Ориентирование в PCI DSS 1_1 (1027414), страница 4
Текст из файла (страница 4)
Компьютер является еще более уязвимым при осуществлении прямогоподключения к сети Интернет в обход корпоративного межсетевого экрана.Вредоносное программное обеспечение, загруженное на компьютер при подключении вобход корпоративного межсетевого экрана, при последующем подключении ккорпоративной сети может поражать информацию в корпоративной сети.1.4 Должен быть запрещен прямой доступ из публичных внешнихсетей к любым системным компонентам, на которых выполняетсяхранение данных платежных карт (например, базам данных,журналам регистрации событий, файлам трассировки).Назначением межсетевых экранов является управление и контроль всех подключениймежду общедоступными и внутренними системами (в особенности теми, в которыххранятся данные платежных карт).
Если разрешается прямой доступ междуобщедоступными системами и системами, в которых хранятся данные платежных карт,то игнорируется предлагаемая межсетевым экраном защита, и системные компоненты,хранящие данные платежных карт, могут быть подвержены компрометации.1.4.1 Должна быть реализована зона DMZ для фильтрации и DMZ – это часть межсетевого экрана, которая обращена к общедоступной сетиэкранирования любого трафика и запрета прямых маршрутов для Интернет и управляет подключениями между сетью Интернет и теми внутреннимивходящего и исходящего интернет-трафикаслужбами, которые организация считает целесообразным открыть внешнему миру(например, web-сервер).
DMZ является первой линией обороны в изоляции иразделении трафика, которому разрешено взаимодействие с внутренней сетью, оттрафика, которому это не разрешено.1.4.2 Исходящий от приложений платежных карт трафик В DMZ должна проводиться оценка всего исходящего из внутренней сети трафика,должен быть ограничен IP-адресами внутри DMZчтобы гарантировать, что весь исходящий трафик отвечает установленным правилам.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.
Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 12ТребованиеПояснениеДля того чтобы DMZ эффективно выполняла данную функцию, подключения извнутренней сети к любым адресам за ее пределами не должны разрешаться, преждечем они не пройдут через DMZ, в которой выполняется их проверка на легитимность.1.5 Для предотвращения раскрытия структуры внутреннейадресации в сети Интернет должен осуществляться IPмаскарадинг и использоваться технологии, реализующиеадресное пространство RFC 1918 – PAT (Port Address Translation)или NAT (Network Address Translation).Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийСкрытие IP-адресов (IP masquerading), которое управляется межсетевым экраном,позволяет организации иметь внутренние адреса, которые видимы только внутри сети,и внешние адреса, которые видимы извне.
Если межсетевой экран не скрывает или немаскирует IP-адреса внутренней сети, злоумышленник может обнаружить внутренниеIP-адреса и попытаться получить доступ в сеть с помощью подмены IP-адреса.Перевод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 13Требование 2: Не должны использоваться параметры безопасности и системные пароли, установленные производителем по умолчаниюЗлоумышленники (внешние и внутренние) для компрометации систем часто используют параметры безопасности и пароли, заданныепроизводителем. Эти параметры и пароли хорошо известны в хакерских сообществах и могут быть получены через открытые источникиинформации.ТребованиеПояснение2.1 До подключения системы к сети должны быть измененыпараметры, заданные производителем по умолчанию, влияющиена защищенность (в том числе пароли, SNMP-строки, а такжеудалены неиспользуемые учетные записи).Злоумышленники (внешние и внутренние по отношению к компании) часто длякомпрометации систем используют настройки, учетные записи и пароли,установленные производителем по умолчанию.
Данные параметры широко известны вхакерских сообществах и подвергают систему риску эксплуатации уязвимостей.2.1.1 Для беспроводных сред должны быть изменены значения,заданные производителем по умолчанию, включая (но неограничиваясь)следующиепараметры:WEP-ключи,идентификаторы сетей (SSID), пароли и SNMP-строки.Необходимоотключатьшироковещательнуюрассылкуидентификаторов SSID и использовать технологии WPA или WPA2для шифрования и аутентификации WPA-совместимых устройствМногие пользователи устанавливают данные устройства без утверждения руководстваи не меняют настройки, заданные производителем по умолчанию, или не настраиваютпараметры безопасности.
Если в беспроводных сетях не реализован достаточныйуровень безопасности (включая изменение параметров по умолчанию), то существуетвозможность прослушивания трафика беспроводными анализаторами пакетов,извлечения данных и паролей, атак на сеть. В дополнение протокол обмена ключамидля ранней версии шифрования стандарта 802.11x (WEP) может быть взломан и статьбесполезным в отношении защиты.2.2 Должны быть разработаны стандарты конфигурирования длявсех системных компонентов, учитывающие все известныеуязвимости и рекомендации по обеспечению безопасности систем(определенные, например, SysAdmin Audit Network SecurityNetwork (SANS), National Institute of Standards Technology (NIST) иCenter for Internet Security (CIS)).У многих операционных систем, баз данных и корпоративных приложений существуютизвестные уязвимости (или недостатки конфигурирования).
