Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Настройка безопасных заголовков для web сайта

Цель: сокращение поверхности для сетевых атак.

Правильная настройка заголовков (headers) веб сервиса полностью или частично защищает его от ряда атак: XSS, CSRF, Clickjacking и иных.

Заголовки могут настраиваться на уровне сайта и/или веб сервера.

Сервис для проверки заголовков: https://securityheaders.com

Перечень заголовков и параметров, которые следует настроить:

X-Frame-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
X-XSS-Protection https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
Content Security Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
Server https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Server
X-Content-Type-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options
X-Download-Options https://msdn.microsoft.com/en-us/library/jj542450(v=vs.85).aspx
X-Permitted-Cross-Domain-Policies https://www.adobe.com/devnet/adobe-media-server/articles/cross-domain-xml-for-streaming.html
Referrer-Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy
Clear-Site-Data https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Clear-Site-Data
HTTP Strict Transport Security https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security
Expect-CT https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT
Feature Policy (Permissions-Policy) https://w3c.github.io/webappsec-feature-policy
Set-Cookie (Secure, HttpOnly) https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies
X-Powered-By

Рекомендации к заполнению карточки:

Инструментом для реализации защитной меры следует указать конкретные защищаемые веб-сервисы, если они учитываются в реестре активов - привязать их к карточке в качестве инструментов.
В заметке к защитной мере привести инструкции по настройке заголовков используемых в организации веб-сервисов;
Создать шаблон регулярной задачи по проверке заголовков у веб-сервисов организации.

Область действия: Вся организация

Классификация

Тип

Техническая

Превентивная

Реализация

Вручную

Периодичность

Разово

Ответственный

Не определено

Инструменты

Не определено

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Отсутствует
OPEX ^?	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Неизвестно	Отсутствует

Связанные риски

Риск	Связи
Заражение вредоносным программным обеспечением из-за возможности проведения межсайтовой подделки запроса CSRF в веб-сайте Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение	1
Раскрытие ключей (паролей) доступа из-за возможности проведения межсайтовой подделки запроса CSRF в веб-сайте Конфиденциальность Повышение привилегий Раскрытие информации Подмена пользователя	1
Несанкционированный доступ к корпоративному публичному сервису из интернета из-за наличия технических (программных) уязвимостей в веб-сервере НСД	1
Несанкционированный доступ к корпоративному публичному сервису из интернета из-за наличия технических (программных) уязвимостей в веб-сайте НСД	1

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.