Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Настройка безопасных заголовков для web сайта

Цель: сокращение поверхности для сетевых атак.

Правильная настройка заголовков (headers) веб сервиса полностью или частично защищает его от ряда атак: XSS, CSRF, Clickjacking и иных.

Заголовки могут настраиваться на уровне сайта и/или веб сервера.

Сервис для проверки заголовков: https://securityheaders.com

Перечень заголовков и параметров, которые следует настроить:

X-Frame-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
X-XSS-Protection https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
Content Security Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
Server https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Server
X-Content-Type-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options
X-Download-Options https://msdn.microsoft.com/en-us/library/jj542450(v=vs.85).aspx
X-Permitted-Cross-Domain-Policies https://www.adobe.com/devnet/adobe-media-server/articles/cross-domain-xml-for-streaming.html
Referrer-Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy
Clear-Site-Data https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Clear-Site-Data
HTTP Strict Transport Security https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security
Expect-CT https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT
Feature Policy (Permissions-Policy) https://w3c.github.io/webappsec-feature-policy
Set-Cookie (Secure, HttpOnly) https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies
X-Powered-By

Рекомендации к заполнению карточки:

Инструментом для реализации защитной меры следует указать конкретные защищаемые веб-сервисы, если они учитываются в реестре активов - привязать их к карточке в качестве инструментов.
В заметке к защитной мере привести инструкции по настройке заголовков используемых в организации веб-сервисов;
Создать шаблон регулярной задачи по проверке заголовков у веб-сервисов организации.

Область действия: Вся организация

Классификация

Тип

Техническая

Превентивная

Реализация

Вручную

Периодичность

Разово

Ответственный

Не определено

Инструменты

Не определено

Связанные риски

Риск	Связи
Заражение вредоносным программным обеспечением из-за возможности проведения межсайтовой подделки запроса CSRF в веб-сайте Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение	1
Раскрытие ключей (паролей) доступа из-за возможности проведения межсайтовой подделки запроса CSRF в веб-сайте Конфиденциальность Повышение привилегий Раскрытие информации Подмена пользователя	1
Несанкционированный доступ к корпоративному публичному сервису из интернета из-за наличия технических (программных) уязвимостей в веб-сервере НСД	1
Несанкционированный доступ к корпоративному публичному сервису из интернета из-за наличия технических (программных) уязвимостей в веб-сайте НСД	1