Вместе с тем известныспособы конфигурирования данных систем для устранения этих недостатков. Дляпомощи лицам, не являющимся экспертами в области безопасности, организации,специализирующиеся на защите информации, предоставляют специальныерекомендации по повышению уровня защищенности систем, в которых указаныспособы устранения уязвимостей и недостатков конфигурирования. Если не происходитустранения известных недостатков в системах (например, недостатков в настройках поограничению доступа к файлам или отключения служб и протоколов, активированныхпо умолчанию, которые не являются необходимыми), злоумышленник получаетвозможность использования многочисленных общеизвестных эксплойтов дляпроведения атак на уязвимые службы и протоколы и получения доступа к сетиорганизации.2.2.1 На каждом сервере должна быть реализована толькоодна основная функция (например, web-сервер, сервер базданных и DNS-сервер должны быть реализованы на различныхсерверах)Назначение данного требования – обеспечение того, что стандарты конфигурированиядля систем организации и процессы, связанные с ними, адресуют функции сервера,которые соответствуют различным уровням безопасности, или функции, которые могутявляться слабыми местами в организации безопасности по отношению к другимфункциям на том же сервере.
Примеры:1. База данных, требующая наличия усиленных мер безопасности, будет подвергатьсяриску в случае использования сервера совместно с web-приложением, которое должноCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 14ТребованиеПояснениебыть доступным пользователям сети Интернет.2.
Ошибка применения исправления уязвимости к казалось бы незначительнойфункции может привести к компрометации более важных функций (например, базыданных) на том же сервере.Данное требование предназначено для серверов (обычно Unix, Linux или Windows), ноне для мейнфреймов.2.2.2 Все ненужные и небезопасные сервисы и протоколы(сервисы и протоколы, не являющиеся необходимыми длявыполнения назначенных устройствам функций) должны бытьотключеныКак упоминалось в п.
1.1.7, существует большое количество протоколов, которые могутпотребоваться для ведения бизнеса (или активированы настройками по умолчанию) икоторые обычно используются злоумышленниками для компрометации сети. Данноетребование должно являться частью стандартов конфигурирования организации исвязанных с ними процессов для обеспечения гарантии того, что подобные протоколы ислужбы отключены при развертывании новых серверов.2.2.3 Параметры безопасности систем должны быть настроены Это требование введено для того, чтобы гарантировать, что стандартыдля предотвращения ненадлежащего использованияконфигурирования систем и связанные с ними процессы уделяют повышенноевнимание настройкам безопасности и параметрам, оказывающим существенноевлияние на состояние защищенности.2.2.4 Должен быть удален весь избыточный функционал, Стандарты для повышения защищенности серверов должны включать процессынапример, скрипты, драйверы, функциональные возможности, устранения ненужной функциональности, связанной с потенциальными уязвимостямиподсистемы, файловые системы и неиспользуемые web-серверы (например, удаление/отключение служб FTP или web, если они не относятся кфункциям сервера).2.3 Должно выполняться шифрование любого неконсольногоадминистративного доступа.
Для управления с помощью webинтерфейса и другого неконсольного административного доступадолжны использоваться такие технологии, как SSH, VPN илиSSL/TLS.Если при удаленном администрировании не используются безопасная аутентификацияи шифрование, то существует возможность перехвата злоумышленником критичнойинформации (например, паролей администраторов). Злоумышленник затем можетиспользовать данную информацию для получения доступа к сети, административныхправ и кражи данных.2.4 Хостинг-провайдеры должны защищать среду размещения иданные каждой обслуживаемой организации. Хостинг-провайдерыдолжнысоответствоватьдополнительнымтребованиям,описанным в приложении А: «Применимость стандарта PCI DSS кхостинг-провайдерам».Данное требование предназначено для хостинг-провайдеров, которые предоставляютобщую среду размещения данных для нескольких организаций-клиентов на одном итом же сервере.
Когда все данные находятся на одном и том же сервере и управляютсяиз единой среды, отдельные клиенты обычно не управляют настройками этихсовместно используемых серверов, т.к. разрешение добавления клиентаминебезопасных функций и скриптов окажет влияние на защищенность данных всехклиентов, размещенных на том же сервере. При компрометации злоумышленникомданных одной категории клиентов подвергнутся риску и возможности получениядоступа данные других клиентов. Дополнительные сведения содержатся в ТребованииА.1 в конце данного документа.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
