Процедуры сканирования безопасности PCI v1-1 (Статьи, стандарты, спецификации)

Стандарт безопасностиданных индустрии платежныхкарт (PCI DSS)Security ScanningProceduresПроцедуры СканированияБезопасностиВерсия 1.1Редакция: Сентябрь 2006Перевод:ЗАО НИП «ИНФОРМЗАЩИТА»PCI QSA, PCI ASVhttp://www.infosec.ruTranslated by:NIP INFORMZASCHITAPCI QSA, PCI ASVhttp://www.infosec.rupcidss@infosec.ru7-495-9802345Copyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security Standard.Security Scanning Procedurespcidss@infosec.ru7-495-9802345Перевод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Июнь 2008Страница 2Данный документ является объектом интеллектуальной собственностиЗАО НИП «Информзащита».ЗАО НИП «Информзащита» предоставляет право на использование этогодокумента в личных некоммерческих целях и в пределах своей организации.Копирование и/или передача его третьим лицам (в том числе вотредактированном виде) и/или его опубликование могут бытьосуществлены только с письменного согласия ЗАО НИП «Информзащита»,при этом продажа или любая иная возмездная передача данного документазапрещается.В случае возникновения замечаний или предложений по переводу просьбанаправлять их по адресу pcidss@infosec.ru.Данный документ предоставляется ЗАО НИП «Информзащита» в качествеинформационной услуги.

Это неофициальный перевод официальногодокумента «Payment Card Industry (PCI) Data Security Standard. SecurityScanningProcedures»,находящегосяпоадресуhttps://www.pcisecuritystandards.org/pdfs/pci_scanning_procedures_v1-1.pdf,собственность PCI Security Standards Council LLC. Текст на английскомязыке, находящийся по этому адресу, должен рассматриваться в качествеофициальной версии документа для любых целей.

В случае возникновениякаких-либо двусмысленностей или несогласованностей между этим текстоми текстом на английском языке необходимо руководствоваться оригиналом.Данный перевод публикуется в подтверждение и в согласии с условиями,определенными в договоре на разрешение перевода между PCI SSC иЗАО НИП «Информзащита». Ни PCI Security Standards Council LLC, ниЗАО НИП «Информзащита» не берут на себя ответственность за какие-либосодержащиеся здесь неточности.This translated document is provided by NIP INFORMZASCHITA as aninformational service. This is an unofficial translation of the official document,«Payment Card Industry (PCI) Data Security Standard.

Security ScanningProcedures», located athttps://www.pcisecuritystandards.org/pdfs/pci_scanning_procedures_v1-1.pdf,copyright © February 2008 PCI Security Standards Council LLC. The English textto be found at such address shall for all purposes be regarded as the officialversion of this document, and to the extent of any ambiguities or inconsistenciesbetween this text and the English text, the English text at such location shallcontrol.

This translation is published with acknowledgement of and in agreementwith terms specified in a translation permissions agreement between PCI SSCand NIP INFORMZASCHITA. Neither PCI Security Standards Council LLC nor NIPINFORMZASCHITA assume responsibility for any errors contained herein.Copyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security Standard.Security Scanning ProceduresПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Июнь 2008Страница 3ОглавлениеЦель ...................................................................................................................................

5Введение ............................................................................................................................ 5Диапазон адресов, подлежащих сканированию ............................................................. 5Процедуры сканирования ................................................................................................. 6Требования к отчетности .................................................................................................. 8Чтение и интерпретация отчетов ..................................................................................... 8Уязвимости 5-й степени критичности ...........................................................................

9Уязвимости 4-й степени критичности ........................................................................... 9Уязвимости 3-й степени критичности ......................................................................... 10Уязвимости 2-й степени критичности ......................................................................... 10Уязвимости 1-й степени критичности ......................................................................... 10Copyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security Standard.Security Scanning ProceduresПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Июнь 2008Страница 4ЦельНастоящий документ объясняет цель сканирования Payment Card Industry(PCI) Security Scan, а также помогает предприятиям торгово-сервисной сетии сервис-провайдерам в определении диапазона адресов, подлежащихсканированию для соответствия требованиям стандарта PCI DSS.

