Ориентирование в PCI DSS 1_1 (Статьи, стандарты, спецификации), страница 4

PDF-файл Ориентирование в PCI DSS 1_1 (Статьи, стандарты, спецификации), страница 4 Информационное обеспечение разработок (13031): Другое - 11 семестр (3 семестр магистратуры)Ориентирование в PCI DSS 1_1 (Статьи, стандарты, спецификации) - PDF, страница 4 (13031) - СтудИзба2017-12-21СтудИзба

Описание файла

Файл "Ориентирование в PCI DSS 1_1" внутри архива находится в следующих папках: Статьи, стандарты, спецификации, PCI DSS. PDF-файл из архива "Статьи, стандарты, спецификации", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "остальное", в предмете "информационное обеспечение разработок и исследований" в общих файлах.

Просмотр PDF-файла онлайн

Текст 4 страницы из PDF

Компьютер является еще более уязвимым при осуществлении прямогоподключения к сети Интернет в обход корпоративного межсетевого экрана.Вредоносное программное обеспечение, загруженное на компьютер при подключении вобход корпоративного межсетевого экрана, при последующем подключении ккорпоративной сети может поражать информацию в корпоративной сети.1.4 Должен быть запрещен прямой доступ из публичных внешнихсетей к любым системным компонентам, на которых выполняетсяхранение данных платежных карт (например, базам данных,журналам регистрации событий, файлам трассировки).Назначением межсетевых экранов является управление и контроль всех подключениймежду общедоступными и внутренними системами (в особенности теми, в которыххранятся данные платежных карт).

Если разрешается прямой доступ междуобщедоступными системами и системами, в которых хранятся данные платежных карт,то игнорируется предлагаемая межсетевым экраном защита, и системные компоненты,хранящие данные платежных карт, могут быть подвержены компрометации.1.4.1 Должна быть реализована зона DMZ для фильтрации и DMZ – это часть межсетевого экрана, которая обращена к общедоступной сетиэкранирования любого трафика и запрета прямых маршрутов для Интернет и управляет подключениями между сетью Интернет и теми внутреннимивходящего и исходящего интернет-трафикаслужбами, которые организация считает целесообразным открыть внешнему миру(например, web-сервер).

DMZ является первой линией обороны в изоляции иразделении трафика, которому разрешено взаимодействие с внутренней сетью, оттрафика, которому это не разрешено.1.4.2 Исходящий от приложений платежных карт трафик В DMZ должна проводиться оценка всего исходящего из внутренней сети трафика,должен быть ограничен IP-адресами внутри DMZчтобы гарантировать, что весь исходящий трафик отвечает установленным правилам.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.

Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 12ТребованиеПояснениеДля того чтобы DMZ эффективно выполняла данную функцию, подключения извнутренней сети к любым адресам за ее пределами не должны разрешаться, преждечем они не пройдут через DMZ, в которой выполняется их проверка на легитимность.1.5 Для предотвращения раскрытия структуры внутреннейадресации в сети Интернет должен осуществляться IPмаскарадинг и использоваться технологии, реализующиеадресное пространство RFC 1918 – PAT (Port Address Translation)или NAT (Network Address Translation).Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийСкрытие IP-адресов (IP masquerading), которое управляется межсетевым экраном,позволяет организации иметь внутренние адреса, которые видимы только внутри сети,и внешние адреса, которые видимы извне.

Если межсетевой экран не скрывает или немаскирует IP-адреса внутренней сети, злоумышленник может обнаружить внутренниеIP-адреса и попытаться получить доступ в сеть с помощью подмены IP-адреса.Перевод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 13Требование 2: Не должны использоваться параметры безопасности и системные пароли, установленные производителем по умолчаниюЗлоумышленники (внешние и внутренние) для компрометации систем часто используют параметры безопасности и пароли, заданныепроизводителем. Эти параметры и пароли хорошо известны в хакерских сообществах и могут быть получены через открытые источникиинформации.ТребованиеПояснение2.1 До подключения системы к сети должны быть измененыпараметры, заданные производителем по умолчанию, влияющиена защищенность (в том числе пароли, SNMP-строки, а такжеудалены неиспользуемые учетные записи).Злоумышленники (внешние и внутренние по отношению к компании) часто длякомпрометации систем используют настройки, учетные записи и пароли,установленные производителем по умолчанию.

Данные параметры широко известны вхакерских сообществах и подвергают систему риску эксплуатации уязвимостей.2.1.1 Для беспроводных сред должны быть изменены значения,заданные производителем по умолчанию, включая (но неограничиваясь)следующиепараметры:WEP-ключи,идентификаторы сетей (SSID), пароли и SNMP-строки.Необходимоотключатьшироковещательнуюрассылкуидентификаторов SSID и использовать технологии WPA или WPA2для шифрования и аутентификации WPA-совместимых устройствМногие пользователи устанавливают данные устройства без утверждения руководстваи не меняют настройки, заданные производителем по умолчанию, или не настраиваютпараметры безопасности.

Если в беспроводных сетях не реализован достаточныйуровень безопасности (включая изменение параметров по умолчанию), то существуетвозможность прослушивания трафика беспроводными анализаторами пакетов,извлечения данных и паролей, атак на сеть. В дополнение протокол обмена ключамидля ранней версии шифрования стандарта 802.11x (WEP) может быть взломан и статьбесполезным в отношении защиты.2.2 Должны быть разработаны стандарты конфигурирования длявсех системных компонентов, учитывающие все известныеуязвимости и рекомендации по обеспечению безопасности систем(определенные, например, SysAdmin Audit Network SecurityNetwork (SANS), National Institute of Standards Technology (NIST) иCenter for Internet Security (CIS)).У многих операционных систем, баз данных и корпоративных приложений существуютизвестные уязвимости (или недостатки конфигурирования).

