PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Будни аудитора. "Инструкция 630-Б от 27 июля 2005 года"

- Покажите, пожалуйста, настройки парольной политики домена Windows.

- Да, конечно, она у нас описана в… ээээ… ммм… кажется в инструкции номер 630-Б… да, точно, 630-Б, принятой 27 июля 2005 года, вот она!

- Хорошо, у вас в ней написано, что длина пароля должна быть не меньше восьми символов, и что его надо менять один раз в 60 дней. Покажите, теперь, пожалуйста, требования к паролю, установленные в политиках контроллера домена.

- Так вот же они, 630-Б, от 27 июля…

- Да, это очень хорошо, что у Вас есть документ, описывающий требования к паролям, но позвольте взглянуть на оснастку групповых политик на сервере dc1, который является контроллером домена.

- А что вы хотите там увидеть?

- Настройки парольной политики на практике.

- Зачем? Вот же, инструкция 630-Б, в ней всё есть, все требования выполнены!

- Требования описаны в вашем внутреннем нормативном документе и это очень хорошо. Однако, как я вам уже говорил, требование стандарта считается выполненным только в том случае, когда кроме нормативного документа присутствует его практическая реализация в конкретных системах, входящих в область аудита.

- Да, безусловно так. Вот инструкция 630-Б, видите, всё практически выполнено!

- Давайте всё-таки взглянем на оснастку сервера dc1.

- Вы айтишников проверяете или безопасность? У нас, у безопасности, всё есть, вот инструкция 630-Б, а чем там айтишники занимаются, я не знаю!

- Мы проверяем насколько эффективно обеспечена безопасность вашей информационной инфраструктуры. Мы можем посмотреть на оснастку?

- Пойдемте к айтишникам… вот, смотрите оснастку.

- Хмм… у вас в доменных парольных политиках не указана минимальная длина пароля, а срок его действия неограничен. Требование не может быть признано выполненным, ваш домен настроен весьма небезопасно.

- Да, тут и вправду ноль стоит… Хорошо, я вас понял, пишите нам замечание, к следующему вашему приезду мы всё как надо внесем в инструкцию 630-Б и заново подпишем её у руководства…

вредные советы
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры