Перейти к содержанию

Pci-dss на "бананах"


Loo

Рекомендуемые сообщения

Другая сторона - при получении проверяемой компанией статуса соответствия стандарту PCI DSS приезжают специальные ребята (по типу контрразведки) и проверяют работу самих проверяющих - проводят выборочную проверку требований (примерно 30% от общего объема требований). Т.е. аудит компания проходит фактически дважды.

А откуда эта "контрразведка"? :smile1:

 

В ИЗ серьезные и грамотные ребята и девчата - работать с ними приятно. Дают советы, слушают мнения, умеют объяснить и доказать свою точку зрения на то или иное требование.

Вот-вот. Уровень абстрактности требований PCI-DSS (да и других международных стандартов) таков, что все равно аудитору приходится заниматься "интертрепацией" требования. :smile14:

Я сам в свое время столкнулся с подобной проблемой, когда аттестовал одну контору по РД ГТК :smile17:

 

Так что полностью поддерживаю мастера Лу - сканирования мало. Да собственно часть требований такова, что иначе как опросом, сбором внутренних нормативных документов, изучением конфигурации программ их и не выполнишь.

 

Мне в этом плане больше нравятся checklists DISA - там сразу написано, какое требование можно сканером выполнить (но описаны ручные варианты выдачи команд), а какое только вручную :smile1:

 

 

 

 

 

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 14
  • Создана
  • Последний ответ

контрразвведка...

Сейчас, насколько я владею информацией, такие группы созданы в ИЗ. Также подобные подразделения имеются в PCI DSS.

ребята из ИЗ проверяют работу своих коллег, PCI DSS проверяет работу аудитора.

 

Рекомендации DISA по сути являются одним из основных документов, который помогает самостоятельно настроить и оттестировать систему безопасности. Аудиторы принимают результаты работ, выполненные по рекомендациям DISA.

 

Сканирование - в стандарте указано 3 типа:

1 - ежеквартальное сканирование IP, связанных с сегментом обработки платежных карт, смотрящих в инет (мыло, DNS, интернет приложения и т.д.). Это сканирование необходимо проводить и после апгрейдов/апдейтов вышеуказанных систем.

2. тест на проникновение в сеть извне - цель - получить доступ к базе данных платежных карт и сделать там селект. данные потом предъявить заказчику.

3. тест на проникновение в базу изнутри компании. цель - см.п.2. модели нарушителей разные.

 

Сканирование - по сути только два пункта из всего стандарта.

 

Сам же стандарт представляет собой усредненный перечень рисков, которые могут возникнуть при работе с приватными данными владельцев платежных карт, и перечень мер для устранения этих рисков.

 

Может случиться и так, что у кого-то система безопасности так построена, что стандарт покажется детской игрушкой:)

 

Хотя если взять для анализа ПО используемое для обработки данных платежных карт, используемое в США, Европе и России, то выясним, что американцы гораздо хуже оснащены в плане защиты, ПО у них старое и менять его они не собираются. Поэтому зона применимости стандарта - в основном США и Европа, ну остальной мир - до кучи.

Ссылка на комментарий
Поделиться на другие сайты

:о)) То есть при наличии DNS-сервера, аудит пройти сегодня нереально? Или если "аппрувед" сканеры говорят, что все "ок", то считается пройденным? Кстати, ссылка так между делом http://tservice.net.ru/~s0mbre/blog/devel/...2008_08_08.html

Ссылка на комментарий
Поделиться на другие сайты

:о)) То есть при наличии DNS-сервера, аудит пройти сегодня нереально? Или если "аппрувед" сканеры говорят, что все "ок", то считается пройденным? Кстати, ссылка так между делом http://tservice.net.ru/~s0mbre/blog/devel/...2008_08_08.html

Не, надо djbdns использовать :smile1: Бернстайн, кстати, был указан в бюллетене CERT-а чуть ли не как первый, кто обнаружил уязвимость :smile3:

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...