Процедуры аудита безопасности PCI DSS 1_1 (1027415), страница 7
Текст из файла (страница 7)
ИЗ. Вероятно, опечатка в стандарте. WPA не может быть использован одновременно с WEP. Скорее всего имелось в виду совместное использование WEP и VPN илиSSL|TLS.Copyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 24ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийтехнологий WPA или WPA2, IPSEC сетях, такие как WPA или WPA2, IPSEC VPN или SSL/TLSVPNилиSSL/TLS.Для4.1.1.b При использовании протокола WEP удостовериться вобеспечения конфиденциальноститом, что:и контроля доступа к беспроводной• длина ключа шифрования не менее 104 бит, векторасети никогда не следует полагатьсяинициализации – 24 битисключительно на WEP. В случаееслииспользуетсяWEP,• WEP используется в сочетании с технологией WPAнеобходимо:или WPA2, VPN или SSL/TLS• выполняется по крайней мере ежеквартальная• в качестве минимальнодопустимой длины ключазамена совместно используемых WEP-ключей (еслишифрования использоватьпозволяет технология – автоматически)104бит,авектора• выполняется замена совместно используемых WEPинициализации – 24 битключей при любых изменениях в составе персонала,• использовать его толькоимеющего доступ к ключамсовместно с технологией• доступ ограничивается на основе MAC-адресов5WPA (или WPA2 ), VPN илиSSL/TLS• проводить ежеквартальнуюзамену WEP-ключей (еслипозволяет технология –автоматически)• заменять WEP-ключи прилюбыхизмененияхвсоставеперсонала,обладающего доступом кключам• ограничивать доступ наоснове MAC-адресов4.2 Никогда не должна выполняться 4.2.a Удостовериться, что при отправке данных платежныхотправканомеровPANв карт по электронной почте всегда используется шифрованиенезашифрованномвидепо сообщений электронной почтыэлектронной почте4.2.b Убедиться в существовании требования политики,запрещающего отправку незашифрованных номеров PAN поэлектронной почтеCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 25ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарий4.2.c Проинтервьюировать от 3 до 5 сотрудников и убедиться,что для отправки электронных сообщений, содержащихномера PAN, обязательно использование ПО, реализующегошифрование этих сообщенийРеализация программы управления уязвимостямиТребование 5: Должно использоваться и регулярно обновляться антивирусное программное обеспечениеБольшое количество вирусов проникает в сеть компании в результате обмена сообщениями электронной почты.
На всех системах, которыеподвержены воздействию вирусов, должно быть установлено антивирусное программное обеспечение для их защиты от вредоносного программногообеспечения.5.1 Антивирусное программное 5.1 Для выборки системных компонентов, критичныхобеспечениедолжнобыть серверов и беспроводных точек доступа проверить наличиеустановлено на всех системах, антивирусного ПОподверженныхвоздействиювирусов(персональныхкомпьютерах и серверах).Ксистемам,подверженнымвоздействию вирусов, обычно неотносят операционные системына базе ОС UNIX или мейнфреймы.5.1.1 Антивирусное программноеобеспечение должно обладатьспособностью обнаружения,удаления и защиты от различныхвидов вредоносного программногообеспечения (включая spyware,adware)5.1.1 Для выборки системных компонентов, критичныхсерверов и беспроводных точек доступа проверить, чтоантивирусноепрограммноеобеспечениеспособнообнаруживать, удалять и защищать от различных видоввредоносного программного обеспечения (включая spyware иadware)5.2Должнабытьвключена 5.2 Удостовериться в актуальности, активности постояннойпостоянная антивирусная защита, антивирусной защиты и возможности генерации журналовмеханизмыобеспечения регистрации событий антивирусным ПО следующим образом:антивируснойзащитыдолжны• Изучить политику и убедиться, что в ней содержатсярегулярно обновляться и обладатьтребования по обновлению антивирусного ПО ивозможностью генерации журналовсигнатур вирусоврегистрации событий• Убедиться, что в эталонной копии, используемой длятиражирования,активированыфункцииCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 26Процедура тестирования/аудитаТребование•СоответствиеНесоответствиеДата устранения/комментарийавтоматического обновления и периодическогосканирования, а также что эти функции включены ввыборкесистемныхкомпонентов,критичныхсерверов и серверов, являющихся беспроводнымиточками доступаУбедиться, что активирована регистрация событий,связанных с вирусной активностью, а также в том, чтовыполняетсяхранениежурналоврегистрациисобытий в соответствии с политикой храненияорганизацииТребование 6: Должна обеспечиваться безопасность при разработке и поддержке систем и приложенийЗлоумышленники используют уязвимости в системе защиты для получения привилегированного доступа в компьютерные системы.
