Процедуры аудита безопасности PCI DSS 1_1 (1027415), страница 10
Текст из файла (страница 10)
Проинтервьюировать сетевых администраторов ипронаблюдать за тем, что сетевые разъемы активируютсятолько при наличии необходимости их включенияавторизованными сотрудниками. Например, в конференцзалах, использующихся для приема посетителей, должныотсутствовать сетевые разъемы с адресами, назначаемыми спомощью протокола DHCP.
В качестве альтернативыубедиться в том, что посетители в помещениях с активнымисетевыми разъемами находятся только в сопровождении9.1.3Физическийдоступкбеспроводным точкам доступа,маршрутизаторам и портативнымустройствамдолженбытьограничен9.1.3 Убедиться в том, что физический доступ кбеспроводным точкам доступа, маршрутизаторам ипортативнымустройствамсоответствующимобразомограничен9.2 Должны быть разработаны 9.2.а Ознакомиться с процессами и процедурами полученияпроцедуры,позволяющие пропусков сотрудникам, контрагентам и посетителям иперсоналулегкоотличать убедиться, что эти процессы включают следующее:сотрудниковкомпанииот• Процедуры выдачи новых пропусков, измененияпосетителей, особенно в техуровнядоступаианнулированиепропусковпомещениях, в которых существуетуволившихся сотрудников и посетителей, сроквозможность получения доступа кдействия пропусков которых истекданным платежных карт.• Ограничение доступа к системе контроля пропусковCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 39Процедура тестирования/аудитаТребованиеСоответствиеНесоответствиеДата устранения/комментарийВданномконтекстепод 9.2.b Понаблюдать за людьми в помещениях и убедиться в«сотрудником»понимаются том, что сотрудники легко отличимы от посетителейсотрудники,работающиевкомпании полный рабочий день,иличастичнозанятыесотрудники,временныесотрудники и персонал, а такжеконсультанты,постояннонаходящиеся в компании.
Термин«посетитель»относитсякпроизводителям,гостямсотрудников,обслуживающемуперсоналу или лицам, которымнеобходимо посетить помещениев течение непродолжительногопромежутка времени, обычно непревышающего один день.9.3 В отношении всех посетителей 9.3Удостовериться,чтопоотношениюдолжно выполняться следующее:сотрудникам/посетителям реализованы следующие меры:9.3.1 Авторизация допомещения,вобрабатываютсяплатежных картквхода в 9.3.1 Понаблюдать за посетителями и убедиться в том, чтокоторых они используют соответствующие пропуска. Попытатьсяданные получить доступ в центр обработки данных и убедиться, чтопропуск посетителя не позволяет получить доступ безсопровождения к помещениям, в которых хранятся данныеплатежных карт9.3.2 Выдача физического средстваидентификации(например,пропуска или устройства доступа) сограниченным сроком действия,отличающегопосетителейотсотрудников компании9.3.2 Рассмотреть пропуска сотрудников и посетителей иубедиться, что пропуска позволяют визуально отличитьсотрудников от посетителей/посторонних лиц, а также чтопропуска посетителей имеют ограниченный срок действия9.3.3Изъятиефизического 9.3.3 Понаблюдать за посетителями,покидающимисредства идентификации перед помещения, для того чтобы убедиться, что они сдаютуходом или по истечении срока пропуска при выходе или по окончании срока действиядействияCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 40Требование9.4 Должен использоваться журналрегистрации посетителей с цельюхранения записей о посетителях.Данный журнал должен хранитьсяпо крайней мере в течение 3месяцев, если это не противоречитзаконодательствуПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарий9.4.a Убедиться в использовании журнала регистрациипосетителей,вкоторыйзаноситсяосуществлениефизического доступа в помещения, в комнаты свычислительными ресурсами и центры обработки данных, вкоторых выполняется передача или хранение данныхплатежных карт9.4.b Убедиться, что журнал содержит для каждогопосетителя имя, представляемую организацию, сотрудника,разрешившего физический доступ, и хранится по крайнеймере в течение 3 месяцев9.5Носителисрезервнымикопиями должны храниться взащищенныхместах,предпочтительнововнешнихпомещениях,например,альтернативном или резервномпомещении или в коммерческомхранилище информации9.5 Убедиться, что место хранения носителей с резервнымикопиями защищено.
