Ориентирование в PCI DSS 1_1 (1027414), страница 8
Текст из файла (страница 8)
п. 6.5.1), иполучить контроль над процессами на сервере с web-приложением.6.5.6 Инъекции (например, SQL-инъекции)Для повышения скорости подключения и уменьшения нагрузки на стороне серверачасто требуется выполнять проверку и обработку вводимых пользователем данных наCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 25ТребованиеПояснениестороне клиента. Обычно обход данной проверки является относительно тривиальнойзадачей для злоумышленника, после чего web-приложение используется для отправкивредоносных команд серверу для запуска атак на переполнение буфера, полученияконфиденциальной информации или выявления особенностей функционированиясерверного приложения.
Данная уязвимость также является популярным средствомдля выполнения мошеннических транзакций на сайтах электронной коммерции.6.5.7 Некорректная обработка ошибокЗачастую некорректная обработка ошибок может предоставить злоумышленникуинформацию, которая поможет ему скомпрометировать систему. Если злоумышленниксможет вызвать появление ошибок, которые web-приложение не сможет правильнообработать, существует возможность получения злоумышленником подробнойинформации о системе, возникновения ситуации отказа в обслуживании, нарушенияработы системы безопасности или сбоя сервера.
Например, сообщение «введеннеправильный пароль» говорит о том, что использовалось верное имя пользователя инеобходимо сфокусировать свои усилия только на подборе пароля.Необходимо использовать сообщения об ошибках более общего характера,например, «данные не могут подтверждены».6.5.8 Небезопасное хранениеЭто имеет отношение к ненадежному использованию криптографии.
Приложения,использующиекриптографию,являютсясложнымидляправильногопрограммирования, что обычно сказывается на слабой защите хранимых данных ииспользовании криптографии, которая легко взламываются.6.5.9 Отказ в обслуживанииЗлоумышленники могут использовать ресурсы web-приложения до их полногоисчерпания для того, чтобы другие пользователи не смогли использовать приложение.Злоумышленники также могут заблокировать пользовательские учетные записи иливызвать сбой приложения.6.5.10 Небезопасное управление конфигурациямиНаличие надежного стандарта конфигурирования сервера критично для защиты webприложений. Существует большое количество параметров конфигурации дляуправления безопасностью серверов, которые по умолчанию не настроены.6.6 Все web-приложения должны быть защищены от известных Атаки, направленные на web-приложения, являются распространенными и обычноатак, используя один из приведенных ниже методов:успешными, если при разработке web-приложений не использовались приемыбезопасного программирования.
Целью требования анализа кода приложений илииспользования межсетевых экранов прикладного уровня является значительноеснижение количества компрометаций web-приложений, которые приводят к утечкеданных платежных карт.•дляудовлетворенияданномутребованиюможетиспользоватьсяВыполнениеанализакодавсехразработанных Такжеприложенийорганизацией,специализирующейсяв инструментарий, выполняющий анализ кода и/или мониторинга его изменений.области безопасности приложений, на предмет наличияCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 26ТребованиеПояснениераспространенных уязвимостей.•Установка межсетевого экрана прикладного уровня передweb-приложениями.Требование 6.6 до 30 июня 2008 г.
носит рекомендательныйхарактер, после чего становится обязательным.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийМежсетевые экраны прикладного уровня используются для фильтрации и блокировкиненужного трафика на уровне приложений. Работая вместе с межсетевым экраномсетевого уровня, правильно сконфигурированный межсетевой экран прикладногоуровня позволит предотвратить атаки уровня приложений.Перевод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 27Реализация мер по строгому контролю доступаТребование 7: Доступ к данным платежных карт должен быть ограничен в соответствии со служебной необходимостьюДанное требование обеспечивает то, что доступ к критичным данным может быть осуществлен только авторизованными сотрудниками.ТребованиеПояснение7.1 Доступ к вычислительным ресурсам и данным платежных карт Чем больше людей имеют доступ к данным платежных карт, тем выше рискдолжен быть предоставлен только тем сотрудникам, которым он злонамеренного использования пользовательских учетных записей.