Большинствоуязвимостей устраняются с помощью обновлений безопасности, предоставляемых производителями. Для защиты от эксплуатации уязвимостейвнутренними и внешними злоумышленниками, а также вирусами на всех системах должны быть установлены последние выпущенные приемлемыеобновления безопасности. Приемлемые обновления безопасности – это такие обновления, которые были в достаточной степени проанализированы ипротестированы, чтобы определить, что их установка не приведет к конфликтам с действующими защищенными конфигурациями. Есливыполняется разработка приложений внутри организации, большого количества уязвимостей можно избежать, используя стандартные процессыразработки систем и приемы безопасного программирования.6.1Длявсехсистемныхкомпонентовипрограммногообеспечениядолжныбытьустановлены самые последниеобновлениябезопасности,предоставленныепроизводителями.Обновлениябезопасности,относящиесякиспользуемым системам, должныбыть установлены в течение одногомесяца с момента их выпуска6.1.a Для выборки системных компонентов, критичныхсерверов, беспроводных точек доступа и программногообеспечения сравнить перечень установленных обновленийбезопасности с последними выпущенными производителем,чтобы убедиться, что установлены последние обновлениябезопасности6.2 Должен существовать процессидентификациивновьобнаруженныхуязвимостейбезопасности (например, подписка6.2.a Проинтервьюировать персонал, ответственный заидентификациювновьобнаруженныхуязвимостейбезопасности, для того чтобы убедиться, что процессреализованCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасности6.1.b Просмотреть политики, относящиеся к установкеобновлений безопасности, и убедиться в наличии требованияпо установке вновь выпускаемых обновлений безопасности втечение 30 днейПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 27ТребованиеПроцедура тестирования/аудитаСоответствиенарассылки,связанныесинформационной безопасностью иобнаружениемуязвимостей,свободнодоступныевсетиИнтернет).
Должно выполнятьсяобновлениестандартовконфигурированиясцельюустранения новых обнаруженныхуязвимостей6.2.b Убедиться, что процесс идентификации вновьобнаруженныхуязвимостейбезопасностисодержитиспользованиевнешнихисточниковдляполученияинформации об уязвимостях безопасности и обновлениестандартов конфигурирования систем (рассмотренных вТребовании 2).по мере обнаружения новых уязвимостей6.3Разработкапрограммногообеспечениядолжнапроизводитьсясучетомнакопленного в данной отраслиопытаиучитыватьвопросыобеспеченияинформационнойбезопасности на всех стадияхпроцесса разработки6.3 Ознакомиться с документированными процессамиразработки программного обеспечения, удостовериться, чторазработка программного обеспечения производитсясучетом накопленного в данной отрасли опыта и учитыватьвопросы обеспечения информационной безопасности на всехстадиях процесса разработки На основании изучениядокументированных процессов разработки ПО, интервью сразработчиками и анализа соответствующих данных(документации по конфигурации сети, тестовых данных иданныхсредыэксплуатации)удостовериться,чтовыполняется следующее:НесоответствиеДата устранения/комментарий6.3.1 До внедрения в среду 6.3.1 Тестируются любые изменения (включая обновления)эксплуатации должно выполняться до внедрения в среду эксплуатациитестирование всех обновленийбезопасности, а также изменений вконфигурациисистемипрограммного обеспечения6.3.2 Должны быть разделены 6.3.2 Разделяются среды разработки/тестирования и средысреды разработки, тестирования и эксплуатации и используются механизмы контроля доступаэксплуатациидля реализации разделения этих сред6.3.3Должносуществоватьразделение обязанностей в средахразработки,тестированияиэксплуатации6.3.3Существуетразделениеобязанностейсотрудниками,работающимивразработки/тестирования,исотрудникамивэксплуатациимеждусредесреде6.3.4Длятестированияили 6.3.4 Данные из среды эксплуатации (реальные номера PAN)разработкинедолжно не используются для тестирования и разработки илииспользоваться данных из среды уничтожаются перед вводом в эксплуатациюэксплуатации (реальных номеровCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 28ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийPAN)6.3.5Должновыполняться 6.3.5 Удаляются тестовые данные и учетные записи до вводаудалениетестовыхучетных в эксплуатациюзаписей и данных до внедрения всреду эксплуатации6.3.6 Учетные записи, именапользователейипароливразработанномпрограммномобеспечении должны быть удаленыдо внедрения этого программногообеспечения в среду эксплуатацииили его передачи клиенту6.3.6 В разработанном программном обеспечении удаляютсяучетные записи приложений, имена пользователей и паролидо внедрения этого программного обеспечения в средуэксплуатации или его передачи заказчику6.3.7Дляидентификациипотенциальныхуязвимостейвразработанномпрограммномобеспечении должен выполнятьсяанализ кода перед запуском этогоПО в эксплуатацию или егопередачей заказчику6.3.7.a Ознакомиться с документированными политиками иубедитьсявсуществованиитребованийанализаразработанного кода, причем анализ кода не долженвыполняться разработчиком этого кода6.4 При внесении любых измененийвсистемыипрограммноеобеспечениенеобходимоследовать процедурам управления6.4.a Ознакомиться с процедурами контроля изменений,относящимися к применению обновлений безопасности имодификации программного обеспечения, и удостовериться,что они содержат необходимость выполнения пп.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
