Процедуры аудита безопасности PCI DSS 1_1 (1027415), страница 11
Текст из файла (страница 11)
Например,убедиться, что эти контейнеры оснащены замками,предотвращающими доступ к их содержимому9.10.2 Удалением без возможностивосстановления,размагничиванием, измельчениемили уничтожением иным способомэлектронныхносителейдляисключениявозможностивоссоздания данных платежныхкарт9.10.2 Убедиться в том, что электронные носителиразрушаются таким образом, что отсутствует возможностьпоследующего восстановления данных, – с помощьюспециализированногоПОудаленияфайлов,размагничивания или физического уничтожения носителейРегулярный мониторинг и тестирование сетейТребование 10: Должен отслеживаться и контролироваться любой доступ к сетевым ресурсам и данным платежных картМеханизмы регистрации событий и возможность отслеживания действий пользователей крайне необходимы. Наличие зарегистрированных событийво всех средах предоставляет возможность расследования и анализа при инцидентах.
Определение причины компрометации является крайнезатруднительным без журналов регистрации событий.10.1 Должен быть реализованпроцесс,связывающийосуществление любого доступа ксистемнымкомпонентам(вособенностидоступасиспользованием административныхпривилегий, например, root) сконкретными пользователями10.1 Просмотреть настройки и проинтервьюироватьсистемных администраторов, для того чтобы убедиться втом, что включены и ведутся журналы аудита, включая аудитлюбых подключенных беспроводных сетей10.2Длявсехсистемных 10.2 С помощью интервьюирования, просмотра журналовкомпонентов должна выполняться аудита и настроек журналов аудита убедиться, что врегистрация событий с целью журналы регистрации событий вносятся следующие события:восстановления:10.2.1 Любого пользовательского 10.2.1 Любой доступ индивидуальных пользователей кдоступа к данным платежных карт данным платежных карт10.2.2 Всех действий, выполненных 10.2.2 Все действия, предпринятые любым сотрудником ссиспользованием административными полномочиямиадминистративных привилегий10.2.3 Доступа ко всем журналам 10.2.3 Доступ ко всем журналам аудитарегистрации событийCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 43Процедура тестирования/аудитаТребование10.2.4Неудачныхлогического доступаСоответствиеНесоответствиеДата устранения/комментарийпопыток 10.2.4 Неудачные попытки логического доступа10.2.5 Использования механизмов 10.2.5 Использованиеидентификации и аутентификации аутентификациимеханизмовидентификации10.2.6 Инициализациирегистрации событийжурналов 10.2.6 Инициализация журналов аудита10.2.7Созданияисистемных объектовудаления 10.2.7 Создание и удаление системных объектови10.3 В регистрируемых событиях 10.3 С помощью интервьюирования и просмотра результатовдлякаждогосистемного аудита для каждого наблюдаемого события (из п.
10.2)компонента должны записываться убедиться, что в журналы аудита включается следующее:по крайней мере следующиеэлементы:10.3.1пользователяИдентификатор 10.3.1 Идентификатор пользователя10.3.2 Тип события10.3.2 Тип события10.3.3 Дата и время10.3.3 Дата и время10.3.4 Индикатор успеха или отказа 10.3.4 Индикатор успеха или отказа10.3.5 Источник события10.3.5 Источник события10.3.6Идентификаторили 10.3.6 Идентификатор или название задействованныхназвание задействованных данных, данных, системного компонента или ресурсасистемногокомпонентаилиресурса10.4Должнавыполняться 10.4 Ознакомиться с процессом получения и распределениясинхронизация времени на всех точного времени внутри организации, а также с настройками,критичных системахотносящимися к установке системного времени для выборкисистемныхкомпонентов,критичныхсерверовибеспроводных точек доступа.
