Процедуры аудита безопасности PCI DSS 1_1 (Статьи, стандарты, спецификации), страница 8

6.4.1–6.4.4Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасности6.3.7.b Удостовериться, что анализ кода выполняется как длявновь разработанного кода, так и при внесении в негоизменений.Примечание: Данное требование применяется к анализукодаразрабатываемогопрограммногообеспечения,который является частью цикла разработки программногообеспечения (System Development Life Cycle) – подобныйанализ может выполняться внутренними сотрудниками. Ккоду разрабатываемых web-приложений начиная с 30 июня2008 г.

будет применяться дополнительное требованиестандарта PCI DSS – для дополнительной информациисм. требование 6.6.Перевод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 29Процедура тестирования/аудитаТребованиеизменениями.Этидолжны включать:СоответствиеНесоответствиеДата устранения/комментарийпроцедуры 6.4.b Для выборки системных компонентов, критичныхсерверов и беспроводных точек доступа просмотреть 3последнихизмененияилипримененияобновленийбезопасности для каждого системного компонента иотследитьэтиизменениядосоответствующихдокументированныхрезультатовпроцедурконтроляизменений. Удостовериться, что для каждого просмотренногоизменениябылодокументированоследующеевсоответствии с процедурами контроля изменений:6.4.1 Документирование влияния, 6.4.1 Убедиться, что в документированные результатыоказываемого изменениемпроцедурконтроляизмененийвключеновлияние,оказываемое на клиентов каждым выбранным изменением6.4.2 Утверждение руководством6.4.3работоспособности6.4.2 Убедиться, что для каждого выбранного измененияприсутствует утверждение соответствующим руководствомТестирование 6.4.3 Убедиться, что для каждого выбранного изменениявыполнено тестирование его работоспособности6.4.4 Процедуры отката6.4.4 Убедиться, что для каждого выбранного измененияподготовлены процедуры отката6.5 Все web-приложения должныразрабатыватьсясучетомрекомендацийпопрограммированиюзащищенныхweb-приложений,например,рекомендаций OWASP.

С цельюидентификацииуязвимостей,связанныхсошибкамипрограммирования,долженвыполнятьсяанализкодаразработанных приложений, приэтомдолжновыполнятьсяпредотвращениеследующихраспространенных уязвимостей:6.5.a Ознакомиться с процессами разработки программногообеспечения для любых web-приложений. Удостовериться,что эти процессы включают обучение разработчиковприемам защищенного программирования и основываютсяOWASPGuidelinesнатакихрекомендациях,как(http://www.owasp.org)6.5.b Для любыхweb-приложений убедиться, чтореализованыпроцессы,подтверждающиеотсутствиеследующих уязвимостей:6.5.1Отсутствиепроверки 6.5.1 Отсутствие проверки корректности вводимых данныхкорректности вводимых данных6.5.2Уязвимостимеханизмов 6.5.2Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиЗлонамеренноеиспользованиеидентификаторовПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 30Процедура тестирования/аудитаТребованиеСоответствиеНесоответствиеДата устранения/комментарийконтролядоступа(например, пользователейзлоумышленноеиспользованиеидентификаторов пользователей)6.5.3Уязвимостиподсистемы 6.5.3 Злонамеренное использование учетных данных иаутентификациииуправления сеансовых «cookies»сеансами (использование учетныхданных и сеансовых cookie)6.5.4 Атаки типа Cross-Site Scripting 6.5.4 Межсайтовый скриптинг(XSS)6.5.5 Переполнение буфера6.5.5 Переполнение буфера вследствие отсутствия провероквводимых данных и по другим причинам6.5.6 Инъекции (например, SQL- 6.5.6 SQL-инъекции и другие уязвимости, связанные синъекции)инъекцией команд6.5.7Некорректнаяошибокобработка 6.5.7 Некорректная обработка ошибок6.5.8 Небезопасное хранение6.5.8 Небезопасное хранение6.5.9 Отказ в обслуживании6.5.9 Отказ в обслуживании6.5.10 Небезопасное управление 6.5.10 Небезопасное управление конфигурациямиконфигурациями6.6 Все web-приложения должны 6.6 Удостовериться, что для web-приложений реализованбыть защищены от известных атак, один из следующих методов:используя один из приведенных• Убедиться в проведении периодического анализаниже методов:кода разработанных приложений, выполняющегосяорганизацией, которая специализируется в области• Выполнение анализа кодавсехразработанныхбезопасности приложений; устранения уязвимостей,связанных с ошибками программирования, иприложений организацией,повторного анализа после исправления этихспециализирующейсявобластибезопасностиуязвимостей.