Ориентирование в PCI DSS 1_1 (1027414), страница 13
Текст из файла (страница 13)
Отключение модемов, когда они не используются (например, модемы,использующиеся для поддержки систем производителями POS-терминалов или12.3.9 Включение модемов для осуществления поддержкидругими производителями), позволит минимизировать доступ к сетям и,производителями только при наличии необходимости иследовательно, риски. Необходимо использовать стандартные настройки модемов длянемедленное отключение после использованияих отключения после 15 минут бездействия.
За более подробными сведениями поданной теме необходимо обратиться к п. 8.5.6.12.3.10 Запрет сохранения данных платежных карт налокальных дисках, флоппи-дисках или других внешних носителяхпри осуществлении удаленного доступа к данным платежных карт.Запрещение операций копирования/вставки и печати во времясеанса удаленного доступа.Для того чтобы быть уверенными в том, что пользователи знают о запрете хранения икопирования данных платежных карт на свои персональные компьютеры или носителиинформации, в компании должна быть документированная политика, явнозапрещающая такого рода действия.12.4 Политика и процедуры информационной безопасности Без явно определенных ролей и обязанностей по обеспечению информационнойдолжны явно определять обязанности по обеспечению ИБ для безопасности взаимодействие между сотрудниками будет неэффективным, что можетсотрудников и контрагентов.привестик небезопасному внедрениюинформационныхтехнологий илиCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.
Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 42ТребованиеПояснениеиспользованию незащищенных технологий.12.5 Должны быть назначены следующие обязанности поуправлению ИБ на индивидуальных сотрудников или группысотрудников:12.5.1 Разработка, документирование и доведение досотрудников политик и процедур безопасности12.5.2 Мониторинг и анализ событий ИБ, а такжеинформирование соответствующего персонала12.5.3 Разработка, документирование и распределениепроцедур реагирования на инциденты безопасности и процедурыэскалации для обеспечения своевременной и эффективнойобработки инцидентов, связанных с безопасностью12.5.4 Администрирование пользовательских учетных записей,включая добавление, удаление и модификацию12.5.5 Мониторинг и контроль любого доступа к данным.Каждое лицо или группа лиц, которые отвечают за управление информационнойбезопасностью, должны совершенно точно понимать свои обязанности и связанные сними задачи посредством определенной политики.
Без такой ответственностиуязвимости в процессах могут открыть доступ к критичным ресурсам или даннымплатежных карт.12.6 Должна быть реализована формализованная программаповышения осведомленности сотрудников в вопросах ИБ дляобеспечения понимания сотрудниками важности защиты данныхплатежных карт.Если сотрудники не осведомлены о своей ответственности, связанной синформационной безопасностью, реализованные меры и процессы могут потерятьсвою эффективность вследствие их непреднамеренных ошибок или умышленныхдействий.12.6.1 Должно выполняться обучение сотрудников при найме Если программа осведомленности сотрудников об угрозах и проблемах, связанных сна работу и по крайней мере ежегодно (например, с информационной безопасностью, не будет включать дополнительные ежегодныеиспользованием рассылки, плакатов, заметок, собраний и т.
д.)напоминания, то сотрудники могут забыть или пренебречь основными процессами ипроцедурами обеспечения безопасности, что приведет к уязвимости критичныхресурсов и данных платежных карт.12.6.2 Сотрудники должны письменно подтверждать прочтение Требование наличия подписи сотрудника позволит гарантировать то, что они понимание политики и процедур ИБдействительно прочитал и понял все политики и процедуры обеспечения безопасности,а также то, что он обязуется действовать в соответствии с этими документами.12.7 Должны выполняться проверки потенциальных сотрудниковдля минимизации риска внутренних атак.Для таких сотрудников, как кассиры магазинов, которые имеютдоступ только к одному номеру карты единовременно припроведениитранзакции,этотребованиеноситрекомендательный характер.Детальное изучение биографии сотрудников, которые имеют доступ к даннымплатежных карт, уменьшает риск неавторизованного использования номеров счетовсотрудниками с сомнительным или криминальным прошлым.
Предполагается, что вкомпании имеется политика и процесс наведения справок, включая собственныйпроцесс принятия решений, с помощью которого результаты проверки оказываютвлияние на решение о найме или отказе в приеме на работу (или другие решения).12.8 При наличии возможности получения доступа к данным Если предприятие торгово-сервисной сети или сервис-провайдер совместноплатежных карт сервис-провайдером в договорах с сервис- используют данные платежных карт с сервис-провайдером, тогда сервис-провайдер,провайдерами должно содержаться следующее:получающий данные платежных карт, должен подписать юридический документ, вCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 43ТребованиеПояснение12.8.1 Необходимость соблюдения сервис-провайдерамиположений стандарта PCI DSS12.8.2 Соглашение, подтверждающее признание сервиспровайдерами обязанностей по обеспечению безопасностиданных платежных карт, к которым они получают доступкотором указывается его ответственность за соответствие политикам безопасностиданных платежных карт и который подтверждает признание этим сервис-провайдеромсвоей ответственности.
