Ориентирование в PCI DSS 1_1 (Статьи, стандарты, спецификации), страница 14

PDF-файл Ориентирование в PCI DSS 1_1 (Статьи, стандарты, спецификации), страница 14 Информационное обеспечение разработок (13031): Другое - 11 семестр (3 семестр магистратуры)Ориентирование в PCI DSS 1_1 (Статьи, стандарты, спецификации) - PDF, страница 14 (13031) - СтудИзба2017-12-21СтудИзба

Описание файла

Файл "Ориентирование в PCI DSS 1_1" внутри архива находится в следующих папках: Статьи, стандарты, спецификации, PCI DSS. PDF-файл из архива "Статьи, стандарты, спецификации", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "остальное", в предмете "информационное обеспечение разработок и исследований" в общих файлах.

Просмотр PDF-файла онлайн

Текст 14 страницы из PDF

Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 45Приложение А: Применимость стандарта PCI DSS к хостинг-провайдерамТребование А.1: Хостинг-провайдеры должны защищать среду данных платежных картКак упоминалось в требовании 12.8, все сервис-провайдеры, имеющие доступ к данным платежных карт (в том числе хостинг-провайдеры), должнысоблюдать положения стандарта PCI DSS. Кроме того, в требовании 2.4 говорится о том, что хостинг-провайдеры должны защищать средуразмещения и данные каждой обслуживаемой организации.

Поэтому хостинг-провайдеры должны придавать большое значение выполнению следующихтребований:ТребованиеПояснениеА.1 Должна выполняться защита среды размещения и данныхкаждой обслуживаемой организации (предприятия торговосервисной сети, сервис-провайдера или другой организации) сучетом требований А.1.1–А.1.4:Это приложение предназначено для хостинг-провайдеров, предоставляющих своимклиентам среду размещения данных, которая соответствует требованиям стандартаPCI DSS. Хостинг-провайдерам необходимо в дополнение к другим применяемымтребованиям стандарта PCI DSS соответствовать и требованиям, изложенным впп. А.1.1–А.1.4.Если предприятию торгово-сервисной сети или сервис-провайдеру разрешаетсявыполнять свои собственные приложения на совместно используемом сервере, то онидолжны выполняться под учетной записью предприятия торгово-сервисной сети илисервис-провайдера, а не под учетной записью привилегированного пользователя.Привилегированный пользователь в дополнение к доступу к собственной среде имелбы доступ к средам данных платежных карт всех других предприятий торговосервисной сети и сервис-провайдеров.Чтобы гарантировать, что доступ и привилегии предоставляются так, что каждоепредприятие торгово-сервисной сети или сервис-провайдер имеют доступ только ксобственной среде данных платежных карт, необходимо рассмотреть: 1) привилегииучетной записи, от имени которой запускается web-сервер предприятия торговосервисной сети или сервис-провайдера; 2) разрешения на чтение, запись ивыполнение файлов; 3) разрешения на запись в исполняемые системные файлы; 4)разрешения на доступ к журналам регистрации событий предприятия торговосервисной сети или сервис-провайдера услуг; 5) меры для обеспечения гарантии того,что единственное предприятие торгово-сервисной сети или сервис-провайдер несможет завладеть всеми системными ресурсами.Журналы должны быть доступны в общей среде размещения данных платежных карттак, что предприятия торгово-сервисной сети и сервис-провайдеры имеют к ним доступи могут просматривать журналы регистрации событий, относящиеся к собственнойсреде размещения данных платежных карт.Хостинг-провайдеры с общей средой размещения должны активировать процессбыстрого и удобного реагирования в случае компрометации, если требуетсярасследование инцидентов, вплоть до определенного уровня детализации для того,чтобы были доступны подробности об индивидуальном предприятии торговосервисной сети или сервис-провайдере.А.1.1 Каждая организация должна иметь доступ только ксобственной среде данных платежных картА.1.2 Права доступа и привилегии каждой организации должныограничиваться только собственной средой платежных картА.1.3 Аудит и регистрация событий должны быть включеныиндивидуально для среды платежных карт каждой организации ив соответствии с требованием 10 стандарта PCI DSSA.1.4 Должны быть реализованы процессы, позволяющиепровести своевременное расследование инцидентов прикомпрометации размещенных данных любого предприятияторгово-сервисной сети или сервис-провайдераCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.

Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 46Приложение Б: Компенсационные мерыКомпенсационные меры – Общие положенияИспользование компенсационных мер может быть обосновано для большинства требований стандарта PCI DSS в том случае, когда организация не можетсоответствовать технической спецификации требования, но может в значительной мере снизить связанный с данным требованием риск.

За полнымопределением компенсационных мер необходимо обратиться к документу «PCI DSS: Термины, аббревиатуры и акронимы» (PCI DSS Glossary, Abbreviations,and Acronyms).Эффективность компенсационной меры зависит от конкретной среды, в которой реализуется мера, смежных защитных мер и конфигурации меры. Компаниидолжны отдавать себе отчет в том, что какая-то конкретная компенсационная мера не будет эффективной во всех средах. Каждая компенсационная мерадолжна быть основательно оценена после реализации для подтверждения своей эффективности.Ниже представлены компенсационные меры для компаний, которые не способны привести данные платежных карт к нечитаемому виду в соответствии стребованием 3.4.Компенсационные меры для требования 3.4Использование компенсационных мер можно рассматривать для тех компаний, которые не могут привести данные платежных карт к нечитаемому виду(например, при помощи шифрования) ввиду объективных технических ограничений или требований бизнеса.

Условием обеспечения соответствия стандартуPCI DSS для требований, в отношении которых использованы компенсационные меры, является документирование требований бизнеса илитехнологических ограничений, не позволяющих выполнить соответствующее требование, и проведение анализа рисков для данного требования3.Компании, которые рассматривают возможность использования компенсационных мер, связанных с требованием приведения данных платежных карт кнечитаемому виду, должны понимать риск, вызываемый хранением данных платежных карт в читаемом виде. Обычно меры должны предоставлятьдополнительную защиту для снижения любого дополнительного риска, вызываемого хранением данных платежных карт в читаемом виде.

Меры,предполагаемые к использованию в качестве компенсационных, должны применяться в дополнение к мерам стандарта PCI DSS и должны удовлетворятьопределению компенсационных мер, которое дается в документе «PCI DSS: Термины, аббревиатуры и акронимы» (PCI DSS Glossary, Abbreviations, andAcronyms). Компенсационные меры могут представлять собой устройство, комбинацию устройств, приложений и мер, удовлетворяющих всемперечисленным ниже условиям:1. Обеспечение дополнительного уровня сегментации/абстракции (например, на сетевом уровне)2. Обеспечение возможности ограничения доступа к данным платежных карт или базам данных на основе следующих критериев:• IP-адреса/MAC-адреса• Приложения/сервисы• Учетные записи пользователей/групп• Тип данных (фильтрация пакетов)3.

Ограничение логического доступа к базе данных• Логический доступ к базе данных должен контролироваться независимо от Active Directory или LDAP (Lightweight Directory Access Protocol)4. Предотвращение/обнаружение распространенных атак на приложения или базы данных (например, SQL-инъекции).3Прим. ИЗ. Результаты анализа рисков рекомендуется оформлять в шаблоне Compensating controls Worksheet, приведенном в Security Audit Procedures,Приложение С.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.

Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 47.

Свежие статьи
Популярно сейчас
Как Вы думаете, сколько людей до Вас делали точно такое же задание? 99% студентов выполняют точно такие же задания, как и их предшественники год назад. Найдите нужный учебный материал на СтудИзбе!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Нашёл ошибку?
Или хочешь предложить что-то улучшить на этой странице? Напиши об этом и получи бонус!
Бонус рассчитывается индивидуально в каждом случае и может быть в виде баллов или бесплатной услуги от студизбы.
Предложить исправление
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
5117
Авторов
на СтудИзбе
447
Средний доход
с одного платного файла
Обучение Подробнее