Тезисы из PCI DSS - стандарт безопасности работы в банках

### Требования 1. Использовать межсетевые экраны. Эти устройства являются программным или аппаратным обеспечением, которое блокирует нежелательный доступ и управляет санкционированным доступом на входе в сеть и выходе из нее. 1. Описать актуальную схему сети. Схемы сети описывают конфигурацию сетей и определяют места расположения всех сетевых устройств. 0. Составить схему потоков важной информации. Схема определяет расположение информации, которая хранится, обрабатываются или передаются внутри сети. 0. Описать роли и обязанности персонала. Это гарантирует, что работники знают, кто отвечает за безопасность всех компонентов сети, и что лица, назначенные для управления компонентами, знают о своих обязанностях. 0. Задокументировать все службы, протоколы и порты, которые используются в компании. А также описать средства их защиты, в случае если они считаются небезопасными. Это позволяет организациям обеспечить отключение или удаление всех остальных служб, протоколов и портов. 0. Раз в полгода пересматривать правила для межсетевых экранов. Пересмотр наборов правил дает организации возможность удаления всех ненужных, устаревших или некорректных правил. 0. Необходимо установить защиту сети между внутренней доверенной сетью и любой недоверенной внешней сетью, которая не находится под контролем организации. 0. Разрешить доступ к системам с важной информацией только с доверенных IP-адресов. 0. Обеспечить безопасность и синхронизацию конфигурационных файлов маршрутизаторов. 0. Ограничить доступ от WiFi сетей до среды с важной информацией. 0. Не раскрывать частные IP-адреса и информацию об их маршрутизации(использовать NAT или прокси-сервера). ### Требования 2. Не использовать пароли к системам и другие параметры безопасности по умолчанию, заданные производителем. 1. Всегда изменять параметры по умолчанию, заданные производителями, а также удалять или отключать неиспользуемые учетные записи по умолчанию перед установкой систем в сети. 0. Для беспроводных сетей, которые подключены к среде важной информацией либо передают её, необходимо изменить ВСЕ параметры по умолчанию, заданные производителем. 0. Реализовать на каждом сервере только одну основную функцию во избежание совмещения на одном и том же сервере функций, требующих различных уровней защиты. 0. Удалить все неиспользуемые функциональные возможности, например, скрипты, драйверы, функции, подсистемы, файловые системы, а также неиспользуемые веб-серверы. 0. При использовании любого не консольного административного доступа к системе всегда шифровать канал с использованием стойкой криптографии. ### Требования 3. Защищать хранимые важные данные 1. Составить политику хранения данных. Она определяет, какие данные необходимо хранить, срок хранения и где находятся эти данные, чтобы их можно было безопасно уничтожить или удалить, когда они больше не требуются. 0. Документировать и внедрить процедуры защиты ключей, используемых для защиты хранимых важных данных от раскрытия или злоупотребления. 0. Сократить до минимума количество лиц, имеющих доступ к криптографическим ключам. ### Требование 4. Защищать все системы от вредоносного ПО и регулярно обновлять антивирусные ПО или программы. 1. Развернуть антивирусное ПО на всех системах, обычно подверженных воздействию вредоносного ПО (особенно на персональных компьютерах и серверах) 0. Проводить периодические проверки в системах, которые обычно считаются не подверженными заражению вредоносным ПО, выявляя и оценивая угрозы заражения новыми формами вредоносного ПО, для того, чтобы проверять, что эти системы по-прежнему не требуют антивирусного ПО. 0. Проверить, что все антивирусные механизмы настроены на автоматическое обновление, настроены на периодическое сканирование и включено создание журналов регистрации событий. 0. Убедиться, что антивирусные механизмы постоянно запущены, и пользователи не могут их отключить или изменить без явного разрешения, которое выдается руководством на каждый конкретный случай и на ограниченный период времени. ### Требование 5. Разрабатывать и поддерживать безопасные системы и приложения 1. Наладить процесс выявления уязвимостей с помощью авторитетных внешних источников информации об уязвимостях, а также процесс оценки критичности (например, «высокая», «средняя» или «низкая») для недавно обнаруженных уязвимостей. Читаем новости и в зависимости от используемого ПО записываем уязвимости. 0. Гарантировать, что все системные компоненты и ПО защищены от известных уязвимостей путем установки применимых обновлений безопасности, которые выпускает производитель. Устанавливать критичные обновления безопасности в течение одного месяца с момента их выпуска. 0. Разрабатывать внутренние и внешние приложения с на основе отраслевых стандартов и (или) рекомендаций по безопасности. 