Процедуры сканирования безопасности PCI v1-1 (1027416), страница 2
Текст из файла (страница 2)
Этипроцедуры предписывают, что сканирование не должно оказыватьнеблагоприятное влияние на функционирование среды клиента ичто организация ASV не должна эксплуатировать уязвимости илиизменять среду клиента.2.Необходимопроводитьежеквартальныесканированиясоответствии с требованием 11.2 стандарта PCI DSS.3.До начала сканирования web-сайта или информационнойинфраструктуры предприятия торгово-сервисной сети и сервиспровайдеры должны предоставить организации ASV следующиематериалы:4.в•Перечень всех IP-адресов и/или диапазонов IP-адресов, доступныхиз сети Интернет.•Перечень всех доменов, которые необходимо просканировать, вслучае использования виртуального хостинга.Организация ASV должна провести инвентаризацию сети и определитьCopyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security Standard.Security Scanning ProceduresПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Июнь 2008Страница 6активные IP-адреса и сервисы, используя диапазон IP-адресов,предоставленный клиентом.5.Предприятия торгово-сервисной сети и сервис-провайдеры должнызаключить договор с организацией ASV на выполнениепериодических сканирований всех активных IP-адресов (илидоменов, если они есть) и устройств.6.Организация ASV должна проводить сканирование всех устройств,осуществляющих фильтрацию, например, межсетевых экранов иливнешних маршрутизаторов (если они используются для фильтрациитрафика).
Если межсетевой экран (или маршрутизатор) используетсядля организации демилитаризованной зоны (DMZ), то должнопроводиться его сканирование на наличие уязвимостей.7.Организация ASV должна проводить сканирование всех web-серверов.8.Web-серверы предоставляют возможность пользователям из сетиИнтернет просматривать web-страницы и взаимодействовать сприложениями электронной коммерции.
Важность сканирования наналичие уязвимостей на этих серверах объясняется их публичнойдоступностью из сети Интернет.Организация ASV должна проводить сканирование серверов приложенийпри их наличии.Серверы приложений выступают неким посредником между webсерверами и back-end базами данных, а также унаследованнымисистемами.
Например, в случаях, когда держатели картпредоставляют информацию о номерах карт предприятию торговосервисной сети или сервис-провайдеру, сервер приложенийобеспечивает функционал передачи данных в защищенную сеть иполучения данных из нее. Злоумышленник может эксплуатироватьуязвимости на этих серверах и их скриптах для получения доступа квнутренним базам данных, в которых возможно хранение данныхплатежных карт.9.Конфигурации некоторых web-сайтов не включают в себя серверыприложений. В таких случаях web-сервер выполняет функциисервера приложений.Организация ASV должна проводить сканирование DNS-серверов.DNS-серверы используются для разрешения интернет-адресов,преобразуя доменные имена в IP-адреса.
Предприятия торговосервисной сети или сервис-провайдеры могут использовать либособственный DNS-сервер, либо DNS-сервер провайдера. Наличиеуязвимостей на DNS-серверах может предоставитьзлоумышленнику возможность подменить web-страницыпредприятия торгово-сервисной сети или сервис-провайдера иосуществить сбор данных платежных карт.10.
Организация ASV должна проводить сканирование почтовых серверов.Почтовые серверы обычно располагаются в DMZ и могут бытьподвержены атакам злоумышленников. Они являются критичнымиэлементами с точки зрения обеспечения безопасности.11. Организация ASV должна проводить сканирование виртуальных хостов.В настоящее время использование разделяемого хостинга, когда наодном сервере размещены несколько web-сайтов, являетсяраспространенной практикой.
В этом случае предприятие торговоCopyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security Standard.Security Scanning ProceduresПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Июнь 2008Страница 7сервисной сети использует сервер совместно с другими клиентамиХостинг-провайдера, что может привести к компрометации webсайта предприятия торгово-сервисной сети посредствомкомпрометации других web-сайтов, расположенных на том жесервере.Все предприятия торгово-сервисной сети, пользующиеся услугамихостинга web-сайтов, должны запрашивать поставщика услугхостинга о проведении сканирования всего диапазона собственныхIP-адресов, доступных из сети Интернет, и демонстрациисоответствия PCI DSS, тогда как от самих предприятий торговосервисной сети требуется проведение сканирования их доменов.12.
