Главная » Все файлы » Просмотр файлов из архивов » PDF-файлы » Процедуры аудита безопасности PCI DSS 1_1

Процедуры аудита безопасности PCI DSS 1_1 (Статьи, стандарты, спецификации), страница 4

PDF-файл Процедуры аудита безопасности PCI DSS 1_1 (Статьи, стандарты, спецификации), страница 4 Информационное обеспечение разработок (13032): Другое - 11 семестр (3 семестр магистратуры)Процедуры аудита безопасности PCI DSS 1_1 (Статьи, стандарты, спецификации) - PDF, страница 4 (13032) - СтудИзба2017-12-21СтудИзба

Описание файла

Файл "Процедуры аудита безопасности PCI DSS 1_1" внутри архива находится в следующих папках: Статьи, стандарты, спецификации, PCI DSS. PDF-файл из архива "Статьи, стандарты, спецификации", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "остальное", в предмете "информационное обеспечение разработок и исследований" в общих файлах.

Просмотр PDF-файла онлайн

Текст 4 страницы из PDF

В некоторых случаях казалось бынесущественные каналы исходящего и входящего интернет-трафика представляют собой незащищенные пути доступа к критичным системам.Межсетевые экраны являются основным механизмом защиты любой компьютерной сети.1.1 Должны быть реализованы 1.1 Ознакомиться со стандартами конфигурирования МЭ истандартыконфигурирования иной указанной ниже документацией для проверкимежсетевых экранов, включающие соответствия каждому требованию в данном разделе.следующее:1.1.1 Формализованный4 процессутверждения и тестирования всехподключений внешних сетей, атакже изменений, вносимых вконфигурацию МЭ1.1.1 Убедиться, что стандарты конфигурирования МЭсодержат формализованный процесс внесения изменений,включая утверждение изменений, вносимых в организациювнешних подключений или конфигурацию МЭ, руководствоми их тестирование1.1.2 Актуальную схему сети суказаниемвсехподключений(включая беспроводные сети) ксегментам с данными платежныхкарт1.1.2.a Убедиться в существовании схемы действующейконфигурации сети и наличии в схеме всех подключений(включая беспроводные сети) к сегментам с даннымиплатежных карт1.1.3 Требования по размещениюМЭ на каждом канале подключенияк сети Интернет, а также на границемежду каждой DMZ и внутреннейсетью1.1.3.

Убедиться, что стандарты конфигурирования МЭсодержат требования по размещению МЭ на каждом каналеподключения к сети Интернет, а также между любой DMZ иIntranet. Убедиться в соответствии схемы действующейконфигурации сети стандартам конфигурирования МЭ1.1.2.b Убедиться, что схема действующей конфигурациисети поддерживается в актуальном состоянии1.1.4 Описание групп, ролей и 1.1.4 Убедиться, что стандарты конфигурирования МЭ4Установленный процесс, где исполнители и порядок выполняемых ими действий определены.

Обычно такой процесс документирован.Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 10ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийобязанностейвотношении содержат описание групп, ролей и ответственности влогического управления сетевыми отношении логического управления сетевыми компонентамикомпонентами1.1.5 Документированный перечень 1.1.5 Убедиться, что стандарты конфигурирования МЭсервисов и портов, необходимых содержат документированный перечень служб и портов,для функционирования бизнес- необходимых для функционирования бизнес-процессовпроцессов1.1.6Документированиеиобоснование применения для всехиспользующихся протоколов, заисключением HTTP, SSL, SSH иVPN1.1.6 Убедиться, что стандарты конфигурирования МЭсодержат документирование и обоснование применения всехиспользующихся протоколов, за исключением HTTP, SSL,SSH и VPN1.1.7Документированиеиобоснованиедлявсехиспользующихсянебезопасныхпротоколов (например, FTP) суказанием причины использованияпротоколаиреализованныхмеханизмов защиты1.1.7.a Убедиться, что стандарты конфигурирования МЭсодержатдокументированиеиобоснованиевсехиспользующихся небезопасных протоколов (например, FTP)с указанием причины использования протокола иреализованных механизмов защиты1.1.7.b Ознакомиться с документацией и настройками длякаждой используемой службы и удостовериться внеобходимости и защищенности службы1.1.8 Ежеквартальный пересмотр 1.1.8.a Убедиться в наличии в стандартах конфигурированияправил МЭ и маршрутизаторовМЭ требования ежеквартального пересмотра наборов правилМЭ и маршрутизаторов1.1.8.b Убедиться, чтопересмотр наборов правилвыполняетсяежеквартальный1.1.9 Стандарты конфигурирования 1.1.9 Убедиться, что стандарты конфигурирования МЭдля маршрутизаторовсуществуют для МЭ и маршрутизаторов1.2 Должна быть реализована такаяконфигурация МЭ, в которойзапрещаетсялюбойтрафик,поступающий из недоверенныхсетей и устройств, за исключениемпротоколов,необходимыхдлясреды данных платежных картCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасности1.2 Создать выборку МЭ/маршрутизаторов, расположенных:1) между сетью Интернет и DMZ и 2) между DMZ ивнутренней сетью.

