PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Что необходимо делать, что бы сохранить статус соответствия PCI DSS?

В последнее время обсуждения в области безопасности были сосредоточены на теме PCI DSS. Обсуждается все, от практических советов как достигнуть соответствия, до присуждения стандарту статуса дьявольского изобретения («PCI is the devil»). Не обращая внимания на горячие споры, можно отметить, что с помощью PCI DSS множество организаций увидело перспективу обеспечения безопасности там, где ранее об этом не могло быть и речи. При этом совершенно очевидно, что он не делает их «абсолютно защищенными» — это не под силу никакому внешнему документу.

PSI DSS часто критикуют, основываясь на мнении, что главной целью стандарта является прохождение аудита. Для многих будет сюрпризом узнать, что стандарт требует выполнение определенных задач постоянно, а не только перед аудитом. Цель статьи — сосредоточить внимание на конкретных процедурах, которые необходимо осуществлять, для того что бы сохранить соответствие, а не только выполнять ASV-сканирование, проходить ежегодный QSA-аудит, или же заполнять лист самооценки (SAQ).

В действительности, очень немногие эксперты подскажут вам, как сохранить соответствие, а не просто достигнуть его. Последние случаи нарушения безопасности, повлекшие потерю карточных данных в компаниях, однажды получивших статус соответствия PCI DSS, показывают, что сохранить соответствие намного сложнее, чем получить его. Вы не получите преимуществ, которые приносит PCI DSS для вашей безопасности, только лишь от слов «вы успешно прошли сертификацию», произнесенных аудитором в дорогом костюме. Реальное улучшение произойдет только в том случае, если вы будете «делать PCI DSS» и обеспечивать безопасность каждый день (да-да, стандарт включает в себя ежедневные задачи!).

Вопреки описанному выше подходу, ориентированному на получение статуса соответствия, некоторые поставщики услуг безопасности постоянно проповедуют концепцию «непрерывного соответствия». И говорят об этом уже годами. Конечно, «непрерывное соответствие» — это хорошо но, к сожалению, большинство клиентов этих же поставщиков, в ущерб своим собственным интересам, не обеспечивают этого. Они по-прежнему суетятся во время аудита, стремятся угодить аудитору и настроены на то, чтобы как можно быстрее получить статус соответствия. Подводя итог, можно сказать: прежде чем предлагать стратегию непрерывного соответствия, необходимо сначала обучить этому потребителя.

В заключении следует отметить, что достижение стопроцентного соответствия стандарту требует от компаний намного больше затрат и ресурсов, чем необходимо для его поддержания.

Многие будут удивлены, но сам PCI DSS содержит в себе информацию о действиях, которые необходимо выполнять регулярно, их перечень приведен в таблице 1.

Таблица 1. Периодические действия

 

Требования PCI DSS версии 1.2.1

Период

3

3.6.4 Периодическая смена ключей:
• насколько часто этого требуют применяемые приложения, предпочтительно автоматически;
• не реже одного раза в год.

ежегодно

6

6.6 Следует обеспечить защиту веб-ориентированных приложений от известных атак (а также регулярно учитывать новые уязвимости) одним из следующих методов:
• проверять приложение на наличие уязвимостей с использованием методов ручного или автоматического анализа защищенности не реже одного раза в год, а также после внесения изменений;
• установить межсетевой экран прикладного уровня перед веб-ориентированными приложениями.

ежегодно

9

9.5 Носители с резервными копиями данных следует хранить в безопасных местах, желательно вне объекта, таких как запасной центр обработки данных, или же воспользовавшись услугами компаний, обеспечивающих безопасное хранение. Безопасность мест хранения должна проверяться не реже одного раза в год.

ежегодно

9

9.9.1 Должны поддерживаться в актуальном состоянии журналы инвентаризации всех носителей данных о держателях карт; инвентаризация носителей должна проводиться не реже одного раза в год.

ежегодно

11

11.3 Следует проводить внешний и внутренний тест на проникновение не реже одного раза в год, а также после любого значимого изменения или обновления инфраструктуры и приложений (например, обновления операционной системы, добавления подсети, установки веб-сервера).

ежегодно

12

12.1.2 Политика информационной безопасности должна описывать ежегодно выполняемый процесс идентификации угроз, уязвимостей и результатов их реализации в рамках формальной оценки рисков.

ежегодно

12

12.1.3 Политика информационной безопасности должна пересматриваться не реже одного раза в год и обновляться в случае изменения инфраструктуры.

ежегодно

12

12.6.1 Обучение сотрудников должно проводиться при приеме их на работу, продвижении по службе, а также не реже одного раза в год.

ежегодно

12

12.6.2 Сотрудники должны не реже одного раза в год подтверждать своё знание и понимание политики и процедур информационной безопасности компании.

ежегодно

X

QSA-аудит, или заполнение листа самооценки (в зависимости от вида компании).

ежегодно

1

1.1.6 Следует выполнять пересмотр межсетевых экранов и маршрутизаторов не реже одного раза в полгода.

один раз в полгода

11

11.1 Следует ежеквартально проверять наличие беспроводных точек доступа, используя анализатор беспроводных сетей либо беспроводные IDS/IPS для обнаружения всех включенных беспроводных устройств.

ежеквартально

11

11.2 Следует проводить внешнее и внутреннее сканирование сети на наличие уязвимостей не реже одного раза в квартал, а также после внесения значимых изменений (например, установки новых системных компонентов, изменения топологии сети, изменения правил межсетевых экранов, обновления системных компонентов).

ежеквартально

11

11.5 Следует использовать приложения контроля целостности файлов для оповещения персонала о несанкционированных изменениях критичных системных файлов и файлов данных; проверка целостности критичных файлов должна проводиться не реже одного раза в неделю.

еженедельно

10

10.6 Следует просматривать журналы протоколирования событий не реже одного раза в день. Следует анализировать журналы систем обнаружения вторжений (IDS) и серверов, осуществляющих аутентификацию, авторизацию и учет (например, RADIUS).

ежедневно

12

12.2 Должны быть разработаны ежедневные процедуры безопасности, соответствующие требованиям настоящего стандарта (например, процедуры управления учетными записями пользователей, процедуры анализа журналов протоколирования событий).

ежедневно

X

Многие другие процессы, которые необходимо «поддерживать» и «гарантировать», так же как процедуры из требования 12.2

по мере необходимости

Что мы можем извлечь полезного из вышеприведенной информации? Мы можем составить список задач, которые необходимо выполнять периодически:

Каждый год:
   • QSA-аудит или заполнение листа самооценки;
   • тест на проникновение;
   • проверка безопасности веб-приложений;
   • пересмотр политики безопасности;
   • обучение персонала;
   • другое.

Каждые 6 месяцев:
   • пересмотр конфигураций межсетевых экранов и маршрутизаторов.

Каждый квартал:
   • выполнение внешнего и внутреннего сканирования сети на наличие уязвимостей.

Каждую неделю:
   • выполнение процедур проверки целостности критичных файлов.

Каждый день:
   • просмотр журналов протоколирования событий;
   • выполнение других ежедневных процедур, предусмотренных политикой безопасности.

Получению статуса соответствия уделяется значительно больше внимания, чем сохранению соответствия, а именно на этом этапе происходит наибольшее количество ошибок, приводящих к нарушению безопасности и потере данных. Если вы принимаете участие в обеспечении соответствия компании требованиям PCI DSS, убедитесь, что сохранению статуса соответствия уделяется не меньше внимания, чем к его достижению.

Об авторе:
Антон Чувакин является известным независимым консультантом по информационной безопасности, автор книг «PCI Compliance», «Security Warrior», соавтор «Know Your Enemy II», «Information Security Management Handbook», «Hackers Challenge 3», «OSSEC HIDS», а также многих публикаций по безопасности. Автор многих докладов по вопросам информационной безопасности на конференциях в США, Великобритании, Сингапуре, Испании, Канаде, Польше, Чехии, России и других стран. Защитил диссертацию на соискание ученой степени Ph. D. в Университете Стони Брук, Нью-Йорк, США.

Источник:
http://www.ethicalhacker.net/content/view/283/2/

соответствие | выполнение требований | сертификация
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 









Партнеры