Ориентирование в PCI DSS 1_1 (1027414), страница 9
Текст из файла (страница 9)
Только члены этой небольшой группы должны управлятьидентификаторами пользователей.8.5.2Должнавыполнятьсяпроверкапользователей перед сбросом их паролейподлинности Многие злоумышленники используют социальную инженерию – например, звонят вслужбу поддержки для изменения пароля и действуют как легитимный пользователь,чтобы затем получить возможность использовать идентификатор пользователя.Необходимо продумать использование секретного вопроса, ответ на который можетдать только реальный пользователь, для помощи администраторам в идентификациипользователя при восстановлении его пароля. Необходимо гарантировать, что этивопросы должным образом защищены и не являются общими.8.5.3 Первоначальные пароли для каждого пользователя Если для каждого нового пользователя устанавливается один и тот же пароль, тодолжны быть уникальными и изменяться сразу же после первого внутренний пользователь, бывший сотрудник или злоумышленник могут знать или легкообнаружить этот пароль и использовать его для получения доступа к учетным записям.использования8.5.4.
Доступ для каждого сотрудника при его увольнении Если сотрудник уволился из компании и все еще имеет доступ к ее ресурсам сдолжен немедленно аннулироватьсяиспользованием своей учетной записи, возможен несанкционированный излонамеренный доступ к данным платежных карт. Такой доступ может получить какбывший сотрудник, так и злоумышленник, использующий его учетную запись или другиенеиспользуемые учетные записи.
Рассмотрите возможность организации процессаувольнения вместе с департаментом по управлению персоналом таким образом, чтобыпроисходило немедленное уведомление об увольнении сотрудника, для того чтобы егоучетные записи были сразу заблокированы.8.5.5 Должно выполняться удаление неактивных учетных Существование неактивных учетных записей может предоставить возможностьзаписей пользователей по крайней мере каждые 90 днейэксплуатации неавторизованным пользователем неиспользуемой учетной записи иосуществления доступа к данным платежных карт.8.5.6 Учетные записи, использующиеся производителями для Предоставление производителям (например, производителям POS-терминалов)осуществления удаленной поддержки, должны активироваться круглосуточного доступа в сеть организации семь дней в неделю для поддержки системтолько на период оказания поддержкиувеличиваетвероятностьнесанкционированногодоступа,осуществляемогопользователями среды производителя или злоумышленником, который обнаружит исможет использовать внешнюю, готовую к приему подключений, точку входа в сеть.
Заболее подробными сведениями по данной теме необходимо обратиться к пп. 12.3.8 и12.3.9.8.5.7 Парольные политики и процедуры должны быть доведены Информирование всех пользователей об используемых процедурах управленияCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 30ТребованиеПояснениедо всех пользователей, обладающих возможностью доступа к паролями поможет пользователям понять эти процедуры и следовать политикам, аданным платежных карттакже предупреждать обо всех злоумышленниках, которые могут попытатьсяиспользовать их пароли для получения доступа к данным платежных карт (например,звонящих сотруднику с просьбой дать его пароль для решения какой-либо проблемы).8.5.8. Не должны использоваться групповые, разделяемые или При использовании несколькими пользователями одной и той же учетной записи ивстроенные учетные записи и паролипароля становится невозможным назначить ответственность за действия, выполненныеиндивидуальным пользователем, или эффективно регистрировать события, связанныес этими действиями, поскольку эти действия могут быть совершены любым членомгруппы.по Надежные пароли являются первой линией обороны в сети, поскольку злоумышленникобычно сначала пытается найти учетные записи со слабыми или отсутствующимипаролями.
