Ориентирование в PCI DSS 1_1 (1027414), страница 6
Текст из файла (страница 6)
Ключидешифрования не должны быть привязаны к пользовательскимучетным записямCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийЦель данного требования состоит в акцентировании внимания на приемлемостииспользования шифрования диска для приведения данных платежных карт кнечитаемому виду. При шифровании дисков шифруются данные, хранящиеся нажестком диске, они автоматически расшифровываются при их запросе авторизованнымпользователем. Системы шифрования дисков перехватывают операции чтения изаписи операционной системы и выполняют соответствующие криптографическиепреобразования, не требуя каких-либо дополнительных действий со стороныпользователя, за исключением ввода пароля или парольной фразы в начале сеанса.На основе данных характеристик шифрования дисков для соответствия данномутребованию метод шифрования дисков не должен иметь:Перевод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 18ТребованиеПояснение1) прямой связи с операционной системой либо2) ключей дешифрования, связанных с учетными записями пользователей.3.5 Ключи, использующиеся для шифрования данных платежных Ключи шифрования должны быть надежно защищены, поскольку лица, получившие ккарт, должны быть защищены от несанкционированного ним доступ, смогут расшифровать данные.разглашения и ненадлежащего использования:3.5.1 Доступ к ключам должен быть предоставлен Необходимо максимально уменьшить количество лиц, имеющих доступ к ключамминимальному количеству сотрудников, которым он необходимшифрования.
Обычно это лица, отвечающие за хранение ключей.3.5.2 Должно выполняться безопасное хранение ключей. Ключи шифрования должны храниться в безопасности. Обычно они шифруются сКоличество мест хранения ключей должно быть минимизировано использованием ключей для шифрования ключей и хранятся в минимально возможномколичестве мест.3.6 Должны быть полностью документированы и реализованы всепроцессы и процедуры управления ключами для ключей,использующихся при шифровании данных платежных карт,включая следующие:Способ управления ключами шифрования представляет собой критичную частьнепрерывного обеспечения безопасности средством шифрования.
Правильноорганизованный процесс управления ключами, вне зависимости от того, выполняетсяли он вручную или автоматически в составе продукта шифрования, включает всеэлементы с 3.6.1 по 3.6.10.3.6.1 Генерация стойких ключейСредство шифрования должно генерировать стойкие ключи, как определено вдокументе «PCI DSS: Термины, аббревиатуры и акронимы» (PCI DSS Glossary,Abbreviations, and Acronyms) (“strong cryptography”).3.6.2 Безопасное распределение ключейСредство шифрования должно обеспечивать безопасное распределение ключей, здесьподразумевается, что ключи не должны распределяться в открытом виде.3.6.3 Защищенное хранение ключейСредство шифрования должно обеспечивать защищенное хранение ключей, здесьподразумевается, что ключи не должны храниться в открытом виде (необходимошифровать их с использованием ключей для шифрования ключей).3.6.4 Периодическая замена ключей:• в соответствии с рекомендациями и необходимостьюсвязанного приложения (например, смена ключейшифрования); предпочтительно автоматически;• по крайней мере ежегодно.Необходимо следовать процессам и рекомендациям по плановой замене ключей, еслиони предоставляются производителем средства шифрования.Ежегодная замена ключей шифрования является обязательной для минимизациирисков несанкционированного получения ключей шифрования и последующегодешифрования данных.3.6.5 Уничтожение устаревших ключейУстаревшие ключи, которые больше не используются или в которых нетнеобходимости, должны быть уничтожены.
Если требуется хранение устаревшихключей (например, для поддержки архивированных зашифрованных данных), то онидолжны быть надежно защищены (см. п. 3.6.6).3.6.6 Разделение ключевой информации между несколькими Разделение ролей и удвоенный контроль за ключами используются для устранениялицами и удвоенный контроль за ключами (чтобы для возможности того, что один человек получит доступ к целому ключу.
Такой контрольCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 19ТребованиеПояснениевосстановления ключа требовалось присутствие двух или трех обычно применяется для систем шифрования с ручным вводом ключа шифрования иличеловек, каждый из которых знает свою часть ключа)в случае, когда управление ключами не реализовано в продукте шифрования. Такойтип контроля обычно реализуется в аппаратных модулях защиты.3.6.7 Предотвращение несанкционированной подмены ключейСредство шифрования не должно допускать или принимать подмену ключей,инициированную неавторизованными источниками или неожиданными процессами.3.6.8 Замена скомпрометированных или заподозренных в Средство шифрования должно поддерживать и облегчать процесскомпрометации ключейскомпрометированных или заподозренных в компрометации ключей.3.6.9 Отзыв истекших или недействительных ключейЭто требование позволяет гарантировать, что ключи не смогут больше использоваться.3.6.10 Требование подписания соглашения сотрудниками, Данный процесс позволяет гарантировать передачу ролиответственными за хранение и использование ключей, в котором определенным лицам, которые признают свою ответственность.подтверждается, что они понимают обязанности и принимаютответственность по обеспечению защищенности ключейCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.
Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийзаменыПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345хранителяключейМай 2008Страница 20Требование 4: Должно обеспечиваться шифрование данных платежных карт, передаваемых по сетям общего пользованияКритичная информация должна шифроваться при передаче по сетям, в которых велика вероятность перехвата, модификации и изменения маршрутаследования данных при их передаче.ТребованиеПояснение4.1 Для защиты критичных данных платежных карт при ихпередаче по сетям общего пользования должна использоватьсянадежная криптография и протоколы, обеспечивающие защитупередаваемых данных, например, SSL/TLS, IPSEC.Примерами сетей общего пользования, которые находятся вобласти действия требований стандарта PCI DSS, являютсяИнтернет, Wi-Fi (IEEE 802.11x), GSM и GPRS.Критичные данные должны шифроваться при передаче по сетям общего пользования,потому что злоумышленник может перехватить и/или изменить их маршрут припередаче.
