Ориентирование в PCI DSS 1_1 (Статьи, стандарты, спецификации), страница 8

PDF-файл Ориентирование в PCI DSS 1_1 (Статьи, стандарты, спецификации), страница 8 Информационное обеспечение разработок (13031): Другое - 11 семестр (3 семестр магистратуры)Ориентирование в PCI DSS 1_1 (Статьи, стандарты, спецификации) - PDF, страница 8 (13031) - СтудИзба2017-12-21СтудИзба

Описание файла

Файл "Ориентирование в PCI DSS 1_1" внутри архива находится в следующих папках: Статьи, стандарты, спецификации, PCI DSS. PDF-файл из архива "Статьи, стандарты, спецификации", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "остальное", в предмете "информационное обеспечение разработок и исследований" в общих файлах.

Просмотр PDF-файла онлайн

Текст 8 страницы из PDF

п. 6.5.1), иполучить контроль над процессами на сервере с web-приложением.6.5.6 Инъекции (например, SQL-инъекции)Для повышения скорости подключения и уменьшения нагрузки на стороне серверачасто требуется выполнять проверку и обработку вводимых пользователем данных наCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 25ТребованиеПояснениестороне клиента. Обычно обход данной проверки является относительно тривиальнойзадачей для злоумышленника, после чего web-приложение используется для отправкивредоносных команд серверу для запуска атак на переполнение буфера, полученияконфиденциальной информации или выявления особенностей функционированиясерверного приложения.

Данная уязвимость также является популярным средствомдля выполнения мошеннических транзакций на сайтах электронной коммерции.6.5.7 Некорректная обработка ошибокЗачастую некорректная обработка ошибок может предоставить злоумышленникуинформацию, которая поможет ему скомпрометировать систему. Если злоумышленниксможет вызвать появление ошибок, которые web-приложение не сможет правильнообработать, существует возможность получения злоумышленником подробнойинформации о системе, возникновения ситуации отказа в обслуживании, нарушенияработы системы безопасности или сбоя сервера.

Например, сообщение «введеннеправильный пароль» говорит о том, что использовалось верное имя пользователя инеобходимо сфокусировать свои усилия только на подборе пароля.Необходимо использовать сообщения об ошибках более общего характера,например, «данные не могут подтверждены».6.5.8 Небезопасное хранениеЭто имеет отношение к ненадежному использованию криптографии.

Приложения,использующиекриптографию,являютсясложнымидляправильногопрограммирования, что обычно сказывается на слабой защите хранимых данных ииспользовании криптографии, которая легко взламываются.6.5.9 Отказ в обслуживанииЗлоумышленники могут использовать ресурсы web-приложения до их полногоисчерпания для того, чтобы другие пользователи не смогли использовать приложение.Злоумышленники также могут заблокировать пользовательские учетные записи иливызвать сбой приложения.6.5.10 Небезопасное управление конфигурациямиНаличие надежного стандарта конфигурирования сервера критично для защиты webприложений. Существует большое количество параметров конфигурации дляуправления безопасностью серверов, которые по умолчанию не настроены.6.6 Все web-приложения должны быть защищены от известных Атаки, направленные на web-приложения, являются распространенными и обычноатак, используя один из приведенных ниже методов:успешными, если при разработке web-приложений не использовались приемыбезопасного программирования.

Целью требования анализа кода приложений илииспользования межсетевых экранов прикладного уровня является значительноеснижение количества компрометаций web-приложений, которые приводят к утечкеданных платежных карт.•дляудовлетворенияданномутребованиюможетиспользоватьсяВыполнениеанализакодавсехразработанных Такжеприложенийорганизацией,специализирующейсяв инструментарий, выполняющий анализ кода и/или мониторинга его изменений.области безопасности приложений, на предмет наличияCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 26ТребованиеПояснениераспространенных уязвимостей.•Установка межсетевого экрана прикладного уровня передweb-приложениями.Требование 6.6 до 30 июня 2008 г.

носит рекомендательныйхарактер, после чего становится обязательным.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийМежсетевые экраны прикладного уровня используются для фильтрации и блокировкиненужного трафика на уровне приложений. Работая вместе с межсетевым экраномсетевого уровня, правильно сконфигурированный межсетевой экран прикладногоуровня позволит предотвратить атаки уровня приложений.Перевод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 27Реализация мер по строгому контролю доступаТребование 7: Доступ к данным платежных карт должен быть ограничен в соответствии со служебной необходимостьюДанное требование обеспечивает то, что доступ к критичным данным может быть осуществлен только авторизованными сотрудниками.ТребованиеПояснение7.1 Доступ к вычислительным ресурсам и данным платежных карт Чем больше людей имеют доступ к данным платежных карт, тем выше рискдолжен быть предоставлен только тем сотрудникам, которым он злонамеренного использования пользовательских учетных записей.

