījumi reaģēšanai uz datu aizsardzības noteikumu pārkāpumiem (Data Breach Response Guide)
•    Carl Niedbala (2014. g.), Kā datu aizsardzības noteikumu pārkāpums var iznīcināt jūsu jaunuzņēmumu (How a Data Breach can Destroy your Startup), pieejams: http://foundershield.com/data-breach-can-destroy-startup-infographic/
•    Rokasgrāmata par Eiropas tiesību aktiem datu aizsardzības jomā: http://www.echr.coe.int/Documents/Handbook_data_protection_ENG.pdf
•    Ezra Steinhardt (2014. g.), ES 29. panta darba grupa publicē Norādījumus ziņošanai par datu aizsardzības noteiktumu pārkāpumiem (EU Article 29 Working Party Publishes Guidance on Data Breach Notification), pieejams: http://www.insideprivacy.com/data-security/data-breaches/eu-article-29-working-party-publishes-guidance-on-data-breach-notifications/, Convington