Куда я попал?
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022
Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А
А.7.13
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 8 п.п. 8
7.8.8. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры обслуживания средств вычислительной техники, используемых в банковском платежном технологическом процессе, включая замену их программных и (или) аппаратных частей.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
РД.16
РД.16 Использование на АРМ субъектов логического доступа встроенных механизмов контроля изменения базовой конфигурации оборудования (пароль на изменение параметров конфигурации системы, хранящихся в энергонезависимой памяти)
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
NIST Cybersecurity Framework (RU):
PR.MA-1
PR.MA-1: Техническое обслуживание и ремонт организационных активов выполняются и регистрируются своевременно с использованием утвержденных и контролируемых инструментов
PR.DS-8
PR.DS-8: Механизмы проверки целостности используются для проверки целостности оборудования
PR.MA-2
PR.MA-2: Удаленное обслуживание организационных активов одобрено, зарегистрировано и выполняется способом, который предотвращает несанкционированный доступ
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВПУ.13.3
ВПУ.13.3 Завершение сессии и прерывание сетевого подключения субъектов доступа после окончания удаленного технического обслуживания;
ВПУ.13.1
ВПУ.13.1 Многофакторную аутентификацию субъектов доступа, осуществляющих удаленное техническое обслуживание и диагностику;
ВПУ.13.2
ВПУ.13.2 Регистрацию операций, осуществляемых в рамках удаленного технического обслуживания и диагностики объектов информатизации;
ВПУ.13.7
ВПУ.13.7 Применение средств защиты информации для защиты целостности и конфиденциальности сессий сетевого взаимодействия при удаленном техническом обслуживании и диагностике;
ВПУ.13.8
ВПУ.13.8 Контроль и подтверждение завершения сессий и прерывания сетевого подключения субъектов доступа после окончания удаленного технического обслуживания и диагностики.
ВПУ.13.6
ВПУ.13.6 Использование защищенного выделенного (виртуального) канала сетевого взаимодействия при удаленном техническом обслуживании;
ВПУ.12.1
ВПУ.12.1 Авторизация и регистрация операций, осуществляемых в рамках технического обслуживания, и аутентификация субъектов доступа, осуществляющих техническое обслуживание;
ВПУ.13.4
ВПУ.13.4 Аудит (последующий контроль) и анализ операций, осуществляемых в рамках удаленного технического обслуживания и диагностики;
ВПУ.13.5
ВПУ.13.5 Установление в договорах (контрактах) требований к осуществлению удаленного технического обслуживания и диагностики только посредством объектов информатизации, в отношении которых реализован тот же уровень защиты (в том числе защиты информации), что и в отношении обслуживаемых объектов информатизации;
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.5.1.1
9.5.1.1
Defined Approach Requirements:
An up-to-date list of POI devices is maintained, including:
Defined Approach Requirements:
An up-to-date list of POI devices is maintained, including:
- Make and model of the device.
- Location of device.
- Device serial number or other methods of unique identification.
Customized Approach Objective:
The identity and location of POI devices is recorded and known at all times.
Defined Approach Testing Procedures:
The identity and location of POI devices is recorded and known at all times.
Defined Approach Testing Procedures:
- 9.5.1.1.a Examine the list of POI devices to verify it includes all elements specified in this requirement.
- 9.5.1.1.b Observe POI devices and device locations and compare to devices in the list to verify that the list is accurate and up to date.
- 9.5.1.1.c Interview personnel to verify the list of POI devices is updated when devices are added, relocated, decommissioned, etc.
Purpose:
Keeping an up-to-date list of POI devices helps an organization track where devices are supposed to be and quickly identify if a device is missing or lost.
Good Practice:
The method for maintaining a list of devices may be automated (for example, a devicemanagement system) or manual (for example, documented in electronic or paper records). For on-the-road devices, the location may include the name of the personnel to whom the device is assigned.
Examples:
Methods to maintain device locations include identifying the address of the site or facility where the device is located.
Keeping an up-to-date list of POI devices helps an organization track where devices are supposed to be and quickly identify if a device is missing or lost.
Good Practice:
The method for maintaining a list of devices may be automated (for example, a devicemanagement system) or manual (for example, documented in electronic or paper records). For on-the-road devices, the location may include the name of the personnel to whom the device is assigned.
Examples:
Methods to maintain device locations include identifying the address of the site or facility where the device is located.
Requirement 9.5.1
9.5.1
Defined Approach Requirements:
POI devices that capture payment card data via direct physical interaction with the payment card form factor are protected from tampering and unauthorized substitution, including the following:
Defined Approach Requirements:
POI devices that capture payment card data via direct physical interaction with the payment card form factor are protected from tampering and unauthorized substitution, including the following:
- Maintaining a list of POI devices.
- Periodically inspecting POI devices to look for tampering or unauthorized substitution.
- Training personnel to be aware of suspicious behavior and to report tampering or unauthorized substitution of devices.
Customized Approach Objective:
The entity has defined procedures to protect and manage point of interaction devices. Expectations, controls, and oversight for the management and protection of POI devices are defined and adhered to by affected personnel.
Applicability Notes:
These requirements apply to deployed POI devices used in card-present transactions (that is, a payment card form factor such as a card that is swiped, tapped, or dipped).
This requirement is not intended to apply to manual PAN key-entry components such as computer keyboards. This requirement is recommended, but not required, for manual PAN key-entry components such as computer keyboards.
This requirement does not apply to commercial offthe-shelf (COTS) devices (for example, smartphones or tablets), which are mobile merchant-owned devices designed for mass-market distribution.
Defined Approach Testing Procedures:
The entity has defined procedures to protect and manage point of interaction devices. Expectations, controls, and oversight for the management and protection of POI devices are defined and adhered to by affected personnel.
Applicability Notes:
These requirements apply to deployed POI devices used in card-present transactions (that is, a payment card form factor such as a card that is swiped, tapped, or dipped).
This requirement is not intended to apply to manual PAN key-entry components such as computer keyboards. This requirement is recommended, but not required, for manual PAN key-entry components such as computer keyboards.
This requirement does not apply to commercial offthe-shelf (COTS) devices (for example, smartphones or tablets), which are mobile merchant-owned devices designed for mass-market distribution.
Defined Approach Testing Procedures:
- 9.5.1 Examine documented policies and procedures to verify that processes are defined that include all elements specified in this requirement.
Purpose:
riminals attempt to steal payment card data by stealing and/or manipulating card-reading devices and terminals. Criminals will try to steal devices so they can learn how to break into them, and they often try to replace legitimate devices with fraudulent devices that send them payment card data every time a card is entered.
They will also try to add “skimming” components to the outside of devices, which are designed to capture payment card data before it enters the device—for example, by attaching an additional card reader on top of the legitimate card reader so that the payment card data is captured twice: once by the criminal’s component and then by the device’s legitimate component. In this way, transactions may still be completed without interruption while the criminal is “skimming” the payment card data during the process.
Good Practice:
Additional best practices on skimming prevention are available on the PCI SSC website.
riminals attempt to steal payment card data by stealing and/or manipulating card-reading devices and terminals. Criminals will try to steal devices so they can learn how to break into them, and they often try to replace legitimate devices with fraudulent devices that send them payment card data every time a card is entered.
They will also try to add “skimming” components to the outside of devices, which are designed to capture payment card data before it enters the device—for example, by attaching an additional card reader on top of the legitimate card reader so that the payment card data is captured twice: once by the criminal’s component and then by the device’s legitimate component. In this way, transactions may still be completed without interruption while the criminal is “skimming” the payment card data during the process.
Good Practice:
Additional best practices on skimming prevention are available on the PCI SSC website.
Requirement 9.5.1.2.1
9.5.1.2.1
Defined Approach Requirements:
The frequency of periodic POI device inspections and the type of inspections performed is defined in the entity’s targeted risk analysis, which is performed according to all elements specified in Requirement 12.3.1.
Customized Approach Objective:
POI devices are inspected at a frequency that addresses the entity’s risk.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
Defined Approach Requirements:
The frequency of periodic POI device inspections and the type of inspections performed is defined in the entity’s targeted risk analysis, which is performed according to all elements specified in Requirement 12.3.1.
Customized Approach Objective:
POI devices are inspected at a frequency that addresses the entity’s risk.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
- 9.5.1.2.1.a Examine the entity’s targeted risk analysis for the frequency of periodic POI device inspections and type of inspections performed to verify the risk analysis was performed in accordance with all elements specified in Requirement 12.3.1.
- 9.5.1.2.1.b Examine documented results of periodic device inspections and interview personnel to verify that the frequency and type of POI device inspections performed match what is defined in the entity’s targeted risk analysis conducted for this requirement.
Purpose:
Entities are best placed to determine the frequency of POI device inspections based on the environment in which the device operates.
