Ориентирование в PCI DSS 1_1 (Статьи, стандарты, спецификации), страница 3

PDF-файл Ориентирование в PCI DSS 1_1 (Статьи, стандарты, спецификации), страница 3 Информационное обеспечение разработок (13031): Другое - 11 семестр (3 семестр магистратуры)Ориентирование в PCI DSS 1_1 (Статьи, стандарты, спецификации) - PDF, страница 3 (13031) - СтудИзба2017-12-21СтудИзба

Описание файла

Файл "Ориентирование в PCI DSS 1_1" внутри архива находится в следующих папках: Статьи, стандарты, спецификации, PCI DSS. PDF-файл из архива "Статьи, стандарты, спецификации", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "остальное", в предмете "информационное обеспечение разработок и исследований" в общих файлах.

Просмотр PDF-файла онлайн

Текст 3 страницы из PDF

Без наличия действующих политик ипроцедур, в которых указывается, как персонал должен настраивать межсетевыеэкраны, организация может легко сдать злоумышленнику свою первую линию обороныв защите данных.1.1.1 Формализованный1 процесс утверждения и тестирования Политика и процесс утверждения и тестирования всех подключений и изменений ввсех подключений внешних сетей, а также изменений, вносимых в конфигурации межсетевых экранов поможет предотвратить проблемы безопасности,конфигурацию МЭвызванные неправильной настройкой сети или межсетевого экрана.1.1.2 Актуальную схему сети с указанием всех подключений Схема сети позволяет организации идентифицировать размещение всех сетевых(включая беспроводные сети) к сегментам с данными платежных устройств.

Без схемы сети некоторые сетевые устройства можно легко упустить из видукарти, не обеспечив их должной защиты, подвергнуть угрозе компрометации.1.1.3 Требования по размещению МЭ на каждом канале Использование межсетевого экрана на каждом входящем (и исходящем) подключенииподключения к сети Интернет, а также на границе между каждой сети позволяет организации выполнять мониторинг и контроль входящего и исходящегоDMZ и внутренней сетьютрафика и тем самым минимизировать шансы злоумышленника по получению доступа квнутренней сети.1.1.4 Описание групп, ролей и обязанностей в отношении Описание ролей и назначение ответственности позволяет гарантировать, чтологического управления сетевыми компонентаминазначенные лица персонально отвечают за безопасность всех компонентов,осведомлены о своей ответственности, а также свидетельствует об отсутствиинеконтролируемых устройств.1Установленный процесс, где исполнители и порядок выполняемых ими действий определены.

Обычно такой процесс документирован.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 9ТребованиеПояснение1.1.5 Документированный перечень сервисов инеобходимых для функционирования бизнес-процессовпортов, Компрометации часто происходят вследствие наличия неиспользуемых илинезащищенных служб и портов, поскольку они часто содержат общеизвестныеуязвимости, а многие организации не устанавливают обновления безопасности для1.1.6 Документирование и обоснование применения для всехслужб и портов, которые они не используют (даже в случае присутствия уязвимостей).использующихся протоколов, за исключением HTTP, SSL, SSH иКаждая организация должна четко определить, какие службы и порты необходимы дляVPNведения бизнеса, задокументировать их и обеспечить отключение или удаление всехостальных служб и портов.

Также организациям необходимо рассмотреть вариантблокирования всего сетевого трафика и последующего открытия лишь тех служб ипортов, целесообразность открытия которых определена и задокументирована.1.1.7Документированиеиобоснованиедлявсехиспользующихся небезопасных протоколов (например, FTP) суказанием причины использования протокола и реализованныхмеханизмов защиты1.1.8ЕжеквартальныймаршрутизаторовпересмотрправилМЭСуществует большое количество протоколов, которые могут потребоваться дляведения бизнеса (или которые разрешены настройками по умолчанию) ииспользоваться злоумышленниками для компрометации сети.

В добавление кобъяснению в п. 1.1.5, если небезопасные протоколы необходимы для ведениябизнеса, то нужно четко понимать риски от их использования, принимать эти риски,обосновывать использование этих протоколов, а также документировать иреализовывать механизмы защиты, которые позволяют безопасно использоватьданные протоколы.и Данныйпересмотрпредоставляеторганизациивозможностьпроведенияежеквартального удаления всех ненужных, истекших или некорректных правил игарантирует, что все наборы правил разрешают доступ только авторизованнымслужбам и портам, которые соответствуют требованиям бизнеса.1.1.9 Стандарты конфигурирования для маршрутизаторовДанные устройства вместе с межсетевыми экранами являются частью архитектуры,которая контролирует точки входа в сеть. Документированные политики помогаютсотрудникам настраивать и защищать маршрутизаторы и гарантируют надежностьпервой линии защиты данных организации.1.2 Должна быть реализована такая конфигурация МЭ, в которой Если межсетевой экран установлен, но не содержит правил, которые контролируют илизапрещается любой трафик, поступающий из недоверенных сетей ограничивают определенный трафик, то злоумышленники все равно будут иметьи устройств, за исключением протоколов, необходимых для возможность использовать уязвимые протоколы и порты для проведения атак на сеть.среды данных платежных карт.1.3 Должна быть реализована такая конфигурация МЭ, котораяограничивает возможность установления подключений междупублично доступными серверами (включая любые подключения избеспроводных сетей) и любыми системными компонентами, вкоторых хранятся данные платежных карт.

Такая конфигурациядолжна предусматривать:1.3.1 Ограничение входящего интернет-трафика IP-адресами Обычно пакет содержит IP-адрес компьютера, который его отправил. Это позволяетCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 10ТребованиеПояснениевнутри DMZ (входная фильтрация)другим компьютерам в сети узнать, откуда пришел пакет.

