Перейти к содержанию
View in the app

A better way to browse. Learn more.

IT2B - Технологии разведки для бизнеса

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Pci-dss на "бананах"

Featured Replies

Опубликовано
Другая сторона - при получении проверяемой компанией статуса соответствия стандарту PCI DSS приезжают специальные ребята (по типу контрразведки) и проверяют работу самих проверяющих - проводят выборочную проверку требований (примерно 30% от общего объема требований). Т.е. аудит компания проходит фактически дважды.

А откуда эта "контрразведка"? :smile1:

 

В ИЗ серьезные и грамотные ребята и девчата - работать с ними приятно. Дают советы, слушают мнения, умеют объяснить и доказать свою точку зрения на то или иное требование.

Вот-вот. Уровень абстрактности требований PCI-DSS (да и других международных стандартов) таков, что все равно аудитору приходится заниматься "интертрепацией" требования. :smile14:

Я сам в свое время столкнулся с подобной проблемой, когда аттестовал одну контору по РД ГТК :smile17:

 

Так что полностью поддерживаю мастера Лу - сканирования мало. Да собственно часть требований такова, что иначе как опросом, сбором внутренних нормативных документов, изучением конфигурации программ их и не выполнишь.

 

Мне в этом плане больше нравятся checklists DISA - там сразу написано, какое требование можно сканером выполнить (но описаны ручные варианты выдачи команд), а какое только вручную :smile1:

 

 

 

 

 

 

  • Ответов 14
  • Просмотры
  • Создана
  • Последний ответ

Топ авторов темы

Опубликовано

контрразвведка...

Сейчас, насколько я владею информацией, такие группы созданы в ИЗ. Также подобные подразделения имеются в PCI DSS.

ребята из ИЗ проверяют работу своих коллег, PCI DSS проверяет работу аудитора.

 

Рекомендации DISA по сути являются одним из основных документов, который помогает самостоятельно настроить и оттестировать систему безопасности. Аудиторы принимают результаты работ, выполненные по рекомендациям DISA.

 

Сканирование - в стандарте указано 3 типа:

1 - ежеквартальное сканирование IP, связанных с сегментом обработки платежных карт, смотрящих в инет (мыло, DNS, интернет приложения и т.д.). Это сканирование необходимо проводить и после апгрейдов/апдейтов вышеуказанных систем.

2. тест на проникновение в сеть извне - цель - получить доступ к базе данных платежных карт и сделать там селект. данные потом предъявить заказчику.

3. тест на проникновение в базу изнутри компании. цель - см.п.2. модели нарушителей разные.

 

Сканирование - по сути только два пункта из всего стандарта.

 

Сам же стандарт представляет собой усредненный перечень рисков, которые могут возникнуть при работе с приватными данными владельцев платежных карт, и перечень мер для устранения этих рисков.

 

Может случиться и так, что у кого-то система безопасности так построена, что стандарт покажется детской игрушкой:)

 

Хотя если взять для анализа ПО используемое для обработки данных платежных карт, используемое в США, Европе и России, то выясним, что американцы гораздо хуже оснащены в плане защиты, ПО у них старое и менять его они не собираются. Поэтому зона применимости стандарта - в основном США и Европа, ну остальной мир - до кучи.

Изменено пользователем IronJohn

Опубликовано
  • Автор

:о)) То есть при наличии DNS-сервера, аудит пройти сегодня нереально? Или если "аппрувед" сканеры говорят, что все "ок", то считается пройденным? Кстати, ссылка так между делом http://tservice.net.ru/~s0mbre/blog/devel/...2008_08_08.html

Опубликовано
:о)) То есть при наличии DNS-сервера, аудит пройти сегодня нереально? Или если "аппрувед" сканеры говорят, что все "ок", то считается пройденным? Кстати, ссылка так между делом http://tservice.net.ru/~s0mbre/blog/devel/...2008_08_08.html

Не, надо djbdns использовать :smile1: Бернстайн, кстати, был указан в бюллетене CERT-а чуть ли не как первый, кто обнаружил уязвимость :smile3:

 

Опубликовано
  • Автор

djb не панацея :о)) Тем более снаружи ...

Для публикации сообщений создайте учётную запись или авторизуйтесь

Account

Navigation

Поиск

Поиск

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.