Good Practice:
The frequency of inspections will depend on factors such as the location of a device and whether the device is attended or unattended. For example, devices left in public areas without supervision by the organization’s personnel might have more frequent inspections than devices kept in secure areas or supervised when accessible to the public. In addition, many POI vendors include guidance in their user documentation about how often POI devices should be checked, and for what – entities should consult their vendors’ documentation and incorporate those recommendations into their periodic inspections.
Entities are best placed to determine the frequency of POI device inspections based on the environment in which the device operates.
Good Practice:
The frequency of inspections will depend on factors such as the location of a device and whether the device is attended or unattended. For example, devices left in public areas without supervision by the organization’s personnel might have more frequent inspections than devices kept in secure areas or supervised when accessible to the public. In addition, many POI vendors include guidance in their user documentation about how often POI devices should be checked, and for what – entities should consult their vendors’ documentation and incorporate those recommendations into their periodic inspections.
Requirement 9.5.1.3
9.5.1.3
Defined Approach Requirements:
Training is provided for personnel in POI environments to be aware of attempted tampering or replacement of POI devices, and includes:
Defined Approach Requirements:
Training is provided for personnel in POI environments to be aware of attempted tampering or replacement of POI devices, and includes:
- Verifying the identity of any third-party persons claiming to be repair or maintenance personnel, before granting them access to modify or troubleshoot devices.
- Procedures to ensure devices are not installed, replaced, or returned without verification.
- Being aware of suspicious behavior around devices.
- Reporting suspicious behavior and indications of device tampering or substitution to appropriate personnel.
Customized Approach Objective:
Personnel are knowledgeable about the types of attacks against POI devices, the entity’s technical and procedural countermeasures, and can access assistance and guidance when required.
Defined Approach Testing Procedures:
Personnel are knowledgeable about the types of attacks against POI devices, the entity’s technical and procedural countermeasures, and can access assistance and guidance when required.
Defined Approach Testing Procedures:
- 9.5.1.3.a Review training materials for personnel in POI environments to verify they include all elements specified in this requirement.
- 9.5.1.3.b Interview personnel in POI environments to verify they have received training and know the procedures for all elements specified in this requirement.
Purpose:
Criminals will often pose as authorized maintenance personnel to gain access to POI devices.
Good Practice:
Personnel training should include being alert to and questioning anyone who shows up to do POI maintenance to ensure they are authorized and have a valid work order, including any agents, maintenance or repair personnel, technicians, service providers, or other third parties. All third parties requesting access to devices should always be verified before being provided access—for example, by checking with management or phoning the POI maintenance company, such as the vendor or acquirer, for verification. Many criminals will try to fool personnel by dressing for the part (for example, carrying toolboxes and dressed in work apparel), and could also be knowledgeable about locations of devices, so personnel should be trained to always follow procedures.
Another trick that criminals use is to send a “new” POI device with instructions for swapping it with a legitimate device and “returning” the legitimate device. The criminals may even provide return postage to their specified address. Therefore, personnel should always verify with their manager or supplier that the device is legitimate and came from a trusted source before installing it or using it for business.
Examples:
Suspicious behavior that personnel should be aware of includes attempts by unknown persons to unplug or open devices.
Ensuring personnel are aware of mechanisms for reporting suspicious behavior and who to report such behavior to—for example, a manager or security officer—will help reduce the likelihood and potential impact of a device being tampered with or substituted.
Criminals will often pose as authorized maintenance personnel to gain access to POI devices.
Good Practice:
Personnel training should include being alert to and questioning anyone who shows up to do POI maintenance to ensure they are authorized and have a valid work order, including any agents, maintenance or repair personnel, technicians, service providers, or other third parties. All third parties requesting access to devices should always be verified before being provided access—for example, by checking with management or phoning the POI maintenance company, such as the vendor or acquirer, for verification. Many criminals will try to fool personnel by dressing for the part (for example, carrying toolboxes and dressed in work apparel), and could also be knowledgeable about locations of devices, so personnel should be trained to always follow procedures.
Another trick that criminals use is to send a “new” POI device with instructions for swapping it with a legitimate device and “returning” the legitimate device. The criminals may even provide return postage to their specified address. Therefore, personnel should always verify with their manager or supplier that the device is legitimate and came from a trusted source before installing it or using it for business.
Examples:
Suspicious behavior that personnel should be aware of includes attempts by unknown persons to unplug or open devices.
Ensuring personnel are aware of mechanisms for reporting suspicious behavior and who to report such behavior to—for example, a manager or security officer—will help reduce the likelihood and potential impact of a device being tampered with or substituted.
Requirement 9.5.1.2
9.5.1.2
Defined Approach Requirements:
POI device surfaces are periodically inspected to detect tampering and unauthorized substitution.
Customized Approach Objective:
Point of Interaction Devices cannot be tampered with, substituted without authorization, or have skimming attachments installed without timely detection.
Defined Approach Testing Procedures:
Defined Approach Requirements:
POI device surfaces are periodically inspected to detect tampering and unauthorized substitution.
Customized Approach Objective:
Point of Interaction Devices cannot be tampered with, substituted without authorization, or have skimming attachments installed without timely detection.
Defined Approach Testing Procedures:
- 9.5.1.2.a Examine documented procedures to verify processes are defined for periodic inspections of POI device surfaces to detect tampering and unauthorized substitution.
- 9.5.1.2.b Interview responsible personnel and observe inspection processes to verify:
- Personnel are aware of procedures for inspecting devices.
- All devices are periodically inspected for evidence of tampering and unauthorized substitution.
Purpose:
Regular inspections of devices will help organizations detect tampering more quickly via external evidence—for example, the addition of a card skimmer—or replacement of a device, thereby minimizing the potential impact of using fraudulent devices.
Good Practice:
Methods for periodic inspection include checking the serial number or other device characteristics and comparing the information to the list of POI devices to verify the device has not been swapped with a fraudulent device.
Examples:
The type of inspection will depend on the device. For instance, photographs of devices known to be secure can be used to compare a device’s current appearance with its original appearance to see whether it has changed. Another option may be to use a secure marker pen, such as a UV light marker, to mark device surfaces and device openings so any tampering or replacement will be apparent. Criminals will often replace the outer casing of a device to hide their tampering, and these methods may help to detect such activities. Device vendors may also provide security guidance and “how to” guides to help determine whether the device has been subject to tampering.
Signs that a device might have been tampered with or substituted include:
Regular inspections of devices will help organizations detect tampering more quickly via external evidence—for example, the addition of a card skimmer—or replacement of a device, thereby minimizing the potential impact of using fraudulent devices.
Good Practice:
Methods for periodic inspection include checking the serial number or other device characteristics and comparing the information to the list of POI devices to verify the device has not been swapped with a fraudulent device.
Examples:
The type of inspection will depend on the device. For instance, photographs of devices known to be secure can be used to compare a device’s current appearance with its original appearance to see whether it has changed. Another option may be to use a secure marker pen, such as a UV light marker, to mark device surfaces and device openings so any tampering or replacement will be apparent. Criminals will often replace the outer casing of a device to hide their tampering, and these methods may help to detect such activities. Device vendors may also provide security guidance and “how to” guides to help determine whether the device has been subject to tampering.
Signs that a device might have been tampered with or substituted include:
- Unexpected attachments or cables plugged into the device.
- Missing or changed security labels.
- Broken or differently colored casing.
- Changes to the serial number or other external markings.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.11.2.4
A.11.2.4 Техническое обслуживание оборудования
Мера обеспечения информационной безопасности: Должно проводиться надлежащее техническое обслуживание оборудования для обеспечения его непрерывной доступности и целостности
Мера обеспечения информационной безопасности: Должно проводиться надлежащее техническое обслуживание оборудования для обеспечения его непрерывной доступности и целостности
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.5.1.3
9.5.1.3
Определенные Требования к Подходу:
Для персонала, работающего в среде POI, проводится обучение, чтобы он был осведомлен о попытках взлома или замены устройств POI, и включает в себя:
Определенные Требования к Подходу:
Для персонала, работающего в среде POI, проводится обучение, чтобы он был осведомлен о попытках взлома или замены устройств POI, и включает в себя:
- Проверка личности любых сторонних лиц, утверждающих, что они являются ремонтным или обслуживающим персоналом, прежде чем предоставлять им доступ к модификации или устранению неполадок устройств.
- Процедуры, гарантирующие, что устройства не будут установлены, заменены или возвращены без проверки.
- Быть осведомленным о подозрительном поведении вокруг устройств.
- Сообщать соответствующему персоналу о подозрительном поведении и признаках взлома или замены устройства.
Цель Индивидуального подхода:
Персонал осведомлен о типах атак на устройства POI, технических и процедурных контрмерах организации и при необходимости может получить помощь и рекомендации.
