Стандарт PCI DSS 1_1 (1027417), страница 5
Текст из файла (страница 5)
Для идентификации всех использующихсябеспроводных устройств должен по крайней мере ежеквартально использоваться анализаторбеспроводных сетей.11.2 Внутренние и внешние сканирования уязвимостей сети должны проводиться по крайней мереежеквартально или после любого значительного изменения в инфраструктуре сети (например,при установке новых системных компонентов, изменениях в сетевой топологии, модификацииправил межсетевого экранирования или обновлении версий продуктов).Ежеквартальное внешнее сканирование уязвимостей сети должно выполняться организацией,квалификация которой подтверждена платежными системами. Сканирования, проводимыепосле внесения изменений в сеть, могут выполняться внутренним персоналом компании.11.3 По крайней мере ежегодно, а также после любых значительных модернизаций или модификацийинфраструктуры или приложений (например, обновление версии ОС, добавление подсети илиweb-сервера) должны проводиться тесты на проникновение.
Данные тесты на проникновениедолжны включать:11.3.1 Тесты на проникновение на сетевом уровне11.3.2 Тесты на проникновение на уровне приложений11.4 Для мониторинга всего сетевого трафика и предупреждения персонала о возможныхкомпрометациях должны использоваться системы обнаружения вторжений на уровне сети,системы обнаружения вторжений на уровне хоста и системы предотвращения вторжений. Должновыполняться регулярное обновление всех систем обнаружения и предотвращения вторжений.11.5 Должно использоваться программное обеспечение контроля целостности файлов,уведомляющее персонал о несанкционированных изменениях критичных системных файлов илифайлов данных и выполняющее по крайней мере еженедельное сравнение критичных файлов.Критичные файлы – это необязательно только файлы, содержащие данные платежных карт.С точки зрения контроля целостности файлов под критичными файлами обычно понимаютсяфайлы, которые редко изменяются, но изменение которых может служить признакомкомпрометации системы или указывать на попытку компрометации.
Средства контроляцелостности файлов обычно предварительно сконфигурированы перечнем критичных файловдля соответствующей операционной системы. Другие критичные файлы, например, дляразработанного ПО, должны быть оценены и определены самой компанией (например,предприятием торгово-сервисной сети или сервис-провайдером).Поддержание политики информационной безопасностиТребование 12: Должна поддерживаться политика информационной безопасности,регламентирующая деятельность сотрудников и контрагентовПродуманная политика информационной безопасности определяет стратегию защитыинформации в компании и распределяет обязанности за обеспечение безопасности.
Всесотрудники должны быть осведомлены о необходимости защиты данных и своих обязанностях поих защите.12.1 Должна быть разработана, опубликована, утверждена и доведена до сотрудников политикаинформационной безопасности, которая включает следующее:12.1.1 Учитывает все требования данного стандарта12.1.2 Содержит описание ежегодного процесса идентификации угроз и уязвимостей,завершающегося формализованной оценкой рисков12.1.3 Проведение по крайней мере ежегодного пересмотра политики ИБ и ее обновления приизменении инфраструктуры12.2 Должны быть разработаны типовые периодически выполняемые процедуры обеспечениябезопасности, соответствующие требованиям данного стандарта (например, процедурыуправления пользовательскими учетными записями и процедуры анализа журналов регистрациисобытий)Copyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security StandardСтандарт безопасности данных индустрии платежных картПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 1412.3 Должны быть разработаны политики допустимого использования персональных устройств,которые могут быть использованы сотрудниками (например, модемов и беспроводных устройств),чтобы определить допустимое использование этих устройств для всех сотрудников иконтрагентов.
Политики допустимого использования должны содержать следующие требования:12.3.1 Явное утверждение руководством12.3.2 Прохождение аутентификации перед использованием устройства12.3.3 Перечень используемых устройств и сотрудников, имеющих к ним доступ12.3.4 Маркировка устройств с указанием имени владельца, контактной информации иназначения12.3.5 Допустимое использование устройств12.3.6 Допустимое размещение используемых устройств в сети12.3.7 Перечень разрешенных к использованию типов устройств12.3.8 Автоматическое отключение сеансов модемов по истечении определенного периодабездействия12.3.9 Включение модемов для осуществления поддержки производителями только при наличиинеобходимости и немедленное отключение после использования12.3.10 Запрет сохранения данных платежных карт на локальных дисках, флоппи-дисках илидругих внешних носителях при осуществлении удаленного доступа к данным платежныхкарт.
