Ориентирование в PCI DSS 1_1 (1027414), страница 3
Текст из файла (страница 3)
Без наличия действующих политик ипроцедур, в которых указывается, как персонал должен настраивать межсетевыеэкраны, организация может легко сдать злоумышленнику свою первую линию обороныв защите данных.1.1.1 Формализованный1 процесс утверждения и тестирования Политика и процесс утверждения и тестирования всех подключений и изменений ввсех подключений внешних сетей, а также изменений, вносимых в конфигурации межсетевых экранов поможет предотвратить проблемы безопасности,конфигурацию МЭвызванные неправильной настройкой сети или межсетевого экрана.1.1.2 Актуальную схему сети с указанием всех подключений Схема сети позволяет организации идентифицировать размещение всех сетевых(включая беспроводные сети) к сегментам с данными платежных устройств.
Без схемы сети некоторые сетевые устройства можно легко упустить из видукарти, не обеспечив их должной защиты, подвергнуть угрозе компрометации.1.1.3 Требования по размещению МЭ на каждом канале Использование межсетевого экрана на каждом входящем (и исходящем) подключенииподключения к сети Интернет, а также на границе между каждой сети позволяет организации выполнять мониторинг и контроль входящего и исходящегоDMZ и внутренней сетьютрафика и тем самым минимизировать шансы злоумышленника по получению доступа квнутренней сети.1.1.4 Описание групп, ролей и обязанностей в отношении Описание ролей и назначение ответственности позволяет гарантировать, чтологического управления сетевыми компонентаминазначенные лица персонально отвечают за безопасность всех компонентов,осведомлены о своей ответственности, а также свидетельствует об отсутствиинеконтролируемых устройств.1Установленный процесс, где исполнители и порядок выполняемых ими действий определены.
Обычно такой процесс документирован.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 9ТребованиеПояснение1.1.5 Документированный перечень сервисов инеобходимых для функционирования бизнес-процессовпортов, Компрометации часто происходят вследствие наличия неиспользуемых илинезащищенных служб и портов, поскольку они часто содержат общеизвестныеуязвимости, а многие организации не устанавливают обновления безопасности для1.1.6 Документирование и обоснование применения для всехслужб и портов, которые они не используют (даже в случае присутствия уязвимостей).использующихся протоколов, за исключением HTTP, SSL, SSH иКаждая организация должна четко определить, какие службы и порты необходимы дляVPNведения бизнеса, задокументировать их и обеспечить отключение или удаление всехостальных служб и портов.
Также организациям необходимо рассмотреть вариантблокирования всего сетевого трафика и последующего открытия лишь тех служб ипортов, целесообразность открытия которых определена и задокументирована.1.1.7Документированиеиобоснованиедлявсехиспользующихся небезопасных протоколов (например, FTP) суказанием причины использования протокола и реализованныхмеханизмов защиты1.1.8ЕжеквартальныймаршрутизаторовпересмотрправилМЭСуществует большое количество протоколов, которые могут потребоваться дляведения бизнеса (или которые разрешены настройками по умолчанию) ииспользоваться злоумышленниками для компрометации сети.
В добавление кобъяснению в п. 1.1.5, если небезопасные протоколы необходимы для ведениябизнеса, то нужно четко понимать риски от их использования, принимать эти риски,обосновывать использование этих протоколов, а также документировать иреализовывать механизмы защиты, которые позволяют безопасно использоватьданные протоколы.и Данныйпересмотрпредоставляеторганизациивозможностьпроведенияежеквартального удаления всех ненужных, истекших или некорректных правил игарантирует, что все наборы правил разрешают доступ только авторизованнымслужбам и портам, которые соответствуют требованиям бизнеса.1.1.9 Стандарты конфигурирования для маршрутизаторовДанные устройства вместе с межсетевыми экранами являются частью архитектуры,которая контролирует точки входа в сеть. Документированные политики помогаютсотрудникам настраивать и защищать маршрутизаторы и гарантируют надежностьпервой линии защиты данных организации.1.2 Должна быть реализована такая конфигурация МЭ, в которой Если межсетевой экран установлен, но не содержит правил, которые контролируют илизапрещается любой трафик, поступающий из недоверенных сетей ограничивают определенный трафик, то злоумышленники все равно будут иметьи устройств, за исключением протоколов, необходимых для возможность использовать уязвимые протоколы и порты для проведения атак на сеть.среды данных платежных карт.1.3 Должна быть реализована такая конфигурация МЭ, котораяограничивает возможность установления подключений междупублично доступными серверами (включая любые подключения избеспроводных сетей) и любыми системными компонентами, вкоторых хранятся данные платежных карт.
Такая конфигурациядолжна предусматривать:1.3.1 Ограничение входящего интернет-трафика IP-адресами Обычно пакет содержит IP-адрес компьютера, который его отправил. Это позволяетCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 10ТребованиеПояснениевнутри DMZ (входная фильтрация)другим компьютерам в сети узнать, откуда пришел пакет.
В определенных ситуацияхданный IP-адрес отправителя может быть подменен злоумышленниками.1.3.2 Запрет трафика с адресами отправителя из внутреннейНапример, злоумышленники могут отправить пакет с подмененным адресом для того,сети, поступающего в DMZ из сети Интернетчтобы (если межсетевой экран не запрещает это) пакет смог попасть во внутреннююсеть из сети Интернет и выглядел так, как будто он является внутренним и,следовательно, легитимным трафиком. Как только злоумышленники получатвозможность проникнуть внутрь сети, они могут начать компрометацию внутреннихсистем.Входная фильтрация – это способ контроля трафика, который может использоваться намежсетевом экране для фильтрации пакетов, поступающих в сеть, и обеспечениягарантии того, что IP-адреса пакетов не подменены и не выглядят как поступающие извнутренней сети.Для получения дополнительной информации по фильтрации пакетов рекомендуетсятакже изучить способы фильтрации исходящих пакетов «”egress filtering”.1.3.3 Реализацию фильтрации трафика с учетом состояниясоединений (stateful inspection), также известной как динамическаяфильтрация пакетов (когда доступ в сеть разрешается только для«установленных» соединений)Межсетевой экран, который выполняет динамическую фильтрацию пакетов, хранитинформацию о состоянии (иными словами, статус) для каждого соединения.
Сохраняяинформацию о состоянии, межсетевой экран знает, являются ли пакеты, которыевыглядят как ответ на предыдущее соединение, в действительности ответом (посколькуон «запоминает» предыдущее соединение) или же это попытка обойти межсетевойэкран, чтобы он разрешил соединение.1.3.4 Размещение базы данных во внутреннем сегменте сети, Информация о счетах платежных карт требует самого высокого уровня защитыотделенном от DMZинформации. Если информация о счетах находится внутри DMZ, то задача получениядоступа к этой информации для внешнего злоумышленника упрощается, поскольку емупонадобится преодолеть меньшее количество уровней защиты.
При отсутствиимежсетевого экрана, защищающего информацию о счетах, эти данные уязвимы как длязлоумышленников из внутренней сети, так и для всех злоумышленников, которые могутпроникнуть из внешней сети.1.3.5 Разрешение только такого входящего и исходящего Это требование вводится для предотвращения доступа злоумышленников к сетитрафика, который является необходимым для среды данных организации с использованием неавторизованных IP-адресов или предотвращенияплатежных картиспользования служб, протоколов или портов для выполнения неразрешенныхдействий (например, отправка данных, полученных из внутренней сети, внешнемусерверу).1.3.6 Обеспечение защиты и синхронизации конфигурационныхфайлов маршрутизаторов.
Например, файлы активной в данныймомент времени конфигурации (running configuration) исохраненной конфигурации (start-up configuration – загружается воперативную память в качестве активной конфигурации приCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийВ то время как активные конфигурационные файлы обычно содержат безопасныенастройки, в файлах сохраненной конфигурации может отсутствовать реализацияаналогичных настроек, поскольку они запускаются время от времени (послеперезагрузки). Перезагрузка и запуск маршрутизатора без использования безопасныхнастроек, которые присутствовали в активной конфигурации, может сказаться наПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 11ТребованиеПояснениеперезагрузке устройства) должны иметь одинаковую защищенную ослаблениизащитыиможетконфигурациюнесанкционированный доступ в сеть.позволитьзлоумышленникуполучить1.3.7 Блокирование любого входящего и исходящего трафика, Все межсетевые экраны должны содержать правило, запрещающее весь входящий ине разрешенного явноисходящий трафик, который не является необходимым.
Это позволит предотвратитьслучайные ошибки, которые могут разрешать незапланированный и потенциальноопасный входящий и исходящий трафик.1.3.8 Установку МЭ для организации защиты периметра междулюбыми беспроводными сетями и средой платежных карт иконфигурирование этих МЭ на блокирование любого трафика избеспроводных сетей или контроль этого трафика (если такойтрафик необходим для ведения бизнеса)Известная (или неизвестная) реализация и использование беспроводной технологии впределах сети компании является распространенным способом получениязлоумышленниками доступа в сеть и к данным платежных карт. Если беспроводноеустройство или сеть установлены без ведома компании, то злоумышленник может легкои «незаметно» войти в сеть.
Если межсетевые экраны не ограничивают доступ избеспроводных сетей в среду данных платежных карт, то злоумышленники, получившиенеавторизованный доступ в беспроводную сеть, могут беспрепятственно подключитьсяк среде данных платежных карт и скомпрометировать информацию о счетах.1.3.9 Установку персональных межсетевых экранов на всепортативные и личные компьютеры сотрудников, которыеобладают возможностью прямого доступа к сети Интернет(например, на ноутбуки сотрудников) и используются для доступак сети организацииЕсли на компьютере не установлен сетевой экран или антивирусное программноеобеспечение, то он может быть заражен вредоносным программным обеспечением(шпионскими программами, троянским программным обеспечением, вирусами иличервями).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