У злоумышленника больше шансов найти слабо защищенные учетные8.5.10 Минимальная длина паролей должна составлять незаписи и скомпрометировать сеть под видом настоящего пользователя, еслименее 7 символовиспользуются короткие, легко угадываемые или не изменяемые в течение длительного8.5.11 Пароли должны состоять из числовых и буквенных времени пароли. Можно принудительно применить перечисленные к надежнымпаролям требования, активируя встроенные возможности защиты учетных записей исимволовпаролей операционной системы (например, Windows), сетей, баз данных и других8.5.12 Должно быть запрещено задание нового пароля, если он платформ.совпадаетслюбымизпоследнихчетырехранееиспользовавшихся паролей8.5.9. Пользовательские пароликрайней мере каждые 90 днейдолжныизменяться8.5.13 Количество неудачных попыток получения доступа Без реализованного механизма блокировки учетных записей злоумышленник можетдолжно быть ограничено блокированием идентификатора непрерывно пытаться подобрать пароль или вручную, или с использованиемпользователя по крайней мере после шести неудачных попытокавтоматизированных средств (программ взлома паролей) до достижения успеха иполучения доступа к пользовательской учетной записи.8.5.14 Продолжительность блокирования идентификатора Если учетная запись пользователя блокируется в результате непрекращающихсяпользователя должна составлять 30 минут или до активации попыток подбора пароля, защитные меры в виде задержки активации заблокированныхучетной записи администраторомучетных записей помогут остановить злоумышленника от непрерывного подборапароля (он будет вынужден остановиться по крайней мере на 30 минут доавтоматической активации учетной записи).
Кроме того, если требуется вмешательствоадминистратора или службы «Help Desk» для активации учетной записи, может бытьустановлено, действительно ли владелец учетной записи (из-за опечаток) являетсяпричиной блокировки.8.5.15 При отсутствии активности во время пользовательского Когда пользователи отлучаются от работающих компьютеров, имеющих доступ ксеанса более чем 15 минут должен выполняться повторный критичным данным сети или данным платежных карт, эти компьютеры могутзапрос пароля пользователя для разблокирования терминалаиспользоваться кем-нибудь в их отсутствие, что приведет к несанкционированномудоступу к учетной записи и/или ненадлежащему ее использованию.8.5.16 Должен аутентифицироваться любой доступ к любой Без использования аутентификации базы данных увеличивается потенциальнаяCopyright 2008 PCI Security Standards Council LLCNavigating PCI DSS.
Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 31ТребованиеПояснениебазе данных, содержащей данные платежных карт, в том числе возможность неавторизованного или злонамеренного доступа к ней. Кроме того,доступ, осуществляемый приложениями, администраторами и события, связанные с таким доступом, не могут быть зарегистрированы, посколькулюбыми другими пользователямипользователь не аутентифицируется и, следовательно, неизвестен системе.
Крометого, доступ к базам данных должен всегда осуществляться посредствомзапрограммированных хранимых процедур, а не посредством прямого доступа к базеданных конечными пользователями (за исключением администраторов баз данных,которые могут иметь прямой доступ к базе данных для выполнения своихадминистративных обязанностей).Copyright 2008 PCI Security Standards Council LLCNavigating PCI DSS. Understanding the Intent of the RequirementsОриентирование в PCI DSS: Понимание требованийПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Май 2008Страница 32Требование 9: Физический доступ к данным платежных карт должен быть ограниченЛюбой физический доступ к данным или системам, содержащим данные платежных карт, предоставляет возможность получения контроля надустройствами или данными, в том числе возможность удаления систем или печатных копий, и должен строго ограничиваться.ТребованиеПояснение9.1 Для ограничения и отслеживания физического доступа ксистемам, в которых хранятся, обрабатываются или передаютсяданные платежных карт, должен использоваться надежныймеханизм контроля доступа в помещения.Без контроля физического доступа существует возможность получения доступа кпомещению и к критичной информации неавторизованными лицами, а такжевозможность изменения ими конфигураций систем, внесения уязвимостей в сеть,уничтожения или кражи оборудования.9.1.1 Для наблюдения за критичными помещениями должны При отсутствии наблюдения за критичными системами гораздо труднее предотвратитьиспользоваться видеокамеры.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
