Ориентирование в PCI DSS 1_1 (1027414), страница 12
Текст из файла (страница 12)
Если беспроводноеанализатор беспроводных сетей.устройство или сеть установлены без ведома компании, то злоумышленник может легкои «незаметно» проникнуть в сеть. В дополнение к анализаторам беспроводной сети дляопределения беспроводных устройств можно использовать "nmap" и другие сетевыеутилиты, которые способны обнаруживать беспроводные устройства.11.2 Внутренние и внешние сканирования уязвимостей сетидолжны проводиться по крайней мере ежеквартально или послелюбого значительного изменения в инфраструктуре сети(например, при установке новых системных компонентов,изменениях в сетевой топологии, модификации правилмежсетевого экранирования или обновлении версий продуктов).Ежеквартальное внешнее сканирование уязвимостей сетидолжно выполняться организацией, квалификация которойподтвержденаплатежнымисистемами.Сканирования,проводимые после внесения изменений в сеть, могутвыполняться внутренним персоналом компании.Сканирование на наличие уязвимостей выполняется автоматизированными средствамив отношении внутренних и внешних точек доступа в сеть, устройств и серверов в сетидля обнаружения потенциальных уязвимостей и идентификации портов в сети, которыемогут быть обнаружены и эксплуатированы злоумышленниками.
После идентификацииуязвимостей организации устраняют их для увеличения защищенности сети.11.3 По крайней мере ежегодно, а также после любыхзначительных модернизаций или модификаций инфраструктурыили приложений (например, обновление версии ОС, добавлениеподсети или web-сервера) должны проводиться тесты напроникновение. Данные тесты на проникновение должнывключать:11.3.1 Тесты на проникновение на сетевом уровне11.3.2 Тесты на проникновение на уровне приложенийТесты на проникновение на сетевом и прикладном уровнях отличаются отсканирования на наличие уязвимостей тем, что тесты на проникновение в большейстепени выполняются вручную, действительно являются попытками эксплуатациикаких-либо уязвимостей, обнаруженных при сканировании, и соответствуютдеятельности злоумышленников, предпринимаемой для того, чтобы воспользоватьсянедостаточной защищенностью систем или процессов.Перед передачей приложений, сетевых устройств и систем в среду эксплуатации онидолжны быть защищены в соответствии с лучшими рекомендациями по обеспечениюбезопасности (согласно требованию 2.2).
С помощью сканирования на наличиеуязвимостей и тестов на проникновение обнаруживаются все оставшиеся уязвимости,Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 39ТребованиеПояснениекоторые позже могут быть обнаружены и эксплуатированы злоумышленниками.11.4 (а) Для мониторинга всего сетевого трафика ипредупреждения персонала о возможных компрометациях должныиспользоваться системы обнаружения вторжений на уровне сети,системы обнаружения вторжений на уровне хоста и системыпредотвращения вторжений.Эти средства сравнивают поступающий в сеть трафик с известными сигнатурамибольшого количества атак (инструментарий злоумышленников, троянское программноеобеспечение и т.
д.), отправляют предупреждения и/или блокируют попытку проведенияатаки в режиме реального времени. Без активного подхода к обнаружениюнесанкционированной деятельности с помощью данных средств атаки на (илиненадлежащее использование) компьютерные ресурсы могут быть не замечены вмомент выполнения. Необходимо вести мониторинг сообщений (предупреждений),генерируемых данными средствами, для возможности блокирования предпринятыхвторжений.(b) Должно выполняться регулярное обновление всех Существует большое разнообразие атак, и количество обнаруженных атаксистем обнаружения и предотвращения вторженийувеличивается с каждым днем.
Устаревшие версии систем обнаружения ипредотвращения вторжений будут иметь неактуальные сигнатуры и не смогутидентифицироватьновыеуязвимости,чтоприведеткнеобнаруженнымкомпрометациям. Производители данных продуктов предоставляют регулярные,зачастую ежедневные, обновления.11.5 Должно использоваться программное обеспечение контроляцелостностифайлов,уведомляющееперсоналонесанкционированных изменениях критичных системных файловили файлов данных и выполняющее по крайней мерееженедельное сравнение критичных файлов.Критичные файлы – это необязательно только файлы,содержащие данные платежных карт. С точки зрения контроляцелостности файлов под критичными файлами обычнопонимаются файлы, которые редко изменяются, но изменениекоторых может служить признаком компрометации системы илиуказывать на попытку компрометации. Средства контроляцелостности файлов обычно предварительно сконфигурированыперечнем критичных файлов для соответствующей операционнойсистемы.
Другие критичные файлы, например, для разработанногоПО, должны быть оценены и определены самой компанией(например, предприятием торгово-сервисной сети или сервиспровайдером).Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийОбычно системы мониторинга целостности файлов выполняют проверку на внесениеизменений в критичные файлы и генерируют предупреждения при обнаруженииизменений. Для мониторинга целостности файлов существуют как коммерческиепродукты, так и программы с открытым исходным кодом. Если мониторинг целостностифайлов не выполняется, то злоумышленник или злонамеренный пользователь можетнезаметно изменить содержимое файлов или украсть данные.Перевод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 40Поддержание политики информационной безопасностиТребование 12: Должна поддерживаться политика информационной безопасности, регламентирующая деятельность сотрудникови контрагентовПродуманная политика информационной безопасности определяет стратегию защиты информации в компании и распределяет обязанности заобеспечение безопасности.