Запрещение операций копирования/вставки и печати во время сеанса удаленногодоступа12.4 Политика и процедуры информационной безопасности должны явно определять обязанности пообеспечению ИБ для сотрудников и контрагентов12.5 Должны быть назначены следующие обязанности по управлению ИБ на индивидуальныхсотрудников или группы сотрудников:12.5.1 Разработка, документирование и доведение до сотрудников политик и процедурбезопасности12.5.2 Мониторинг и анализ событий ИБ, а также информирование соответствующего персонала12.5.3 Разработка, документирование и распределение процедур реагирования на инцидентыбезопасности и процедуры эскалации для обеспечения своевременной и эффективнойобработки инцидентов, связанных с безопасностью12.5.4 Администрирование пользовательских учетных записей, включая добавление, удаление имодификацию12.5.5 Мониторинг и контроль любого доступа к данным12.6 Должна быть реализована формализованная программа повышения осведомленностисотрудников в вопросах ИБ для обеспечения понимания сотрудниками важности защиты данныхплатежных карт.12.6.1 Должно выполняться обучение сотрудников при найме на работу и по крайней мереежегодно (например, с использованием рассылки, плакатов, заметок, собраний и т.
д.)12.6.2 Сотрудники должны письменно подтверждать прочтение и понимание политики ипроцедур ИБ12.7 Должны выполняться проверки потенциальных сотрудников для минимизации риска внутреннихатак.Для таких сотрудников, как кассиры магазинов, которые имеют доступ только к одномуномеру карты единовременно при проведении транзакции, это требование носитрекомендательный характер.12.8 При наличии возможности получения доступа к данным платежных карт сервис-провайдером вдоговорах с сервис-провайдерами должно содержаться следующее:12.8.1 Необходимость соблюдения сервис-провайдерами положений стандарта PCI DSS12.8.2 Соглашение, подтверждающее признание сервис-провайдерами обязанностей пообеспечению безопасности данных платежных карт, к которым они получают доступ12.9 Должен быть создан план реагирования на инциденты ИБ и обеспечена готовностьнемедленного реагирования на нарушение информационной безопасности какой-либо системы12.9.1 Должен быть разработан план реагирования на инциденты ИБ, выполняемый прикомпрометации системы.
План должен содержать по крайней мере конкретные процедурыреагирования на инциденты ИБ, процедуры восстановления и обеспечениянепрерывности бизнеса, процессы резервирования данных, роли и обязанности, а такжестратегии уведомления при инциденте (например, информирование банков-эквайреров иассоциаций платежных карт)Copyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security StandardСтандарт безопасности данных индустрии платежных картПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 1512.9.2 Должно проводиться по крайней мере ежегодное тестирование плана12.9.3 Должны быть назначены сотрудники, реагирующие на инциденты ИБ 7 дней в неделю 24часа в сутки.12.9.4 Должно выполняться соответствующее обучение персонала, ответственного зареагирование на инциденты ИБ12.9.5 Должно выполняться наблюдение за событиями от систем IDS, IPS и систем контроляцелостности12.9.6 Должен быть реализован процесс изменения и развития плана реагирования наинциденты ИБ в соответствии с приобретенным опытом и с учетом развития отрасли ИБ12.10 Все процессинговые центры и сервис-провайдеры должны реализовать и поддерживатьполитики и процедуры управления подключенными организациями, включая следующее:12.10.1 Поддержание перечня подключенных организаций12.10.2 Необходимость выполнения проверок до подключения организации12.10.3 Необходимость соответствия подключаемой организации требованиям стандарта PCIDSS12.10.4 Определенная процедура подключения и отключения организацийCopyright 2008 PCI Security Standards Council LLCPayment Card Industry (PCI) Data Security StandardСтандарт безопасности данных индустрии платежных картПеревод ЗАО НИП «Информзащита»www.infosec.ru+7 (495) 9802345Апрель 2008Страница 16Приложение А: Применимость стандарта PCI DSS к хостингпровайдерамТребование А.1: Хостинг-провайдеры должны защищать среду данных платежныхкартКак упоминалось в требовании 12.8, все сервис-провайдеры, имеющие доступ к данным платежныхкарт (в том числе хостинг-провайдеры), должны соблюдать положения стандарта PCI DSS.Кроме того, в требовании 2.4 говорится о том, что хостинг-провайдеры должны защищать средуразмещения и данные каждой обслуживаемой организации.
Поэтому хостинг-провайдеры должныпридавать большое значение выполнению следующих требований:А.1 Должна выполняться защита среды размещения и данных каждой обслуживаемой организации(предприятия торгово-сервисной сети, сервис-провайдера или другой организации) с учетомтребований А.1.1–А.1.4:А.1.1 Каждая организация должна иметь доступ только к собственной среде данных платежныхкартА.1.2 Права доступа и привилегии каждой организации должны ограничиваться толькособственной средой платежных картА.1.3 Аудит и регистрация событий должны быть включены индивидуально для средыплатежных карт каждой организации и в соответствии с требованием 10 стандарта PCIDSSA.1.4 Должны быть реализованы процессы, позволяющие провести своевременноерасследование инцидентов при компрометации размещенных данных любогопредприятия торгово-сервисной сети или сервис-провайдераХостинг-провайдер должен соответствовать этим требованиям в дополнение к остальнымтребованиям стандарта PCI DSS в части, его касающейся.Даже в случае соответствия хостинг-провайдера перечисленным требованиям необязательнообеспечивается соответствие стандарту PCI DSS организации, пользующейся услугами этогохостинг-провайдера.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
