Процедуры аудита безопасности PCI DSS 1_1 (1027415), страница 9
Текст из файла (страница 9)
Не должны использоватьсягрупповые,разделяемыеиливстроенные учетные записи ипароли8.5.8.a Для выборки системных компонентов, критичныхсерверов и беспроводных точек доступа просмотретьперечень идентификаторов пользователей и удостоверитьсяв следующем:• Отключаютсяилиудаляютсявстроенныеидентификаторы пользователей• Не существует разделяемых идентификаторовпользователей, использующихся для выполненияадминистративных задач и других критичных функций• Не используются разделяемые и встроенныеидентификаторыпользователейдляадминистрирования беспроводных сетей и устройств8.5.8.b Ознакомиться с парольными политиками/процедурамии удостовериться, что явно запрещено использованиеCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 35ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийгрупповых и разделяемых паролей8.5.8.c Проинтервьюировать системных администраторов иубедиться, что групповые и разделяемые пароли даже еслизапрашиваются, никому не предоставляются8.5.9.
Пользовательские пароли 8.5.9 Для выборки системных компонентов, критичныхдолжны изменяться по крайней серверов и беспроводных точек доступа просмотретьмере каждые 90 днейконфигурационные настройки систем и убедиться, чтонастройки парольной политики пользователей установленытаким образом, что требуется изменение паролей по крайнеймере каждые 90 дней.Толькодлясервис-провайдеров:ознакомитьсясвнутреннимипроцессамиидокументациейдляпользователей/клиентов и убедиться, что обязательновыполнение периодического изменения паролей клиентов, атакже что клиентов знакомят с тем, когда и в каких ситуацияхдолжны изменяться пароли8.5.10 Минимальная длина паролей 8.5.10 Для выборки системных компонентов, критичныхдолжна составлять не менее 7 серверов и беспроводных точек доступа просмотретьсимволовконфигурационные настройки систем и убедиться, чтонастройки парольной политики пользователей установленытаким образом, что требуется минимальная длина паролейпо крайней мере в 7 символов.Толькодлясервис-провайдеров:ознакомитьсясвнутреннимипроцессамиидокументациейдляпользователей/клиентов и убедиться, что клиентские паролидолжны удовлетворять требованиям минимальной длины8.5.11 Пароли должны состоять из 8.5.11 Для выборки системных компонентов, критичныхчисловых и буквенных символовсерверов и беспроводных точек доступа просмотретьконфигурационные настройки систем и убедиться, чтонастройки парольной политики пользователей установленытаким образом, что требуется использование в паролях какчисловых, так и буквенных символов.Толькодлясервис-провайдеров:ознакомитьсясвнутреннимипроцессамиидокументациейдляпользователей/клиентов и убедиться, что клиентские паролидолжны содержать как числовые, так и буквенные символы8.5.12 Должно быть запрещено 8.5.12 Для выборки системных компонентов, критичныхзадание нового пароля, если он серверов и беспроводных точек доступа просмотретьCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 36Процедура тестирования/аудитаТребованиеСоответствиеНесоответствиеДата устранения/комментарийсовпадает с любым из последних конфигурационные настройки систем и убедиться, чточетырех ранее использовавшихся настройки парольной политики пользователей установленыпаролейтаким образом, что новые пароли не могут совпадать ни содним из четырех ранее использовавшихся паролей.Толькодлясервис-провайдеров:ознакомитьсясвнутреннимипроцессамиидокументациейдляпользователей/клиентов и убедиться, что новые клиентскиепароли не могут совпадать ни с одним из четырех ранееиспользовавшихся паролей8.5.13Количествонеудачныхпопыток получения доступа должнобыть ограничено блокированиемидентификатора пользователя покрайнеймерепослешестинеудачных попыток8.5.13 Для выборки системных компонентов, критичныхсерверов и беспроводных точек доступа просмотретьконфигурационные настройки систем и убедиться, чтонастройки парольной политики пользователей установленытакимобразом,чтовыполняетсяблокированиепользовательской учетной записи при превышении покрайней мере шести неуспешных попыток получениядоступа.