PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Тест на проникновение и PCI DSS - какова цель?

Стандарт PCI DSS требует от организации проведения теста на проникновение не реже одного раза в год, а также после внесения значительных изменений в информационную инфраструктуру. Требование 11.3 говорит о том, что тест на проникновение должен выполняться как на сетевом уровне, так и на уровне приложений, при этом тестирование должно выполняться как извне, так и изнутри сети организации.

Выполнить тест на проникновение может как внешний консультант, так и штатный специалист организации, административно независимый от сотрудников и подразделений, ответственных за поддержку и эксплуатацию тестируемых систем.

Как оказалось, в среде специалистов по карточной безопасности встречается заблуждение о том, по каким критериям определяется успех или провал теста на проникновение. Заблуждение заключается в том, что якобы для того, чтобы «засчитать» проникновение, пентестер должен непременно ознакомиться с данными о держателях карт. Кроме того, часто поднимается вопрос о том, проникновения в какие системы считать критичными.

Для того, чтобы развеять заблуждение, обратимся к первоисточнику, а именно – Совету PCI SSC, в частности - к опубликованному им документу Information Supplement: Penetration Testing, дающему однозначные ответы на оба вопроса.

Что касается вопроса «куда надо проникнуть», то есть понятие области тестирования (scope), в которую входит вся среда данных о держателях карт, а также связанные с ней системы. При этом особо отмечается, что если имеет место сегментация сети, надежно изолирующая среду данных о держателях карт, и при этом аудит соответствия PCI DSS доказал адекватность изоляции, то область тестирования можно сократить до границ среды данных о держателях карт. Всё что вошло в область тестирования – всё априори критично, так как имеет отношение к обработке, хранению и передаче данных о держателях карт.

Теперь о критериях тестирования. Совет PCI SSC написал вполне однозначно: целью теста на проникновение является выяснение того, может ли быть получен неавторизованный доступ к ключевым системам и файлам. То есть иными словами – исследовать область тестирования на предмет наличия уязвимостей и проверить возможность их эксплуатации с целью повышения привилегий в системах, входящих в неё. Обнаруженные уязвимости должны быть устранены и затем проведено повторное тестирование. Ни в коем случае ни целью пентестера, ни критерием успешности теста на проникновение не является ознакомление с данными о держателях карт.

В самом деле, давайте представим такую ситуацию – в области тестирования взломано 90% систем, при этом несколькими способами, через десятки уязвимостей. Но данные о держателях карт в соответствии с требованием 3.4 PCI DSS хранились в зашифрованном виде и поэтому пентестер не смог с ними ознакомиться. Что же, считать в таком случае, что тест на проникновение организацией успешно пройден, и ничего устранять не надо? Абсурд.

Тест на проникновение и сканирование ASV являются важными элементами мониторинга информационной безопасности организации, нацеленными на выявление и устранение уязвимостей в крайне критичной информационной инфраструктуре – среде данных о держателях карт. Здесь важно внимательное отношение к любой, даже потенциальной возможности получения несанкционированных привилегий в отношении входящих в неё систем.

область аудита | пентест
КомментарииКомментарии
Pento
25 сентября 2009, 9:54
??????? ??????? ?????!
? ????? ???????? ??????????? ?????? ??? ???????????? ???????????? ???????????? ?????????????? ???? ?????? ??? ??? ??????????? ??????
Отвечает: Алексей Трошичев
25 сентября 2009, 17:43
?????? ????, ?? ?????????? ??? ??????????? ??????????, ??? ? ??? ??????? ???????
DK21102
25 сентября 2009, 16:19
????? ????????????, ??? ????????????? ????????? ??????? ?????????? ???????????? ??????, ????? ?? ????????????? ???????????? ????????? ??????.
???? ????????? ??????? ????????? ??????, ?? ?? ???? ???????? ?????? ? ????????? ?????? - ?????? ????????? ?????? ???????? ?????????.
? ???????, ??????? ?? ??????? - ????? ?? ????????? ? ????????? ????????? ?????? ? ????????? ??? ????? (????? ?? ???? ???? ?? ??? ?????? ????????/???????????/???????? ??? ???).
Отвечает: Сергей Шустиков
25 сентября 2009, 16:42
???? ?????? ?????????? ??? ?? ???? ???:
http://forum.pcidss.ru/index.php?topic=39.0
http://forum.pcidss.ru/index.php?topic=37.0
??? ? ??????? ? ????????? ???? ??????
muxin
20 октября 2009, 15:44
?? ??, ??????????? ??? ?? ???? ???.... ?????? ???????????? ???? ?? ????, ??????? ?? ?????????? (???? ? ????????, ???????????? ? ??? ???? ?? ?????-?????)
?? ??????????? ??? ??????????? ??????????, ?? ?????????? ???? ? ???? ?? ?????????.
?? ???? ??? 99,99% ?????? ????????, ???????? ??? ???????????... (?? ???? ???????? ??? ????????)
?? ?????????: "??? ????, ????? ???????? ??????????? ????? ?????????? ? ??????????????", ??? ?????????? ? ????????? ????????? ??????, ??? ??? ??????????? ?????? ?? ???? "???????????"?
??? ????????? ?????? ?? ????? ?????????:
"??????? ?? ????????? Data Security Standart. Information Supplement: Requirement 11.3 Penetration Testing.
?????? ?????????
1. ? ????? ?????? ???????????? ??????????? PCI ???????????? ??????????? ? ??????????? ? ????????? ?????? ????????????, ??????? ????? ???????? ? D?S ??????, ?????????? ??????????? ????????, ?? ?????? ??????? ? ???????????? ?? ?????????????, ????????? ??? ?? ???????? ? ????????????? ?????? ?????????? ????."
?? ??? ?? ????? ?????:
"DoS ????????????? ????? ?????? ? ????????? ????? ?????????? ?? ???????"
...?? ???? ???????, ??? ?? ????????? ? ???, ??? ??? ????? ?????? ????????? ????????????? ?????-?? ??????...
??????: ?? ??????? ?????(?????????? ??????????) ? ???? ???????, ????????? ??? ?? ???????????? ?????? ???? ??????? ?????? ??????, ? ????? ??????? ???? ??? ??? ????????, ?????? ???? ?? ??????, ?? ?? ?????? ????? ?? 100%(?.?. ???? ?? ??????? ??? ??? ???). ????? ??? ???????? ? ?????? ????? ??? ??? ???????? ?? ???? ????? ? ?.?., ?? ??? ??? ??????. ??????? ? ???, ??? ?? ???? ?? ?????? ????? ?????? ???? ?????? (????????? ????) ? ????????? ?????? ??? ???! (? ?????? ?? ???? ????????, ??? ?? ???????? ??? ??? ??????? ? ????????)
? ?? ??? ?? ?????????????? ??? ???????????? ???????????? ??? ???????? ?????????? ??? ??????????? ???????????, ??? ????? ???????? ??? ??????.
Отвечает: Сергей Шустиков
21 октября 2009, 16:15
?????????? ?????? ?? ???????? ?????????? ???????? ?? ??????. ???? ?????????? ????? ???? ????? ???????, ???? ???????? 99,99% ?????
??????
21 октября 2009, 12:06
? ??? ? ??? ?????? ??????????? ?????????, ??? ? ??, ??? ? ? ???????, ??????????? ???? ?????? ?????????????
?? ???????????? ?? ???? ?????????? ?? ???????? ????????? ???? ?????? ???????????????? ? ??????????? ????????. ?????, ?? ??? ??????? ???????, ??? ?????????? - ??? ?????????? ?? ??? ?????? ???????, ??? ??????? ???? ?? ???????, ??? ????? ????????????? ??????, ? ??????? ????????? ???? ????????? (!, ?? ???? ??? ??? ??? ????? ? ?????? ????????????????) ? ?????? ????????? ????????? ????????? ? ?????????? ? ??? ???????? ? ??? ?? ???????? ? ??????, ???, ????????, ????? ?? ??????? ??????? ?????? ????? ????? ??? ?????? ????? "?????" ?????? ??????? ? ????????????? ??????
??? ??? 10 ??? ?????????, ??? ?????? ? ?????? ??????? ? ??????????? - ??? ?????? ????????. ???? ??? ???? 100 ?????????? - ?????? ??? ?? ?????????, ???? ? ????????????? ?????? ????????? ?????????????? ?????????? ??????. ??? ??? ?? ?????????????
??? ???????? ??, ?? ????????? ?? ? ?????????? ? ?????. ??? ??? ???? ? ??? ??? ????? ??????. ??? ??? ??????? ? ??? ??? ??????????? ?? - Nmap???
Отвечает: Сергей Шустиков
21 октября 2009, 16:13
??????? ?? ????? ???? ????? ??????? ? ???????? ? ???????????????? ? ????? ? ???, ??? ? ????????? ???????????? ?????????? ??????????? ????????? ?????????? ?????? ?? ?????????????.
??? ?????? - ??? ?? ??????? ?????, ??? ????? ???????? ? ???????, ????? ?????? ?? ? ?? ?????. ??? ????? ??????????????, ?????? ???????? ?? ?????? ??????????, ? ?? ?????? ???????? ?????????? ?????? ?? ?????????? ??????? ?? ???? PCI Compliance. ??????? ??, ??? ?????????? ???????, ????????? ? ?????? ????? ????????? ????? ????? ??????? ????? ?????? ? ??????? ?? ????????, ??? ????? ?????? ? ??????????? ??? ?????????? ?????????, ??? ? ????????? ????????
?????? ???
23 октября 2009, 16:43
???????, ?????? ????.

