Версия для печати Контакты Блог LETA Поиск
LETA IT-company
LETAУслугиУслуги и решения в области соответствия требованиямУправление уязвимостями в…

Управление уязвимостями в соответствии с требованиями PCI DSS

Сканирование уязвимостей

В соответствии с требованиями стандарта PCI DSS, организации, которые хранят, обрабатывают, или передают данные держателей платежных карт (банки, процессинговые центры, сервис-провайдеры, торговые организации и т.п.) должны проводить ежеквартальное сканирование уязвимостей как внешнее ASV сканирование, так и внутреннее.

Внешнее ASV сканирование

ASV сканирование - тестирование безопасности информационных систем, входящих в область требований PCI DSS и имеющих выход в Интернет (межсетевые экраны, почтовые серверы, web-приложения, DNS-серверы и т.д.).

Сканирование должно выполняться только с использованием сертифицированного ASV (Approved Scanning Vendor) сканера. Компания LETA предлагает услуги по ежеквартальному ASV сканированию с использованием таких сертифицированных сканеров как Qualys и Outpost24.

По результатам сканирования ни одна из систем не должна иметь уязвимостей с высоким статусом риска. Если в ходе ASV сканирования будут обнаружены такие уязвимости, то специалисты компании LETA помогут их устранить с целью успешного прохождения сканирования перед проведением сертификационного аудита PCI DSS.

ASV сканирование включает:

  •  годовое планирование услуги;
  •  проведение ежеквартальных сканирований (одним из сертифицированных ASV сканеров);
  •  консультации по результатам сканирования, включая выдачу рекомендаций по устранению выявленных уязвимостей;
  • повторное сканирование после устранения выявленных уязвимостей.

Внутреннее сканирование

Для проведения внутренних сканирований компания LETA предлагает использовать одно из следующ их средств:

  •  MaxPatrol;
  •  Outpost24 HIAB;
  •  QualysGuard;
  •  Symantec CCS VM.

Тестирование на проникновение

Согласно требованиям PCI DSS, помимо сканирований необходимо проводить внешние, и внутренние тесты на проникновение.

Тестирование на проникновение (penetration testing) – имитация действий потенциального нарушителя путем проведения атак, как на сетевом уровне, так и на уровне приложений доступных из сети Интернет (внешнее тестирование) и внутренних ресурсов, входящих в область аудита PCI DSS (внутреннее тестирование).

Таким образом, тестирование на проникновение позволяет оценить реальный уровень информационной безопасности компании, показать текущую защищенность как от внешнего злоумышленника, так и со стороны сотрудника компании (инсайдера).

Процесс тестирования на проникновение в соответствии с PCI DSS:

  1. Получение аудитором информации для сканирования:
  •  IP адреса, для сканирования
  •  URL, для сканирования
  •  диапазон IP-адресов заказчика
  1. Предварительный проект (этап обнаружения):
  •  определение активных хостов, открытых портов, сопоставление границ тестирования (согласно информации, полученной от заказчика).
  1. Автоматизированное тестирование с использованием утилит (включая анализ результатов и удаление ошибок)
  2. Ручное тестирование креативные тесты для конкретных ситуаций
  3. Проведение DOS-атаки (проводится в специально согласованное время) процедуря является опциональной
  4. Подготовка отчета и презентация результатов Заказчику

Кроме того, по желанию заказчика возможно проведение тестирования с использованием методов социальной инженерии.

Информацию по приведению инфраструктуры компании в соответствие требованиям стандарта PCI DSS, вы можете найти здесь.

Годовые отчеты Годовые отчеты
Выполненные проекты Выполненные проекты
LETA на ТВ LETA на ТВ
???????@Mail.ru ???????@Mail.ru
Система Orphus
Leta.ru Компания №1 в области Защиты Информации Текущая категория