Вместе с тем известныспособы конфигурирования данных систем для устранения этих недостатков. Дляпомощи лицам, не являющимся экспертами в области безопасности, организации,специализирующиеся на защите информации, предоставляют специальныерекомендации по повышению уровня защищенности систем, в которых указаныспособы устранения уязвимостей и недостатков конфигурирования. Если не происходитустранения известных недостатков в системах (например, недостатков в настройках поограничению доступа к файлам или отключения служб и протоколов, активированныхпо умолчанию, которые не являются необходимыми), злоумышленник получаетвозможность использования многочисленных общеизвестных эксплойтов дляпроведения атак на уязвимые службы и протоколы и получения доступа к сетиорганизации.2.2.1 На каждом сервере должна быть реализована толькоодна основная функция (например, web-сервер, сервер базданных и DNS-сервер должны быть реализованы на различныхсерверах)Назначение данного требования – обеспечение того, что стандарты конфигурированиядля систем организации и процессы, связанные с ними, адресуют функции сервера,которые соответствуют различным уровням безопасности, или функции, которые могутявляться слабыми местами в организации безопасности по отношению к другимфункциям на том же сервере.

Примеры:1. База данных, требующая наличия усиленных мер безопасности, будет подвергатьсяриску в случае использования сервера совместно с web-приложением, которое должноCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 14ТребованиеПояснениебыть доступным пользователям сети Интернет.2.

Ошибка применения исправления уязвимости к казалось бы незначительнойфункции может привести к компрометации более важных функций (например, базыданных) на том же сервере.Данное требование предназначено для серверов (обычно Unix, Linux или Windows), ноне для мейнфреймов.2.2.2 Все ненужные и небезопасные сервисы и протоколы(сервисы и протоколы, не являющиеся необходимыми длявыполнения назначенных устройствам функций) должны бытьотключеныКак упоминалось в п.

1.1.7, существует большое количество протоколов, которые могутпотребоваться для ведения бизнеса (или активированы настройками по умолчанию) икоторые обычно используются злоумышленниками для компрометации сети. Данноетребование должно являться частью стандартов конфигурирования организации исвязанных с ними процессов для обеспечения гарантии того, что подобные протоколы ислужбы отключены при развертывании новых серверов.2.2.3 Параметры безопасности систем должны быть настроены Это требование введено для того, чтобы гарантировать, что стандартыдля предотвращения ненадлежащего использованияконфигурирования систем и связанные с ними процессы уделяют повышенноевнимание настройкам безопасности и параметрам, оказывающим существенноевлияние на состояние защищенности.2.2.4 Должен быть удален весь избыточный функционал, Стандарты для повышения защищенности серверов должны включать процессынапример, скрипты, драйверы, функциональные возможности, устранения ненужной функциональности, связанной с потенциальными уязвимостямиподсистемы, файловые системы и неиспользуемые web-серверы (например, удаление/отключение служб FTP или web, если они не относятся кфункциям сервера).2.3 Должно выполняться шифрование любого неконсольногоадминистративного доступа.

Для управления с помощью webинтерфейса и другого неконсольного административного доступадолжны использоваться такие технологии, как SSH, VPN илиSSL/TLS.Если при удаленном администрировании не используются безопасная аутентификацияи шифрование, то существует возможность перехвата злоумышленником критичнойинформации (например, паролей администраторов). Злоумышленник затем можетиспользовать данную информацию для получения доступа к сети, административныхправ и кражи данных.2.4 Хостинг-провайдеры должны защищать среду размещения иданные каждой обслуживаемой организации. Хостинг-провайдерыдолжнысоответствоватьдополнительнымтребованиям,описанным в приложении А: «Применимость стандарта PCI DSS кхостинг-провайдерам».Данное требование предназначено для хостинг-провайдеров, которые предоставляютобщую среду размещения данных для нескольких организаций-клиентов на одном итом же сервере.

Когда все данные находятся на одном и том же сервере и управляютсяиз единой среды, отдельные клиенты обычно не управляют настройками этихсовместно используемых серверов, т.к. разрешение добавления клиентаминебезопасных функций и скриптов окажет влияние на защищенность данных всехклиентов, размещенных на том же сервере. При компрометации злоумышленникомданных одной категории клиентов подвергнутся риску и возможности получениядоступа данные других клиентов. Дополнительные сведения содержатся в ТребованииА.1 в конце данного документа.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.

Свежие статьи
Популярно сейчас
Как Вы думаете, сколько людей до Вас делали точно такое же задание? 99% студентов выполняют точно такие же задания, как и их предшественники год назад. Найдите нужный учебный материал на СтудИзбе!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Нашёл ошибку?
Или хочешь предложить что-то улучшить на этой странице? Напиши об этом и получи бонус!
Бонус рассчитывается индивидуально в каждом случае и может быть в виде баллов или бесплатной услуги от студизбы.
Предложить исправление
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
4986
Авторов
на СтудИзбе
471
Средний доход
с одного платного файла
Обучение Подробнее