Процедуры аудита безопасности PCI DSS 1_1 (1027415), страница 3
Текст из файла (страница 3)
ИЗ. В рамках данного документа понятия «оценка» и «аудит» являются взаимозаменяемыми.Прим. ИЗ. Платежной системой.Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 6организацию распространяются и соответственно должны быть выполнены требования и процедуры тестирования/аудита, относящиеся к беспроводнымсредам. Выполнение этих требований позволит реализовать базовые механизмы для обеспечения минимального уровня защищенности беспроводныхсетей, хотя нужно учитывать, что технологии обеспечения безопасности беспроводного доступа находятся еще в начальной стадии развития. Поскольку внастоящий момент беспроводные технологии все еще не могут быть достаточно защищены, в случае их использования организация должна соотнестинеобходимость использования беспроводных технологий с риском от их применения.
Например, можно использовать беспроводные технологии только дляпередачи некритичных (non-sensitive) данных или подождать появления более защищенных технологий.АутсорсингДля организаций, которые передают функции хранения, обработки или передачи данных платежных карт третьей стороне (third party service providers),в отчет Report on Compliance необходимо включать описание роли/функции каждой подобной организации (сервис-провайдера). В дополнение к этомусервис-провайдеры несут ответственность за подтверждение своего соответствия требованиям стандарта PCI DSS, независимо от прохождения аудитасвоими клиентами.
Также в договорах предприятий торгово-сервисной сети и сервис-провайдеров с третьими сторонами, имеющими доступ к даннымплатежных карт, должно содержаться требование их обязательного соответствия стандарту PCI DSS. Для дополнительной информации см.требование 12.8.Создание выборкиДля тестирования аудитор может создать репрезентативную выборку системных компонентов. Выборка должна представлять собой репрезентативныйнабор всех типов системных компонентов и содержать набор использующихся в оцениваемой организации операционных систем, предоставляемыхсервисов и приложений. Например, аудитор может выбрать серверы Sun с web-сервером Apache, серверы NT с СУБД Oracle, мейнфреймы с устаревшимиприложениями, обрабатывающими данные платежных карт, серверы передачи данных под управлением HP-UX и серверы Linux с MySQL.
В случае еслииспользуются приложения, работающие только на одной операционной системе (например, Windows NT или Sun), выборка должна включать множествоприложений (например, серверы баз данных, web-серверы, серверы передачи данных).При создании выборки магазинов или франчайзинговых предприятий торгово-сервисной сети для проверки во время аудита необходимо выполнятьследующие правила:•В случае если существуют стандартизованные процессы обеспечения безопасности в соответствии с требованиями стандарта PCI DSS,которым должен следовать каждый магазин, выборка (обеспечивающая достаточную степень уверенности, что каждый магазин работает всоответствии со стандартизованным процессом) может быть меньше, чем в случае отсутствия стандартизованных процессов.•В случае наличия более одного типа стандартизованных процессов (например, для различных типов магазинов) выборка должна бытьдостаточно большой и содержать магазины с каждым типом процесса.•В случае если стандартизованные процессы PCI DSS отсутствуют и каждый магазин несет ответственность за реализацию своих процессов,размер выборки должен быть увеличен для обеспечения уверенности в том, что в каждом магазине руководство понимает и реализуетнадлежащим образом требования стандарта PCI DSS.Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 7Компенсационные мерыКомпенсационные меры должны быть документированы аудитором3 и включены в результирующий отчет Report on Compliance, как указано нижев Приложении C –Компенсационные меры.
Пример.Инструкции по созданию и требования к содержанию отчета Report on ComplianceДанный документ также используется аудиторами в качестве в шаблона для отчета Report on Compliance. Оцениваемая организация должна выполнятьтребования по отчетности, предъявляемые каждой платежной системой отдельно, для обеспечения гарантий того, что соответствующая платежная системапризнает статус соответствия организации требованиям стандарта. Для определения требований и инструкций по отчетности для каждой платежнойсистемы необходимо обратиться к соответствующей платежной системе. Все аудиторы должны выполнять нижеуказанные требования к содержимому иформату отчетности при заполнении отчета Report on Compliance:1.