Все сотрудники должны быть осведомлены о необходимости защиты данных и своих обязанностях по их защите.ТребованиеПояснение12.1 Должна быть разработана, опубликована, утверждена идоведенадосотрудниковполитикаинформационнойбезопасности, которая включает следующее:12.1.1 Учитывает все требования данного стандарта.12.1.2Содержитописаниеежегодногопроцессаидентификацииугрозиуязвимостей,завершающегосяформализованной оценкой рисков.12.1.3 Проведение по крайней мере ежегодного пересмотраполитики ИБ и ее обновления при изменении инфраструктуры.Политика информационной безопасности компании создает план по реализации мерзащиты наиболее ценных активов.
Надежная политика информационной безопасностиопределяет стратегию и тактику построения корпоративной защиты информации иинформирует сотрудников об их обязанностях. Все сотрудники должны бытьосведомлены о конфиденциальности данных и своей ответственности за защиту этихданных.Угрозы безопасности и методы защиты быстро развиваются с каждым годом. Безобновления политики безопасности для отражения этих изменений не будут принятыактуальные меры защиты против новых угроз.12.2 Должны быть разработаны типовые периодическивыполняемыепроцедурыобеспечениябезопасности,соответствующие требованиям данного стандарта (например,процедуры управления пользовательскими учетными записями ипроцедуры анализа журналов регистрации событий).Действующие постоянно процедуры защиты выступают в качестве «настольныхинструкций» для использования сотрудниками при выполнении своих повседневныхобязанностей по администрированию и поддержке систем.
Недокументированныедействующие процедуры защиты могут привести к тому, что сотрудники не будут знатьполный круг своих обязанностей, к процессам, которые не смогут быть воспроизведеныв кратчайшие сроки новыми сотрудниками, а также к потенциальным уязвимостям вэтих процессах, которые могут предоставить злоумышленнику возможность получениядоступа к критичным системам и ресурсам.12.3 Должны быть разработаны политики допустимогоиспользования персональных устройств, которые могут бытьиспользованы сотрудниками (например, модемов и беспроводныхустройств), чтобы определить допустимое использование этихустройств для всех сотрудников и контрагентов.
Политикидопустимого использования должны содержать следующиетребования:Политики использования могут либо запрещать использование определенныхустройств, либо содержать инструкции для сотрудников по корректному использованиюи внедрению. Если политики использования отсутствуют, то сотрудники могутиспользовать устройства в нарушение политики компании, могут установить модемыи/или беспроводные сети без реализации защитных мер и, следовательно,предоставить возможность доступа злоумышленникам к критичным системам и даннымплатежных карт. Для гарантии того, что осуществляется следование стандартамкомпании и внедряются только утвержденные технологии, необходимо ограничитьвозможностьихвнедрениятолькоопределеннымисотрудниками(специализированными отделами) и запретить их внедрение обычным сотрудникам,которые не являются специалистами.12.3.1 Явное утверждение руководствомCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.
Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийБез утверждения у руководства необходимости внедрения этих технологий сотрудникПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 41ТребованиеПояснениеможет реализовать решение для потребностей бизнеса, при этом открыв брешь всистеме безопасности и подвергнув критичные системы и данные риску вследствиедействий злоумышленника.12.3.2 Прохождение аутентификации перед использованием Если технология реализована без надлежащей аутентификации (идентификаторыустройствапользователей и пароли, электронные ключи, VPN и т. д.), злоумышленник можетвоспользоваться ей для получения доступа к критичным системам и даннымплатежных карт.12.3.3 Перечень используемых устройств и сотрудников, Злоумышленники могут преодолеть защиту физического периметра и поместить своиимеющих к ним доступсобственные устройства в сеть в качестве «черного хода» (“back door”). Сотрудникитакже могут обойти процедуры защиты и установить свои собственные устройства.12.3.4 Маркировка устройств с указанием имени владельца,Тщательнаяинвентаризацияимаркировкаустройствпозволитбыстроконтактной информации и назначенияидентифицировать несанкционированно установленные устройства.
Необходиморазработать официальное соглашение об именовании устройств, маркировать ирегистрировать все устройства в соответствии с установленными процедурамиинвентаризации.Определяя допустимое для реализации целей ведения бизнеса использование иразмещение устройств и технологий, утвержденных руководством, компания может12.3.6 Допустимое размещение используемых устройств в сетиулучшить управление и контроль над появлением брешей в конфигурациях и12.3.7 Перечень разрешенных к использованию типов действующих защитных мерах для того, чтобы исключить возможность появления«черных ходов» для злоумышленника и получения им доступа к критичным системам иустройствданным платежных карт.12.3.5 Допустимое использование устройств12.3.8 Автоматическое отключение сеансовистечении определенного периода бездействиямодемовпо Модемы зачастую могут являться «черными ходами» к критичным ресурсам и даннымплатежных карт.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