Крометого, организации, имеющие статус Approved Scanning Vendors (ASV), такжемогут использовать этот документ для содействия предприятиям торговосервисной сети и сервис-провайдерам в определении диапазона адресов,подлежащих сканированию PCI Security Scan.ВведениеСтандарт PCI DSS определяет требования для предприятий торговосервисной сети и сервис-провайдеров, которые выполняют хранение,обработку или передачу данных платежных карт. Для соблюдениятребований стандарта PCI DSS предприятиям торгово-сервисной сети исервис-провайдерам может потребоваться выполнение периодическихсканирований в соответствии с указаниями каждой платежной системы.Сканирование PCI Security Scan представляет собой сканирование,выполняемое организацией ASV, через Интернет. Сканирование PCI SecurityScan является обязательным инструментом, который должениспользоваться совместно с программой управления уязвимостями.Сканирования помогают идентифицировать уязвимости и некорректные сточки зрения безопасности конфигурации web-сайтов, приложений иинформационной инфраструктуры с IP-адресами, доступными из сетиИнтернет.Результаты сканирования сетей содержат важную информацию, котораяможет использоваться для обеспечения более эффективного процессауправления изменениями, а также для дополнительных защитных мер,повышающих защищенность ресурсов от атак из сети Интернет.Сканирование PCI Security Scan может распространяться на все предприятияторгово-сервисной сети и сервис-провайдеры с IP-адресами, доступными изсети Интернет.

В данном случае имеется в виду не столько обработкаинтернет-транзакций, сколько доступность сервисов из сети Интернет.Типовые сервисы, такие как электронная почта и доступ сотрудников к сетиИнтернет, могут привести к получению доступа к сети организации из сетиИнтернет. Наличие даже незначительных входящих/исходящих каналов ксети Интернет при отсутствии надлежащего контроля над ними можетпривести к несанкционированному доступу к системам предприятий торговосервисной сети и сервис-провайдеров и стать причиной компрометацииданных платежных карт.Диапазон адресов, подлежащих сканированиюДля соблюдения требований стандарта PCI DSS необходимо проводитьсканирование уязвимостей всех IP-адресов, доступных из сети Интернет.При обнаружении активных IP-адресов, не предоставленных клиентом,организация ASV должна обратить внимание клиента на целесообразностьих включения в диапазон сканируемых адресов.

В некоторых случаяхкомпании могут иметь большое количество доступных из сети Интернет IP-Copyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security Standard.Security Scanning ProceduresПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Июнь 2008Страница 5адресов, используя для приема платежей по картам или обработки картлишь их небольшую часть.

В этих случаях организация ASV может оказатьпомощь предприятиям торгово-сервисной сети и сервис-провайдерам вопределении диапазона адресов, подлежащих сканированию. Для сужениядиапазона адресов, подлежащих сканированию PCI Security Scan, обычномогут использоваться следующие методы сегментации:•Обеспечение физической сегментации между сегментами, вкоторых выполняется обработка данных платежных карт, иостальными сегментами.•Соответствующая логическая сегментация, при которойзапрещен трафик между сегментом сети или сетью, в которыхвыполняется обработка данных платежных карт, и остальнымисетями или сегментами сети.Всю полноту ответственностиза определение диапазона адресов,подлежащих сканированию PCI Security Scan, несут предприятия торговосервисной сети и сервис-провайдеры, однако они могут обращаться запомощью к организации ASV. В случае компрометации данных платежныхкарт через IP-адрес или компонент сети, не включенный в диапазонсканируемых адресов, ответственность возлагается на предприятие торговосервисной сети или сервис-провайдер.Процедуры сканированияДля соблюдения требования по сканированию PCI Security Scanпредприятиями торгово-сервисной сети или сервис-провайдерами их webсайты или информационная инфраструктура, имеющие IP-адреса, доступныеиз сети Интернет, должны подвергаться сканированию в соответствии сперечисленными ниже процедурами:1.Сканирования должны проводиться организацией, имеющей статусASV, включенной в перечень организаций, уполномоченныхпроводить подобные сканирования советом PCI Security StandardsCouncil.Организации ASV должны проводить сканирования в соответствии спроцедурами, описанными в документе “Technical and OperationalRequirements for Approved Scanning Vendors)(ASVs)”.