Процедуры аудита безопасности PCI DSS 1_1 (1027415), страница 12
Текст из файла (страница 12)
Данныетесты на проникновение должнывключать:11.3 Ознакомиться с результатами последнего теста напроникновение и убедиться, что тесты на проникновениевыполняются по крайней мере ежегодно, а также послелюбых значительных изменений инфраструктуры. Убедиться,что обнаруженные уязвимости устранены. Удостовериться,что тесты на проникновение включают:11.3.1 Тесты на проникновение насетевом уровне11.3.1 Тесты на проникновение на сетевом уровне11.3.2 Тесты на проникновение на 11.3.2 Тесты на проникновение на уровне приложенийуровне приложений11.4Длямониторингавсегосетевоготрафикаипредупрежденияперсоналаовозможныхкомпрометацияхдолжны использоваться системыобнаружения вторжений на уровнесети,системыобнаружениявторжений на уровне хоста исистемыпредотвращениявторжений.
Должно выполнятьсярегулярноеобновлениевсехсистемобнаруженияипредотвращения вторжений11.4.a Ознакомиться с использованием сетевых IDS и/илиIPS. Убедиться, что выполняется мониторинг всегокритичного сетевого трафика в среде данных платежных карт11.4.b Удостовериться, что используются IDS и/или IPS длямониторинга и предупреждения персонала о возможныхкомпрометациях11.4.c Ознакомиться с конфигурацией IDS/IPS и убедиться,что устройства IDS/IPS конфигурируются, эксплуатируются иобновляютсявсоответствиисрекомендациямипроизводителя для обеспечения оптимальной защиты11.5Должноиспользоваться 11.5 Убедиться в использовании ПО контроля целостности впрограммноеобеспечение среде данных платежных карт, ознакомившись с настройкамиконтроля целостности файлов, систем,наблюдаемымифайламиирезультатамиCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 48ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийуведомляющееперсонало мониторинга целостностинесанкционированных измененияхкритичных системных файлов илифайлов данных и выполняющее покрайнеймерееженедельноесравнение критичных файлов.Критичныефайлы–этонеобязательнотолькофайлы,содержащие данные платежныхкарт.
С точки зрения контроляцелостностифайловподкритичнымифайламиобычнопонимаются файлы, которые редкоизменяются, но изменение которыхможетслужитьпризнакомкомпрометациисистемыилиуказыватьнапопыткукомпрометации. Средства контроляцелостностифайловобычнопредварительно сконфигурированыперечнем критичных файлов длясоответствующейоперационнойсистемы. Другие критичные файлы,например, для разработанного ПО,должныбытьоцененыиопределенысамойкомпанией(например, предприятием торговосервиснойсетиилисервиспровайдером)Поддержание политики информационной безопасностиТребование 12: Должна поддерживаться политика информационной безопасности, регламентирующая деятельностьсотрудников и контрагентовПродуманная политика информационной безопасности определяет стратегию защиты информации в компании и распределяет обязанности заобеспечение безопасности.
Все сотрудники должны быть осведомлены о необходимости защиты данных и своих обязанностях по их защите.12.1 Должна быть разработана, 12.1.1Ознакомитьсясполитикойинформационнойопубликована,утвержденаи безопасности и убедиться, что политика опубликована идоведена до сотрудников политика доведена до пользователей (включая производителей,Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 49ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийинформационнойбезопасности, контрагентов, бизнес-партнеров)которая включает следующее:12.1.1 Учитывает все требования 12.1.1 Убедиться, что политика учитывает все требования,данного стандартаизложенные в стандарте PCI DSS12.1.2Содержитописаниеежегодногопроцессаидентификацииугрозиуязвимостей,завершающегосяформализованной оценкой рисков12.1.2Убедиться,чтополитикаИБопределяетнеобходимость процесса ежегодной идентификации угроз иуязвимостей, с результатами в виде формализованнойоценки рисков12.1.3 Проведение по крайней мереежегодного пересмотра политикиИБ и ее обновления при измененииинфраструктуры12.1.3 Убедиться, что выполняется по крайней мереежегодный пересмотр политики ИБ, при необходимости ееобновление с целью отражения изменяющихся бизнес-целейили рисков12.2 Должны быть разработанытиповыепериодическивыполняемыепроцедурыобеспечениябезопасности,соответствующиетребованиямданногостандарта(например,процедурыуправленияпользовательскимиучетнымизаписями и процедуры анализажурналов регистрации событий)12.2.аОзнакомитьсястиповымипериодическимипроцедурами обеспечения ИБ.
Убедиться, что ониреализованы в соответствии с данным документом ивключают административные и технические процедуры длякаждого из требований12.3 Должны быть разработаны 12.3Ознакомитьсясполитикойдлякритичныхполитикидопустимого использующихся сотрудниками технологий и убедиться, чтоиспользованияперсональных политика содержит следующее:устройств, которые могут бытьиспользованысотрудниками(например,модемовибеспроводных устройств), чтобыопределитьдопустимоеиспользование этих устройств длявсех сотрудников и контрагентов.Политикидопустимогоиспользования должны содержатьследующие требования:12.3.1Явноеруководствомутверждение 12.3.1 Убедиться в наличии требования в политикахдопустимого использования о необходимости явногоCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 50ТребованиеПроцедура тестирования/аудитаразрешения использованияруководствомустройствСоответствиеданногоНесоответствиеДата устранения/комментарийтипа12.3.2Прохождение 12.3.2 Убедиться в наличии требования в политикахаутентификацииперед допустимого использования о необходимости прохожденияиспользованием устройствааутентификации с использованием имени пользователя ипароля или другого метода аутентификации при каждомиспользовании устройств данного типа12.3.3 Перечень используемых 12.3.3 Убедиться в наличии требования в политикахустройств и сотрудников, имеющих допустимого использования о необходимости веденияперечня всех разрешенных устройств и сотрудников,к ним доступкоторым разрешено использование этих устройств12.3.4 Маркировка устройств суказаниемименивладельца,контактнойинформациииназначения12.3.4 Убедиться в наличии требования в политикахдопустимого использования о необходимости маркировкиустройств с указанием имени владельца, контактных данныхи назначения12.3.5 Допустимое использование 12.3.5 Убедиться в наличии в политиках информации оустройствприемлемом использовании этих устройств12.3.6 Допустимое размещение 12.3.6 Убедиться в наличии в политиках допустимогоиспользуемых устройств в сетииспользования допустимых мест подключения этих устройствк сети12.3.7 Перечень разрешенных к 12.3.7 Убедиться в наличии требования в политикахиспользованию типов устройствдопустимого использования о необходимости веденияперечня типов устройств, разрешенных к использованиюкомпанией12.3.8 Автоматическое отключение 12.3.8 Убедиться в наличии требования в политикахсеансов модемов по истечении допустимогоиспользованияонеобходимостиопределенногопериода автоматического завершения сеансов модемов по истеченииопределенного периода бездействиябездействия12.3.9 Включение модемов дляосуществленияподдержкипроизводителямитолькоприналичиинеобходимостиинемедленное отключение послеиспользования12.3.9 Убедиться в наличии требования в политикахдопустимого использования о включении модемов по запросупроизводителей только на минимально необходимое время инемедленное отключение после использования12.3.10 Запрет сохранения данных 12.3.10 Убедиться в наличии в политиках допустимогоплатежных карт на локальных использования запрета сохранения данных платежных картCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 51Требованиедисках, флоппи-дисках или другихвнешнихносителяхприосуществлении удаленного доступакданнымплатежныхкарт.Запрещениеоперацийкопирования/вставки и печати вовремя сеанса удаленного доступаПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийна локальных дисках, флоппи-дисках или других внешнихносителях при осуществлении удаленного доступа к даннымплатежных карт с помощью модема.
Убедиться, что политикизапрещают операции копирования/вставки и печати приудаленном доступе12.4Политикаипроцедуры 12.4 Убедиться, что политики, относящиеся к обеспечениюинформационнойбезопасности ИБ, явно определяют ответственность как для сотрудников,должныявноопределять так и для контрагентовобязанности по обеспечению ИБдля сотрудников и контрагентов12.5 Должны быть назначеныследующиеобязанностипоуправлению ИБ на индивидуальныхсотрудниковилигруппысотрудников:12.5 Убедиться в существовании официального назначенияобязанностей за обеспечение ИБ в целом на руководителяподразделения защиты информации (Chief Security Officer)или другого члена руководства, компетентного в вопросахобеспечения ИБ. Ознакомиться с политиками и процедурамиинформационной безопасности и убедиться, что следующиеобязанности в отношении обеспечения ИБ явно иофициально назначены:12.5.1Разработка, 12.5.1 Убедиться, чтодокументирование и доведение до распределение политиксотрудников политик и процедур назначеныбезопасности12.5.2МониторингианализсобытийИБ,атакжеинформированиесоответствующего персоналаобязанностии процедурза создание иИБ официально12.5.2 Убедиться в официальном назначении обязанностеймониторингаианализасобытийИБ,атакжеинформированиясоответствующегоруководящегоперсонала из подразделений ИБ и бизнес-подразделений12.5.3Разработка, 12.5.3 Убедиться в официальном назначении обязанностейдокументированиеи за создание и распределение процедур реагирования нараспределениепроцедур инциденты безопасности и эскалацииреагированиянаинцидентыбезопасностиипроцедурыэскалациидляобеспечениясвоевременной и эффективнойобработки инцидентов, связанных сбезопасностью12.5.4Администрирование 12.5.4 Убедиться в официальном назначении обязанностейCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 52ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийпользовательских учетных записей, за администрирование пользовательских учетных записей ивключая добавление, удаление и управление аутентификациеймодификацию12.5.5 Мониторинг и контроль 12.5.5 Убедиться в официальном назначении обязанностейлюбого доступа к даннымза мониторинг и контроль любого доступа к данным12.6 Должна быть реализованаформализованнаяпрограммаповышенияосведомленностисотрудников в вопросах ИБ дляобеспеченияпониманиясотрудниками важности защитыданных платежных карт12.6.a Убедиться в существовании документированной иутвержденной программы повышения осведомленностисотрудников в вопросах ИБ12.6.1Должновыполнятьсяобучение сотрудников при найме наработу и по крайней мере ежегодно(например,сиспользованиемрассылки,плакатов,заметок,собраний и т.
д.)12.6.1.aУбедиться,чтопрограммаповышенияосведомленности сотрудников в вопросах ИБ содержитразличные методы повышения осведомленности и обучениясотрудников (например, посредством плакатов, рассылок,собраний)12.6.2Сотрудникидолжныписьменноподтверждатьпрочтение и понимание политики ипроцедур ИБ12.6.2Убедиться,чтопрограммаповышенияосведомленности сотрудников в вопросах ИБ содержиттребование по наличию письменного подтверждениясотрудниками прочтения и понимания корпоративнойполитики ИБ12.7 Должны выполняться проверкипотенциальных сотрудников дляминимизации риска внутреннихатак.Для таких сотрудников, каккассирымагазинов,которыеимеют доступ только к одномуномеру карты единовременно припроведениитранзакции,этотребованиеноситрекомендательный характер.12.7 Проинтервьюировать руководство отдела кадров иубедиться, что наводятся справки (с учетом ограничений,налагаемых местным законодательством) о потенциальныхсотрудниках, которые будут иметь доступ к даннымплатежных карт или к среде платежных карт (примерынаведения справок – проверка предыдущих мест работы,криминальной, кредитной истории, проверка рекомендаций)Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасности12.6.b Ознакомиться с процедурами и документациейпрограммы повышения осведомленности сотрудников ввопросах ИБ и выполнить следующее:12.6.1.b Убедиться, что сотрудники посещают тренинги,связанные с повышением осведомленности в вопросах ИБ,при найме на работу и по крайней мере ежегодноПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 53Требование12.8 При наличии возможностиполучения доступа к даннымплатежныхкартсервиспровайдером в договорах с сервиспровайдерами должно содержатьсяследующее:Процедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарий12.8 В случае если аудируемая организация обмениваетсяданными платежныхкарт с другой организацией,обрабатывающей эти данные (например, организацией,предоставляющей хранение резервных копий; или любойдругой вид сервиса – услуги web-хостинга, сервиспровайдеромпообеспечениюИБ,организацией,получающей данные для моделирования нарушений (fraudmodeling)) и т.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
