Стандарт PCI DSS 1_1 (1027417), страница 4
Текст из файла (страница 4)
Должныиспользоваться такие технологии, как RADIUS или TACACS с аппаратными устройствамиаутентификации; либо VPN (на базе протоколов SSL/TLS или IPSEC) с пользовательскимисертификатами.8.4 Все пароли должны находиться в зашифрованном виде как при передаче, так и при хранении налюбых системных компонентах.8.5 Для учетных записей сотрудников и администраторов на всех системных компонентах должныобеспечиваться надежная аутентификация и управление паролями, как описано внижеследующих пунктах:8.5.1 Должно контролироваться добавление, удаление и изменение пользовательскихидентификаторов, учетных данных и других объектов идентификации8.5.2 Должна выполняться проверка подлинности пользователей перед сбросом их паролей8.5.3 Первоначальные пароли для каждого пользователя должны быть уникальными иизменяться сразу же после первого использования8.5.4. Доступ для каждого сотрудника при его увольнении должен немедленно аннулироваться8.5.5 Должно выполняться удаление неактивных учетных записей пользователей по крайнеймере каждые 90 дней8.5.6 Учетные записи, использующиеся производителями для осуществления удаленнойподдержки, должны активироваться только на период оказания поддержки8.5.7 Парольные политики и процедуры должны быть доведены до всех пользователей,обладающих возможностью доступа к данным платежных карт8.5.8.
Не должны использоваться групповые, разделяемые или встроенные учетные записи ипароли8.5.9. Пользовательские пароли должны изменяться по крайней мере каждые 90 дней8.5.10 Минимальная длина паролей должна составлять не менее 7 символов8.5.11 Пароли должны состоять из числовых и буквенных символов8.5.12 Должно быть запрещено задание нового пароля, если он совпадает с любым изпоследних четырех ранее использовавшихся паролей8.5.13 Количество неудачных попыток получения доступа должно быть ограниченоблокированием идентификатора пользователя по крайней мере после шести неудачныхпопыток8.5.14 Продолжительность блокирования идентификатора пользователя должна составлять 30минут или до активации учетной записи администратором8.5.15 При отсутствии активности во время пользовательского сеанса более чем 15 минутдолжен выполняться повторный запрос пароля пользователя для разблокированиятерминала8.5.16 Должен аутентифицироваться любой доступ к любой базе данных, содержащей данныеплатежных карт, в том числе доступ, осуществляемый приложениями, администраторамии любыми другими пользователямиТребование 9: Физический доступ к данным платежных карт должен бытьограниченЛюбой физический доступ к данным или системам, содержащим данные платежных карт,предоставляет возможность получения контроля над устройствами или данными, в том числевозможность удаления систем или печатных копий, и должен строго ограничиваться.9.1 Для ограничения и отслеживания физического доступа к системам, в которых хранятся,обрабатываются или передаются данные платежных карт, должен использоваться надежныймеханизм контроля доступа в помещения.Copyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security StandardСтандарт безопасности данных индустрии платежных картПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 119.1.1 Для наблюдения за критичными помещениями должны использоваться видеокамеры.Должен проводиться анализ собранных данных и их сопоставление с другими событиями.Данные видеонаблюдения должны храниться по крайней мере в течение 3 месяцев, еслиэто не противоречит законодательству9.1.2 Физический доступ к сетевым разъемам, расположенным в публично доступных местах,должен быть ограничен9.1.3 Физический доступ к беспроводным точкам доступа, маршрутизаторам и портативнымустройствам должен быть ограничен9.2 Должны быть разработаны процедуры, позволяющие персоналу легко отличать сотрудниковкомпании от посетителей, особенно в тех помещениях, в которых существует возможностьполучения доступа к данным платежных карт.В данном контексте под «сотрудником» понимаются сотрудники, работающие в компанииполный рабочий день, или частично занятые сотрудники, временные сотрудники и персонал, атакже консультанты, постоянно находящиеся в компании.
Термин «посетитель» относитсяк производителям, гостям сотрудников, обслуживающему персоналу или лицам, которымнеобходимо посетить помещение в течение непродолжительного промежутка времени,обычно не превышающего один день.9.3 В отношении всех посетителей должно выполняться следующее:9.3.1 Авторизация до входа в помещения, в которых обрабатываются данные платежных карт9.3.2 Выдача физического средства идентификации (например, идентификационной карточкиили устройства доступа) с ограниченным сроком действия, отличающего посетителей отсотрудников компании9.3.3 Изъятие физического средства идентификации перед уходом или по истечении срокадействия9.4 Должен использоваться журнал регистрации посетителей с целью хранения записей опосетителях.
