⚰️ 🥒 🤤 サイトの所有者は、自分のサイトがブロックされたりハッキングされたりしないように何を知る必要がありますか？ ♠️ 🍎 🙏🏾

以前に個人データを保護するためのインターネットサービスを管理し、過去3年間、インターネットの脅威による損失やダウンタイムからWebサイトを保護するためのインターネットサービスを管理していたので、違反のためにWebサイトがブロックされたりハッキングされたりしないように、Webサイトの所有者に定期的に説明します安全法およびサイト保護対策の非遵守

得られた経験に基づいて、サイトのセキュリティに関する基本的な要件が集約されました。これは、サイトの所有者が知り、満たす必要があるものです。彼らがこれらの要件を知らず、それらを遵守しない場合、遅かれ早かれサイトはホスティングプロバイダーであるRoskomnadzor、検索エンジン、または侵入者によるハッキングによってブロックされます。

1.ロシア連邦の領土におけるロシア国民の個人データの保存

コンプライアンス違反の脅威：Roskomnadzorのリクエストによりサイトをブロックする

時間Xはもうすぐです-2015年9月1日までに、ロシア人の個人データを含むサイトをロシア連邦の領土に転送する必要があります！転送する必要があるのはデータベースだけではなく、データベースがあるサイトです-これについて多くのことが書かれており、これはこの分野の主要な規制機関であるRoskomnadzorの位置です。

さらに、そのようなデータの領土の場所は、個人データの処理に関する書面での通知でRoskomnadzorの領土当局に報告する必要があります。

個人データを含むサイトがロシア連邦の領土に転送されない場合、その所有者は小さな罰金に直面します。しかし、罰金を支払ってもサイトが延期されない場合、サイトはRoskomnadzorの要求に応じてホスティングプロバイダーによってブロックされます。

この要件の検証が実行されることを疑う人はいませんが、どの程度正確かはまだわかっていませんが、今日、Roskomnadzorがサイトを「目で見て」ブロックする義務を果たしていることを覚えておく価値があります。

したがって、ユーザー（ロシア連邦の市民）の個人データを含むサイトを可能な限りロシアのホスティングに9月1日かそれ以降まで転送するようにしてください。

2.個人データに関する組織のポリシーのウェブサイトでの公開

コンプライアンス違反の脅威：Roskomnadzorによる最大3万ルーブルの罰金

ほとんどすべてのサイトで、ユーザーは個人データを登録および残すことができます。連邦法No.152-「個人データについて」は、そのようなサイトに特定の要件を課しています。個人データの処理に関する会社のポリシーと、個人データの保護に関する実装要件に関する情報を公開する必要があります。

正確には、この要件は連邦法第152-の第18.1条の第2部に明記されています。

「情報および通信ネットワークを使用して個人データを収集する事業者は、適切な情報および通信ネットワークに、個人データの処理に関するポリシーおよび実装されている個人データの保護に関する要件に関するポリシーを定義し、その情報へのアクセスを提供する文書を公開する義務があります適切な情報および通信ネットワークの手段を使用した文書。」

このような文書は通常、「個人データの処理に関するポリシー」であり、サイトに配置されるのが最適なのは、pdfファイルの形式で、ゼネラルディレクターの印鑑と署名を添付したものです。このドキュメントのテンプレートは、インターネットまたは個人データ用のドキュメントを準備するサービスで見つけることができます。

3.個人データの処理に関する同意の収集

失敗を脅かすもの：

RoskomnadzorのリクエストによるホスティングプロバイダーによるWebサイトのブロック
個人データの主題の権利の違反者の登録にサイトを入力する
Roskomnadzorによる最高30万ルーブルまで

すべての同じ法律は、個人データを登録または削除するすべての人からの個人データの処理に同意するために、個人データが収集されるサイトを義務付けています。同時に、法律No.152-「個人データについて」に別段の定めがない限り、同意はどのような形式でも与えることができ、受領の事実を確認できます。