Определенные Процедуры Тестирования Подхода:
Персонал осведомлен о типах атак на устройства POI, технических и процедурных контрмерах организации и при необходимости может получить помощь и рекомендации.
Определенные Процедуры Тестирования Подхода:
- 9.5.1.3.a Просмотрите учебные материалы для персонала в средах POI, чтобы убедиться, что они включают все элементы, указанные в этом требовании.
- 9.5.1.3.b Провести собеседование с персоналом в среде POI, чтобы убедиться, что он прошел обучение и знает процедуры для всех элементов, указанных в этом требовании.
Цель:
Преступники часто выдают себя за авторизованный обслуживающий персонал, чтобы получить доступ к устройствам POI.
Надлежащая практика:
Обучение персонала должно включать в себя предупреждение и опрос всех, кто приходит для обслуживания POI, чтобы убедиться, что они авторизованы и имеют действительный заказ на работу, включая любых агентов, обслуживающий или ремонтный персонал, техников, поставщиков услуг или других третьих лиц. Все третьи стороны, запрашивающие доступ к устройствам, всегда должны быть проверены перед предоставлением доступа — например, путем проверки у руководства или звонка в компанию по обслуживанию POI, такую как поставщик или покупатель, для проверки. Многие преступники будут пытаться обмануть персонал, одеваясь соответственно роли (например, носить ящики с инструментами и рабочую одежду), а также могут быть осведомлены о расположении устройств, поэтому персонал должен быть обучен всегда следовать процедурам.
Еще один трюк, который используют преступники, заключается в отправке “нового” POI-устройства с инструкциями по замене его на законное устройство и “возврату” законного устройства. Преступники могут даже предоставить обратную почтовую отправку по указанному ими адресу. Поэтому персонал всегда должен проверять у своего менеджера или поставщика, что устройство является законным и получено из надежного источника, прежде чем устанавливать его или использовать в коммерческих целях.
Примеры:
Подозрительное поведение, о котором должен знать персонал, включает попытки неизвестных лиц отключить или открыть устройства.
Информирование персонала о механизмах сообщения о подозрительном поведении и о том, кому сообщать о таком поведении — например, менеджеру или сотруднику службы безопасности, — поможет снизить вероятность и потенциальное воздействие подделки или замены устройства.
Преступники часто выдают себя за авторизованный обслуживающий персонал, чтобы получить доступ к устройствам POI.
Надлежащая практика:
Обучение персонала должно включать в себя предупреждение и опрос всех, кто приходит для обслуживания POI, чтобы убедиться, что они авторизованы и имеют действительный заказ на работу, включая любых агентов, обслуживающий или ремонтный персонал, техников, поставщиков услуг или других третьих лиц. Все третьи стороны, запрашивающие доступ к устройствам, всегда должны быть проверены перед предоставлением доступа — например, путем проверки у руководства или звонка в компанию по обслуживанию POI, такую как поставщик или покупатель, для проверки. Многие преступники будут пытаться обмануть персонал, одеваясь соответственно роли (например, носить ящики с инструментами и рабочую одежду), а также могут быть осведомлены о расположении устройств, поэтому персонал должен быть обучен всегда следовать процедурам.
Еще один трюк, который используют преступники, заключается в отправке “нового” POI-устройства с инструкциями по замене его на законное устройство и “возврату” законного устройства. Преступники могут даже предоставить обратную почтовую отправку по указанному ими адресу. Поэтому персонал всегда должен проверять у своего менеджера или поставщика, что устройство является законным и получено из надежного источника, прежде чем устанавливать его или использовать в коммерческих целях.
Примеры:
Подозрительное поведение, о котором должен знать персонал, включает попытки неизвестных лиц отключить или открыть устройства.
Информирование персонала о механизмах сообщения о подозрительном поведении и о том, кому сообщать о таком поведении — например, менеджеру или сотруднику службы безопасности, — поможет снизить вероятность и потенциальное воздействие подделки или замены устройства.
Requirement 9.5.1.2
9.5.1.2
Определенные Требования к Подходу:
Поверхности POI-устройств периодически проверяются на предмет обнаружения несанкционированного вмешательства и несанкционированной замены.
Цель Индивидуального подхода:
Устройства точки взаимодействия не могут быть подделаны, заменены без разрешения или установлены скимминговые приложения без своевременного обнаружения.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Поверхности POI-устройств периодически проверяются на предмет обнаружения несанкционированного вмешательства и несанкционированной замены.
Цель Индивидуального подхода:
Устройства точки взаимодействия не могут быть подделаны, заменены без разрешения или установлены скимминговые приложения без своевременного обнаружения.