Необходимо обратить внимание на то, что версии протокола SSL, предшествующиеверсии 3.0, содержат документированные уязвимости, такие как переполнение буфера,которые могут быть использованы злоумышленником для получения контроля над системой.4.1.1 Передаваемые в беспроводных сетях данные платежныхкарт должны шифроваться с использованием технологий WPA илиWPA2,IPSECVPNилиSSL/TLS.Дляобеспеченияконфиденциальности и контроля доступа к беспроводной сетиникогда не следует полагаться исключительно на WEP.
В случаеесли используется WEP, необходимо:• в качестве минимально допустимой длины ключашифрованияиспользовать104бит,авектораинициализации – 24 бит• использовать его только совместно с технологией WPA(или WPA22), VPN или SSL/TLS• проводить ежеквартальную замену WEP-ключей (еслипозволяет технология – автоматически)• заменять WEP-ключи при любых изменениях в составеперсонала, обладающего доступом к ключам• ограничивать доступ на основе MAC-адресовЗлоумышленники используют свободно распространяемые и широкодоступныесредства для прослушивания беспроводного трафика. Использование надлежащегошифрования может предотвратить прослушивание и раскрытие критичнойинформации, передаваемой по сети. При эскалации злоумышленником привилегийдоступа из беспроводной сети в проводную возникло большое количествокомпрометаций данных платежных карт, хранящихся лишь в проводной сети.Запрещается использование WEP-шифрования без дополнительных защитных мер,поскольку оно является уязвимым из-за слабых векторов инициализации (IV),использующихся в процессе обмена WEP-ключами, и недостаточно частой сменыключей.
Злоумышленник может воспользоваться свободно распространяемымиинструментами для перебора возможных комбинаций ключей и преодоления защиты,обеспечиваемой шифрованием WEP.4.2 Никогда не должна выполняться отправка номеров PAN в Сообщения электронной почты могут быть перехвачены в процессе доставки почты снезашифрованном виде по электронной почте.помощью анализаторов пакетов как во внутренней, так и во внешней общедоступнойсети.2Прим. ИЗ. Вероятно, опечатка в стандарте. WPA не может быть использован одновременно с WEP. Скорее всего имелось в виду совместноеиспользование WEP и VPN или SSL|TLS.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 21Реализация программы управления уязвимостямиТребование 5: Должно использоваться и регулярно обновляться антивирусное программное обеспечениеБольшое количество вирусов проникает в сеть компании в результате обмена сообщениями электронной почты.
На всех системах, которыеподвержены воздействию вирусов, должно быть установлено антивирусное программное обеспечение для их защиты от вредоносного программногообеспечения.ТребованиеПояснение5.1 Антивирусное программное обеспечение должно бытьустановлено на всех системах, подверженных воздействиювирусов (персональных компьютерах и серверах).К системам, подверженным воздействию вирусов, обычно неотносят операционные системы на базе ОС UNIX илимейнфреймы.Существует большое количество атак, использующих широко известные эксплойты(часто опубликованные и распространяющиеся по сетям в пределах одного часа современи обнаружения уязвимости), направленных против казалось бы полностьюзащищенных систем.
Без наличия регулярно обновляемого антивирусногопрограммного обеспечения сеть подвержена воздействию новых вирусов, которыемогут нарушить ее работу.5.1.1 Антивирусное программное обеспечение должно Важно осуществлять защиту от всех типов и видов вредоносного программногообладать способностью обнаружения, удаления и защиты от обеспечения.различных видов вредоносного программного обеспечения(включая spyware, adware)5.2 Должна быть включена постоянная антивирусная защита,механизмы обеспечения антивирусной защиты должны регулярнообновляться и обладать возможностью генерации журналоврегистрации событий.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.
Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийДаже лучшее антивирусное программное обеспечение обладает ограниченнойэффективностью в случае, если используются неактуальные базы сигнатур вирусов иесли оно не запущено на точках доступа в сеть или на отдельных компьютерах.Журналы регистрации событий предоставляют возможность мониторинга за вируснойактивностью и ответными действиями антивирусного программного обеспечения.Перевод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 22Требование 6: Должна обеспечиваться безопасность при разработке и поддержке систем и приложенийЗлоумышленники используют уязвимости в системе защиты для получения привилегированного доступа в компьютерные системы.
Большинствоуязвимостей устраняются с помощью обновлений безопасности, предоставляемых производителями. Для защиты от эксплуатации уязвимостейвнутренними и внешними злоумышленниками, а также вирусами на всех системах должны быть установлены последние выпущенные приемлемыеобновления безопасности. Приемлемые обновления безопасности – это такие обновления, которые были в достаточной степени проанализированы ипротестированы, чтобы определить, что их установка не приведет к конфликтам с действующими защищенными конфигурациями. Есливыполняется разработка приложений внутри организации, большого количества уязвимостей можно избежать, используя стандартные процессыразработки систем и приемы безопасного программирования.ТребованиеПояснение6.1 Для всех системных компонентов и программного обеспечениядолжны быть установлены самые последние обновлениябезопасности, предоставленные производителями. Обновлениябезопасности, относящиеся к используемым системам, должныбыть установлены в течение одного месяца с момента их выпуска.Существует большое количество атак, использующих широко известные эксплойты(часто опубликованные в пределах одного часа со времени обнаружения уязвимости),направленных против казалось бы полностью защищенных систем.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