Контактная информация и дата составления отчета•Должна содержаться контактная информация для предприятия торгово-сервисной сети или сервис-провайдера и аудитора•Дата составления отчета2. Краткое описание проверяемой организацииДолжно содержать следующее:•Описание бизнеса•Перечень сервис-провайдеров и других организаций, с которыми оцениваемая организация обменивается данными платежных карт•Статус организации в платежных системах и перечень взаимоотношений с другими участниками платежных систем.•Описание того, подключена ли оцениваемая организация напрямую к платежным системам•Используемое POS-оборудование (для предприятий торгово-сервисной сети)•Перечень всех дочерних и/или полностью зависимых организаций, для которых обязательно соответствие стандарту PCI DSS•Перечень всех аффилированных международных организаций, для которых обязательно соответствие стандарту PCI DSS•Описание используемых беспроводных сетей и/или беспроводных POS-терминалов, подключенных к среде обработки хранения или передачиданных платежных карт3.
Описание границ и методов оценки•Версия документа Security Audit Procedures, использовавшегося для проведения оценки•Временной интервал проведения оценки•Описание области оценки, на которой сосредоточено проведение аудита (например, клиентский доступ в сеть Интернет, внутренняякорпоративная сеть, процессинговые серверы)3Прим. ИЗ. Компенсационные меры выбираются организацией по результатам проведенной оценки рисков для данного требования стандарта. Если в организациине проведена оценка рисков или не документированы ее результаты, то аудитор не сможет заполнить описание компенсационных мер.Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 8•Описание областей, исключенных из области оценки•Краткое описание или высокоуровневая схема сетевой топологии и мер защиты•Перечень проинтервьюированных лиц•Перечень проверенной документации•Перечень используемого аппаратного и критичного программного обеспечения (например, обеспечивающего функции шифрования, авторизацииили базы данных)•Для оценки организаций, имеющих статус Managed Service Provider (MSP), важно точно определить применимые к ним требования данногодокумента (и включаемые в оценку) и неприменимые (и соответственно не включаемые в оценку), которые будут применяться к клиентаморганизации MSP при их оценке, включая информацию о том, в отношении каких IP-адресов MSP проводились ежеквартальные сканированияуязвимостей и какие IP-адреса должны ежеквартально сканироваться при оценке их клиентов..4.
Результаты проведения ежеквартальных сканирований•Подвести итоги последних четырех проведенных сканирований в комментариях к требованию 11.2•Сканирование должно включать все имеющиеся у организации и доступные извне IP-адреса (маршрутизируемые в сеть Интернет)5. Заключения и наблюдения•Все аудиторы должны использовать настоящий шаблон для создания детального отчета, содержащего результаты и наблюдения в отношениикаждого требования и подтребования•В случае замены основного требования компенсационными мерами («compensating controls») они должны быть документированы•Для определения термина «compensating controls» необходимо обратиться к документу «PCI DSS: Термины, аббревиатуры и акронимы» (PCIDSS Glossary, Abbreviations, and Acronyms).Проведение повторной проверки для подтверждения устранения несоответствийДля подтверждения соответствия стандарту необходимо соответствие каждому применимому требованию.
В случае если отчет аудитора содержитнесоответствия по отдельным требованиям, проверяемая организация для достижения соответствия стандарту должна принять меры для устранениявыявленных несоответствий. Аудитор затем может провести повторную проверку и убедиться, что несоответствия устранены и достигнуто соответствие покаждому требованию. После повторной проверки аудитор должен создать новый отчет Report on Compliance, подтверждающий полное соответствие, ипредоставить его в соответствии с вышеуказанными инструкциями.Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 9ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийПостроение и поддержание защищенной сетиТребование 1: Должны быть обеспечены разработка и управление конфигурацией межсетевых экранов в целях защитыданных платежных картМежсетевые экраны – это вычислительные устройства, контролирующие трафик, входящий в корпоративную сеть и исходящий из корпоративнойсети, а также трафик к внутренним критичным подсетям.
Межсетевой экран анализирует сетевой трафик и блокирует сетевые пакеты, которыене соответствуют определенным критериям безопасности.Все системы должны быть защищены от несанкционированного доступа из сети Интернет, вне зависимости от способа доступа – посредствомприложений электронной коммерции, доступа сотрудников компании к сети Интернет или электронной почте.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