Предоставлениенеобходим для выполнения должностных обязанностей.доступа лишь тем сотрудникам, которым он необходим для выполнения должностныхобязанностей, позволит организации предотвратить ненадлежащее обращение сданными платежных карт, связанное с отсутствием опыта или со злым умыслом. Ворганизации должна быть разработана политика контроля доступа к данным,определяющая, как и кому предоставляется доступ.7.2 Для многопользовательских систем должен быть реализован Без механизма предоставления доступа по принципу минимальной достаточностимеханизм предоставления доступа, ограничивающий доступ по пользователь может получить доступ к данным платежных карт, в действительности непринципу необходимого знания (need-to-know), запрещающий нуждаясь в этом для выполнения должностных обязанностей.любой доступ, не разрешенный явно.Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 28Требование 8: Каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификаторНазначение уникального идентификатора каждому лицу с правом доступа обеспечит возможность выполнения действий над критичными данными исистемами авторизованными пользователями и отслеживания действий, выполненных конкретными авторизованными пользователями.ТребованиеПояснение8.1 Каждому пользователю должно быть назначено уникальное Уникально идентифицируя каждого пользователя – вместо использования одногоимя пользователя до предоставления доступа к системным идентификатора для нескольких сотрудников – организация может поддерживатькомпонентам или данным платежных карт.индивидуальную ответственность сотрудников за свои действия и эффективноотслеживать все действия, выполняемые каждым сотрудником.
Это поможет ускоритьразрешениеипредотвращениепроисходящихинцидентов,связанныхсинформационной безопасностью.8.2 В дополнение к назначению уникального идентификатора длявсех пользователей должен использоваться по крайней мере одиниз следующих механизмов аутентификации:• Пароль• Устройствааутентификации(например,SecureID,сертификаты или открытые ключи)• БиометрияДанные элементы аутентификации при использовании совместно с уникальнымиидентификаторами помогают защитить уникальные идентификаторы пользователей откомпрометации (поскольку злоумышленнику нужно знать и уникальный идентификатор,и пароль или другой элемент аутентификации).8.3 Для предоставления удаленного доступа в сеть служащимкомпании, администраторам или третьим лицам должна бытьреализованадвухфакторнаяаутентификация.Должныиспользоваться такие технологии, как RADIUS или TACACS саппаратными устройствами аутентификации; либо VPN (на базепротоколов SSL/TLS или IPSEC) с пользовательскимисертификатами.Одна из технологий двухфакторной аутентификации – двухфакторная аутентификацияс использованием одноразовых паролей (one-time passwords) применяется в техслучаях, когда требуется дополнительный элемент аутентификации для осуществлениядоступа из сред с высоким риском, например, при доступе из внешней сети.
Дляповышения уровня безопасности организация может также использоватьдвухфакторную аутентификацию при осуществлении доступа из сетей с более низкимуровнем безопасности в сети с более высоким уровнем безопасности (например, приобращении с корпоративных рабочих станций (более низкий уровень безопасности) ксерверам/базам данных с данными платежных карт (более высокий уровеньбезопасности)).8.4 Все пароли должны находиться в зашифрованном виде как при Многие сетевые устройства и приложения передают пользовательский идентификаторпередаче, так и при хранении на любых системных компонентах.и незашифрованный пароль по сети и/или хранят пароли в открытом виде (безприменения шифрования).
Злоумышленник может перехватить незашифрованныеидентификатор пользователя и пароль при их передаче, используя анализатор пакетов,или получить прямой доступ к идентификаторам и незашифрованным паролям вфайлах, в которых они хранятся, и использовать эти данные для получениянесанкционированного доступа.8.5 Для учетных записей сотрудников и администраторов на всех Поскольку одним из первых действий, которые злоумышленник предпринимает присистемных компонентах должны обеспечиваться надежная компрометации системы, является эксплуатация слабых или отсутствующих паролей,Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.
Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 29Требованиеаутентификация и управлениенижеследующих пунктах:паролями,Пояснениекакописанов важно правильно реализовать процессы для аутентификации пользователей иуправления паролями.8.5.1 Должно контролироваться добавление, удаление и Для обеспечения гарантии, что добавляемые к системам пользователи действительныизменение пользовательских идентификаторов, учетных данных и и правомочны, операциями добавления, удаления и изменения пользовательскихидентификаторов должна управлять небольшая группа сотрудников со специальнымидругих объектов идентификацииполномочиями.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