0. Удалять все учетные записи разработчиков, тестовые учетные записи и(или) учетные записи заказного приложения, идентификаторы пользователей и пароли перед передачей ПО заказчикам или переводом его в производственный режим. 0. Контролировать разрабатываемый код на наличие потенциальных уязвимостей, вносить все необходимые корректировки до выпуска ПО. 0. Управлять распространенными уязвимостями программного кода в процессе разработки ПО следующим образом: обучатьразработчиков не реже одного раза в год актуальным методикам безопасного программирования, включая информацию о том, как избежать распространенных программных уязвимостей. * Инъекции, в частности, SQL-инъекции, а также инъекции LDAP, XPath, команд ОС и др. Инъекция происходит, когда предоставленные пользователем данные передаются интерпретатору как часть команды или запроса. * Переполнение буфера. Переполнение буфера происходит, когда приложение не имеет соответствующих ограничений при проверке буферного пространства. * Небезопасная передача данных. Приложения, которые не шифруют сетевой трафик с применением стойкой криптографии, подвергаются повышенному риску компрометации. * Некорректная обработка ошибок. Вследствие некорректной обработки ошибок в приложении может происходить непреднамеренная утечка информации о конфигурации и внутренних рабочих процессах, или же раскрытие закрытой информации. * Межсайтовый скриптинг (XSS). XSS происходит, когда приложение отправляет предоставленные пользователем данные в веб-браузер без предварительной проверки или шифрования этого содержимого. * Ошибки механизмов контроля доступа (например, небезопасные прямые ссылки на объекты, отсутствие ограничения доступа по URL, обход директорий и отсутствие ограничения прав доступа пользователя к функциям). * Подделка межсайтовых запросов (CSRF). 0. Постоянно управлять новыми угрозами и уязвимостями общедоступных веб-приложений и обеспечить этим приложениям защиту от известных атак одним из следующих методов: проверять общедоступное веб-приложение на наличие уязвимостей, используя методы или инструменты ручного или автоматизированного анализа защищенности приложений не реже одного раза в год, а также после внесения любых изменений; устанавливать автоматизированное техническое средство (например, межсетевой экран уровня веб-приложений) перед общедоступными веб-приложениями для непрерывной проверки всего трафика, предназначенное для обнаружения и предупреждения веб-атак. ### Требование 6. Ограничивать доступ к важной информации в соответствии со служебной необходимостью 1. Ограничить доступ к системным компонентам и ДДК только теми лицами, которым такой доступ требуется в соответствии с их служебными обязанностями. 0. Определить необходимые права доступа для каждой роли только тем набором прав, который минимально необходим им для выполнения своих должностных обязанностей. 0. Назначать права доступа согласно роли и должностным обязанностям конкретного работника. 0. Установить систему (или системы) контроля доступа к системным компонентам, которая ограничивает доступ в соответствии со служебной необходимостью пользователя и которая настроена запрещать все, что явным образом не разрешено. ### Требование 7. Идентифицировать и аутентифицировать доступ к системным компонентам. 1. Назначить всем пользователям уникальные учетные записи, прежде чем предоставить им доступ к системным компонентам. 0. Немедленно отзывать доступ у каждого уволенного пользователя. 0. Удалять и (или) блокировать неактивные учетные записи не позже чем через 90дней. 0. Управлять учетными записями, которые используются третьими сторонами для удаленного доступа, поддержки и обслуживания системных компонентов, следующим образом: включать только на необходимый промежуток времени и отключать, когда они не используются; вести мониторинг, когда они используются. 0. Блокировать идентификатор пользователя не более чем после шести неудачных попыток входа подряд. 0. Если сеанс был неактивен в течение 15 минут и больше, требовать у пользователя пройти повторную аутентификацию для возобновления работы терминала или сеанса. 0. Привести все учетные данные для аутентификации (например, пароли и (или) парольные фразы) к нечитаемому виду с использованием стойкой криптографии. 