Убедиться, что в реализациюпроцесса включено следующее:10.4.a Убедиться, что NTP или подобнаяиспользуется для синхронизации временитехнология10.4.b Убедиться, что не все внутренние серверы получаютсигналы о времени с внешних источников (2 или 3центральных сервера времени в организации получаютCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 44ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийсигналы времени с внешних источников – непосредственнопо радио, с GPS-спутников или других внешних источников,основанных на International Atomic Time или UTC (ранееGMT), взаимодействуют друг с другом для поддержанияточного времени и предоставляют информации о точномвремени внутренним серверам)10.4.c Убедиться,протокола NTPчтоиспользуетсяпоследняяверсия10.4.d Убедиться, что определены конкретные внешниехосты, с которых серверы времени принимают обновлениявремени NTP (для того чтобы предотвратить возможностьизменения времени злоумышленником).
Эти обновлениямогут быть зашифрованы с помощью симметричного ключа,также могут быть созданы списки управления доступом,определяющие клиентские устройства, которым будетпредоставленсервисNTP(дляпредотвращениянесанкционированного использования внутренних сервероввремени). Для дополнительной информации обратитесь кресурсу www.ntp.org10.5 Журналы регистрации событий 10.5 Проинтервьюировать системных администраторов,должныбытьзащищеныот просмотреть права доступа и убедиться, что журналы аудитавнесения измененийзащищены от внесения изменений, следующим образом:10.5.1Просмотржурналов 10.5.1 Убедиться, что файлы журналов аудита могутрегистрации событий должен быть просматривать только те сотрудники, кому это необходиморазрешен только тем сотрудникам, для выполнения должностных обязанностейкомуэтонеобходимодлявыполнениядолжностныхобязанностей10.5.2Файлыжурналов 10.5.2 Убедиться, что файлы журналов аудита защищены отрегистрации событий должны быть несанкционированных изменений с помощью механизмовзащищеныот контроля доступа, физического и/или сетевого разделениянесанкционированных изменений10.5.3Должновыполняться 10.5.3 Убедиться, что выполняется своевременное резервноесвоевременноерезервирование копирование файлов журналов аудита на централизованныйфайлов с зарегистрированными log-сервер или носители, где их труднее изменитьсобытиями на централизованныйlog-сервер или носители, где ихсложнее изменитьCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 45ТребованиеПроцедура тестирования/аудита10.5.4Журналырегистрациисобытий для беспроводных сетейдолжны копироваться на log-серверво внутренней сети10.5.4 Убедиться, что журналы регистрации событий длябеспроводных сетей выгружаются или копируются нацентрализованный внутренний log-сервер или защищенныеот изменения носители10.5.5 Для журналов регистрациисобытий должно использоватьсяпрограммноеобеспечениеконтроля целостности файлов иобнаруженияизмененийдляобеспечениятого,чтосуществующие данные в журналахне смогут быть изменены безгенерации предупреждения (приэтом добавление новых данных недолжновызыватьгенерациипредупреждения)10.5.5 Просмотрев системные настройки, наблюдаемыефайлы, а также результаты мониторинга изменений,убедиться в использовании ПО контроля целостностифайлов и обнаружения изменений для журналов регистрациисобытий10.6 Должен выполняться покрайнеймереежедневныйпросмотржурналовзарегистрированных событий длявсехсистемныхкомпонентов.Просмотр журналов регистрациисобытий должен включать журналысерверов, выполняющих функцииобеспечениябезопасности,например, систем обнаружениявторжений(IDS)исервероваутентификации, авторизации иучета (Authentication, Authorization,Accounting,AAA),например,RADIUS.