Предоставлениенеобходим для выполнения должностных обязанностей.доступа лишь тем сотрудникам, которым он необходим для выполнения должностныхобязанностей, позволит организации предотвратить ненадлежащее обращение сданными платежных карт, связанное с отсутствием опыта или со злым умыслом. Ворганизации должна быть разработана политика контроля доступа к данным,определяющая, как и кому предоставляется доступ.7.2 Для многопользовательских систем должен быть реализован Без механизма предоставления доступа по принципу минимальной достаточностимеханизм предоставления доступа, ограничивающий доступ по пользователь может получить доступ к данным платежных карт, в действительности непринципу необходимого знания (need-to-know), запрещающий нуждаясь в этом для выполнения должностных обязанностей.любой доступ, не разрешенный явно.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 28Требование 8: Каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификаторНазначение уникального идентификатора каждому лицу с правом доступа обеспечит возможность выполнения действий над критичными данными исистемами авторизованными пользователями и отслеживания действий, выполненных конкретными авторизованными пользователями.ТребованиеПояснение8.1 Каждому пользователю должно быть назначено уникальное Уникально идентифицируя каждого пользователя – вместо использования одногоимя пользователя до предоставления доступа к системным идентификатора для нескольких сотрудников – организация может поддерживатькомпонентам или данным платежных карт.индивидуальную ответственность сотрудников за свои действия и эффективноотслеживать все действия, выполняемые каждым сотрудником.

Это поможет ускоритьразрешениеипредотвращениепроисходящихинцидентов,связанныхсинформационной безопасностью.8.2 В дополнение к назначению уникального идентификатора длявсех пользователей должен использоваться по крайней мере одиниз следующих механизмов аутентификации:• Пароль• Устройствааутентификации(например,SecureID,сертификаты или открытые ключи)• БиометрияДанные элементы аутентификации при использовании совместно с уникальнымиидентификаторами помогают защитить уникальные идентификаторы пользователей откомпрометации (поскольку злоумышленнику нужно знать и уникальный идентификатор,и пароль или другой элемент аутентификации).8.3 Для предоставления удаленного доступа в сеть служащимкомпании, администраторам или третьим лицам должна бытьреализованадвухфакторнаяаутентификация.Должныиспользоваться такие технологии, как RADIUS или TACACS саппаратными устройствами аутентификации; либо VPN (на базепротоколов SSL/TLS или IPSEC) с пользовательскимисертификатами.Одна из технологий двухфакторной аутентификации – двухфакторная аутентификацияс использованием одноразовых паролей (one-time passwords) применяется в техслучаях, когда требуется дополнительный элемент аутентификации для осуществлениядоступа из сред с высоким риском, например, при доступе из внешней сети.

Дляповышения уровня безопасности организация может также использоватьдвухфакторную аутентификацию при осуществлении доступа из сетей с более низкимуровнем безопасности в сети с более высоким уровнем безопасности (например, приобращении с корпоративных рабочих станций (более низкий уровень безопасности) ксерверам/базам данных с данными платежных карт (более высокий уровеньбезопасности)).8.4 Все пароли должны находиться в зашифрованном виде как при Многие сетевые устройства и приложения передают пользовательский идентификаторпередаче, так и при хранении на любых системных компонентах.и незашифрованный пароль по сети и/или хранят пароли в открытом виде (безприменения шифрования).

Злоумышленник может перехватить незашифрованныеидентификатор пользователя и пароль при их передаче, используя анализатор пакетов,или получить прямой доступ к идентификаторам и незашифрованным паролям вфайлах, в которых они хранятся, и использовать эти данные для получениянесанкционированного доступа.8.5 Для учетных записей сотрудников и администраторов на всех Поскольку одним из первых действий, которые злоумышленник предпринимает присистемных компонентах должны обеспечиваться надежная компрометации системы, является эксплуатация слабых или отсутствующих паролей,Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.

Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 29Требованиеаутентификация и управлениенижеследующих пунктах:паролями,Пояснениекакописанов важно правильно реализовать процессы для аутентификации пользователей иуправления паролями.8.5.1 Должно контролироваться добавление, удаление и Для обеспечения гарантии, что добавляемые к системам пользователи действительныизменение пользовательских идентификаторов, учетных данных и и правомочны, операциями добавления, удаления и изменения пользовательскихидентификаторов должна управлять небольшая группа сотрудников со специальнымидругих объектов идентификацииполномочиями.

Свежие статьи
Популярно сейчас
Как Вы думаете, сколько людей до Вас делали точно такое же задание? 99% студентов выполняют точно такие же задания, как и их предшественники год назад. Найдите нужный учебный материал на СтудИзбе!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Нашёл ошибку?
Или хочешь предложить что-то улучшить на этой странице? Напиши об этом и получи бонус!
Бонус рассчитывается индивидуально в каждом случае и может быть в виде баллов или бесплатной услуги от студизбы.
Предложить исправление
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
4990
Авторов
на СтудИзбе
468
Средний доход
с одного платного файла
Обучение Подробнее