0. Обеспечить соответствие паролей и (или) парольных фраз следующим требованиям: длина пароля не менее семи символов; наличие в пароле и цифр, и букв. 0. Менять пароли и (или) парольные фразы пользователей, как минимум, один раз в 90дней. 0. Устанавливать каждому пользователю уникальные пароль и (или) парольную фразу для первоначального использования и при их сбросе, а также менять их сразу после первого использования. ### Требование 8. Отслеживать и вести мониторинг всего доступа к сетевым ресурсам и важной информации 1. Внедрить журналы регистрации событий, в которых любой доступ к системным компонентам привязывается к конкретному пользователю 0. Реализовать автоматизированные журналы регистрации событий на всех системных компонентах, чтобы можно было восстановить следующие события: все сеансы персонального доступа пользователей к важной информации; все действия, совершенные любым лицом с привилегиями суперпользователя (root) или администратора; доступ ко всем журналам регистрации событий;неуспешные попытки логического доступа. 0. Записывать в журналах регистрации событий для каждого события каждого системного компонента, как минимум, следующее: идентификатор пользователя; тип события; дата и время; успешное или неуспешное завершение события; источник события; идентификатор или название данных, системного компонента или ресурса, на которые воздействовало событие. 0. Защитить журналы регистрации событий от изменений. 0. Проверять журналы и события безопасности всех системных компонентов, чтобы выявлять аномалии или подозрительную активность. 0. Проверять не реже одногораза в день: журналы всех критичных системных компонентов; журналы всех серверов и системных компонентов, выполняющих функции безопасности (например, межсетевых экранов, систем обнаружения или предотвращения вторжений, серверов аутентификации, серверов перенаправления для электронной коммерции и т.д.). 0. Сохранять историю журналов регистрации событий не менее одного года, причем в оперативном доступе должна находиться история не менее чем за последние три месяца (например, в прямом доступе, в архиве, либо с возможностью восстановления из резервной копии) 0. Внедрить процесс своевременного обнаружения и отчетности об ошибках в критичных системах контроля безопасности, включая среди прочего ошибки. ### Требование 9. Регулярно тестировать системы и процессы безопасности 1. Внедрить процессы ежеквартальной проверки на наличие беспроводных точек доступа (802.11), а также выявления и идентификации санкционированных и несанкционированных беспроводных точек доступа. 0. Вести список санкционированных беспроводных точек доступа и документировать по ним служебное обоснование. 0. Внедрить процедуры реагирования на инцидент, заключающийся в обнаружении несанкционированных беспроводных точек доступа. 0. Проводить внешнее и внутреннее сканирование сети на наличие уязвимостей не реже одного раза в квартал,а также после значительных изменений в сети (например, установки новых системных компонентов, изменения топологии сети, изменения правил межсетевых экранов, обновления продуктов). 0. Внедрить методологию проведения тестирования на проникновение, которая: основана на общепринятых отраслевых подходах к проведению тестирования на проникновение (например, NISTSP800-115); охватывает весь периметр среды; включает тестированиекак снаружи сети, так и внутри сети 0. Проводить внешний и внутренний тесты на проникновение не реже одного раза в год и после любых значительных модификаций или обновлений инфраструктуры или приложений (например, обновления операционной системы, добавления подсети или веб-сервера к среде). 0. Устранять потенциально эксплуатируемые уязвимости, обнаруженные во время теста на проникновение, и повторить тест, чтобы проверить устранение. 0. Использовать методы обнаружения и(или) предотвращения вторжений для обнаружения и(или) предотвращения вторжения в сеть. Осуществлять мониторинг всего сетевого трафика по периметру среды с важной информацией и в критичных точках внутри среды ДДК, и оповещать работников оподозрениях на компрометацию. 0. Внедрить средство обнаружения изменений (например, мониторинг целостности файлов), чтобы уведомлять работников о несанкционированных изменениях (включая, изменения, добавления и удаления) критичных системных файлов, конфигурационных файлов или файлов данных. Настроить программное обеспечение так, чтобы оно сопоставляло критичные файлы не реже одного раза в неделю. 0. Гарантировать, что политики безопасности и операционные процедуры мониторинга и проверки безопасности документированы, используются и известны всем заинтересованным лицам. ### Требование 10. Поддерживать политику информационной безопасности для всех работников. 1. Разработать, опубликовать, поддерживать и распространять политику информационной безопасности. Пересматривать политику информационной безопасности не реже раза в год и обновлять в случае изменения среды организации. 0. Разработать политики использования критичных технологий и определить надлежащее пользование этих технологий. К критичным технологиям относятся среди прочего: технологии удаленного доступа, беспроводные технологии, ноутбуки, планшеты, съемные носители информации, электронная почта и сеть Интернет.