Убедиться, что внешние хранилищаносителей с резервными копиями периодически посещаютсядля того, чтобы удостовериться, что эти хранилищазащищены физически и от пожара9.6Должнаобеспечиватьсяфизическая защита всех бумажныхи электронных носителей (включаякомпьютеры,электронныеносители,сетевоеикоммуникационное оборудование,телекоммуникационныелинии,чеки, распечатанные отчеты ифаксы),содержащихданныеплатежных карт9.6 Убедиться, что процедуры защиты данных платежныхкарт содержат меры, обеспечивающие физическую защитубумажных и электронных носителей в комнатах свычислительным оборудованием и центрах обработкиданных (включая чеки, распечатанные отчеты, факсы,компакт-диски, диски на рабочих местах сотрудников иоткрытых рабочих пространствах, а также жесткие дискиперсональных компьютеров)9.7 Должен обеспечиваться строгийконтроль над внутренним иливнешним перемещением носителейвсех видов, содержащих данныеплатежныхкарт,включаяследующее:9.7 Убедиться в существовании политики, обеспечивающейконтроль распределения носителей, содержащих данныеплатежных карт, в том числе любых видов носителей (в томчисле распространяемых среди физических лиц)9.7.1 Маркировку носителей, чтобы 9.7.1 Убедиться, что все носители промаркированы такимони могли быть идентифицированы образом, что могут быть идентифицированы как содержащиеCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 41ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийкаксодержащие конфиденциальную информациюконфиденциальную информацию9.7.2Отправкуносителейсдовереннымкурьеромили спомощьюдругогоспособадоставки,которыйможнопроконтролировать9.7.2 Убедиться, что все носители, отправляемые за пределырабочихпомещений,регистрируются,утверждаютсяруководством и отправляются с доверенным курьером илидругим методом доставки, который можно точно отследить9.8Руководстводолжноутверждать перемещение всехносителей за пределы защищеннойтерритории (в особенности еслиносители передаются отдельнымлицам)9.8 Посмотреть записи в журнале перемещения носителей запределы защищенной территории за несколько последнихдней и убедиться в наличии в журнале подробностейперемещения и утверждения руководством9.9 Должен обеспечиваться строгийконтроль хранения и доступностиносителей, содержащих данныеплатежных карт9.9 Ознакомиться с политикой, контролирующей хранение иэксплуатацию печатных копий и электронных носителей, иубедиться, что в ней содержится требование по проведениюпериодической инвентаризации носителей9.9.1Должнывыполняться 9.9.1.a Ознакомиться с журналом инвентаризации носителейинвентаризация и защищенное иубедиться,чтовыполняетсяпериодическаяхранение всех носителейинвентаризация носителей9.9.1.b Убедиться, что выполняется защищенное хранениеносителей, понаблюдав за соответствующими процессами9.10Носители,содержащиеданные платежных карт, должныуничтожатьсяперечисленныминиже способами, если их хранениебольше не обосновано с точкизрения соблюдения требованийзаконодательства или выполнениябизнес-задач9.10.аОзнакомитьсясполитикой,контролирующейпериодическое уничтожение носителей, убедиться, что онасодержит положения об уничтожении любых носителей,содержащих данные платежных карт, и удостовериться вследующем:9.10.1.Перекрестным 9.10.1.a.
Убедиться, что печатные копии измельчаются,измельчением, сожжением или сжигаются или преобразуются в целлюлозную массу впреобразованием в целлюлозную соответствии со стандартами ISO 9564-1 или ISO 11568-3eмассу печатных документов9.10.1.b Осмотреть контейнеры, использующиеся дляхранения носителей информации для уничтожения, иCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 42ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийубедиться, что эти контейнеры защищены.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
