Ориентирование в PCI DSS 1_1 (1027414), страница 10
Текст из файла (страница 10)
Должен проводиться анализ и расследовать нарушения физического периметра и невозможно идентифицироватьсобранных данных и их сопоставление с другими событиями. злоумышленников.Данные видеонаблюдения должны храниться по крайней мере втечение 3 месяцев, если это не противоречит законодательству9.1.2 Физический доступ к сетевым разъемам, расположенным Ограничение доступа к сетевым разъемам предотвратит подключение злоумышленникав публично доступных местах, должен быть ограниченк легкодоступным сетевым разъемам и, следовательно, от возможности подключения квнутренним сетевым ресурсам.
Необходимо отключать сетевые разъемы, когда они неиспользуются, и включать их только при возникновении необходимости. Вобщественных помещениях, таких как конференц-залы, необходимо реализовыватьчастные сети для предоставления производителям и посетителям доступа в сетьИнтернет лишь таким образом, чтобы у них не было доступа во внутреннюю сеть.9.1.3 Физический доступ к беспроводным точкам доступа, Без обеспечения защиты доступа к беспроводным компонентам и устройстваммаршрутизаторам и портативным устройствам должен быть злоумышленники могут использовать неконтролируемые беспроводные устройстваограниченкомпании для получения доступа к сетевым ресурсам или даже подключатьсобственные устройства к беспроводной сети и получать возможностьнеавторизованного доступа.
Необходимо продумать размещение беспроводных точекдоступа и маршрутизаторов в надежных местах хранения, например, в запираемыхшкафах. Необходимо гарантировать использование надежного шифрования, такженеобходимо активировать автоматическую блокировку на беспроводных портативныхустройствах, наступающую после периода бездействия, и настроить требование вводапароля при включении.9.2 Должны быть разработаны процедуры, позволяющиеперсоналу легко отличать сотрудников компании от посетителей,особенно в тех помещениях, в которых существует возможностьполучения доступа к данным платежных карт.В данном контексте под «сотрудником» понимаютсясотрудники, работающие в компании полный рабочий день, илиCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.
Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийБез систем идентификации сотрудников (например, бейджей) и контроля за входом впомещения неавторизованные и злонамеренные пользователи могут легко получитьдоступ к помещениям с целью кражи, отключения, разрушения и уничтожениякритичных систем и данных платежных карт. Для оптимального контроля необходиморассмотреть реализацию системы контроля доступа с использованием бейджей иликарточек при входе и выходе из помещений, содержащих данные платежных карт.Перевод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 33ТребованиеПояснениечастично занятые сотрудники, временные сотрудники иперсонал, а также консультанты, постоянно находящиеся вкомпании.
Термин «посетитель» относится к производителям,гостям сотрудников, обслуживающему персоналу или лицам,которым необходимо посетить помещение в течениенепродолжительногопромежуткавремени,обычнонепревышающего один день.9.3 В отношенииследующее:всехпосетителейдолжновыполняться Контроль над посетителями очень важен для уменьшения возможности получениядоступавпомещениякомпаниинеавторизованнымипользователямиизлоумышленниками (а потенциально и к данным платежных карт).9.3.1 Авторизация до входа в помещения, в которыхобрабатываются данные платежных карт9.3.2 Выдача физического средства идентификации (например,идентификационной карточки или устройства доступа) сограниченным сроком действия, отличающего посетителей отсотрудников компании9.3.3 Изъятие физического средства идентификации передуходом или по истечении срока действияКонтроль над посетителями очень важен для гарантии того, что посетители смогутвходить лишь в те помещения, полномочия на вход в которые им предоставлены; чтоони идентифицируются именно как посетители и сотрудники смогут наблюдать за ихдеятельностью; и что продолжительность их доступа ограничена допустимымвременем посещения.9.4 Должен использоваться журнал регистрации посетителей сцелью хранения записей о посетителях.
Данный журнал долженхраниться по крайней мере в течение 3 месяцев, если это непротиворечит законодательству.Журнал регистрации посетителей является недорогим и несложным в поддержке иможет оказать помощь во время расследования потенциальных инцидентов, видентификации физического доступа в здание или помещение и потенциальногодоступа к данным платежных карт. Необходимо предусмотреть реализацию журналовна входах в помещения, в особенности, в те зоны, где присутствуют данные платежныхкарт.9.5 Носители с резервными копиями должны храниться взащищенных местах, предпочтительно во внешних помещениях,например, альтернативном или резервном помещении или вкоммерческом хранилище информации.Резервные копии могут содержать данные платежных карт и в случае их хранения внезащищенных помещениях они могут быть легко утеряны, украдены или скопированысо злым умыслом.
Для обеспечения защищенного хранения необходимо рассмотретьвозможность заключения договора с коммерческой компанией, занимающейсяхранением данных, или, для небольших компаний, использовать сейф.9.6 Должна обеспечиваться физическая защита всех бумажных иэлектронных носителей (включая компьютеры, электронныеносители,сетевоеикоммуникационноеоборудование,телекоммуникационные линии, чеки, распечатанные отчеты ифаксы), содержащих данные платежных карт.Данные платежных карт восприимчивы к неавторизованному просмотру, копированиюили сканированию, если они не защищены должным образом на портативныхносителях, распечатаны или оставлены без присмотра у какого-либо сотрудника настоле.
Необходимо продумать процедуры и процессы защиты данных платежных картна носителях, передаваемых внутренним или внешним пользователям. В отсутствиетаких процедур данные могут быть утеряны, украдены и использованы вмошеннических целях.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 34ТребованиеПояснение9.7 Должен обеспечиваться строгий контроль над внутренним иливнешним перемещением носителей всех видов, содержащихданные платежных карт, включая следующее:9.7.1 Маркировку носителей, чтобыидентифицированыкаксодержащиеинформациюони могли быть С носителем, который не маркирован как конфиденциальный, сотрудники могутконфиденциальную обращаться без должного внимания, что может привести к его утере или краже.Необходимо включить процесс классификации носителей в процедуры п.
9.6.9.7.2 Отправку носителей с доверенным курьером или с Носитель может быть утерян или украден при отправке с использованиемпомощьюдругогоспособадоставки,которыйможно неотслеживаемого метода, такого как обычная почта. Необходимо заключить договорпроконтролироватьсо службой безопасной доставки для доставки всех носителей, которые содержатданные платежных карт, для того, чтобы иметь возможность использовать их системуслежения для поддержки инвентаризации и местонахождения отправлений.9.8 Руководство должно утверждать перемещение всех носителей Перемещение данных платежных карт за пределы защищенной территории вне рамокза пределы защищенной территории (в особенности если процесса, утвержденного руководством, может привести к их утере или краже.
Безносители передаются отдельным лицам).наличия жесткого процесса не отслеживается размещение носителей, а такжеотсутствует процесс контроля над перемещением данных и их защитой. Необходимовключить разработку утвержденного руководством процесса перемещения носителей впроцедуры, рекомендованные п. 9.6.9.9 Должен обеспечиваться строгий контроль хранениядоступности носителей, содержащих данные платежных карти Без точных методов инвентаризации и контроля за хранением факт кражи или утериносителя может оставаться незамеченным в течение неопределенного периодавремени. Необходимо включить разработку процесса ограничения доступа к носителямс данными платежных карт в процедуры, рекомендованные п.
9.6.9.9.1 Должны выполняться инвентаризация и защищенное Если инвентаризация носителей не выполняется, то факт кражи или утери носителяхранение всех носителейможет оставаться незамеченным в течение длительного периода времени. Необходимовключить разработку процесса инвентаризации носителей и их защищенного храненияв процедуры, рекомендованные п. 9.6.9.10 Носители, содержащие данные платежных карт, должныуничтожаться перечисленными ниже способами, если их хранениебольше не обосновано с точки зрения соблюдения требованийзаконодательства или выполнения бизнес-задач:Если не выполняется уничтожение информации, содержащейся на жестких дискахкомпьютеров, компакт-дисках или на бумаге, использование подобной информацииможет привести к компрометации, а следовательно, к финансовым потерям, а такжепотере репутации. Например, злоумышленники могут использовать прием, известныйпод названием «разгребание мусора» (“dumpster diving”), при котором они9.10.1.Перекрестнымизмельчением, сожжениемилипросматривают мусор и используют найденную информацию для начала проведенияпреобразованием в целлюлозную массу печатных документоватаки.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
