Процедуры аудита безопасности PCI DSS 1_1 (1027415), страница 5
Текст из файла (страница 5)
Эти параметры и пароли хорошо известны в хакерских сообществах и могут быть получены через открытые источникиинформации.2.1 До подключения системы к сетидолжны быть изменены параметры,заданныепроизводителемпоумолчанию,влияющиеназащищенность (в том числе пароли,SNMP-строки, а также удаленынеиспользуемые учетные записи)Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасности2.1 Создать выборку системных компонентов, критичныхсерверов и беспроводных точек доступа и попытатьсязарегистрироваться на этих устройствах (при поддержкесистемного администратора) с использованием учетныхзаписей и паролей, заданных производителем, для тогочтобы удостовериться, что учетные записи и пароли,заданные производителем по умолчанию, изменены (Дляпоискаучетныхзаписейипаролей,заданныхПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 14ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийпроизводителем, можно использовать документацию и сетьИнтернет.)Убедиться,чтовотношениипараметров,2.1.1 Для беспроводных сред 2.1.1должны быть изменены значения, установленных производителем, для беспроводных сред,заданныепроизводителемпо выполняется следующее:умолчанию,включая(ноне• замена WEP-ключей, заданных производителем, приограничиваясь)следующиепервоначальной установке, а также каждый раз припараметры:WEP-ключи,смене должности или увольнении сотрудника,идентификаторысетей(SSID),которому известны значения ключейпаролииSNMP-строки.• изменениеидентификатораSSID,заданногоНеобходимоотключатьпроизводителемшироковещательнуюрассылку• отключение широковещательной рассылки SSIDидентификаторовSSIDи• замена SNMP-строк, заданных производителем, наиспользовать технологии WPA илиточках доступаWPA2дляшифрованияи• замена паролей, заданных производителем, нааутентификации WPA-совместимыхточках доступаустройств• использование WPA или WPA2 в случае поддержкибеспроводными устройствами этой технологии• другие параметры, заданные производителем,связанные с обеспечением безопасности (в случаеприменимости)2.2 Должны быть разработаныстандарты конфигурирования длявсехсистемныхкомпонентов,учитывающиевсеизвестныеуязвимости и рекомендации пообеспечению безопасности систем(определенные,например,SysAdmin Audit Network SecurityNetwork (SANS), National Institute ofStandards Technology (NIST) иCenter for Internet Security (CIS))2.2.a Ознакомиться со стандартами конфигурированияорганизации для сетевого оборудования, критичных серверови беспроводных точек доступа и убедиться, что ониразработанывсоответствиисраспространеннымистандартамипоповышениюзащищенностисистем(разработанными, например, SANS, NIST, CIS)2.2.b Убедиться, что стандарты конфигурирования системсодержат все перечисленные ниже пункты (2.2.1–2.2.4)2.2.c Убедиться, что стандарты конфигурирования системприменяются при настройке новых систем2.2.1 На каждом сервере должна 2.2.1 Для выборки системных компонентов, критичныхбыть реализована только одна серверов и беспроводных точек доступа убедиться восновная функция (например, web- реализации одной основной функции на каждом сервересервер, сервер баз данных и DNSсервер должны быть реализованына различных серверах)Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 15ТребованиеПроцедура тестирования/аудита2.2.2 Все ненужные и небезопасныесервисы и протоколы (сервисы ипротоколы,неявляющиесянеобходимыми для выполненияназначенных устройствам функций)должны быть отключены2.2.2 Для выборки системных компонентов, критичныхсерверов и беспроводных точек доступа проанализироватьзапущенные системные службы, процессы и протоколы.Убедиться, что ненужные и небезопасные службы ипротоколыотключеныилиихиспользованиедокументировано и обосновано (например, FTP неиспользуется или шифруется посредством SSH или другойтехнологии)2.2.3 Параметры безопасностисистем должны быть настроеныдляпредотвращенияненадлежащего использования2.2.3.a Проинтервьюировать системных администраторови/или менеджеров, ответственных за обеспечение ИБ, иубедиться в знании ими распространенных параметровнастроек безопасности для администрируемых ими систем –ОС, серверов баз данных, web-серверов, беспроводныхустройствСоответствиеНесоответствиеДата устранения/комментарий2.2.3.b Убедиться, что в стандартах конфигурированиясистем содержатся распространенные параметры настройкибезопасности2.2.3.c Для выборки системных компонентов, критичныхсерверов и беспроводных точек доступа убедиться, чтораспространенные параметры безопасности установленынадлежащим образом2.2.4 Должен быть удален весьизбыточныйфункционал,например,скрипты,драйверы,функциональныевозможности,подсистемы, файловые системы инеиспользуемые web-серверы2.2.4 Для выборки системных компонентов, критичныхсерверов и беспроводных точек доступа убедиться вотключении или удалении избыточной функциональности(например,скриптов,драйверов,функциональныхвозможностей, подсистем, файловых систем и т.
