Vinni Опубликовано 14 августа, 2008 Поделиться Опубликовано 14 августа, 2008 Другая сторона - при получении проверяемой компанией статуса соответствия стандарту PCI DSS приезжают специальные ребята (по типу контрразведки) и проверяют работу самих проверяющих - проводят выборочную проверку требований (примерно 30% от общего объема требований). Т.е. аудит компания проходит фактически дважды. А откуда эта "контрразведка"? :smile1: В ИЗ серьезные и грамотные ребята и девчата - работать с ними приятно. Дают советы, слушают мнения, умеют объяснить и доказать свою точку зрения на то или иное требование. Вот-вот. Уровень абстрактности требований PCI-DSS (да и других международных стандартов) таков, что все равно аудитору приходится заниматься "интертрепацией" требования. :smile14: Я сам в свое время столкнулся с подобной проблемой, когда аттестовал одну контору по РД ГТК :smile17: Так что полностью поддерживаю мастера Лу - сканирования мало. Да собственно часть требований такова, что иначе как опросом, сбором внутренних нормативных документов, изучением конфигурации программ их и не выполнишь. Мне в этом плане больше нравятся checklists DISA - там сразу написано, какое требование можно сканером выполнить (но описаны ручные варианты выдачи команд), а какое только вручную :smile1: Ссылка на комментарий Поделиться на другие сайты More sharing options...
IronJohn Опубликовано 15 августа, 2008 Поделиться Опубликовано 15 августа, 2008 контрразвведка... Сейчас, насколько я владею информацией, такие группы созданы в ИЗ. Также подобные подразделения имеются в PCI DSS. ребята из ИЗ проверяют работу своих коллег, PCI DSS проверяет работу аудитора. Рекомендации DISA по сути являются одним из основных документов, который помогает самостоятельно настроить и оттестировать систему безопасности. Аудиторы принимают результаты работ, выполненные по рекомендациям DISA. Сканирование - в стандарте указано 3 типа: 1 - ежеквартальное сканирование IP, связанных с сегментом обработки платежных карт, смотрящих в инет (мыло, DNS, интернет приложения и т.д.). Это сканирование необходимо проводить и после апгрейдов/апдейтов вышеуказанных систем. 2. тест на проникновение в сеть извне - цель - получить доступ к базе данных платежных карт и сделать там селект. данные потом предъявить заказчику. 3. тест на проникновение в базу изнутри компании. цель - см.п.2. модели нарушителей разные. Сканирование - по сути только два пункта из всего стандарта. Сам же стандарт представляет собой усредненный перечень рисков, которые могут возникнуть при работе с приватными данными владельцев платежных карт, и перечень мер для устранения этих рисков. Может случиться и так, что у кого-то система безопасности так построена, что стандарт покажется детской игрушкой:) Хотя если взять для анализа ПО используемое для обработки данных платежных карт, используемое в США, Европе и России, то выясним, что американцы гораздо хуже оснащены в плане защиты, ПО у них старое и менять его они не собираются. Поэтому зона применимости стандарта - в основном США и Европа, ну остальной мир - до кучи. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Loo Опубликовано 15 августа, 2008 Автор Поделиться Опубликовано 15 августа, 2008 :о)) То есть при наличии DNS-сервера, аудит пройти сегодня нереально? Или если "аппрувед" сканеры говорят, что все "ок", то считается пройденным? Кстати, ссылка так между делом http://tservice.net.ru/~s0mbre/blog/devel/...2008_08_08.html Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 15 августа, 2008 Поделиться Опубликовано 15 августа, 2008 :о)) То есть при наличии DNS-сервера, аудит пройти сегодня нереально? Или если "аппрувед" сканеры говорят, что все "ок", то считается пройденным? Кстати, ссылка так между делом http://tservice.net.ru/~s0mbre/blog/devel/...2008_08_08.html Не, надо djbdns использовать :smile1: Бернстайн, кстати, был указан в бюллетене CERT-а чуть ли не как первый, кто обнаружил уязвимость :smile3: Ссылка на комментарий Поделиться на другие сайты More sharing options...
Loo Опубликовано 15 августа, 2008 Автор Поделиться Опубликовано 15 августа, 2008 djb не панацея :о)) Тем более снаружи ... Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.