приложений, на предмет• Убедиться в наличии МЭ прикладного уровня передналичия распространенныхweb-приложениямидляобнаруженияиуязвимостей.предотвращения web-атак• Установкамежсетевогоэкрана прикладного уровняперед web-приложениями.Требование 6.6 до 30 июня 2008 г.носитрекомендательныйCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 31ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийхарактер, после чего становитсяобязательным.Реализация мер по строгому контролю доступаТребование 7: Доступ к данным платежных карт должен быть ограничен в соответствии со служебной необходимостьюДанное требование обеспечивает то, что доступ к критичным данным может быть осуществлен только авторизованными сотрудниками.7.1 Доступ к вычислительным 7.1Ознакомитьсясдокументированнойполитикойресурсам и данным платежных карт управления доступом и удостовериться, что она включаетдолжен быть предоставлен только следующие положения:тем сотрудникам, которым он• Правапривилегированныхпользователейнеобходимдлявыполненияограниченыминимальнодостаточнымидолжностных обязанностейполномочиями, необходимыми для выполнения ихдолжностных обязанностей• Назначение полномочий в системах сотрудникамвыполняется в соответствии с должностью ивыполняемыми функциями• Дляпредоставленияполномочийнеобходимоналичие заявки с перечнем запрашиваемых прав,утвержденной руководством• Использование автоматизированных систем контролядоступа67.2 Для многопользовательских 7.2 Ознакомиться с настройками системы и документациейсистем должен быть реализован производителя и удостовериться, что система контролямеханизм предоставления доступа, доступа реализована и включает следующие характеристики:ограничивающийдоступпо• Распространяется на все системные компонентыпринципу необходимого знания• Назначаетпользовательскиеполномочияв(need-to-know),запрещающийсоответствии с должностью и выполняемымилюбой доступ, не разрешенныйфункциямиявно• По умолчанию запрещает любые виды доступа(некоторые системы контроля доступа по умолчаниюразрешают любой доступ, если отсутствует правилоявного запрета)6Прим.

ИЗ. В отличие от организационных мер контроля доступа.Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 32ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийТребование 8: Каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальныйидентификаторНазначение уникального идентификатора каждому лицу с правом доступа обеспечит возможность выполнения действий над критичными данными исистемами авторизованными пользователями и отслеживания действий, выполненных конкретными авторизованными пользователями.8.1 Каждому пользователю должнобыть назначено уникальное имяпользователя до предоставлениядоступа к системным компонентамили данным платежных карт8.1 Для выборки пользовательских идентификаторовпросмотреть перечень пользовательских идентификаторов иубедиться, что все пользователи имеют уникальные именапользователей для доступа к системным компонентам илиданным платежных карт8.2 В дополнение к назначениюуникального идентификатора длявсехпользователейдолжениспользоваться по крайней мереодин из следующих механизмоваутентификации:• Пароль• Устройства аутентификации(например,SecureID,сертификаты или открытыеключи)• Биометрия8.2 Для того чтобы удостовериться, что до получения доступак среде платежных карт пользователи проходят процедуруаутентификациисиспользованиемуникальногоидентификатораидополнительногомеханизмааутентификации (например, пароля), нужно выполнитьследующее:• Ознакомиться с документацией, описывающейиспользующиеся механизмы аутентификации• Длякаждогоиспользующегосямеханизмааутентификации и для каждого типа системныхкомпонентов пронаблюдать процедуру прохожденияаутентификации и убедиться, что аутентификацияфункционируетвсоответствиисдокументированными механизмами аутентификации8.3Дляпредоставленияудаленногодоступавсетьслужащимкомпании,администраторамилитретьимлицам должна быть реализованадвухфакторнаяаутентификация.