д.).Убедиться, что включенный функционал документирован,поддерживает защищенное конфигурирование и на всехсистемахизвыборкиприсутствуеттолькодокументированный функционал2.3Должновыполнятьсяшифрование любого неконсольногоадминистративного доступа. Дляуправления с помощью webинтерфейсаидругогонеконсольного административного2.3 Для выборки системных компонентов, критичныхсерверов и беспроводных точек доступа убедиться ввыполнении шифрования неконсольного административногодоступа следующим образом:• просмотр журналов регистрации событий на каждойсистеме для проверки использования SSH (илиCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 16Процедура тестирования/аудитаТребованиедоступа должны использоватьсятакие технологии, как SSH, VPNили SSL/TLS••2.4 Хостинг-провайдеры должнызащищать среду размещения иданные каждой обслуживаемойорганизации.
Хостинг-провайдерыдолжнысоответствоватьдополнительнымтребованиям,описаннымвПриложении А:«Применимость стандарта PCI DSSк хостинг-провайдерам»СоответствиеНесоответствиеДата устранения/комментарийдругого способа шифрования) до запроса пароляадминистраторапросмотр служб и конфигурационных файлов системдля определения того, что не могут использоватьсяTelnet и другие команды для удаленной регистрации всистемепроверка того, что административный доступ кинтерфейсам управления беспроводнымиустройствами шифруется с помощью SSL/TLS. Вкачестве альтернативы – проверка невозможностиудаленного подключения администраторами кинтерфейсам управления беспроводнымиустройствами (любые действия по управлениюбеспроводными устройствами выполняются только сконсоли)2.4 Выполнить процедуры тестирования А.1.1–А.1.4,описанные в Приложении А «Применимость стандарта PCIDSS к хостинг-провайдерам», для аудита хостингпровайдеров и подтверждения того, что они адекватнозащищают среду размещения и обработки данных и данныесвоих клиентов (предприятий торгово-сервисной сети исервис-провайдеров)Защита данных платежных картТребование 3: Должна быть обеспечена защита данных платежных карт при храненииШифрование является важнейшей составляющей защиты данных платежных карт.
В случае обхода мер по защите сети и получения доступа кзашифрованным данным злоумышленник не сможет узнать содержимое данных или воспользоваться ими без наличия корректных криптографическихключей. Также с целью уменьшения рисков должны рассматриваться и другие эффективные методы защиты хранимых данных. Например, методыминимизации риска включают: отказ от хранения данных платежных карт, если только это не является необходимостью, усечение данныхплатежных карт, если не требуется наличие полного номера PAN, и запрет отправки номеров PAN в незашифрованных сообщениях электроннойпочты.3.1 Хранение данных платежных 3.1 Ознакомиться с политиками и процедурами хранения икарт должно быть сведено к уничтожения данных платежных карт, использующимися вминимуму.Должнабыть компании, и выполнить следующее:разработана политика хранения и• Убедиться, что политики и процедуры содержатуничтожения данных платежныхCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 17Процедура тестирования/аудитаТребованиекарт.
Также должен быть ограниченобъем хранимой информации ипериод хранения так, как этонеобходимо исходя из требованийбизнеса,правовыхи/илинормативныхактов,идокументировановполитикехранения данных платежных карт•••НесоответствиеДата устранения/комментарийправовые, нормативные и бизнес-потребностихраненияданных,включаяспецифическиепотребности хранения данных платежных карт(например, данные платежных карт должны бытьсохранены в течение периода X с целью Y)Убедиться, что политики и процедуры содержатположения по уничтожению данных (включаяуничтожение данныхплатежныхкарт),еслиотсутствует необходимость их дальнейшего хранениядля правовых, нормативных или бизнес-потребностейУбедиться, что политики и процедуры описывают всеместа хранения данных платежных карт (включаясерверы баз данных, мейнфреймы, папки обменаданными и массового копирования, использующиесядля передачи данных между серверами, а такжекаталоги, использующиеся для нормализации данныхпри их передаче между серверами)Убедиться, что политики и процедуры содержатописание автоматизированного процесса удалениясохраненных данных платежных карт с истекшимпериодом хранения (выполняющегося по крайнеймереежеквартально)ИЛИтребованийпопроведению аудита, подтверждающего, что хранимыеданные платежных карт не превышают бизнеспотребностей хранения (также выполняющегося покрайней мере ежеквартально)3.2 Запрещено хранение критичныхданных авторизации («sensitiveauthenticationdata»)послепрохожденияпроцедурыавторизации(дажевзашифрованномвиде).Ккритичным данным авторизацииотносятся данные, рассмотренныев требованиях 3.2.1–3.2.3:3.2 Если выполняется получение критичных данныхавторизации и их удаление, ознакомиться с процессомудаления данных и убедиться, что их восстановлениеневозможно.
Для каждого элемента критичных данныхавторизации выполнить следующие действия:3.2.1 Запрещается хранить полноесодержимоелюбоготрекасмагнитнойполосы(расположенного, например, на3.2.1 Для выборки системных компонентов, критичныхсерверов и беспроводных точек доступа убедиться вотсутствии хранения при любых обстоятельствах полногосодержимоголюбоготрекасмагнитнойполосы,Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиСоответствиеПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 18ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийоборотной стороне карты, в чипе расположенной на оборотной стороне карты, в следующем:или еще где-либо).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
