Главная » Все файлы » Просмотр файлов из архивов » PDF-файлы » Процедуры аудита безопасности PCI DSS 1_1

Процедуры аудита безопасности PCI DSS 1_1 (Статьи, стандарты, спецификации), страница 7

PDF-файл Процедуры аудита безопасности PCI DSS 1_1 (Статьи, стандарты, спецификации), страница 7 Информационное обеспечение разработок (13032): Другое - 11 семестр (3 семестр магистратуры)Процедуры аудита безопасности PCI DSS 1_1 (Статьи, стандарты, спецификации) - PDF, страница 7 (13032) - СтудИзба2017-12-21СтудИзба

Описание файла

Файл "Процедуры аудита безопасности PCI DSS 1_1" внутри архива находится в следующих папках: Статьи, стандарты, спецификации, PCI DSS. PDF-файл из архива "Статьи, стандарты, спецификации", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "остальное", в предмете "информационное обеспечение разработок и исследований" в общих файлах.

Просмотр PDF-файла онлайн

Текст 7 страницы из PDF

ИЗ. Вероятно, опечатка в стандарте. WPA не может быть использован одновременно с WEP. Скорее всего имелось в виду совместное использование WEP и VPN илиSSL|TLS.Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 24ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийтехнологий WPA или WPA2, IPSEC сетях, такие как WPA или WPA2, IPSEC VPN или SSL/TLSVPNилиSSL/TLS.Для4.1.1.b При использовании протокола WEP удостовериться вобеспечения конфиденциальноститом, что:и контроля доступа к беспроводной• длина ключа шифрования не менее 104 бит, векторасети никогда не следует полагатьсяинициализации – 24 битисключительно на WEP. В случаееслииспользуетсяWEP,• WEP используется в сочетании с технологией WPAнеобходимо:или WPA2, VPN или SSL/TLS• выполняется по крайней мере ежеквартальная• в качестве минимальнодопустимой длины ключазамена совместно используемых WEP-ключей (еслишифрования использоватьпозволяет технология – автоматически)104бит,авектора• выполняется замена совместно используемых WEPинициализации – 24 битключей при любых изменениях в составе персонала,• использовать его толькоимеющего доступ к ключамсовместно с технологией• доступ ограничивается на основе MAC-адресов5WPA (или WPA2 ), VPN илиSSL/TLS• проводить ежеквартальнуюзамену WEP-ключей (еслипозволяет технология –автоматически)• заменять WEP-ключи прилюбыхизмененияхвсоставеперсонала,обладающего доступом кключам• ограничивать доступ наоснове MAC-адресов4.2 Никогда не должна выполняться 4.2.a Удостовериться, что при отправке данных платежныхотправканомеровPANв карт по электронной почте всегда используется шифрованиенезашифрованномвидепо сообщений электронной почтыэлектронной почте4.2.b Убедиться в существовании требования политики,запрещающего отправку незашифрованных номеров PAN поэлектронной почтеCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 25ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарий4.2.c Проинтервьюировать от 3 до 5 сотрудников и убедиться,что для отправки электронных сообщений, содержащихномера PAN, обязательно использование ПО, реализующегошифрование этих сообщенийРеализация программы управления уязвимостямиТребование 5: Должно использоваться и регулярно обновляться антивирусное программное обеспечениеБольшое количество вирусов проникает в сеть компании в результате обмена сообщениями электронной почты.

На всех системах, которыеподвержены воздействию вирусов, должно быть установлено антивирусное программное обеспечение для их защиты от вредоносного программногообеспечения.5.1 Антивирусное программное 5.1 Для выборки системных компонентов, критичныхобеспечениедолжнобыть серверов и беспроводных точек доступа проверить наличиеустановлено на всех системах, антивирусного ПОподверженныхвоздействиювирусов(персональныхкомпьютерах и серверах).Ксистемам,подверженнымвоздействию вирусов, обычно неотносят операционные системына базе ОС UNIX или мейнфреймы.5.1.1 Антивирусное программноеобеспечение должно обладатьспособностью обнаружения,удаления и защиты от различныхвидов вредоносного программногообеспечения (включая spyware,adware)5.1.1 Для выборки системных компонентов, критичныхсерверов и беспроводных точек доступа проверить, чтоантивирусноепрограммноеобеспечениеспособнообнаруживать, удалять и защищать от различных видоввредоносного программного обеспечения (включая spyware иadware)5.2Должнабытьвключена 5.2 Удостовериться в актуальности, активности постояннойпостоянная антивирусная защита, антивирусной защиты и возможности генерации журналовмеханизмыобеспечения регистрации событий антивирусным ПО следующим образом:антивируснойзащитыдолжны• Изучить политику и убедиться, что в ней содержатсярегулярно обновляться и обладатьтребования по обновлению антивирусного ПО ивозможностью генерации журналовсигнатур вирусоврегистрации событий• Убедиться, что в эталонной копии, используемой длятиражирования,активированыфункцииCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 26Процедура тестирования/аудитаТребование•СоответствиеНесоответствиеДата устранения/комментарийавтоматического обновления и периодическогосканирования, а также что эти функции включены ввыборкесистемныхкомпонентов,критичныхсерверов и серверов, являющихся беспроводнымиточками доступаУбедиться, что активирована регистрация событий,связанных с вирусной активностью, а также в том, чтовыполняетсяхранениежурналоврегистрациисобытий в соответствии с политикой храненияорганизацииТребование 6: Должна обеспечиваться безопасность при разработке и поддержке систем и приложенийЗлоумышленники используют уязвимости в системе защиты для получения привилегированного доступа в компьютерные системы.