Определенные Процедуры Тестирования Подхода:
- 9.5.1.2.a Изучить документированные процедуры для проверки процессов, определенных для периодических проверок поверхностей устройств POI для обнаружения несанкционированного вмешательства и несанкционированной замены.
- 9.5.1.2.b Опрашивать ответственный персонал и наблюдать за процессами проверки для проверки:
- Персонал осведомлен о процедурах проверки устройств.
- Все устройства периодически проверяются на наличие признаков взлома и несанкционированной замены.
Цель:
Регулярные проверки устройств помогут организациям быстрее выявлять подделку с помощью внешних доказательств — например, добавления скиммера для карт — или замены устройства, тем самым сводя к минимуму потенциальные последствия использования мошеннических устройств.
Надлежащая практика:
Методы периодической проверки включают проверку серийного номера или других характеристик устройства и сравнение информации со списком устройств POI, чтобы убедиться, что устройство не было заменено мошенническим устройством.
Примеры:
Тип проверки будет зависеть от устройства. Например, фотографии устройств, которые, как известно, являются безопасными, можно использовать для сравнения текущего внешнего вида устройства с его первоначальным внешним видом, чтобы увидеть, изменилось ли оно. Другим вариантом может быть использование надежного маркера, такого как маркер с ультрафиолетовым излучением, для маркировки поверхностей устройства и отверстий устройства, чтобы любое вмешательство или замена были очевидны. Преступники часто заменяют внешний корпус устройства, чтобы скрыть свое вмешательство, и эти методы могут помочь обнаружить такие действия. Поставщики устройств могут также предоставить рекомендации по безопасности и инструкции “как это сделать”, чтобы помочь определить, подвергалось ли устройство несанкционированному доступу.
Признаки того, что устройство могло быть подделано или заменено, включают:
Регулярные проверки устройств помогут организациям быстрее выявлять подделку с помощью внешних доказательств — например, добавления скиммера для карт — или замены устройства, тем самым сводя к минимуму потенциальные последствия использования мошеннических устройств.
Надлежащая практика:
Методы периодической проверки включают проверку серийного номера или других характеристик устройства и сравнение информации со списком устройств POI, чтобы убедиться, что устройство не было заменено мошенническим устройством.
Примеры:
Тип проверки будет зависеть от устройства. Например, фотографии устройств, которые, как известно, являются безопасными, можно использовать для сравнения текущего внешнего вида устройства с его первоначальным внешним видом, чтобы увидеть, изменилось ли оно. Другим вариантом может быть использование надежного маркера, такого как маркер с ультрафиолетовым излучением, для маркировки поверхностей устройства и отверстий устройства, чтобы любое вмешательство или замена были очевидны. Преступники часто заменяют внешний корпус устройства, чтобы скрыть свое вмешательство, и эти методы могут помочь обнаружить такие действия. Поставщики устройств могут также предоставить рекомендации по безопасности и инструкции “как это сделать”, чтобы помочь определить, подвергалось ли устройство несанкционированному доступу.
Признаки того, что устройство могло быть подделано или заменено, включают:
- Неожиданные подключения или кабели, подключенные к устройству.
- Отсутствующие или измененные метки безопасности.
- Сломанный или окрашенный по-другому корпус.
- Изменения в серийном номере или других внешних маркировках.
Requirement 9.5.1.1
9.5.1.1
Определенные Требования к Подходу:
Поддерживается актуальный список устройств POI, включая:
Определенные Требования к Подходу:
Поддерживается актуальный список устройств POI, включая:
- Марку и модель устройства.
- Местоположение устройства.
- Серийный номер устройства или другие методы уникальной идентификации.
Цель Индивидуального подхода:
Идентификация и местоположение устройств POI записываются и известны в любое время.
Определенные Процедуры Тестирования Подхода:
Идентификация и местоположение устройств POI записываются и известны в любое время.
Определенные Процедуры Тестирования Подхода:
- 9.5.1.1.a Изучите список устройств POI, чтобы убедиться, что он включает все элементы, указанные в этом требовании.
- 9.5.1.1.b Наблюдайте за устройствами POI и местоположениями устройств и сравнивайте с устройствами в списке, чтобы убедиться, что список является точным и актуальным.
- 9.5.1.1.c Опрашивать персонал, чтобы убедиться, что список устройств POI обновляется при добавлении, перемещении, выводе из эксплуатации устройств и т.д.
Цель:
Ведение обновленного списка устройств POI помогает организации отслеживать, где должны находиться устройства, и быстро определять, отсутствует ли устройство или потеряно.
Надлежащая практика:
Способ ведения списка устройств может быть автоматизированным (например, система управления устройствами) или ручным (например, документированным в электронных или бумажных записях). Для дорожных устройств местоположение может включать имя персонала, которому назначено устройство.
Примеры:
Способы сохранения местоположения устройства включают в себя определение адреса сайта или объекта, на котором расположено устройство.
Ведение обновленного списка устройств POI помогает организации отслеживать, где должны находиться устройства, и быстро определять, отсутствует ли устройство или потеряно.
Надлежащая практика:
Способ ведения списка устройств может быть автоматизированным (например, система управления устройствами) или ручным (например, документированным в электронных или бумажных записях). Для дорожных устройств местоположение может включать имя персонала, которому назначено устройство.
Примеры:
Способы сохранения местоположения устройства включают в себя определение адреса сайта или объекта, на котором расположено устройство.
Requirement 9.5.1.2.1
9.5.1.2.1
Определенные Требования к Подходу:
Частота периодических проверок устройств POI и тип выполняемых проверок определяются в целевом анализе рисков организации, который выполняется в соответствии со всеми элементами, указанными в Требовании 12.3.1.
Цель Индивидуального подхода:
Устройства POI проверяются с частотой, учитывающей риск организации.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Частота периодических проверок устройств POI и тип выполняемых проверок определяются в целевом анализе рисков организации, который выполняется в соответствии со всеми элементами, указанными в Требовании 12.3.1.
Цель Индивидуального подхода:
Устройства POI проверяются с частотой, учитывающей риск организации.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 9.5.1.2.1.a Изучите целевой анализ рисков организации на предмет частоты периодических проверок устройств POI и типа проводимых проверок, чтобы убедиться, что анализ рисков был выполнен в соответствии со всеми элементами, указанными в Требовании 12.3.1.
- 9.5.1.2.1.b Изучите документированные результаты периодических проверок устройств и опросите персонал, чтобы убедиться, что частота и тип выполняемых проверок устройств POI соответствуют тому, что определено в целевом анализе рисков организации, проведенном для этого требования.
Цель:
Организации имеют наилучшие возможности для определения частоты проверок POI-устройств в зависимости от среды, в которой работает устройство.
Надлежащая практика:
Частота проверок будет зависеть от таких факторов, как местоположение устройства и то, находится ли оно под наблюдением или без присмотра. Например, устройства, оставленные в общественных местах без присмотра персонала организации, могут подвергаться более частым проверкам, чем устройства, хранящиеся в безопасных зонах или под наблюдением, когда они доступны для общественности. Кроме того, многие поставщики POI включают в свою пользовательскую документацию указания о том, как часто и для чего следует проверять устройства POI – организациям следует ознакомиться с документацией своих поставщиков и включить эти рекомендации в свои периодические проверки.
Организации имеют наилучшие возможности для определения частоты проверок POI-устройств в зависимости от среды, в которой работает устройство.
Надлежащая практика:
Частота проверок будет зависеть от таких факторов, как местоположение устройства и то, находится ли оно под наблюдением или без присмотра. Например, устройства, оставленные в общественных местах без присмотра персонала организации, могут подвергаться более частым проверкам, чем устройства, хранящиеся в безопасных зонах или под наблюдением, когда они доступны для общественности. Кроме того, многие поставщики POI включают в свою пользовательскую документацию указания о том, как часто и для чего следует проверять устройства POI – организациям следует ознакомиться с документацией своих поставщиков и включить эти рекомендации в свои периодические проверки.
Requirement 9.5.1
9.5.1
Определенные Требования к Подходу:
Устройства POI, которые фиксируют данные платежной карты посредством прямого физического взаимодействия с форм-фактором платежной карты, защищены от подделки и несанкционированной замены, включая следующее:
Определенные Требования к Подходу:
Устройства POI, которые фиксируют данные платежной карты посредством прямого физического взаимодействия с форм-фактором платежной карты, защищены от подделки и несанкционированной замены, включая следующее:
- Ведение списка POI-устройств.
- Периодически проверяйте POI-устройства на предмет подделки или несанкционированной замены.
- Обучение персонала тому, как быть осведомленным о подозрительном поведении и сообщать о несанкционированном вмешательстве или несанкционированной замене устройств.