Выборка должна включать маршрутизаторна границе с сетью Интернет; маршрутизатор и МЭ сетиDMZ; сегмент DMZ, в котором осуществляется передачаданных платежных карт; граничный маршрутизатор; а такжесегмент внутренней сети, в котором обращаются данныеПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 11ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийплатежных карт. Проанализировать конфигурации МЭ имаршрутизатора и убедиться, что входящий и исходящийтрафик ограничен только теми протоколами, которыенеобходимы для среды данных платежных карт1.3 Должна быть реализована такаяконфигурацияМЭ,котораяограничиваетвозможностьустановления подключений междупублично доступными серверами(включая любые подключения избеспроводных сетей) и любымисистемнымикомпонентами,вкоторыххранятсяданныеплатежныхкарт.Такаяконфигурациядолжнапредусматривать:1.3 Проанализировать конфигурации МЭ/маршрутизатора иубедиться, что возможность установления подключениймежду публично доступными серверами и компонентами,хранящими данные платежных карт, ограничена следующимобразом:1.3.1Ограничениевходящего 1.3.1 Убедиться, что входящий интернет-трафик ограниченинтернет-трафикаIP-адресами IP-адресами внутри DMZвнутри DMZ (входная фильтрация)1.3.2 Запрет трафика с адресами 1.3.2 Убедиться, что запрещена передача с адресамиотправителя из внутренней сети, источниками внутренней сети из сети Интернет в DMZпоступающего в DMZ из сетиИнтернет1.3.3Реализациюфильтрациитрафика с учетом состояниясоединений (stateful inspection),также известной как динамическаяфильтрация пакетов (когда доступв сеть разрешается только для«установленных» соединений)1.3.3 Убедиться, что МЭ выполняет динамическуюфильтрацию пакетов (stateful inspection), при которой извнешней сети разрешаются только «установленные»подключения и лишь тогда, когда они относятся к ранее«установленному»сеансу(ЗапуститьNMAPдлясканирования TCP-портов с флагом «syn reset» или «synack».

Получение ответных пакетов означает, что разрешенапередача пакетов вне зависимости от того, являются ли оничастью установленного ранее сеанса.)1.3.4 Размещение базы данных во 1.3.4 Убедиться, что база данных размещена в одной из зонвнутреннем сегменте сети, отделенном внутренней сети, изолированной от DMZот DMZ1.3.5 Разрешение только такого 1.3.5 Проверка выполнения ограничения исходящего ивходящего и исходящего трафика, входящеготрафикалишьнеобходимымдлякоторый является необходимым функционирования среды данных платежных карт, вCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 12ТребованиеПроцедура тестирования/аудитадля среды данных платежных картсоответствии с документированным перечнем1.3.6 Обеспечение защиты исинхронизации конфигурационныхфайловмаршрутизаторов.Например, файлы активной вданныймоментвремениконфигурации (running configuration)и сохраненной конфигурации (startup configuration – загружается воперативную память в качествеактивнойконфигурацииприперезагрузке устройства) должныиметь одинаковую защищеннуюконфигурацию1.3.6Убедиться,чтоконфигурационныефайлымаршрутизаторов защищены и синхронизированы (например,файлы активной конфигурации (running) и сохраненнойконфигурации (start-up), загружающейся в оперативнуюпамять в качестве активной конфигурации при перезагрузкеустройства, имеют идентичные защищенные конфигурации)СоответствиеНесоответствиеДата устранения/комментарий1.3.7Блокированиелюбого 1.3.7 Убедиться в блокировании любого входящего ивходящего и исходящего трафика, исходящего трафика, не определенного выше в п.

