Ориентирование в PCI DSS 1_1 (Статьи, стандарты, спецификации), страница 13

PDF-файл Ориентирование в PCI DSS 1_1 (Статьи, стандарты, спецификации), страница 13 Информационное обеспечение разработок (13031): Другое - 11 семестр (3 семестр магистратуры)Ориентирование в PCI DSS 1_1 (Статьи, стандарты, спецификации) - PDF, страница 13 (13031) - СтудИзба2017-12-21СтудИзба

Описание файла

Файл "Ориентирование в PCI DSS 1_1" внутри архива находится в следующих папках: Статьи, стандарты, спецификации, PCI DSS. PDF-файл из архива "Статьи, стандарты, спецификации", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "остальное", в предмете "информационное обеспечение разработок и исследований" в общих файлах.

Просмотр PDF-файла онлайн

Текст 13 страницы из PDF

Отключение модемов, когда они не используются (например, модемы,использующиеся для поддержки систем производителями POS-терминалов или12.3.9 Включение модемов для осуществления поддержкидругими производителями), позволит минимизировать доступ к сетям и,производителями только при наличии необходимости иследовательно, риски. Необходимо использовать стандартные настройки модемов длянемедленное отключение после использованияих отключения после 15 минут бездействия.

За более подробными сведениями поданной теме необходимо обратиться к п. 8.5.6.12.3.10 Запрет сохранения данных платежных карт налокальных дисках, флоппи-дисках или других внешних носителяхпри осуществлении удаленного доступа к данным платежных карт.Запрещение операций копирования/вставки и печати во времясеанса удаленного доступа.Для того чтобы быть уверенными в том, что пользователи знают о запрете хранения икопирования данных платежных карт на свои персональные компьютеры или носителиинформации, в компании должна быть документированная политика, явнозапрещающая такого рода действия.12.4 Политика и процедуры информационной безопасности Без явно определенных ролей и обязанностей по обеспечению информационнойдолжны явно определять обязанности по обеспечению ИБ для безопасности взаимодействие между сотрудниками будет неэффективным, что можетсотрудников и контрагентов.привестик небезопасному внедрениюинформационныхтехнологий илиCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.

Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 42ТребованиеПояснениеиспользованию незащищенных технологий.12.5 Должны быть назначены следующие обязанности поуправлению ИБ на индивидуальных сотрудников или группысотрудников:12.5.1 Разработка, документирование и доведение досотрудников политик и процедур безопасности12.5.2 Мониторинг и анализ событий ИБ, а такжеинформирование соответствующего персонала12.5.3 Разработка, документирование и распределениепроцедур реагирования на инциденты безопасности и процедурыэскалации для обеспечения своевременной и эффективнойобработки инцидентов, связанных с безопасностью12.5.4 Администрирование пользовательских учетных записей,включая добавление, удаление и модификацию12.5.5 Мониторинг и контроль любого доступа к данным.Каждое лицо или группа лиц, которые отвечают за управление информационнойбезопасностью, должны совершенно точно понимать свои обязанности и связанные сними задачи посредством определенной политики.

Без такой ответственностиуязвимости в процессах могут открыть доступ к критичным ресурсам или даннымплатежных карт.12.6 Должна быть реализована формализованная программаповышения осведомленности сотрудников в вопросах ИБ дляобеспечения понимания сотрудниками важности защиты данныхплатежных карт.Если сотрудники не осведомлены о своей ответственности, связанной синформационной безопасностью, реализованные меры и процессы могут потерятьсвою эффективность вследствие их непреднамеренных ошибок или умышленныхдействий.12.6.1 Должно выполняться обучение сотрудников при найме Если программа осведомленности сотрудников об угрозах и проблемах, связанных сна работу и по крайней мере ежегодно (например, с информационной безопасностью, не будет включать дополнительные ежегодныеиспользованием рассылки, плакатов, заметок, собраний и т.

д.)напоминания, то сотрудники могут забыть или пренебречь основными процессами ипроцедурами обеспечения безопасности, что приведет к уязвимости критичныхресурсов и данных платежных карт.12.6.2 Сотрудники должны письменно подтверждать прочтение Требование наличия подписи сотрудника позволит гарантировать то, что они понимание политики и процедур ИБдействительно прочитал и понял все политики и процедуры обеспечения безопасности,а также то, что он обязуется действовать в соответствии с этими документами.12.7 Должны выполняться проверки потенциальных сотрудниковдля минимизации риска внутренних атак.Для таких сотрудников, как кассиры магазинов, которые имеютдоступ только к одному номеру карты единовременно припроведениитранзакции,этотребованиеноситрекомендательный характер.Детальное изучение биографии сотрудников, которые имеют доступ к даннымплатежных карт, уменьшает риск неавторизованного использования номеров счетовсотрудниками с сомнительным или криминальным прошлым.

Предполагается, что вкомпании имеется политика и процесс наведения справок, включая собственныйпроцесс принятия решений, с помощью которого результаты проверки оказываютвлияние на решение о найме или отказе в приеме на работу (или другие решения).12.8 При наличии возможности получения доступа к данным Если предприятие торгово-сервисной сети или сервис-провайдер совместноплатежных карт сервис-провайдером в договорах с сервис- используют данные платежных карт с сервис-провайдером, тогда сервис-провайдер,провайдерами должно содержаться следующее:получающий данные платежных карт, должен подписать юридический документ, вCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 43ТребованиеПояснение12.8.1 Необходимость соблюдения сервис-провайдерамиположений стандарта PCI DSS12.8.2 Соглашение, подтверждающее признание сервиспровайдерами обязанностей по обеспечению безопасностиданных платежных карт, к которым они получают доступкотором указывается его ответственность за соответствие политикам безопасностиданных платежных карт и который подтверждает признание этим сервис-провайдеромсвоей ответственности.

Это позволит гарантировать непрерывную защиту данных,осуществляемую внешними сторонами.12.9 Должен быть создан план реагирования на инциденты ИБ иобеспечена готовность немедленного реагирования на нарушениеинформационной безопасности какой-либо системы.12.9.1 (а) Должен быть разработан план реагирования наинциденты ИБ, выполняемый при компрометации системы.При отсутствии детального плана реагирования на инциденты безопасности, егораспределения, чтения и понимания ответственными сторонами замешательство иотсутствие унифицированного подхода к реагированию могут увеличить времявынужденного бездействия для бизнеса, привести к появлению в средствах массовойинформации нежелательной информации, а также к возникновению дополнительнойюридической ответственности.(b) План должен содержать по крайней мере конкретные План реагирования на инциденты должен быть детальным и содержать все ключевыепроцедуры реагирования на инциденты ИБ, процедуры элементы, которые позволят компании эффективно реагировать на обнаруженныевосстановления и обеспечения непрерывности бизнеса, процессы инциденты, подвергающие риску данные платежных карт.резервирования данных, роли и обязанности, а также стратегииуведомления при инциденте (например, информирование банковэквайреров и ассоциаций платежных карт)12.9.2 Должно проводиться по крайней мере ежегодное Без надлежащего тестирования можно пропустить ключевые пункты, что можеттестирование планаограничить область действия плана во время инцидента.12.9.3 Должны быть назначены сотрудники, реагирующие на Без наличия обученной и легкодоступной группы реагирования на инциденты сетиможет быть нанесен серьезный ущерб, а критичные данные и системы могут бытьинциденты ИБ 7 дней в неделю 24 часа в сутки.повреждены вследствие ненадлежащего обращения с целевыми системами.

Это может12.9.4 Должно выполняться соответствующее обучениепрепятствовать успешному процессу расследования, проводимому после обнаруженияперсонала, ответственного за реагирование на инциденты ИБинцидента. Если компания не располагает внутренними ресурсами, необходиморассмотреть возможность заключения договора с компанией, предоставляющейподобные услуги.12.9.5 Должно выполняться наблюдение за событиями от Данные системы мониторинга предназначены для концентрации на потенциальномсистем IDS, IPS и систем контроля целостностириске в отношении данных и критичны к быстрому реагированию для предотвращенияинцидента.Необходимо гарантировать, что системы мониторинга включаются в процессыреагирования на инциденты безопасности.12.9.6 Должен быть реализован процесс изменения и развития Внесение «полученных уроков» в план реагирования на инциденты ИБ послеплана реагирования на инциденты ИБ в соответствии с инцидента поможет поддерживать актуальность плана и реагировать на тенденции вприобретенным опытом и с учетом развития отрасли ИБобласти безопасности.12.10 Все процессинговые центры и сервис-провайдеры должны Подключенная организация – это вышестоящая организация, которая связана среализовать и поддерживать политики и процедуры управления процессинговым центром или сервис-провайдером с целью получения данныхCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.

Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 44ТребованиеПояснениеподключенными организациями, включая следующее:12.10.1 Поддержание перечня подключенных организацийплатежных карт, включая процессинговые центры, агенты, предприятия торговосервисной сети и другие сервис-провайдеры. Данное определение подключенныхорганизаций не включает «нижестоящие» организации, такие как предприятия торговосервисной сети и другие сервис-провайдеры и процессинговые центры, которыесоздали данные и теперь получают их обратно от рассматриваемой организации.

Дляэффективного управления этими подключенными организациями процессинговыецентры и сервис-провайдеры должны использовать соответствующие политики.Для предоставления информации о каждой подключенной организации и для помощи вустранении проблем, если таковые возникли, необходимо поддерживать реестрподключенных организаций.12.10.2 Необходимость выполнения проверок до подключения Политика должна включать процесс детальнойорганизациинеобходимым уровнем проверки для организации.12.10.3Необходимостьсоответствияорганизации требованиям стандарта PCI DSSподключаемой Данное требование удовлетворяется, еслиподключенной организацией согласно п.

12.8.1.проверкикомпаниявсоответствиизаключаетдоговорсс12.10.4 Определенная процедура подключения и отключения Политика должна включать перечень действий, которые необходимо предпринять приорганизацийпроцессах подключения и отключения.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.

Свежие статьи
Популярно сейчас
Как Вы думаете, сколько людей до Вас делали точно такое же задание? 99% студентов выполняют точно такие же задания, как и их предшественники год назад. Найдите нужный учебный материал на СтудИзбе!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Нашёл ошибку?
Или хочешь предложить что-то улучшить на этой странице? Напиши об этом и получи бонус!
Бонус рассчитывается индивидуально в каждом случае и может быть в виде баллов или бесплатной услуги от студизбы.
Предложить исправление
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
4986
Авторов
на СтудИзбе
471
Средний доход
с одного платного файла
Обучение Подробнее