Большинствоуязвимостей устраняются с помощью обновлений безопасности, предоставляемых производителями. Для защиты от эксплуатации уязвимостейвнутренними и внешними злоумышленниками, а также вирусами на всех системах должны быть установлены последние выпущенные приемлемыеобновления безопасности. Приемлемые обновления безопасности – это такие обновления, которые были в достаточной степени проанализированы ипротестированы, чтобы определить, что их установка не приведет к конфликтам с действующими защищенными конфигурациями. Есливыполняется разработка приложений внутри организации, большого количества уязвимостей можно избежать, используя стандартные процессыразработки систем и приемы безопасного программирования.6.1Длявсехсистемныхкомпонентовипрограммногообеспечениядолжныбытьустановлены самые последниеобновлениябезопасности,предоставленныепроизводителями.Обновлениябезопасности,относящиесякиспользуемым системам, должныбыть установлены в течение одногомесяца с момента их выпуска6.1.a Для выборки системных компонентов, критичныхсерверов, беспроводных точек доступа и программногообеспечения сравнить перечень установленных обновленийбезопасности с последними выпущенными производителем,чтобы убедиться, что установлены последние обновлениябезопасности6.2 Должен существовать процессидентификациивновьобнаруженныхуязвимостейбезопасности (например, подписка6.2.a Проинтервьюировать персонал, ответственный заидентификациювновьобнаруженныхуязвимостейбезопасности, для того чтобы убедиться, что процессреализованCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасности6.1.b Просмотреть политики, относящиеся к установкеобновлений безопасности, и убедиться в наличии требованияпо установке вновь выпускаемых обновлений безопасности втечение 30 днейПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 27ТребованиеПроцедура тестирования/аудитаСоответствиенарассылки,связанныесинформационной безопасностью иобнаружениемуязвимостей,свободнодоступныевсетиИнтернет).

Должно выполнятьсяобновлениестандартовконфигурированиясцельюустранения новых обнаруженныхуязвимостей6.2.b Убедиться, что процесс идентификации вновьобнаруженныхуязвимостейбезопасностисодержитиспользованиевнешнихисточниковдляполученияинформации об уязвимостях безопасности и обновлениестандартов конфигурирования систем (рассмотренных вТребовании 2).по мере обнаружения новых уязвимостей6.3Разработкапрограммногообеспечениядолжнапроизводитьсясучетомнакопленного в данной отраслиопытаиучитыватьвопросыобеспеченияинформационнойбезопасности на всех стадияхпроцесса разработки6.3 Ознакомиться с документированными процессамиразработки программного обеспечения, удостовериться, чторазработка программного обеспечения производитсясучетом накопленного в данной отрасли опыта и учитыватьвопросы обеспечения информационной безопасности на всехстадиях процесса разработки На основании изучениядокументированных процессов разработки ПО, интервью сразработчиками и анализа соответствующих данных(документации по конфигурации сети, тестовых данных иданныхсредыэксплуатации)удостовериться,чтовыполняется следующее:НесоответствиеДата устранения/комментарий6.3.1 До внедрения в среду 6.3.1 Тестируются любые изменения (включая обновления)эксплуатации должно выполняться до внедрения в среду эксплуатациитестирование всех обновленийбезопасности, а также изменений вконфигурациисистемипрограммного обеспечения6.3.2 Должны быть разделены 6.3.2 Разделяются среды разработки/тестирования и средысреды разработки, тестирования и эксплуатации и используются механизмы контроля доступаэксплуатациидля реализации разделения этих сред6.3.3Должносуществоватьразделение обязанностей в средахразработки,тестированияиэксплуатации6.3.3Существуетразделениеобязанностейсотрудниками,работающимивразработки/тестирования,исотрудникамивэксплуатациимеждусредесреде6.3.4Длятестированияили 6.3.4 Данные из среды эксплуатации (реальные номера PAN)разработкинедолжно не используются для тестирования и разработки илииспользоваться данных из среды уничтожаются перед вводом в эксплуатациюэксплуатации (реальных номеровCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 28ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийPAN)6.3.5Должновыполняться 6.3.5 Удаляются тестовые данные и учетные записи до вводаудалениетестовыхучетных в эксплуатациюзаписей и данных до внедрения всреду эксплуатации6.3.6 Учетные записи, именапользователейипароливразработанномпрограммномобеспечении должны быть удаленыдо внедрения этого программногообеспечения в среду эксплуатацииили его передачи клиенту6.3.6 В разработанном программном обеспечении удаляютсяучетные записи приложений, имена пользователей и паролидо внедрения этого программного обеспечения в средуэксплуатации или его передачи заказчику6.3.7Дляидентификациипотенциальныхуязвимостейвразработанномпрограммномобеспечении должен выполнятьсяанализ кода перед запуском этогоПО в эксплуатацию или егопередачей заказчику6.3.7.a Ознакомиться с документированными политиками иубедитьсявсуществованиитребованийанализаразработанного кода, причем анализ кода не долженвыполняться разработчиком этого кода6.4 При внесении любых измененийвсистемыипрограммноеобеспечениенеобходимоследовать процедурам управления6.4.a Ознакомиться с процедурами контроля изменений,относящимися к применению обновлений безопасности имодификации программного обеспечения, и удостовериться,что они содержат необходимость выполнения пп.

Свежие статьи
Популярно сейчас
Как Вы думаете, сколько людей до Вас делали точно такое же задание? 99% студентов выполняют точно такие же задания, как и их предшественники год назад. Найдите нужный учебный материал на СтудИзбе!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Нашёл ошибку?
Или хочешь предложить что-то улучшить на этой странице? Напиши об этом и получи бонус!
Бонус рассчитывается индивидуально в каждом случае и может быть в виде баллов или бесплатной услуги от студизбы.
Предложить исправление
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
5119
Авторов
на СтудИзбе
445
Средний доход
с одного платного файла
Обучение Подробнее