Цель Индивидуального подхода:
Организация определила процедуры для защиты устройств точки взаимодействия и управления ими. Ожидания, средства контроля и надзора в отношении управления и защиты устройств POI определяются и соблюдаются соответствующим персоналом.
Примечания по применению:
Эти требования применяются к развернутым устройствам POI, используемым в транзакциях с использованием карты (то есть форм-фактор платежной карты, такой как карта, которую проводят пальцем, нажимают или опускают).
Это требование не предназначено для применения к компонентам ручного ввода клавиш панорамирования, таким как компьютерные клавиатуры. Это требование рекомендуется, но не обязательно, для компонентов ручного ввода клавиш панорамирования, таких как компьютерные клавиатуры.
Это требование не распространяется на коммерческие готовые устройства (COTS) (например, смартфоны или планшеты), которые являются мобильными торговыми устройствами, предназначенными для массового распространения.
Определенные Процедуры Тестирования Подхода:
Организация определила процедуры для защиты устройств точки взаимодействия и управления ими. Ожидания, средства контроля и надзора в отношении управления и защиты устройств POI определяются и соблюдаются соответствующим персоналом.
Примечания по применению:
Эти требования применяются к развернутым устройствам POI, используемым в транзакциях с использованием карты (то есть форм-фактор платежной карты, такой как карта, которую проводят пальцем, нажимают или опускают).
Это требование не предназначено для применения к компонентам ручного ввода клавиш панорамирования, таким как компьютерные клавиатуры. Это требование рекомендуется, но не обязательно, для компонентов ручного ввода клавиш панорамирования, таких как компьютерные клавиатуры.
Это требование не распространяется на коммерческие готовые устройства (COTS) (например, смартфоны или планшеты), которые являются мобильными торговыми устройствами, предназначенными для массового распространения.
Определенные Процедуры Тестирования Подхода:
- 9.5.1 Изучите документированные политики и процедуры, чтобы убедиться, что определены процессы, включающие все элементы, указанные в этом требовании.
Цель:
Мошенники пытаются украсть данные платежных карт, крадя и/или манипулируя устройствами и терминалами для считывания карт. Преступники будут пытаться украсть устройства, чтобы узнать, как взломать их, и они часто пытаются заменить законные устройства мошенническими устройствами, которые отправляют им данные платежной карты каждый раз, когда вводится карта.
Они также попытаются добавить компоненты “скимминга” на внешнюю сторону устройств, которые предназначены для захвата данных платежных карт до того, как они попадут на устройство — например, путем подключения дополнительного устройства чтения карт поверх обычного устройства чтения карт, чтобы данные платежной карты были захвачены дважды: один раз вредоносным компонентом, а затем легальным компонентом устройства. Таким образом, транзакции все еще могут быть завершены без перерыва, в то время как преступник “снимает” данные платежной карты во время процесса.
Надлежащая практика:
Дополнительные рекомендации по предотвращению скимминга доступны на веб-сайте PCI SSC.
Мошенники пытаются украсть данные платежных карт, крадя и/или манипулируя устройствами и терминалами для считывания карт. Преступники будут пытаться украсть устройства, чтобы узнать, как взломать их, и они часто пытаются заменить законные устройства мошенническими устройствами, которые отправляют им данные платежной карты каждый раз, когда вводится карта.
Они также попытаются добавить компоненты “скимминга” на внешнюю сторону устройств, которые предназначены для захвата данных платежных карт до того, как они попадут на устройство — например, путем подключения дополнительного устройства чтения карт поверх обычного устройства чтения карт, чтобы данные платежной карты были захвачены дважды: один раз вредоносным компонентом, а затем легальным компонентом устройства. Таким образом, транзакции все еще могут быть завершены без перерыва, в то время как преступник “снимает” данные платежной карты во время процесса.
Надлежащая практика:
Дополнительные рекомендации по предотвращению скимминга доступны на веб-сайте PCI SSC.
NIST Cybersecurity Framework (EN):
PR.MA-1
PR.MA-1: Maintenance and repair of organizational assets are performed and logged, with approved and controlled tools
PR.DS-8
PR.DS-8: Integrity checking mechanisms are used to verify hardware integrity
PR.MA-2
PR.MA-2: Remote maintenance of organizational assets is approved, logged, and performed in a manner that prevents unauthorized access
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.13
А.7.13 Equipment maintenance
Equipment shall be maintained correctly to ensure availability, integrity and confidentiality of information.
Equipment shall be maintained correctly to ensure availability, integrity and confidentiality of information.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.