Данный журнал должен храниться по крайней мере в течение 3 месяцев, если этоне противоречит законодательству.9.5 Носители с резервными копиями должны храниться в защищенных местах, предпочтительно вовнешних помещениях, например, альтернативном или резервном помещении или вкоммерческом хранилище информации.9.6 Должна обеспечиваться физическая защита всех бумажных и электронных носителей (включаякомпьютеры,электронныеносители,сетевоеикоммуникационноеоборудование,телекоммуникационные линии, чеки, распечатанные отчеты и факсы), содержащих данныеплатежных карт.9.7 Должен обеспечиваться строгий контроль над внутренним или внешним перемещениемносителей всех видов, содержащих данные платежных карт, включая следующее:9.7.1 Маркировку носителей, чтобы они могли быть идентифицированы как содержащиеконфиденциальную информацию9.7.2 Отправку носителей с доверенным курьером или с помощью другого способа доставки,который можно проконтролировать9.8 Руководство должно утверждать перемещение всех носителей за пределы защищеннойтерритории (в особенности если носители передаются отдельным лицам).9.9 Должен обеспечиваться строгий контроль хранения и доступности носителей, содержащихданные платежных карт.9.9.1 Должны выполняться инвентаризация и защищенное хранение всех носителей9.10 Носители, содержащие данные платежных карт, должны уничтожаться перечисленными нижеспособами, если их хранение больше не обосновано с точки зрения соблюдения требованийзаконодательства или выполнения бизнес-задач:9.10.1.
Перекрестным измельчением, сожжением или преобразованием в целлюлозную массупечатных документов9.10.2 Удалением без возможности восстановления, размагничиванием, измельчением илиуничтожением иным способом электронных носителей для исключения возможностивоссоздания данных платежных картРегулярный мониторинг и тестирование сетейТребование 10: Должен отслеживаться и контролироваться любой доступ ксетевым ресурсам и данным платежных картCopyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security StandardСтандарт безопасности данных индустрии платежных картПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 12Механизмы регистрации событий и возможность отслеживания действий пользователей крайненеобходимы.
Наличие зарегистрированных событий во всех средах предоставляет возможностьрасследования и анализа при инцидентах. Определение причины компрометации является крайнезатруднительным без журналов регистрации событий.10.1 Должен быть реализован процесс, связывающий осуществление любого доступа к системнымкомпонентам (в особенности доступа с использованием административных привилегий,например, root) с конкретными пользователями.10.2 Для всех системных компонентов должна выполняться регистрация событий с цельювосстановления:10.2.1 Любого пользовательского доступа к данным платежных карт10.2.2 Всех действий, выполненных с использованием административных привилегий10.2.3 Доступа ко всем журналам регистрации событий10.2.4 Неудачных попыток логического доступа10.2.5 Использования механизмов идентификации и аутентификации10.2.6 Инициализации журналов регистрации событий10.2.7 Создания и удаления системных объектов10.3 В регистрируемых событиях для каждого системного компонента должны записываться покрайней мере следующие элементы:10.3.1 Идентификатор пользователя10.3.2 Тип события10.3.3 Дата и время10.3.4 Индикатор успеха или отказа10.3.5 Источник события10.3.6 Идентификатор или название задействованных данных, системного компонента илиресурса10.4 Должна выполняться синхронизация времени на всех критичных системах.10.5 Журналы регистрации событий должны быть защищены от внесения изменений.10.5.1 Просмотр журналов регистрации событий должен быть разрешен только темсотрудникам, кому это необходимо для выполнения должностных обязанностей10.5.2 Файлы журналов регистрации событий должны быть защищены от несанкционированныхизменений10.5.3 Должно выполняться своевременное резервирование файлов с зарегистрированнымисобытиями на централизованный log-сервер или носители, где их сложнее изменить10.5.4 Журналы регистрации событий для беспроводных сетей должны копироваться на logсервер во внутренней сети10.5.5 Для журналов регистрации событий должно использоваться программное обеспечениеконтроля целостности файлов и обнаружения изменений для обеспечения того, чтосуществующие данные в журналах не смогут быть изменены без генерациипредупреждения (при этом добавление новых данных не должно вызывать генерациипредупреждения)10.6 Должен выполняться по крайней мере ежедневный просмотр журналов зарегистрированныхсобытий для всех системных компонентов.
Просмотр журналов регистрации событий долженвключать журналы серверов, выполняющих функции обеспечения безопасности, например,систем обнаружения вторжений (IDS) и серверов аутентификации, авторизации и учета(Authentication, Authorization, Accounting, AAA), например, RADIUS.Для достижения соответствия требованию 10.6 может использоваться инструментарийдля сбора, анализа событий и уведомления.10.7 Журналы регистрации событий должны храниться по крайней мере в течение 1 года, при этом втечение 3 месяцев журналы должны быть доступны в режиме оперативного доступа.Требование 11: Должно выполнятьсяпроцессов обеспечения безопасностирегулярноетестированиесистемиУязвимости постоянно обнаруживаются злоумышленниками и исследователями, а такжевносятся вместе с новым программным обеспечением. Системы, процессы и разрабатываемоепрограммное обеспечение должны периодически тестироваться в целях поддержания с течениемCopyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security StandardСтандарт безопасности данных индустрии платежных картПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 13времени, а также при любых изменениях в программном обеспечении надлежащего уровнязащищенности.11.1 Должно проводиться ежегодное тестирование защитных мер, ограничений и сетевыхподключений для обеспечения уверенности в их способности идентифицировать и блокироватьлюбые попытки несанкционированного доступа.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
