Процедуры аудита безопасности PCI DSS 1_1 (1027415), страница 13
Текст из файла (страница 13)
п., ознакомиться с договорами между этимиорганизациями и выполнить следующее:12.8.1 Необходимость соблюдения 12.8.1 Убедиться в наличии в договорах условийсервис-провайдерами положений обязательного соблюдения требований стандарта PCI DSSстандарта PCI DSS12.8.2Соглашение, 12.8.2 Убедиться в наличии в договорах положений поподтверждающеепризнание признанию сервис-провайдером своей ответственности засервис-провайдерамиобеспечение безопасности данных платежных картобязанностейпообеспечениюбезопасности данных платежныхкарт, к которым они получаютдоступ12.9 Должен быть создан план 12.9 Ознакомиться с планом и процедурами реагирования нареагирования на инциденты ИБ и инциденты ИБ и выполнить следующее:обеспеченаготовностьнемедленного реагирования нанарушениеинформационнойбезопасности какой-либо системы12.9.1 Должен быть разработан 12.9.1 Удостовериться, что план и процедуры реагированияплан реагирования на инциденты на инциденты ИБ включают:ИБ,выполняемыйпри• Роли, обязанности и стратегии коммуникаций вкомпрометации системы.Планслучае компрометациидолжен содержать по крайней мере• Покрытие и реагирование для всех критичныхконкретныепроцедурысистемных компонентовреагирования на инциденты ИБ,• Уведомлениепокрайнеймереассоциацийпроцедурывосстановленияиплатежных карт и банков-эквайреровобеспечениянепрерывности• Стратегию обеспечения непрерывности бизнесабизнеса, процессы резервированияпосле компрометацииданных, роли и обязанности, атакже стратегии уведомления при• Ссылки на процедуры реагирования на инциденты отинциденте(например,ассоциаций платежных карт или сами процедурыинформированиебанков• Анализ правовых требований по отчетности приCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 54Требованиеэквайреровиплатежных карт)ассоциацийПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийкомпрометациях (например, в соответствии с закономCalifornia 1386 для любой деятельности, связанной схранением данных о жителях Калифорнии в БД, вслучаедействительнойилипредполагаемойкомпрометациинеобходимоуведомитьвсехклиентов, которым может быть причинен вред врезультате компрометации)12.9.2 Должно проводиться по 12.9.2 Убедиться, что выполняется ежегодное тестированиекрайнеймереежегодное планатестирование плана12.9.3 Должны быть назначенысотрудники,реагирующиенаинциденты ИБ 7 дней в неделю 24часа в сутки12.9.3 Путем наблюдения и просмотра политик убедиться,что реализовано реагирование на инциденты ИБ в режиме24/7,включаямониторингсвидетельствлюбойнесанкционированнойдеятельности,критичныхпредупрежденийсистемIDSи/илисообщенийонесанкционированных изменениях в критичных системныхфайлах или файлах данных12.9.4Должновыполняться 12.9.4 Путем наблюдения и просмотра политик убедиться,соответствующееобучение что выполняется периодическое обучение персонала,персонала,ответственногоза ответственного за реагирование на инциденты ИБреагирование на инциденты ИБ12.9.5Должновыполнятьсянаблюдение за событиями отсистем IDS, IPS и систем контроляцелостности12.9.5 Путем наблюдения и изучения процессов убедиться,что в плане реагирования на инциденты ИБ содержитсявыполнение мониторинга и реагирования на предупрежденияот систем безопасности12.9.6 Должен быть реализованпроцесс изменения и развитияплана реагирования на инцидентыИБвсоответствиисприобретенным опытом и с учетомразвития отрасли ИБ12.9.6 Путем наблюдения и изучения политик убедиться, чтореализован процесс модификации и развития планареагирования на инциденты ИБ в соответствии сприобретенным опытом и с учетом развития отрасли ИБ12.10 Все процессинговые центры исервис-провайдерыдолжныреализоватьиподдерживатьполитики и процедуры управленияподключеннымиорганизациями,12.10 Путем наблюдения и изучения политик, процедур идополнительной документации убедиться, что реализованпроцесс управленияподключенными организациями7,выполнив следующее:7Прим.
ИЗ. Включая предприятия торгово-сервисной сети (merchants).Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 55ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийвключая следующее:12.10.1Поддержаниеперечня 12.10.1Убедиться,чтоподключенных организацийподключенных организацийподдерживаетсяперечень12.10.2 Необходимость выполнения 12.10.2 Убедиться, что процедуры подключения организациипроверокдоподключения предусматривают выполнение проверок до подключенияорганизацииорганизации12.10.3Необходимость 12.10.3 Убедиться, что процедуры подключения гарантируютсоответствияподключаемой проверку статуса соответствия организации требованияморганизациитребованиям стандарта PCI DSSстандарта PCI DSS12.10.4 Определенная процедура 12.10.4 Убедиться, что подключение и отключениеподключенияиотключения организаций выполняется в соответствии с установленнымпроцессоморганизацийCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 56ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарииПриложение А: Применимость стандарта PCI DSS к хостинг-провайдерамТребование А.1: Хостинг-провайдеры должны защищать среду данных платежных картКак упоминалось в требовании 12.8 все сервис-провайдеры, имеющие доступ к данным платежных карт (включая хостинг-провайдеров), должнысоответствовать требованиям стандарта PCI DSS.
Кроме того, в требовании 2.4 говорится о том, что хостинг-провайдеры должны защищатьсреду размещения и данные каждой обслуживаемой организации. Поэтому хостинг-провайдеры должны придавать большое значение выполнениюследующих требований:А.1 Должна выполнятьсязащита среды размещенияиданныхкаждойобслуживаемойорганизации (предприятияторгово-сервиснойсети,сервис-провайдераилидругой организации), какописываетсявпунктахА.1.1–А.1.4.Хостингпровайдердолженвыполнять эти требования вдополнение к остальнымимеющим к нему отношениетребованиям стандарта PCIDSS.Примечание: Даже в случаесоответствияхостингпровайдера перечисленнымтребованиямнеобязательнообеспечиваетсясоответствие стандартуPCIDSSорганизации,пользующейсяуслугамиэтого хостинг-провайдера.Каждая организация должнасоответствоватьстандарту PCI DSS и принеобходимостиподтверждатьсвоеA.1 При выполнении аудита PCI DSSдля хостинг-провайдеров с общейсредойдлятого,чтобыудостовериться, что разделяемыйхостинг-провайдер защищает средыразмещенияиданныхкаждойобслуживаемойорганизации(предприятия торгово-сервисной сетиисервис-провайдера),создатьрепрезентативную выборку типичныхсерверовобслуживаемыхпредприятий торгово-сервисной сети исервис-провайдеров(MicrosoftWindows и Unix/Linux) и убедиться ввыполнении пп.
A.1.1–A.1.4:Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 57ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментариисоответствие.А.1.1 Каждая организациядолжна иметь доступ толькок собственной среде данныхплатежных картA.1.1 В случае если разделяемыйхостинг-провайдерразрешаеторганизациям(например,предприятиям торгово-сервисной сетиили сервис-провайдеру) запускатьприложения,убедиться,чтосоответствующиепроцессызапускаются от имени уникальногоидентификатораорганизации.Например:• Ни одна из организаций неможетиспользоватьразделяемый идентификаторпользователя,отименикоторого запущен web-сервер• ВсеCGI-скрипты,использующиесялюбойорганизацией,должнысоздаваться и запускаться отимениуникальногоидентификаторапользователя,этойсоответствующегоорганизацииА.1.2 Доступ и привилегиикаждой организации должныограничиватьсятолькособственнойсредойплатежных картА.1.2.aУбедиться,чтопользовательскиеидентификаторылюбого прикладного процесса неявляютсяпривилегированными(root/admin)А.1.2.bУбедиться,чтокаждаяорганизация (предприятие торговосервисной сети, сервис-провайдер)имеетразрешениеначтение/запись/выполнение только длясобственных файлов и директорийили для необходимых системныхфайлов (с помощью ограниченийфайловойсистемы,списковCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 58ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарииуправления доступом, chroot, jailshell ит.
д.). ВАЖНО: не должно выполнятьсяназначениеправнафайлыорганизации для группА.1.2.c Убедиться, что пользователиорганизаций не имеют прав записи вразделяемые системные бинарныефайлыА.1.2.d Убедиться, что возможентолькопросмотрсобственныхжурналов регистрации событийА.1.2.e Для того чтобы обеспечитьгарантиютого,чтониоднаорганизация не сможет использоватьвсе ресурсы сервера с цельюэксплуатации уязвимостей (например,переполнения буфера в результатеошибки,перезагрузкиит.
п.)),убедитьсявсуществованииограниченийнаиспользованиеследующих системных ресурсов:• Дискового пространства• Полосы пропускания• Памяти• ПроцессораА.1.3Должныбытьвключеныаудитирегистрациясобытийиндивидуально для средыплатежных карт каждойорганизацииивсоответствии с требованием10 стандарта PCI DSSА.1.3.a Убедиться, что регистрациясобытийвключенаразделяемымхостинг-провайдеромследующимобразомдлясредыкаждогопредприятия торгово-сервисной сети исервис-провайдера:• Регистрациясобытийвключенадляраспространенныхприложений• По умолчанию регистрациясобытий включенаCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 59Процедура тестирования/аудитаТребование••A.1.4Должныбытьреализованыпроцессы,позволяющиепровестисвоевременноерасследование инцидентовв случае компрометацииразмещенныхданныхлюбогопредприятияторгово-сервисной сети илисервис-провайдераСоответствиеНесоответствиеДата устранения/комментарииЖурналы регистрации событийдоступныдляпросмотраорганизацией,ккоторойотносятся событияИнформация о размещениижурналоврегистрациисобытийдоводитсядоорганизации,ккоторойотносятся эти событияA.1.4 Убедиться, что в организации,являющейся разделяемым хостингпровайдером,документированыполитики, позволяющие обеспечиватьсвоевременноерасследованиеинцидентов в случае компрометациисерверовCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 60Приложение B: Компенсационные мерыКомпенсационные меры – Общие положенияИспользование компенсационных мер может быть обосновано для большинства требований стандарта PCI DSS в том случае, когда организация не можетсоответствовать технической спецификации требования, но может в значительной мере снизить связанный риск.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
