Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение 2
к Рекомендациям по ведению сайта
адвокатского образования и
персонального сайта адвоката
Цифровая и профессиональная безопасность при ведении сайта
1. С тем чтобы исключить возможность доступа третьих лиц к сайту адвокатского образования или персонального сайта адвоката, рекомендуется принять следующие меры безопасности:
1.1. Создать уникальную ссылку для страницы авторизации в административной панели сайта, а также исключить возможность использования стандартной ссылки на эту страницу (если она ранее была создана).
Как правило, при создании сайта такая страница генерируется однотипно, ее адрес у разных сайтов различается лишь включением в него адреса самого сайта. По этой причине злоумышленникам нетрудно подобрать адрес страницы авторизации, если они знают, как он формируется на популярных платформах (Wordpress, Битрикс и т.п.). Создание уникальной ссылки, которая содержится в тайне, не позволит (или крайне затруднит) злоумышленникам доступ к странице авторизации, а значит, они не смогут получить доступ к сайту, даже зная логин и пароль для входа в административную панель.
1.2. Создать уникальный логин для входа в административную панель сайта.
Очень часто при создании сайта администратору присваивается учетная запись с логином "admin", что облегчает злоумышленникам подбор логина. Уникальный логин значительно затруднит эту задачу.
1.3. Создать сложный пароль, содержащий не менее 12 различных символов, включая цифры, буквы в различных регистрах, а также специальные знаки (@!$& и т.п.). Категорически не рекомендуется использовать простые, легко запоминающиеся пароли, удобство которых объясняется либо близостью расположения клавиш при наборе (например, qwerty, 12345 и т.п.), либо простотой запоминания (например, "password", "parol"). Также лучше не использовать в пароле общеизвестные сведения (свое имя или название адвокатского образования в транслитерации, номер своего адвокатского удостоверения, дату своего рождения или сочетание этих сведений).
В случае отправки логина и пароля для доступа к административной панели сайта доверенному лицу по электронной почте, через мессенджеры или иным подобным способом настоятельно рекомендуется удалять такие письма или сообщения после их получения адресатом, а также просить адресата со своей стороны перенести логин и пароль в надежное для хранения место и удалить письма и сообщения с логином и паролем из архива переписки.
1.4. Ограничить доступ доверенных лиц для входа в административную панель. Важно понимать, что работа с сайтом в зависимости от задач требует разного уровня прав пользователя сайта. Если адвокатское образование (адвокат) поручает кому-либо производить работы на своем сайте, следует предоставлять такому лицу прав не более, чем требуется для решения поставленных задач.
Это достигается путем создания учетных записей пользователей с различными правами и предоставления логина и пароля определенного пользователя лицу, которому доверяется проведение конкретных работ.
Например, тому человеку, которому поручается вносить информацию на сайт, следует давать права не администратора, а только автора или модератора. Для технических работ на сайте, предполагающих изменение его дизайна, структуры и/или функционала, необходимо создать отдельного пользователя с правами администратора.
После проведения разовых работ или завершения долговременного сотрудничества с лицом, выполнявшим постоянные работы, необходимо удалить этого пользователя со всеми его учетными данными.
На время проведения работ необходимо заключить с производящим их лицом соглашение, которое устанавливает его ответственность не только за качество работ, но и за утечку данных для доступа к сайту.
2. Рекомендуется предусмотреть внедрение на сайте https-сертификата, особенно если сайт подразумевает регистрацию пользователя или переписку с ним. Сертификат обеспечит защиту информации, которой обменивается пользователь с сайтом.
3. Важно помнить о правилах безопасности, предусмотренных п. 2.4 Правил поведения адвокатов в информационно-телекоммуникационной сети "Интернет" (утв. решением Совета ФПА РФ от 28 сентября 2016 г., протокол N 7). В частности, Правилами предписывается постоянно проверять свои интернет-ресурсы на наличие посторонней информации.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.