Для достижения соответствиятребованию10.6можетиспользоваться инструментарийдля сбора, анализа событий иуведомления.10.6.a Ознакомиться с политиками и процедурами в областиИБ и убедиться, что они содержат процедуры по крайнеймере ежедневного просмотра журналов регистрации событийИБ и обязательную обработку необычных событийСоответствиеНесоответствиеДата устранения/комментарий10.6.b С помощью наблюдения и интервьюированияубедиться в осуществлении периодического просмотражурналов регистрации событий для всех системныхкомпонентов10.7 Журналы регистрации событий 10.7.a Ознакомиться с политиками и процедурами ИБ идолжны храниться по крайней мере убедиться, что они содержат политики хранения журналовв течение 1 года, при этом в аудита и предъявляют требования к хранению журналовCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 46ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийтечение3 месяцевжурналы аудита по крайней мере в течение годадолжны быть доступны в режиме10.7.b Убедиться, что журналы аудита доступны в режимеоперативного доступаонлайн или на ленточном носителеТребование 11: Должно выполняться регулярное тестирование систем и процессов обеспечения безопасностиУязвимости постоянно обнаруживаются злоумышленниками и исследователями, а также вносятся вместе с новым программным обеспечением.Системы, процессы и разрабатываемое программное обеспечение должны периодически тестироваться в целях поддержания с течением времени, атакже при любых изменениях в программном обеспечении надлежащего уровня защищенности.11.1Должнопроводитьсяежегодное тестирование защитныхмер,ограниченийисетевыхподключений дляобеспеченияуверенности в их способностиидентифицировать и блокироватьлюбыепопыткинесанкционированногодоступа.Дляидентификациивсехиспользующихсябеспроводныхустройств должен по крайней мереежеквартальноиспользоватьсяанализатор беспроводных сетей11.1.a Проинтервьюировать сотрудников, ответственных заобеспечение ИБ, ознакомиться с соответствующимиправилами, документацией и процессами и удостовериться,чтовыполняетсятестированиезащищенностииспользующихся устройств для обеспечения гарантии, чтоприменяющиеся защитные меры идентифицируют иблокируют попытки несанкционированного доступа в средеплатежных карт11.2Внутренниеивнешниесканирования уязвимостей сетидолжны проводиться по крайнеймере ежеквартально или послелюбого значительного изменения винфраструктуре сети (например,при установке новых системныхкомпонентов, изменениях в сетевойтопологии, модификации правилмежсетевого экранирования илиобновлении версий продуктов).Ежеквартальноевнешнеесканирование уязвимостей сетидолжновыполнятьсяорганизацией,квалификациякоторойподтвержденаплатежнымисистемами.11.2.a Просмотретьрезультаты четырехпоследнихежеквартальныхсканированийуязвимостейсети,вычислительных ресурсов и приложений и удостовериться втом,что выполняетсяпериодическоетестированиезащищенности устройств в среде платежных карт.Убедиться, что в случае обнаружения уязвимостейвыполняются повторные сканирования до получениярезультатов, в которых отсутствуют уязвимостиCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасности11.1.b Убедиться, что анализатор беспроводных сетейиспользуется по крайней мере ежеквартально дляидентификации всех беспроводных устройств11.2.b Для того чтобы убедиться, в выполненииежеквартальных внешних сканирований в соответствии с PCISecurity Scanning Procedures, просмотреть результатыпоследних4квартальныхвнешнихсканированийуязвимостей и удостовериться в следующем:• За последний 12-месячный период проведено 4квартальных сканирования• Результаты каждого сканирования соответствуюттребованиям PCI Security Scanning ProceduresПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 47Процедура тестирования/аудитаТребованиеСканирования, проводимые послевнесения изменений в сеть, могутвыполнятьсявнутреннимперсоналом компании.•СоответствиеНесоответствиеДата устранения/комментарий(например, отсутствие критичных уязвимостей,которые требуют обязательного устранения)Сканирования были проведены производителем,квалификация которого к проведению PCI SecurityScanning Procedures подтверждена11.3 По крайней мере ежегодно, атакже после любых значительныхмодернизаций или модификацийинфраструктуры или приложений(например, обновление версии ОС,добавление подсети или webсервера)должныпроводитьсятесты на проникновение.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