この要件の順守は、個人データの主題としての権利の不順守に関するRoskomnadzorへの個人からの苦情からサイト所有者を保護します。州の機関が同様の苦情を受け取った場合、会社の活動のウェブサイト監視と検証が組織されます。小切手には、個人データの処理に対する同意の収集に関する情報の要求、および場合によっては現地での小切手が含まれます。

Roskomnadzorからクライアントへの手紙の例を次に示します。パラグラフ1）に注意してください。

サイトや罰金をブロックしないようにするには、登録とフィードバックの横に、個人データの収集と処理に対するユーザーの同意に関するテキストを記入してください。

私はこれについて3つのライフハックを共有しています：

同意を収集することはできません;サイトまたは別の公募（たとえば、ユーザー契約）を使用するためのルールがサイトにあります。サイトに関する情報、登録ユーザーに提供するサービスと機能に関する情報を含める必要があります。
健康状態、政治的および宗教的見解、および個人にとって重要な他のデータに関する個人データを収集する場合、または他の組織に個人データを提供する場合、サイトでの個人データの処理に対する同意を個別に投稿することをお勧めします。これを行うには、登録ページに「登録することにより、個人データの処理に同意します」というフレーズと、個人データの処理に対する同意の公募へのリンクを投稿します。
「広告に関する」法律の要件を同時に満たすために、電子メールおよびSMSによる広告メールへの同意を個人データの処理への同意に含めます。

4.サイトのSSL証明書

失敗の脅威：攻撃者によるトラフィックの傍受とサイトのハッキング

SSL証明書は、サイトとユーザーの間で送信されるすべてのデータを暗号化することによりチャネルを保護し、ユーザーの信頼を高めます。

知らない、または忘れた人のために、SSL証明書はブラウザのサイトアドレスの横に緑色のロックとして表示されます。

SSL証明書は、ドメインの所有権（たとえば、このSiteSecureサイトに接続していること）およびこのサイトが特定の会社に属していることを確認します。後者の場合、SSL証明書はブラウザーのアドレスバーに組織の名前を表示します。

ヨーロッパと米国では、SSL証明書がなければ、オンラインストア、商用Webサイト、またはインターネットサービスを想像することはほとんど不可能です。ロシアでは、SSL証明書が勢いを増しているだけですが、多くの企業が既にSSL証明書をサイトにインストールしています。 SSL証明書は、データの傍受からチャネルを保護することに加えて、サイトに対する顧客の信頼を高め、SEOプロモーションを促進します-Googleは、2014年8月6日以来、有効なSSL証明書が検索結果でサイトをランク付けする上でプラスの要因であると公式に発表しました。

5.サイトのバックアップ

失敗の脅威：サイトの完全な損失

私たちのインターネットサービスの一部としてクライアントサイトを保護および処理する過程で、同僚と私は、しばしばウイルスによって「外観を損なう」サイトに遭遇します。バックアップからサイトを復元し、脆弱性を排除して感染から保護する方がはるかに高速で簡単です。ただし、バックアップがないためにサイトが処理の対象にならない場合があります。

多くの人は、ホスティングプロバイダーがすべてのサイトを自動的にバックアップすることを期待していますが、実際、この機能はオンになっておらず、支払いもされていません。

バックアップの欠如はどのようにサイトに害を及ぼしますか？

典型的なセキュリティ問題は、ハッカーのグループがすぐにサイトを備えたサーバーに侵入し、メインページまたはすべてのファイルをそれらに置き換えた場合の改ざんです。これは、ハッキングと改ざん後のサイトのメインページの外観です（ハッカーグループの連絡先は非表示になっています）。

私たちの実践では、サイトの所有者またはサイトの責任者が、改ざん後にページを復元するためのバックアップを持っていない場合がありました。したがって、サイトがホスティングでバックアップされているかどうかを必ず確認してください。また、ホスティングにも問題があるため、念のため追加のバックアップを使用してください。