Должныиспользоватьсятакиетехнологии,как RADIUS илиTACACSсаппаратнымиустройствамиаутентификации;либо VPN (на базе протоколовSSL/TLSилиIPSEC)спользовательскими сертификатами8.3 Для того чтобы удостовериться, что реализованадвухфакторная аутентификация для осуществления любогоудаленного доступа к сети, нужно понаблюдать засотрудником(например,администратором),подключающимся удаленно к сети, и убедиться, что дляпрохождения аутентификации необходимы как пароль, так идополнительный элемент аутентификации (смарт-карта, PINк аппаратному устройству аутентификации)8.4 Все пароли должны находиться 8.4.a Для выборки системных компонентов, критичныхCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 33ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийв зашифрованном виде как при серверов и беспроводных точек доступа просмотреть файлыпередаче, так и при хранении на паролей и убедиться, что пароли в них содержатся влюбых системных компонентахнечитаемом виде8.4.b Только для сервис-провайдеров: просмотреть файлыпаролей и убедиться, что пароли клиентов зашифрованы8.5Дляучетныхзаписейсотрудников и администраторов навсехсистемныхкомпонентахдолжны обеспечиваться надежнаяаутентификацияиуправлениепаролями,какописановнижеследующих пунктах:8.5 Для того чтобы удостовериться, что реализованыпроцедуры аутентификации пользователей и управленияпаролями,ознакомитьсясэтимипроцедурамиипроинтервьюировать сотрудников следующим образом:8.5.1 Должно контролироватьсядобавление, удаление и изменениепользовательскихидентификаторов, учетных данныхи других объектов идентификации8.5.1.a Для выборки учетных записей пользователей,содержащей как пользователей с административнымиполномочиями, так и рядовых пользователей, убедиться втом, что каждый пользователь уполномочен использоватьсистему в соответствии с политикой компании, следующимобразом:• Ознакомиться с заявками на получение прав доступадля каждой учетной записи• Проследив соответствие данным в заявке, убедиться,что каждая учетная запись создана в системе всоответствии с заявкой (включая назначениеуказанных в заявке привилегий и наличие в заявкенеобходимых подписей)8.5.1.b Удостовериться, что доступ к консолям управлениябеспроводными сетями имеют только администраторы8.5.2Должнавыполняться 8.5.2 Ознакомиться с парольными процедурами ипроверкаподлинности понаблюдать за сотрудниками, ответственными за ИБ, дляпользователей перед сбросом их того чтобы убедиться, что в случае запроса пользователя опаролейсбросе пароля (полученного по телефону, электроннойпочте, какому-либо web-интерфейсу или с помощью другогоспособа, не требующего присутствия пользователя) досбросапаролявыполняетсяпроверкаподлинностипользователя8.5.3 Первоначальные пароли для 8.5.3 Ознакомиться с парольными процедурами икаждого пользователя должны быть понаблюдать за сотрудниками, ответственными за ИБ, дляCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 34ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийуникальными и изменяться сразу того чтобы убедиться, что первоначальные пароли для новыхже после первого использованиясотрудниковгенерируютсяввидеуникальныхпоследовательностей для каждого сотрудника и изменяютсяпосле первого использования8.5.4.Доступсотрудника придолженаннулироватьсядлякаждого 8.5.4 Выбрать сотрудников, уволившихся за последние 6его увольнении месяцев, и просмотреть текущий перечень пользователей,немедленно чтобы убедиться, что идентификаторы пользователей извыборки неактивны или удалены8.5.5Должновыполняться 8.5.5 Для выборки пользовательских идентификаторовудалениенеактивныхучетных убедиться, что отсутствуют неактивные более чем 90 днейзаписей пользователей по крайней пользовательские учетные записимере каждые 90 дней8.5.6Учетныезаписи,использующиеся производителямидляосуществленияудаленнойподдержки, должны активироватьсятольконапериодоказанияподдержки8.5.6 Удостовериться, что учетные записи, использующиесяпроизводителями для поддержки системных компонентов,неактивны, включаются только на время, необходимое дляподдержки, и действия производителя отслеживаются8.5.7Парольныеполитикиипроцедуры должны быть доведеныдовсехпользователей,обладающихвозможностьюдоступа к данным платежных карт8.5.7 Создать выборку пользовательских идентификаторов ипроинтервьюироватьсоответствующихэтимидентификаторам пользователей, для того чтобы убедиться,что они знакомы с использующимися парольнымиполитиками и процедурами8.5.8.