Толькодлясервис-провайдеров:ознакомитьсясвнутреннимипроцессамиидокументациейдляпользователей/клиентов и убедиться, что выполняетсявременное блокирование клиентских учетных записей припревышении по крайней мере шести неуспешных попытокполучения доступа8.5.14Продолжительностьблокированияидентификаторапользователя должна составлять30 минут или до активации учетнойзаписи администратором8.5.14 Для выборки системных компонентов, критичныхсерверов и беспроводных точек доступа просмотретьконфигурационные настройки систем и убедиться, чтонастройки парольной политики пользователей установленытаким образом, что при блокировании пользовательскойучетной записи продолжительность ее блокированиясоставляет30минутлибодоразблокированияадминистратором8.5.15 При отсутствии активностиво время пользовательского сеансаболее чем 15 минут долженвыполняться повторный запроспароляпользователядляразблокирования терминала8.5.15 Для выборки системных компонентов, критичныхсерверов и беспроводных точек доступа просмотретьконфигурационные настройки систем и убедиться, чтонастроены тайм-ауты отсутствия активности в 15 минут илименьше8.5.16аутентифицироватьсяДолжен 8.5.16.aДлявыборкибазлюбой конфигурационные настройки иCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиданныхпросмотретьубедиться, что доступПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 37Требованиедоступ к любой базе данных,содержащей данные платежныхкарт,втомчиследоступ,осуществляемыйприложениями,администраторамиилюбымидругими пользователямиПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийаутентифицируется как для администраторов и рядовыхпользователей, так и для приложений8.5.16.b Просмотреть конфигурационные настройки иучетные записи базы данных и убедиться, что запрещеновыполнение прямых SQL-запросов к базе данных(количество индивидуальных учетных записей базы данныхдолжно быть минимально и возможностью выполненияпрямыхSQL-запросовдолжныобладатьтолькоадминистраторы базы данных)Требование 9: Физический доступ к данным платежных карт должен быть ограниченЛюбой физический доступ к данным или системам, содержащим данные платежных карт, предоставляет возможность получения контроля надустройствами или данными, в том числе возможность удаления систем или печатных копий, и должен строго ограничиваться.9.1Дляограниченияиотслеживания физического доступак системам, в которых хранятся,обрабатываются или передаютсяданные платежных карт, должениспользоватьсянадежныймеханизм контроля доступа впомещения9.1 Удостовериться в существовании средств контроляфизического доступа для каждого серверного помещения,центра обработки данных и других физических помещений, вкоторыхрасполагаютсясистемы,содержащиеилиобрабатывающие данные платежных карт.• Проверить, что доступ контролируется с помощьюустройств чтения идентификационных карточек идругих устройств, включая идентификационныекарточки, замки и ключи• Попроситьсистемногоадминистраторазарегистрироваться на консолях трех произвольновыбранных устройств из среды платежных карт иубедиться,чтоонизаблокированыдляпредотвращения несанкционированного доступа9.1.1Длянаблюдениязакритичными помещениями должныиспользоватьсявидеокамеры.Долженпроводитьсяанализсобранныхданныхиихсопоставлениесдругимисобытиями.Данныевидеонаблюдениядолжны9.1.1Убедиться,чтовидеокамерыосуществляютнаблюдение за входами/выходами в центры обработкиданных, где хранятся или содержатся данные платежныхкарт.
Видеокамеры должны находиться в помещении центраобработки данных или защищаться каким-либо другимобразом от повреждения или отключения. Убедиться в том,что результаты видеонаблюдения просматриваются ихранятся по крайней мере в течение 3 месяцевCopyright 2008 PCI Security Standards Council LLCSecurity Audit ProceduresПроцедуры аудита безопасностиПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 38ТребованиеПроцедура тестирования/аудитаСоответствиеНесоответствиеДата устранения/комментарийхраниться по крайней мере втечение 3 месяцев, если это непротиворечит законодательству9.1.2 Физический доступ к сетевымразъемам,расположеннымвпубличнодоступныхместах,должен быть ограничен9.1.2.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