1.2 и п. 1.3не разрешенного явно1.3.8УстановкуМЭдляорганизации защиты периметрамежду любыми беспроводнымисетями и средой платежных карт иконфигурирование этих МЭ наблокирование любого трафика избеспроводных сетей или контрольэтого трафика (если такой трафикнеобходим для ведения бизнеса)1.3.8 Убедитьсяв наличии МЭ междулюбымибеспроводными сетями и системами, хранящими данныеплатежных карт, и выполнение этими МЭ блокирования иликонтроля любого трафика, поступающего из беспроводнойсреды в системы, на которых выполняется хранение данныхплатежных карт (в случае если такой трафик необходим дляфункционирования бизнес-процессов)1.3.9Установкуперсональныхмежсетевыхэкрановнавсепортативные и личные компьютерысотрудников, которые обладаютвозможностью прямого доступа ксети Интернет (например, наноутбукисотрудников)ииспользуются для доступа к сетиорганизации1.3.9 Убедиться в наличии и активности персональногомежсетевого экрана (сконфигурированного в соответствии сопределенными в организации стандартами, включая запретизменения настроек МЭ сотрудниками) на портативных и/илиличных компьютерах сотрудников с возможностью прямогодоступа к сети Интернет, которые используются для доступав сеть организации (например, на ноутбуках сотрудников)1.4 Должен быть запрещен прямой 1.4 Чтобы определить, запрещен ли прямой доступ издоступ из публичных внешних внешних публичных сетей к системным компонентам, насетейклюбымсистемным которых выполняется хранение данных платежных карт,Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 13ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийкомпонентам,накоторых нужно выполнить следующее (в особенности длявыполняется хранение данных конфигурации МЭ/маршрутизатора, разделяющего DMZ иплатежных карт (например, базам внутреннюю сеть):данных, журналам регистрациисобытий, файлам трассировки)1.4.1 Должна быть реализована 1.4.1 Проанализировать конфигурации МЭ/маршрутизаторовзона DMZ для фильтрации и и убедиться в отсутствии прямых (входящих или исходящих)экранирования любого трафика и маршрутов для интернет-трафиказапрета прямых маршрутов длявходящего и исходящего интернеттрафика1.4.2 Исходящий от приложенийплатежных карт трафик долженбыть ограничен IP-адресами внутриDMZ1.4.2 Проанализировать конфигурации МЭ/маршрутизаторови убедиться, что внутренний исходящий от приложенийплатежных карт трафик может передаваться только к IPадресам DMZ1.5 Для предотвращения раскрытияструктуры внутренней адресации всетиИнтернетдолженосуществляться IP-маскарадинг ииспользоватьсятехнологии,реализующиеадресноепространство RFC 1918 – PAT (PortAddress Translation) или NAT(Network Address Translation)1.5 Для выборки МЭ/маршрутизаторов убедиться виспользовании технологии NAT или другой технологии,использующей адресное пространство RFC 1918 длясокрытия структуры внутренней сети (IP-маскарадинг)Требование 2: Не должны использоваться параметры безопасности и системные пароли, установленныепроизводителем по умолчаниюЗлоумышленники (внешние и внутренние) для компрометации систем часто используют параметры безопасности и пароли, заданныепроизводителем.

Свежие статьи
Популярно сейчас
Зачем заказывать выполнение своего задания, если оно уже было выполнено много много раз? Его можно просто купить или даже скачать бесплатно на СтудИзбе. Найдите нужный учебный материал у нас!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Нашёл ошибку?
Или хочешь предложить что-то улучшить на этой странице? Напиши об этом и получи бонус!
Бонус рассчитывается индивидуально в каждом случае и может быть в виде баллов или бесплатной услуги от студизбы.
Предложить исправление
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
4986
Авторов
на СтудИзбе
471
Средний доход
с одного платного файла
Обучение Подробнее