КАК ПОДГОТОВИТЬ САЙТ К ПРОВЕРКЕ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ: РЕКОМЕНДАЦИИ, ПРАКТИКА И ТИПИЧНЫЕ ОШИБКИ

Проверка сайта на соответствие требованиям информационной безопасности (ИБ) — это уже не редкость, а часть повседневной реальности для многих организаций. Особенно часто такие проверки инициируются государственными структурами, крупными корпорациями и ИТ-службами внутри компаний, работающих с персональными данными или в критически важных отраслях.

Даже если ваш сайт «визитка» или интернет-магазин на готовом шаблоне — это не повод расслабляться. Ошибки безопасности встречаются на проектах всех масштабов, а проверяющие вооружены автоматическими сканерами, нормативными актами и жёсткими инструкциями.

Почему ИБ-проверки стали нормой?

Во-первых, усиливается законодательство — как в Беларуси, так и в России. Требования к защите информации прописаны не только в законах о персональных данных, но и в регламентах о коммерческой тайне, защите государственных информационных систем, условиях госконтрактов.

Во-вторых, растёт количество инцидентов: утечки, взломы, подмена контента. Даже одна уязвимость, оставленная без внимания, может привести к блокировке сайта или штрафу.

Что включает в себя проверка по ИБ

Проверяющие чаще всего используют автоматические средства анализа уязвимостей (например, Acunetix, Netsparker или отечественные решения на базе OWASP ZAP), а затем вручную анализируют:

  • Наличие SSL-сертификата и правильную работу HTTPS
  • Защищённость форм обратной связи (наличие CSRF-токенов, фильтрация XSS)
  • Архитектуру сайта — не используются ли небезопасные библиотеки или внешние скрипты
  • Уязвимости административной панели: открыт ли доступ, можно ли подобрать логин/пароль, шифруются ли данные
  • Хранение и передача персональных данных — особенно если используется email-рассылка, CRM, формы обратной связи
  • Физическое размещение серверов (локализация данных важна в РБ и РФ)

Что вызывает тревогу у ИБ-специалистов чаще всего

  1. Внешние скрипты с зарубежных серверов
    Google Fonts, Meta Pixel, YouTube-фреймы, CDN-библиотеки — всё это потенциальные точки утечки данных. Даже если они используются только для дизайна, их наличие может стать поводом для замечаний.
  2. Отсутствие контроля над исходным кодом
    Если сайт собран на шаблоне или с помощью конструктора, а исходный код не документирован — это минус. Аудиторы часто требуют чёткого описания, кто имеет доступ к коду и как обеспечивается его безопасность.
  3. Старые версии CMS
    Bitrix, WordPress, Joomla и другие CMS регулярно обновляют свои ядра для устранения уязвимостей. Если вы используете версию 2-летней давности, это автоматически снижает доверие к вашему сайту.
  4. Доступные «служебные» файлы
    phpinfo.php, adminer.php, .env, старые бэкапы, открытые папки upload/ — всё это часто забывают удалить, а сканеры моментально находят. Это как открытые двери в квартире — вроде никого не приглашал, но зайти легко.
  5. Формы без защиты от ботов и инъекций
    Даже простая форма заявки без фильтрации символов может стать точкой атаки. SQL-инъекции, XSS-атаки, автоматические спам-запросы — стандартный набор злоумышленника.

Как подготовить сайт к проверке: пошаговая стратегия

1. Проведите предварительный аудит

Если у вас есть доступ к исходному коду и серверу — обязательно проверьте:

  • наличие актуального SSL-сертификата и редиректа с HTTP на HTTPS;
  • отключение неиспользуемых плагинов и модулей;
  • настройки прав доступа (особенно для папок bitrix/, admin/, uploads/);
  • наличие резервного копирования и логирования действий;
  • корректную работу форм с проверкой входящих данных.

2. Перенесите скрипты и данные на локальный хостинг

Если вы используете сторонние JS или CSS-библиотеки с CDN, лучше скачать их и разместить на своём сервере. Это обеспечит контроль и сократит риски передачи данных за пределы страны — важный пункт в требованиях белорусского и российского законодательства.

3. Настройте безопасность административной панели

Админка — одно из самых уязвимых мест. Часто достаточно угадать URL (/bitrix/admin/ или /wp-admin) и начать подбор пароля.

Что сделать:

  • ограничьте доступ по IP;
  • настройте двухфакторную аутентификацию (например, через Telegram-бота или почту);
  • отключите или переименуйте стандартные точки входа;
  • регулярно меняйте пароли и ведите логирование действий администраторов.

4. Проверьте безопасность форм

Форма заявки, поиска, комментариев — потенциальные ворота для XSS-атак. Каждое поле должно проверяться и фильтроваться: никакого HTML-кода, скриптов, подозрительных символов.

Дополнительно стоит подключить:

  • CAPTCHA (желательно не Google, а локальную);
  • CSRF-токен;
  • ограничение по количеству отправок с одного IP.

Что делать, если уже назначена проверка

  1. Попросите техническое задание или регламент — это поможет понять, что именно будут проверять.
  2. Назначьте ответственного за сайт — это может быть ваш ИТ-специалист или подрядчик.
  3. Проведите тестовую проверку с подрядчиком — в рамках технической поддержки или отдельной услуги.
  4. Обновите политику конфиденциальности и cookies — если на сайте используются формы или аналитика.

Вывод

Информационная безопасность — это не роскошь, а базовая гигиена сайта. Чем раньше вы начнёте работать над ней, тем меньше проблем будет в будущем: от штрафов до утраты доверия клиентов.

Проверка ИБ — это не повод для паники, а повод для усиления контроля и профессионального подхода.

Если вы не уверены, что ваш сайт готов — доверьте это специалистам. Мы поможем провести аудит, устранить уязвимости и подготовить проект к любой проверке.

Нужен аудит ИБ или техническая поддержка сайта?
Заполните форму, и мы проведем аудит и предложим оптимальное решение для вашего бизнеса по ссылке :https://new-artismedia-client.bitrix24site.ru/ .

👉 Перейти в раздел “Услуги”
📞 Связаться с нами