Организация ASV должна проводить сканирование беспроводных точекдоступа в беспроводных локальных сетях (WLAN).Использование беспроводных локальных сетей приводит кпоявлению дополнительных рисков, связанных с обеспечениемзащищенности данных, которые необходимо идентифицировать иснижать. Предприятия торгово-сервисной сети, процессинговыецентры, платежные шлюзы, сервис-провайдеры и другиеорганизации должны проводить сканирование беспроводныхкомпонентов, подключенных к сети Интернет, для идентификациипотенциальных уязвимостей и некорректных настроек.13. Системы обнаружения/предотвращения вторжений должны бытьпредварительно настроены таким образом, чтобы исключить активноереагирование на IP-адреса, с которых осуществляется сканированиеорганизацией ASV.
Если это невозможно, сканирование должноинициироваться с тех точек, в которых вмешательство систем IDS/IPSисключено.Требования к отчетностиПредприятия торгово-сервисной сети и сервис-провайдеры обязанысоблюдать соответствующие требования к отчетности, предъявляемыекаждой компанией – эмитентом платежных карт, чтобы получитьподтверждение статуса соответствия своей компании стандарту PCI DSS,которое предоставляется каждой компанией-эмитентом.
Хотя для отчетов осканировании должен использоваться стандартизированный формат,результаты сканирования необходимо предоставлять каждой компании –эмитенту платежных карт в соответствии с ее конкретными требованиями.Чтобы узнать, какой организации необходимо предоставлять результатысканирования, следует связаться с представителем банка, обслуживающеговашу компанию, и/или посетить web-узел каждой компании – эмитентаплатежных карт в вашем регионе.Чтение и интерпретация отчетовНа основе результатов сканирования сети ASV составляет«Детализированный отчет о тестировании защищенности».«Детализированный отчет о тестировании защищенности» содержитописание типа уязвимости или риска, диагностику соответствующих проблеми рекомендации по устранению или исправлению обнаруженныхуязвимостей.
В этом отчете каждой уязвимости, идентифицированной впроцессе сканирования, соответствует определенная степень критичности.Copyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security Standard.Security Scanning ProceduresПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Июнь 2008Страница 8Организация ASV может использовать собственный метод классификациипредоставляемой информации об уязвимостях, однако риски с высокойстепенью критичности должны представляться единообразно дляобеспечения однозначной и непротиворечивой оценки соответствия.
Прианализе отчета о сканировании следует консультироваться с вашейорганизацией ASV.В таблице 1 приведена классификация уязвимостей, выполненная спомощью средства сканирования сети на соответствие PCI DSS, а такжетипы уязвимостей и рисков высокой степени критичности.Для обеспечения соответствия сети компании стандарту PCI DSS отчет осканировании не должен содержать уязвимостей высокой степеникритичности. Отчет о сканировании не должен также содержать уязвимостей,указывающих на функции или конфигурации сети, которые не соответствуюттребованиям стандарта PCI DSS. В противном случае организация ASVдолжна проконсультироваться с клиентом, чтобы выяснить, действительноли имеет место нарушение требований стандарта PCI DSS, и, если это так,предоставить отчет о том, что сеть не соответствуют стандарту.Уязвимости уровней 3, 4 и 5 являются уязвимостями высокой степеникритичности.СтепенькритичностиУровеньсерьезности5Безотлагательный43КритическийВысокий2Средний1НизкийОписание типа уязвимостиНаличие троянов, доступ к чтению файлов и записив них, удаленное выполнение командПотенциальные трояны, доступ к чтению файловОграниченный доступ к чтению файлов, возможностьпросмотра каталогов, атака типа «отказ вобслуживании» (атака DoS)Хакеры могут получить доступ к конфиденциальнымсведениям о конфигурации сетиХакеры могут получить доступ к сведениям общегохарактера о сетиТаблица 1.
Уровни серьезности уязвимостейУязвимости 5-й степени критичностиУязвимости 5-й степени критичности позволяют удаленнымзлоумышленникам получить права удаленного администратора илипользователя root (root user). При наличии уязвимости этого типа имеетместо нарушение хакерами безопасности всего хоста. Уязвимости 5-йстепени критичности предоставляют удаленным хакерам полный доступ начтение файловой системы и запись данных в нее, а также возможностьудаленного выполнения команд на правах пользователя root (root user) илиадминистратора.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