Это позволит гарантировать непрерывную защиту данных,осуществляемую внешними сторонами.12.9 Должен быть создан план реагирования на инциденты ИБ иобеспечена готовность немедленного реагирования на нарушениеинформационной безопасности какой-либо системы.12.9.1 (а) Должен быть разработан план реагирования наинциденты ИБ, выполняемый при компрометации системы.При отсутствии детального плана реагирования на инциденты безопасности, егораспределения, чтения и понимания ответственными сторонами замешательство иотсутствие унифицированного подхода к реагированию могут увеличить времявынужденного бездействия для бизнеса, привести к появлению в средствах массовойинформации нежелательной информации, а также к возникновению дополнительнойюридической ответственности.(b) План должен содержать по крайней мере конкретные План реагирования на инциденты должен быть детальным и содержать все ключевыепроцедуры реагирования на инциденты ИБ, процедуры элементы, которые позволят компании эффективно реагировать на обнаруженныевосстановления и обеспечения непрерывности бизнеса, процессы инциденты, подвергающие риску данные платежных карт.резервирования данных, роли и обязанности, а также стратегииуведомления при инциденте (например, информирование банковэквайреров и ассоциаций платежных карт)12.9.2 Должно проводиться по крайней мере ежегодное Без надлежащего тестирования можно пропустить ключевые пункты, что можеттестирование планаограничить область действия плана во время инцидента.12.9.3 Должны быть назначены сотрудники, реагирующие на Без наличия обученной и легкодоступной группы реагирования на инциденты сетиможет быть нанесен серьезный ущерб, а критичные данные и системы могут бытьинциденты ИБ 7 дней в неделю 24 часа в сутки.повреждены вследствие ненадлежащего обращения с целевыми системами.
Это может12.9.4 Должно выполняться соответствующее обучениепрепятствовать успешному процессу расследования, проводимому после обнаруженияперсонала, ответственного за реагирование на инциденты ИБинцидента. Если компания не располагает внутренними ресурсами, необходиморассмотреть возможность заключения договора с компанией, предоставляющейподобные услуги.12.9.5 Должно выполняться наблюдение за событиями от Данные системы мониторинга предназначены для концентрации на потенциальномсистем IDS, IPS и систем контроля целостностириске в отношении данных и критичны к быстрому реагированию для предотвращенияинцидента.Необходимо гарантировать, что системы мониторинга включаются в процессыреагирования на инциденты безопасности.12.9.6 Должен быть реализован процесс изменения и развития Внесение «полученных уроков» в план реагирования на инциденты ИБ послеплана реагирования на инциденты ИБ в соответствии с инцидента поможет поддерживать актуальность плана и реагировать на тенденции вприобретенным опытом и с учетом развития отрасли ИБобласти безопасности.12.10 Все процессинговые центры и сервис-провайдеры должны Подключенная организация – это вышестоящая организация, которая связана среализовать и поддерживать политики и процедуры управления процессинговым центром или сервис-провайдером с целью получения данныхCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.
Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 44ТребованиеПояснениеподключенными организациями, включая следующее:12.10.1 Поддержание перечня подключенных организацийплатежных карт, включая процессинговые центры, агенты, предприятия торговосервисной сети и другие сервис-провайдеры. Данное определение подключенныхорганизаций не включает «нижестоящие» организации, такие как предприятия торговосервисной сети и другие сервис-провайдеры и процессинговые центры, которыесоздали данные и теперь получают их обратно от рассматриваемой организации.
Дляэффективного управления этими подключенными организациями процессинговыецентры и сервис-провайдеры должны использовать соответствующие политики.Для предоставления информации о каждой подключенной организации и для помощи вустранении проблем, если таковые возникли, необходимо поддерживать реестрподключенных организаций.12.10.2 Необходимость выполнения проверок до подключения Политика должна включать процесс детальнойорганизациинеобходимым уровнем проверки для организации.12.10.3Необходимостьсоответствияорганизации требованиям стандарта PCI DSSподключаемой Данное требование удовлетворяется, еслиподключенной организацией согласно п.
12.8.1.проверкикомпаниявсоответствиизаключаетдоговорсс12.10.4 Определенная процедура подключения и отключения Политика должна включать перечень действий, которые необходимо предпринять приорганизацийпроцессах подключения и отключения.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