В определенных ситуацияхданный IP-адрес отправителя может быть подменен злоумышленниками.1.3.2 Запрет трафика с адресами отправителя из внутреннейНапример, злоумышленники могут отправить пакет с подмененным адресом для того,сети, поступающего в DMZ из сети Интернетчтобы (если межсетевой экран не запрещает это) пакет смог попасть во внутреннююсеть из сети Интернет и выглядел так, как будто он является внутренним и,следовательно, легитимным трафиком. Как только злоумышленники получатвозможность проникнуть внутрь сети, они могут начать компрометацию внутреннихсистем.Входная фильтрация – это способ контроля трафика, который может использоваться намежсетевом экране для фильтрации пакетов, поступающих в сеть, и обеспечениягарантии того, что IP-адреса пакетов не подменены и не выглядят как поступающие извнутренней сети.Для получения дополнительной информации по фильтрации пакетов рекомендуетсятакже изучить способы фильтрации исходящих пакетов «”egress filtering”.1.3.3 Реализацию фильтрации трафика с учетом состояниясоединений (stateful inspection), также известной как динамическаяфильтрация пакетов (когда доступ в сеть разрешается только для«установленных» соединений)Межсетевой экран, который выполняет динамическую фильтрацию пакетов, хранитинформацию о состоянии (иными словами, статус) для каждого соединения.

Сохраняяинформацию о состоянии, межсетевой экран знает, являются ли пакеты, которыевыглядят как ответ на предыдущее соединение, в действительности ответом (посколькуон «запоминает» предыдущее соединение) или же это попытка обойти межсетевойэкран, чтобы он разрешил соединение.1.3.4 Размещение базы данных во внутреннем сегменте сети, Информация о счетах платежных карт требует самого высокого уровня защитыотделенном от DMZинформации. Если информация о счетах находится внутри DMZ, то задача получениядоступа к этой информации для внешнего злоумышленника упрощается, поскольку емупонадобится преодолеть меньшее количество уровней защиты.

При отсутствиимежсетевого экрана, защищающего информацию о счетах, эти данные уязвимы как длязлоумышленников из внутренней сети, так и для всех злоумышленников, которые могутпроникнуть из внешней сети.1.3.5 Разрешение только такого входящего и исходящего Это требование вводится для предотвращения доступа злоумышленников к сетитрафика, который является необходимым для среды данных организации с использованием неавторизованных IP-адресов или предотвращенияплатежных картиспользования служб, протоколов или портов для выполнения неразрешенныхдействий (например, отправка данных, полученных из внутренней сети, внешнемусерверу).1.3.6 Обеспечение защиты и синхронизации конфигурационныхфайлов маршрутизаторов.

Например, файлы активной в данныймомент времени конфигурации (running configuration) исохраненной конфигурации (start-up configuration – загружается воперативную память в качестве активной конфигурации приCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийВ то время как активные конфигурационные файлы обычно содержат безопасныенастройки, в файлах сохраненной конфигурации может отсутствовать реализацияаналогичных настроек, поскольку они запускаются время от времени (послеперезагрузки). Перезагрузка и запуск маршрутизатора без использования безопасныхнастроек, которые присутствовали в активной конфигурации, может сказаться наПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 11ТребованиеПояснениеперезагрузке устройства) должны иметь одинаковую защищенную ослаблениизащитыиможетконфигурациюнесанкционированный доступ в сеть.позволитьзлоумышленникуполучить1.3.7 Блокирование любого входящего и исходящего трафика, Все межсетевые экраны должны содержать правило, запрещающее весь входящий ине разрешенного явноисходящий трафик, который не является необходимым.

Это позволит предотвратитьслучайные ошибки, которые могут разрешать незапланированный и потенциальноопасный входящий и исходящий трафик.1.3.8 Установку МЭ для организации защиты периметра междулюбыми беспроводными сетями и средой платежных карт иконфигурирование этих МЭ на блокирование любого трафика избеспроводных сетей или контроль этого трафика (если такойтрафик необходим для ведения бизнеса)Известная (или неизвестная) реализация и использование беспроводной технологии впределах сети компании является распространенным способом получениязлоумышленниками доступа в сеть и к данным платежных карт. Если беспроводноеустройство или сеть установлены без ведома компании, то злоумышленник может легкои «незаметно» войти в сеть.

Если межсетевые экраны не ограничивают доступ избеспроводных сетей в среду данных платежных карт, то злоумышленники, получившиенеавторизованный доступ в беспроводную сеть, могут беспрепятственно подключитьсяк среде данных платежных карт и скомпрометировать информацию о счетах.1.3.9 Установку персональных межсетевых экранов на всепортативные и личные компьютеры сотрудников, которыеобладают возможностью прямого доступа к сети Интернет(например, на ноутбуки сотрудников) и используются для доступак сети организацииЕсли на компьютере не установлен сетевой экран или антивирусное программноеобеспечение, то он может быть заражен вредоносным программным обеспечением(шпионскими программами, троянским программным обеспечением, вирусами иличервями).

Свежие статьи
Популярно сейчас
Как Вы думаете, сколько людей до Вас делали точно такое же задание? 99% студентов выполняют точно такие же задания, как и их предшественники год назад. Найдите нужный учебный материал на СтудИзбе!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Нашёл ошибку?
Или хочешь предложить что-то улучшить на этой странице? Напиши об этом и получи бонус!
Бонус рассчитывается индивидуально в каждом случае и может быть в виде баллов или бесплатной услуги от студизбы.
Предложить исправление
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
4995
Авторов
на СтудИзбе
467
Средний доход
с одного платного файла
Обучение Подробнее