6. DDOS攻撃からサイトを保護する

失敗を脅かすもの：サイトへのアクセス不能、売上の減少、評判

DDoS攻撃は、評判、収入、恐blackの方法を損なうツールになりました。企業はこれらを使用して競合他社の販売と評判を損ない、潜在的な顧客が後者のサイトにアクセスできないようにします。特に、この方法は、季節的な需要が見られる産業（観光、花の販売、新年のサービス「サンタクロース」、航空券の販売）、およびメディア、政党、政府のサイトで実践されています。さらに、ほとんどすべての大企業がすでにDDoS攻撃からサイトを保護しているため、中小企業のサイトで攻撃が行われることが非常に多くなっています。

電子商取引市場とは別に注意する必要があります。サイトは重要な資産の1つであり、そのアクセス不能性が直接的な損失につながるため、DDoS攻撃は特に注意が必要です。

同時に、Webサイトに対するDDoS攻撃の数は着実に増加しています。これは、ボットネット（所有者の知らないうちに攻撃を実行する感染したコンピューター）の数が世界的に増加し、DDoS攻撃を組織化するための価格が低下したためです（1時間の攻撃コストは38ドルから低下しました）。

技術専門家による適切なサーバー構成、サイト監視、およびDDoS攻撃に対する保護のためのサービスの使用により、この脅威から保護されます。

7.セキュリティ監視とサイト保護の実装

失敗を脅かすもの：

サイトのハッキングと感染
ホスティングプロバイダー、検索エンジン、およびウイルス対策によるWebサイトのブロック
検索でのサイトの位置の損失

誰もが長い間、コンピューター、ラップトップ、さらにはスマートフォンにアンチウイルスをインストールすることに慣れています。ただし、サイトの保護に関しては状況が異なります。これにはほとんど注意が払われていません。心配する正当な理由がありますが。

2015年の第1四半期に実施された320,000のロシアの商業サイトのセキュリティ調査によると、10番目のサイトごとに、検索エンジンに感染してブロックされているか、検索エンジンとウイルス対策によってブロックされるセキュリティ上の問題があります。検索エンジンはそのような問題を迅速に検出しませんが、検出した場合、サイトの平均ブロック時間は7日間です。したがって、このような問題を迅速に検出して修正した場合、サイトとその所有者はサイトをブロックするリスクはありません。

同時に、サイトのセキュリティ問題を迅速に特定することが可能です。この目的のために、24時間体制のセキュリティ監視サービスが作成され、ウイルスの侵入や攻撃の開始を即座に所有者に通知し、検索エンジンによってサイトがブロックされる前に問題を解決するのにも役立ちます。

検索エンジンとそれらに関連するブラウザー（Chrome、Yandex.Browser、Opera）によるサイトのブロックについて話す場合、ブロックされたサイトにアクセスしようとすると警告のように見えます。

サイトの感染とブロックは、ほとんどすべての検索トラフィックと、検索エンジンに関連する人気のあるブラウザーからサイトにアクセスするユーザーの損失につながります。これは経済的損失であり、検索結果の低下です。

インターネットセキュリティの監視とサイト保護サービスを使用して、セキュリティの問題について最初に知り、サイトが検索エンジンによってブロックされる前にそれらを解決するための支援を受けます。

私は意図的にパスワード保護要件に影響を与えませんでした。彼女については多くのことが書かれていますが、新しいことは何もありません。

一般に、サイトの保護と法律の要件に関してさらに約12の要件がありますが、少なくともこれらを知って満たし、さらに複雑なパスワードを使用する場合は、ロシアがブロックおよびハッキングされる特定の多くのリスクをサイトから削除します。

Pruflinki：

サイトの所有者は、自分のサイトがブロックされたりハッキングされたりしないように何を知る必要がありますか？