????????? ??????? ?????? ? ?????????????? ?????.
????, ??? ??????????, ???????? ??????? ????? ????????-????????, ??????? ????????? ???????:

1. ??? ?????????? ???????????? ?? ????????? ? ?????? ??????????? ??????????? ? ????????? ?????? ? ?????? ???? ?? ?????????, ?? ???? ?? ?? ? ????? ? ??? ?? ??????????? ? ?????????? ????????????. ? ??? ????????

2. ??? ??????? ??????? ???????? - ?????????? ??????????? ??? ????????????? ??? ???????? ????????? ??????? ? ?????? ?????????? ?????

????????, ????????
Отвечает: Сергей Шустиков
24 октября 2009, 15:20
?????? ????, ??????!

1. ???????????? ?????????? ?? ???????? ???, ??? ???????????? - ??? ????? ??????????? ?? ??????????? ??? ?????? ??????????????????? ???????, ? ??????? - ??? ?????? ?????? ???????????, ??????? ?? ?????? ???? ??????????, ?? ? ???????? ?? ???????????????. ??????? ?????? ? ??????-???? ?????????? ?????????????? ?????????????? ?? ????????? ????? ????? ?????? ??????????????, ? ??????? ???????? ??????????? ? ???????????? ??????????? ????????? ??????????. ?? ???? ??????? - ??? ??????? ????? ???????? ??????.

2. ??????? ???????? ??? ??????????? ???????? ???????? ?????????? ???????????, ??????? ????? ??????????????? ? ??? ????? ???????? ?????????? ? ?????????????? ??????????????. ????????? ??????? ? ?????? ? ?????????? ???? ?? ???????? ????????? ?????? ??? ???????? ???????? - ? ????? ?????? ????????? ????? ? ???????????? ?????????? ?????????. ????? ???? ??????????? - ??? ?? ?????? ???? ??????, ?? ????? ? ??????????? ?????? ?????? PCI SSC, ?????????? ?? ?? ????????? ???????? QSA-????????
???? ??????????
24 октября 2009, 15:51
??????????? ?????? ?????? PCI ?? ????? ?????? ?????? ?????? ?, ??? ?? ? ???????? ?????, ?????????? ????????? ????? ? ???? ????????? ?? ?????? ????????????? ??????? ? ?????? ? ???????? ????????. ??????? ???????? ????? ? ???? ?? ????? (??? ????????? ?????? ??? ??? ? ?????? ??? ?? ????? ???? ????? ????? ????????? ???? ???? ? ???? ???????:
http://forum.pcidss.ru/index.php?topic=39.0
http://forum.pcidss.ru/index.php?topic=37.0).
?????
12 ноября 2009, 7:49
?????? ????, ?????????? ?? ????????? FireWall ??? ?????????? ????? ?? ????????????
Отвечает: Сергей Шустиков
15 ноября 2009, 12:48
???? ?? ????????????? ???????????? ??? ????, ????? ?????????? ???????? ??????? ????????????, ??????? ???????? ?????? ????????? ?? ????

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры