УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Система диспетчеризации ЦОД DATCHECK
    • Efros Config Inspector
    • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
    • Умные решения в управлении ЖКХ на платформе HESKEY
    • CyberLympha DATAPK
    • Модульный ЦОД на основе решения DATARK
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
    • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
Продукты и услуги
  • Корпоративный центр ГосСОПКА
  • Сервисная поддержка
  • Пентесты
  • Консалтинг ИБ
    • Услуги по консалтингу в сфере защиты информации
      • Критической информационной инфраструктуры
      • Государственных информационных систем
      • Финансовых организации
      • Персональных данных
      • Коммерческой тайны
      • Комплексный аудит ИБ
    • Полезные материалы
      • Вебинары серии «Безопасность Финансовых организаций»
      • Вебинары по КИИ
      • Обзоры изменений законодательства ИБ
      • Обзоры изменений в области КИИ
      • Общие статьи
      • Дистанционная оценка соответствия ГОСТ Р 57580
    • Преимущества
    • Лицензии
  • 187-ФЗ
  • Импортозамещение
  • Безопасная разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
  • Важное
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Habr
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Корпоративный центр ГосСОПКА
    • Сервисная поддержка
    • Пентесты
    • Консалтинг ИБ
    • 187-ФЗ
    • Импортозамещение
    • Безопасная разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    • Важное
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Корпоративный центр ГосСОПКА
      • Сервисная поддержка
      • Пентесты
      • Консалтинг ИБ
      • 187-ФЗ
      • Импортозамещение
      • Безопасная разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      • Важное
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Система диспетчеризации ЦОД DATCHECK
            • Efros Config Inspector
            • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
            • Умные решения в управлении ЖКХ на платформе HESKEY
            • CyberLympha DATAPK
            • Модульный ЦОД на основе решения DATARK
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
            • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Корпоративный центр ГосСОПКА
          • Сервисная поддержка
          • Пентесты
          • Консалтинг ИБ
            • Назад
            • Консалтинг ИБ
            • Услуги по консалтингу в сфере защиты информации
              • Назад
              • Услуги по консалтингу в сфере защиты информации
              • Критической информационной инфраструктуры
              • Государственных информационных систем
              • Финансовых организации
              • Персональных данных
              • Коммерческой тайны
              • Комплексный аудит ИБ
            • Полезные материалы
              • Назад
              • Полезные материалы
              • Вебинары серии «Безопасность Финансовых организаций»
              • Вебинары по КИИ
              • Обзоры изменений законодательства ИБ
              • Обзоры изменений в области КИИ
              • Общие статьи
              • Дистанционная оценка соответствия ГОСТ Р 57580
            • Преимущества
            • Лицензии
          • 187-ФЗ
          • Импортозамещение
          • Безопасная разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
          • Важное
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        • Главная
        • Пресс-центр
        • Новости
        • Поэтапный подход к достижению соответствия PCI DSS версии 3.0

        Поэтапный подход к достижению соответствия PCI DSS версии 3.0

        21 августа 2014
        Новости

        В июле 2014 года совет PCI SSC опубликовал обновленную концепцию поэтапного подхода к выполнению требований PCI DSS версии 3.0.  

        Основное назначение документа – предложить упорядоченный перечень мероприятий по приведению компании в соответствие требованиям PCI DSS. Документ предлагает 6 последовательных этапов работ в порядке уменьшения их приоритета:

        1. удаление критичных аутентификационных данных и ограничение хранения данных о владельцах платежных карт;
        2. защита периметра, внутренних и беспроводных сетей;
        3. обеспечение безопасности платежных приложений; 
        4. управление и контроль доступа к сети и среде данных о владельцах платежных карт;
        5. защита хранимых данных о владельцах платежных карт;
        6. устранение оставшихся несоответствий.

        В обновленной версии концепции учтены изменения, внесенные в стандарт PCI DSS версии 3.0, и повышен приоритет выполнения ряда требований стандарта (см. таблицу 1).

        Таблица 1 – Сведения об изменениях приоритетов требований PCI DSS

        Требование PCI DSS

        Было

        Стало

        6.7 Убедиться, что политики безопасности и процедуры разработки для обеспечения безопасности систем и приложений документированы, используются и известны всем заинтересованным лицам

        4

        3

        8.3 Для средств удаленного доступа сотрудников (включая пользователей и администраторов) и любых третьих лиц (включая доступ поставщиков для поддержки или техобслуживания) во внутреннюю сеть из внешней сети должен быть реализован механизм двухфакторной аутентификации

        4

        2

        8.5 Не использовать групповые, совместно используемые или общие идентификаторы, пароли или другие средства (методы) аутентификации …

         

        8.5.1 Дополнительное требование для поставщиков услуг: поставщики услуг, имеющие удаленный доступ к помещению клиента (например, для поддержки систем или серверов кассовых терминалов), обязаны использовать уникальные учетные данные для аутентификации (например, пароль/парольная фраза) для каждого клиента

        4

        2

        9.3 Обеспечить контроль физического доступа персонала в области с ограниченным доступом, с учетом следующих требований:

        -        доступ должен быть разрешен и предоставляться на основе должностных обязанностей субъекта;

        -        доступ прекращается незамедлительно при прегрешении выполнения должностных обязанностей и физические средства для доступа, такие как ключи, карты доступа, и т.д., возвращены или заблокированы

        5

        2

        12.5 Определенному сотруднику или группе сотрудников должны быть назначены следующие обязанности в области управления информационной безопасностью.

         

        12.5.3 Разработка, документирование и распространение процедур реагирования на инциденты и сообщений о них, чтобы гарантировать быструю и эффективную обработку всех ситуаций

        4

        2

        12.9 Дополнительное требование к поставщикам услуг:

        Поставщики услуг должны в письменной форме подтверждать своим клиентам, что они несут ответственность за безопасность данных владельцев платежных карт, которыми они обладают или иных образом хранят, обрабатывают или передают по поручению клиентов, или с учетом того, что они могут повлиять на безопасность среды данных о владельцах платежных карт

        4

        2

        12.10 Должен быть внедрен план реагирования на инциденты. Организация должна быть готова немедленно отреагировать на нарушение в работе системы.

        (включая 12.10.1 – 12.10.6)

        4

        2

        В таблице 2 приведен поэтапный план приведения в соответствие с PCI DSS версии 3.0 для организаций, сертифицированных по предыдущей версии стандарта.

         

        Таблица 2 – План поэтапного внедрения новых требований PCI DSS версии 3.0

        №

        Этап

        Измененное / новое требование PCI DSS

        1.  

        Удаление критичных аутентификационных данных и ограничение хранения данных владельцев платежных карт

        1.1 Разработать и внедрить стандарт конфигурации межсетевых экранов и маршрутизаторов, который включает:

        1.1.3 Актуальную схему потоков данных владельцев платежных карт в системах и компьютерной сети 

        12.2 Внедрить процесс оценки рисков, который:

        -        проводится как минимум ежегодно и в случае существенных изменений условий функционирования (например, изменение собственника, слияние, переезд и т.д.);

        -        предусматривает идентификацию критичных активов, угроз и уязвимостей;

        -        предусматривает наличие документированных результатов

        1.  

        Защита периметра, внутренних и беспроводных сетей

        2.4 Наличие актуального перечня компонентов системы, входящих в область PCI DSS (с описанием функций/назначения каждого из них)

        5.1 Установить антивирусное ПО на всех системах, которые подвержены воздействию вредоносного ПО.

        5.1.2 Для систем, которые обычно считаются не подверженными воздействию вредоносного ПО, проводить периодическую оценку, для идентификации и оценки изменяющихся угроз, вызванных вредоносным ПО, чтобы удостовериться, что для данных систем не требуется антивирусная защита

        5.3 Обеспечить работу антивирусных средств в активном состоянии и невозможность их отключения или изменения пользователем, кроме случаев, когда такое отключение делается на ограниченное время, и санкционировано руководством

        9.9 Защитить устройства, которые считывают данные платежных карт при непосредственном физическом взаимодействии с картой, от внесения в них изменений или подмены, в том числе:

        9.9.1 иметь и поддерживать в актуальном состоянии перечень таких устройств;

        9.9.2 осуществлять периодический осмотр устройств, с целью выявления следов внесения в них изменений или подмены;

        9.9.3 проводит обучение персонала с целью информирования о возможности внесения изменения или подмены устройств

        11.3 Внедрить методологию тестирования на проникновение, которая включает:

        -        принятые в отрасли методы тестирования на проникновение (например, NIST SP 800-115);

        -        все критические и пограничные системы, входящие в CDE;

        -        тестирование как снаружи, так и изнутри сети;

        -        тестирование для подтверждения корректности сегментации сети и механизмов, использованных доля сокращения области распространения требований PCI DSS;

        -        определение тестов на проникновение на уровне приложений, с учетом как минимум уязвимостей, перечисленных в требовании 6.5;

        -        определение тестов на проникновение на сетевом уровне, включая компоненты, которые обеспечивают функционирование сети, а также операционных систем;

        -        включение анализа и рассмотрения угроз и уязвимостей, которые были обнаружены за последние 12 месяцев;

        -        определение сроков хранения результатов тестирования и результатов внедрения корректирующих мер

        11.3 Внедрить методологию тестирования на проникновение.

        11.3.4 В случае использования сегментации для изоляции CDE от других сетей проводить тестирование на проникновение как минимум ежегодно и после любых изменений в методах/механизмах сегментации, чтобы обеспечить работоспособность и эффективность сегментации для изоляции систем, входящих в область требований PCI DSS, от других систем

        12.8 Разработать и внедрить политики и процедуры управления отношениями с поставщиками услуг …, в том числе:

        12.8.5 Вести информацию о том, какие требования PCI DSS реализуются каждым из поставщиками услуг, а какие — организацией

        1.  

        Обеспечение безопасности платежных приложений

        2.2.3 Необходимо обеспечить дополнительные механизмы защиты для всех необходимых служб, протоколов и управляющих программ, которые могут быть небезопасными. Например, следует использовать такие технологии защиты, как SSH, S-FTP, SSL или IPSec VPN для защиты таких незащищенных сервисов как NetBIOS, совместное использование файлов, Telnet, FTP и т.д.

         

        6.5. В процессе разработки ПО принять меры по недопущению уязвимостей кода, включающие: обучение персонала… и использование инструкций по разработке приложений методами безопасного программирования.

        6.5.10 Обеспечить защиту от ошибок при аутентификации и управлении сессиями (для веб-приложений и интерфейсов приложений)

        1.  

        Управление и контроль доступа к сети и среде данных владельцев платежных карт

        8.2 В дополнение к присвоению уникального идентификатора обеспечить надлежащее управление аутентификацией пользователей для пользователей не являющихся клиентами и администраторов …

        8.2.3 Пароли / ключевые фразы должны удовлетворять следующим критериям:

        -        минимальная длина не менее 7 символов;

        -        содержат как цифровые, так и буквенные символы.

        Либо пароли / ключевые фраз должны обладать сложностью и стойкостью эквивалентной указанным выше параметрам

        8.6 При использовании других механизмов аутентификации данные механизмы должны быть назначены с учетом следующего:

        -        механизм аутентификации должен быть назначен отдельной учетной записи и не должен использоваться для доступа к нескольким учетным записям;

        -        механизмы физического и/или логического контроля должны использоваться, чтобы обеспечить возможность использования такого механизма аутентификации для получения доступа только для соответствующей учетной записи

        8.7 Убедиться, что политики безопасности и процедуры идентификации и аутентификации документированы, используются и известны всем заинтересованным лицам.

        10.2. Обеспечить автоматическое ведение журналов аудита и возможность реконструкции следующих событий:

        10.2.5 Использование или изменение механизма идентификации и аутентификации, включая создание новой учетной записи, повышение привилегий, а также всех изменение, добавление, удаление учетных записей с правами администратора;

        10.2.6 Инициализация, выключение или остановка протоколирования событий

        11.1 Внедрить процесс обнаружения беспроводных точек доступа и осуществлять ежеквартальное обнаружение и идентификацию авторизованных и неавторизованных точек доступа. В том числе:

        11.1.1 вести перечень авторизованных точек доступа, включая документальное подтверждение требований бизнеса;

        11.1.2 внедрить процедуру реагирования на инциденты, для случая обнаружения несанкционированных точек доступа

        11.5 Внедрить механизмы обнаружения изменений … и настроить ПО для контроля изменений на контроль критичных файлов как минимум раз в неделю.

        11.5.1 Внедрить процесс реагирования на все уведомления, сформированные системой обеспечения целостности

        11.6 Убедиться, что политики безопасности и процедуры мониторинга и проверки безопасности документированы, используются и известны всем заинтересованным лицам

        1.  

        Защита хранимых данных владельцев платежных карт

        3.7 Убедиться, что политики безопасности и процедуры защиты данных владельцев платежных карт документированы, используются и известны всем заинтересованным лицам

         

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Корпоративный центр ГосСОПКА
        Сервисная поддержка
        Пентесты
        Консалтинг ИБ
        187-ФЗ
        Импортозамещение
        Безопасная разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Важное
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        Версия для печати
        Политика конфиденциальности
        © 2023 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы