Процедуры аудита безопасности PCI DSS 1_1 (1027415), страница 14
Текст из файла (страница 14)
За полным определениемкомпенсационных мер необходимо обратиться к документу «PCI DSS: Термины, аббревиатуры и акронимы» (PCI DSS Glossary, Abbreviations, andAcronyms).Эффективность компенсационной меры зависит от конкретной среды, в которой реализуется мера, смежных защитных мер и конфигурации меры. Компаниидолжны отдавать себе отчет в том, что какая-то конкретная компенсационная мера не будет эффективной во всех средах.
Каждая компенсационная мерадолжна быть основательно оценена после своей реализации для подтверждения своей эффективности. Ниже представлены компенсационные меры длякомпаний, которые не способны приводить данные платежных карт к нечитаемому виду в соответствии с требованием 3.4.Компенсационные меры для требования 3.4Использование компенсационных мер можно рассматривать для тех компаний, которые не могут привести данные платежных карт к нечитаемому виду(например, с помощью шифрования) в результате технических или бизнес-ограничений.
Использовать компенсационные меры для достижениясоответствия стандарту PCI DSS могут лишь компании, выполнившие анализ рисков и имеющие технические или документированные бизнесограничения.Компании, которые рассматривают возможность использования компенсационных мер, связанных с приведением данных платежных карт к нечитаемомувиду, должны понимать риск, вызываемый хранением данных платежных карт в читаемом виде. Обычно меры должны предоставлять дополнительнуюзащиту для снижения любого дополнительного риска, вызываемого хранением данных платежных карт в читаемом виде.
Рассмотренные меры должныприменяться в дополнение к мерам стандарта PCI DSS и должны удовлетворять определению компенсационных мер, которое дается в документе«PCI DSS: Термины, аббревиатуры и акронимы» (PCI DSS Glossary, Abbreviations, and Acronyms). Компенсационные меры могут состоять из устройства,комбинации устройств, приложений и мер, которые удовлетворяют всем перечисленным ниже условиям:1.
Обеспечение дополнительного уровня сегментации/абстракции (например, на сетевом уровне)2. Обеспечение возможности ограничения доступа к данным платежных карт или базам данных на основе следующих критериев:• IP-адреса/MAC-адреса• Приложения/службы• Учетные записи пользователей/групп• Тип данных (фильтрация пакетов)3. Ограничение логического доступа к базе данных• Необходимо контролировать логический доступ к базе данных независимо от службы Active Directory или протокола LDAP (Lightweight DirectoryAccess Protocol)4. Предотвращение/обнаружение распространенных атак на приложения или базы данных (например, SQL-инъекции).Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 61Приложение С: Компенсационные меры.
ПримерПример1. Ограничения: Перечислить ограничения, препятствующие соответствию исходному требованиюОрганизация XYZ использует изолированные серверы UNIX без LDAP. Таким образом, длякаждого сервера необходима регистрация с помощью учетной записи 'root'. При этомневозможна реализация как управления учетными записями 'root', так и регистрации событий,связанных с любой активностью этой учетной записи, осуществляемой индивидуальнымпользователем2. Цель: Определить цель компенсационных мерЦель требования уникальных учетных записей двояка. Во-первых, с точки зрения обеспечениябезопасности разделение учетных данных неприемлемо.
Во-вторых, при использованииразделяемых учетных записей невозможно точно выяснить лицо, ответственное за совершениеопределенного действия3. Риск: Описать дополнительные риски, возникающие вследствие невыполнения исходного требованияПри отсутствии уникальных идентификаторов у каждого пользователя дополнительный риск всистеме контроля доступа связан с отсутствием возможности отслеживания их действий4. Определение компенсационных мер: Определить компенсационные меры и объяснить, как они способствуют достижению целей примененияизначальных (не компенсационных) мер и описать присутствующий повышенный риск в результате использования компенсационных, а не изначальных мер(если таковой имеется)Организация XYZ планирует реализацию обязательной регистрации всех пользователей насерверах со своих персональных компьютеров с использованием команды SU.
Использованиеэтой команды предоставит пользователям возможность доступа к учетной записи 'root' ивыполнения действий с привилегиями 'root', при этом будет выполняться регистрациясобытий в директорию su-log, что позволит отслеживать действия каждого пользователяCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 62Компенсационные меры. Форма для заполнения (Compensating Controls Worksheet)1.
Ограничения: Перечислить ограничения, препятствующие соответствию исходному требованию2. Цель: Определить цель компенсационных мер3. Риск: Описать дополнительные риски, возникающие вследствие невыполнения исходного требования4. Определение компенсационных мер: Определить компенсационные меры и объяснить, как они способствуют достижению целей примененияизначальных (не компенсационных) мер и описать присутствующий повышенный риск в результате использования компенсационных, а не изначальных мер(если таковой имеется)Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 63.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
