3 сентября 2010 года
поиск
Информзащита - Нам доверяют защиту информации


Контакты

127018, Россия, Москва, а/я 55

+7 (495) 980-23-45 (многоканальный)

Сканирование уязвимостей в соответствии со стандартом PCI DSS
Дополнительные материалы
pdf   Стандарт PCI DSS 1.2   (1012KB)
pdf   Стандарт PCI DSS 1.1   (280KB)
pdf   Процедуры аудита безопасности PCI DSS 1.1   (597KB)
pdf   Ориентирование в PCI DSS 1.1   (581KB)
pdf   Глоссарий PCI DSS 1.1   (309KB)
Скачать файлы

Основные проблемы

Регулярное сканирование сети позволяет идентифицировать уязвимости и некорректные с точки зрения безопасности конфигурации элементов ИТ-инфраструктуры. Результаты сканирования дают важную информацию, которая помогает обеспечивать эффективное управление безопасностью и защиту от Интернет-атак. Необходимость регулярного сканирования сети отражена в требовании 11.2 стандарта PCI DSS -  все члены платежных систем, торговые предприятия и поставщики услуг, работающие с международными платежными системами и хранящие, обрабатывающие и передающие данные держателей карт, должны ежеквартально проходить процедуру сканирования сети.

Решение

Компания  «Информзащита»  имеет статус ASV («Approved Scanning Vendor»), что дает ей официальное право проводить сканирования сети клиента в соответствии с требованиями стандарта PCI DSS.

В рамках предоставления услуги по сканированию специалисты компании  «Информзащита» выполнят следующие работы:

  • Определение и/или согласование перечня узлов, подлежащих тестированию с привлечением сертифицированных аудиторов PCI QSAP, что обеспечивает полноту и корректность определения перечня выявление уязвимостей в соответствии с PCI Scanning Procedures, включая  использование технических средств и ручные проверки, проводимые экспертами;
  • Разработка отчетов и согласование ложных обнаружений («false positives») уязвимостей
  • В случае выявления уязвимостей, подлежащий устранению, производится повторное сканирование после их устранения.

Сканируемой компании предоставляются следующие отчеты:

  • «Сводный отчет», содержащий:
    • перечень IP-адресов узлов, для которых проводилось тестирование защищенности
    • статус каждого узла, определенный по результатам проведенного тестирования
    • описание системы категорирования уязвимостей
  • «Детализированный отчет», включающий полный перечень выявленных уязвимостей данного узла в порядке убывания степени их критичности, содержащий детальное описание каждой уязвимости:
    • название уязвимости;
    • ссылка производителя;
    • степень критичности;
    • оценка уязвимости по CVSS («Common Vulnerability Scoring System»);
    • подробное описание уязвимости;
    • рекомендации по устранению или снижению риска.

Также по каждому узлу составляется консолидированный план устранения уязвимостей, обнаруженных на данном узле с учетом серьезности уязвимости.

Выгоды

В результате прохождения процедуры сканирования сети в соответствии с требованиями стандарта PCI DSS компания получает следующие основные преимущества:

  • повышение защищенности периметра сети путем своевременной идентификации уязвимостей и их устранения
  • обеспечение выполнения требования стандарта PCI DSS

 

Хотите получить дополнительную информацию по услугам нашей компании по направлению PCI DSS?

Портал PCI DSS Compliance Management

Соответствие требованиям регуляторов