10.1.1
Определенные Требования к Подходу:
Все политики безопасности и операционные процедуры, указанные в Требовании 10:

Цель Индивидуального подхода:
Ожидания, средства контроля и надзор за выполнением мероприятий в рамках Требования 10 определяются и соблюдаются соответствующим персоналом. Все вспомогательные действия повторяемы, последовательно применяются и соответствуют намерениям руководства

Определенные Процедуры Тестирования Подхода:

Цель:
Требование 10.1.1 касается эффективного управления и поддержания различных политик и процедур, указанных в Требовании 10. Хотя важно определить конкретные политики или процедуры, указанные в Требовании 10, не менее важно обеспечить их надлежащее документирование, поддержание и распространение.

Надлежащая практика:
Важно обновлять политику и процедуры по мере необходимости для учета изменений в процессах, технологиях и бизнес-целях. По этой причине рассмотрите возможность обновления этих документов как можно скорее после внесения изменений, а не только в периодическом цикле.

Определения:
Политики безопасности определяют цели и принципы обеспечения безопасности организации. Операционные процедуры описывают, как выполнять действия, и определяют средства контроля, методы и процессы, которые применяются для достижения желаемого результата последовательным образом и в соответствии с целями политики.

10.1.2
Определенные Требования к Подходу:
Роли и обязанности для выполнения действий, указанных в Требовании 10, задокументированы, распределены и поняты.

Цель Индивидуального подхода:
Распределяются повседневные обязанности по выполнению всех действий, указанных в требовании 10. Персонал несет ответственность за успешное и непрерывное выполнение этих требований.

Определенные Процедуры Тестирования Подхода:

Цель:
Если роли и обязанности официально не распределены, персонал может не знать о своих повседневных обязанностях, и важные действия могут не выполняться.

Надлежащая практика:
Роли и обязанности могут быть задокументированы в рамках политик и процедур или сохранены в отдельных документах.
В рамках передачи ролей и обязанностей организации могут рассмотреть вопрос о том, чтобы персонал подтвердил свое согласие и понимание возложенных на него ролей и обязанностей.

Примеры:
Метод документирования ролей и обязанностей - это матрица распределения обязанностей, которая включает в себя, кто несет ответственность, подотчетен, консультируется и информируется (также называемая матрицей RACI).

10.2.1
Определенные Требования к Подходу:
Журналы аудита включены и активны для всех компонентов системы и данных о держателях карт.

Цель Индивидуального подхода:
Фиксируются записи всех действий, влияющих на компоненты системы, и данные о держателях карт.

Определенные Процедуры Тестирования Подхода:

Цель:
Журналы аудита должны существовать для всех компонентов системы. Журналы аудита отправляют предупреждения системному администратору, предоставляют данные другим механизмам мониторинга, таким как системы обнаружения вторжений (IDS) и средства защиты информации и систем мониторинга событий (SIEM), а также обеспечивают отслеживание истории для расследования после инцидента.
Ведение журнала и анализ событий, связанных с безопасностью, позволяют организации выявлять и отслеживать потенциально вредоносные действия.

Надлежащая практика:
Когда организация решает, какую информацию записывать в свои журналы, важно помнить, что информация, хранящаяся в журналах аудита, является конфиденциальной и должна быть защищена в соответствии с требованиями настоящего стандарта. Следует позаботиться о том, чтобы в журналах аудита сохранялась только важная информация, чтобы свести к минимуму риск.

10.2.1.1
Определенные Требования к Подходу:
Журналы аудита фиксируют весь индивидуальный доступ пользователей к данным о держателях карт.

Цель Индивидуального подхода:
Фиксируются записи обо всех индивидуальных пользовательских доступах к данным о держателях карт.

Определенные Процедуры Тестирования Подхода:

Цель:
Крайне важно иметь процесс или систему, которые связывают доступ пользователя с доступом к системным компонентам. Злоумышленники могут получить информацию об учетной записи пользователя, имеющей доступ к системам в CDE, или они могут создать новую несанкционированную учетную запись для доступа к данным о держателях карт.

Надлежащая практика:
Запись всего индивидуального доступа к данным о держателях карт позволяет определить, какие учетные записи могли быть скомпрометированы или использованы не по назначению.

10.2.1.2
Определенные Требования к Подходу:
Журналы аудита фиксируют все действия, предпринятые любым лицом с административным доступом, включая любое интерактивное использование учетных записей приложений или системы.

Цель Индивидуального подхода:
Фиксируются записи всех действий, выполняемых лицами с повышенными привилегиями.

Определенные Процедуры Тестирования Подхода:

Цель:
Учетные записи с повышенными правами доступа, такие как учетная запись “администратор” или “суперпользователь”, потенциально могут существенно повлиять на безопасность или функциональность системы. Без журнала выполненных действий организация не может отследить любые проблемы, возникшие в результате административной ошибки или неправильного использования привилегий, вплоть до конкретного действия и учетной записи.

Определения:
Учетные записи с административным доступом - это учетные записи, которым назначены определенные привилегии или возможности для этой учетной записи для управления системами, сетями и/или приложениями. Функции или действия, которые считаются административными, выходят за рамки тех, которые выполняются обычными пользователями в рамках обычных бизнес-функций

10.2.1.3
Определенные Требования к Подходу:
Журналы аудита фиксируют весь доступ к журналам аудита.

Цель Индивидуального подхода:
Фиксируются записи всех обращений к журналам аудита

Определенные Процедуры Тестирования Подхода:

Цель:
Злоумышленники часто пытаются изменить журналы аудита, чтобы скрыть свои действия. Запись доступа позволяет организации отслеживать любые несоответствия или потенциальную фальсификацию журналов для отдельной учетной записи. Наличие журналов, идентифицирующих изменения, добавления и удаления в журналах аудита, может помочь отследить действия, предпринятые неавторизованным персоналом.

10.2.1.4
Определенные Требования к Подходу:
Журналы аудита фиксируют все недопустимые попытки логического доступа.

Цель Индивидуального подхода:
Фиксируются записи всех недопустимых попыток доступа

Определенные Процедуры Тестирования Подхода:

Цель:
Злоумышленники часто совершают многократные попытки доступа к целевым системам. Множественные неудачные попытки входа в систему могут указывать на попытки неавторизованного пользователя “перебрать” или угадать пароль.

10.2.1.5
Определенные Требования к Подходу:
Журналы аудита фиксируют все изменения в учетных данных для идентификации и аутентификации, включая, но не ограничиваясь ими:

Цель Индивидуального подхода:
Фиксируются записи всех изменений в учетных данных идентификации и аутентификации.

Определенные Процедуры Тестирования Подхода:

Цель:
Регистрация изменений учетных данных для проверки подлинности (включая повышение привилегий, добавления и удаления учетных записей с административным доступом) предоставляет остаточные свидетельства действий.
Злоумышленники могут попытаться манипулировать учетными данными для проверки подлинности, чтобы обойти их или выдать себя за действительную учетную запись.

10.2.1.6
Определенные Требования к Подходу:
Журналы аудита фиксируют следующее:

Цель Индивидуального подхода:
Фиксируются записи всех изменений в статусе активности журнала аудита.

Определенные Процедуры Тестирования Подхода:

Цель:
Отключение или приостановка журналов аудита перед выполнением незаконных действий является обычной практикой для злоумышленников, которые хотят избежать обнаружения. Инициализация журналов аудита может указывать на то, что пользователь отключил функцию ведения журнала, чтобы скрыть свои действия.

10.2.1.7
Определенные Требования к Подходу:
Журналы аудита фиксируют все создания и удаления объектов системного уровня.

Цель Индивидуального подхода:
Фиксируются записи изменений, которые указывают на то, что система была изменена с учетом ее предполагаемой функциональности.

Определенные Процедуры Тестирования Подхода:

Цель:
Вредоносное программное обеспечение, такое как вредоносное ПО, часто создает или заменяет объекты системного уровня в целевой системе для управления определенной функцией или операцией в этой системе. Регистрируя, когда создаются или удаляются объекты системного уровня, будет легче определить, были ли такие изменения разрешены.

10.2.2
Определенные Требования к Подходу:
Журналы аудита записывают следующие сведения для каждого проверяемого события:

Цель Индивидуального подхода:
Фиксируются достаточные данные, позволяющие идентифицировать успешные и неудачные попытки, а также кто, что, когда, где и как для каждого события, перечисленного в требовании 10.2.1.

Определенные Процедуры Тестирования Подхода:

Цель:
Записывая эти сведения для проверяемых событий в пунктах с 10.2.1.1 по 10.2.1.7, можно быстро идентифицировать потенциальный компромисс с достаточной детализацией, чтобы облегчить отслеживание подозрительных действий.

10.3.1
Определенные Требования к Подходу:
Доступ на чтение к файлам журналов аудита ограничен теми, у кого есть потребность, связанная с работой.

Цель Индивидуального подхода:
Сохраненные записи о действиях не могут быть доступны неавторизованному персоналу.

Определенные Процедуры Тестирования Подхода:

Цель:
Файлы журналов аудита содержат конфиденциальную информацию, и доступ на чтение к файлам журналов должен быть ограничен только теми, у кого есть действительные бизнес-потребности. Этот доступ включает в себя файлы журналов аудита в исходных системах, а также в любом другом месте, где они хранятся.

Надлежащая практика:
Надлежащая защита журналов аудита включает строгий контроль доступа, который ограничивает доступ к журналам только на основании “необходимости знать”, а также использование физической или сетевой сегрегации, чтобы затруднить поиск и изменение журналов.

10.3.2
Определенные Требования к Подходу:
Файлы журнала аудита защищены для предотвращения внесения изменений отдельными лицами.

Цель Индивидуального подхода:
Сохраненные записи о действиях не могут быть изменены персоналом.

Определенные Процедуры Тестирования Подхода:

Цель:
Часто злоумышленник, проникший в сеть, пытается отредактировать журналы аудита, чтобы скрыть свою активность. Без надлежащей защиты журналов аудита их полнота, точность и целостность не могут быть гарантированы, и журналы аудита могут стать бесполезными в качестве инструмента расследования после компрометации. Поэтому журналы аудита должны быть защищены в исходных системах, а также в любом другом месте, где они хранятся.

Надлежащая практика:
Организации должны попытаться предотвратить раскрытие журналов в общедоступных местах.

10.3.3
Определенные Требования к Подходу:
Файлы журналов аудита, в том числе для технологий внешнего взаимодействия, быстро копируются на защищенный центральный внутренний сервер(ы) журналов или другой носитель, который трудно изменить.

Цель Индивидуального подхода:
Сохраненные записи о действиях защищены и хранятся в центральном месте для предотвращения несанкционированного изменения.

Определенные Процедуры Тестирования Подхода:

Цель:
Оперативное резервное копирование журналов на централизованный сервер журналов или носитель, который трудно изменить, обеспечивает защиту журналов, даже если система, генерирующая журналы, становится скомпрометированной.
Запись журналов с внешних технологий, таких как беспроводная связь, средства управления сетевой безопасностью, DNS и почтовые серверы, снижает риск потери или изменения этих журналов.

Надлежащая практика:
Каждая организация определяет наилучший способ резервного копирования файлов журналов, будь то через один или несколько централизованных серверов журналов или другой защищенный носитель. Журналы могут быть записаны напрямую, выгружены или скопированы с внешних систем на защищенную внутреннюю систему или носитель.

10.3.4
Определенные Требования к Подходу:
Мониторинг целостности файлов или механизмы обнаружения изменений используются в журналах аудита, чтобы гарантировать, что существующие данные журнала не могут быть изменены без создания предупреждений.

Цель Индивидуального подхода:
Сохраненные записи о действиях не могут быть изменены без создания предупреждения.

Определенные Процедуры Тестирования Подхода:

Цель:
Системы мониторинга целостности файлов или обнаружения изменений проверяют наличие изменений в критически важных файлах и уведомляют об обнаружении таких изменений. Для целей мониторинга целостности файлов объект обычно отслеживает файлы, которые регулярно не меняются, но при изменении указывают на возможную компрометацию.

Надлежащая практика:
Программное обеспечение, используемое для отслеживания изменений в журналах аудита, должно быть настроено на выдачу предупреждений при изменении или удалении существующих данных или файлов журнала. Однако новые данные журнала, добавляемые в журнал аудита, не должны генерировать предупреждение.

10.4.1
Определенные Требования к Подходу:
Следующие журналы аудита просматриваются не реже одного раза в день:

Цель Индивидуального подхода:
Потенциально подозрительные или аномальные действия быстро выявляются, чтобы свести к минимуму воздействие.

Определенные Процедуры Тестирования Подхода:

Цель:
Многие нарушения происходят за месяцы до их обнаружения. Регулярные проверки журналов позволяют быстро выявлять инциденты и оперативно устранять их.

Надлежащая практика:
Ежедневная проверка журналов (7 дней в неделю, 365 дней в году, включая праздничные дни) сводит к минимуму количество времени и вероятность потенциального нарушения. Средства сбора, анализа и оповещения журналов, централизованные системы управления журналами, анализаторы журналов событий и решения для управления информацией о безопасности и событиями (SIEM) являются примерами автоматизированных инструментов, которые можно использовать для удовлетворения этого требования.
Ежедневный просмотр событий безопасности — например, уведомлений или предупреждений, которые идентифицируют подозрительные или аномальные действия, — а также журналов критически важных системных компонентов и журналов систем, выполняющих функции безопасности, таких как брандмауэры, идентификаторы/IP-адреса, системы мониторинга целостности файлов (FIM) и т.д., необходим для выявления потенциальные проблемы.
Определение “события безопасности” будет отличаться для каждой организации и может включать в себя рассмотрение типа технологии, местоположения и функции устройства. Организации могут также пожелать поддерживать базовый уровень “нормального” трафика, чтобы помочь выявить аномальное поведение.
Объект, который использует сторонних поставщиков услуг для выполнения служб просмотра журналов, отвечает за предоставление поставщикам услуг контекста среды объекта, чтобы он понимал среду объекта, имел базовый уровень “нормального” трафика для объекта и мог обнаруживать потенциальные проблемы безопасности и предоставлять точные исключения и уведомления об аномалиях.

10.4.1.1
Определенные требования подхода:
Используются автоматизированные механизмы для проведения обзора журналов аудита.

Цель Индивидуального подхода:
Потенциально подозрительная или аномальная деятельность выявляется с помощью повторяемого и последовательного механизма.

Примечания к применимости:
Это требование является лучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью учтено в процессе оценки PCI DSS.

Цель:
Ручной обзор журналов — сложная задача, даже для одного или двух систем, из-за объема генерируемых данных журналов. Однако с помощью инструментов сбора, парсинга и уведомлений о событиях, централизованных систем управления журналами, анализаторов журналов событий и решений для управления информацией и событиями безопасности (SIEM) можно упростить этот процесс, выявляя события журналов, которые требуют проверки.

Надлежащая практика:
Установление базового уровня нормальной активности в журналах аудита критично для эффективности автоматизированного механизма обзора журналов. Анализ новой активности в журналах по сравнению с установленной базовой линией может значительно улучшить выявление подозрительной или аномальной деятельности. Организация должна поддерживать инструменты для ведения журналов в актуальном состоянии в соответствии с любыми изменениями в их окружении, периодически проверяя настройки инструментов и обновляя их в соответствии с изменениями.

Дополнительная информация:
Для дополнительной информации см. приложение "Эффективный ежедневный мониторинг журналов".

10.4.2
Определенные Требования к Подходу:
Журналы всех других компонентов системы (не указанных в требовании 10.4.1) периодически просматриваются.

Цель Индивидуального подхода:
Потенциально подозрительные или аномальные действия для других компонентов системы (не включенных в 10.4.1) рассматриваются в соответствии с выявленным риском организации.

Примечания по применению:
Это требование применимо ко всем другим компонентам системы, не включенным в Требование 10.4.1.

Определенные Процедуры Тестирования Подхода:

Цель:
Периодический просмотр журналов для всех других компонентов системы (не указанных в требовании 10.4.1) помогает выявить признаки потенциальных проблем или попыток доступа к критическим системам через менее критичные системы.

10.4.2.1
Определенные Требования к Подходу:
Частота периодических проверок журналов для всех других компонентов системы (не определенных в Требовании 10.4.1) определяется в целевом анализе рисков организации, который выполняется в соответствии со всеми элементами, указанными в Требовании 12.3.1

Цель Индивидуального подхода:
Проверки журналов для компонентов системы с низким уровнем риска выполняются с частотой, учитывающей риск организации.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Организации могут определить оптимальный период для проверки этих журналов на основе таких критериев, как сложность среды каждой организации, количество типов систем, которые необходимо оценить, и функции таких систем.

10.4.3
Определенные Требования к Подходу:
Исключения и аномалии, выявленные в ходе процесса проверки, устраняются.

Цель Индивидуального подхода:
Рассматриваются подозрительные или аномальные действия.

Определенные Процедуры Тестирования Подхода:

Цель:
Если исключения и аномалии, выявленные в процессе просмотра журнала, не исследуются, организация может не знать о несанкционированных и потенциально вредоносных действиях, происходящих в ее сети.

Надлежащая практика:
Организациям следует рассмотреть вопрос о том, как учитывать следующее при разработке своих процессов определения и управления исключениями и аномалиями:

10.5.1
Определенные требования подхода:
Сохраняйте историю журналов аудита не менее 12 месяцев, при этом последние три месяца должны быть немедленно доступны для анализа.

Цель Индивидуального подхода:
Исторические записи о деятельности доступны немедленно для поддержки реагирования на инциденты и сохраняются не менее 12 месяцев.

Цель:
Сохранение исторических журналов аудита на срок не менее 12 месяцев необходимо, поскольку компрометированные данные часто остаются незамеченными в течение значительного времени. Централизованное хранение истории журналов позволяет следователям лучше определить продолжительность возможного нарушения безопасности и какие системы могли быть затронуты. Наличие трех месяцев журналов, доступных немедленно, позволяет организации быстро выявлять и минимизировать последствия утечки данных.

Примеры:
Методы, которые позволяют немедленно получить доступ к журналам, включают хранение журналов онлайн, архивирование журналов или быстрое восстановление журналов из резервных копий.

10.6.1
Определенные Требования к Подходу:
Системные часы и время синхронизируются с помощью технологии синхронизации времени

Цель Индивидуального подхода:
Общее время устанавливается для всех систем.

Примечания по применению:
Поддержание актуальности технологии синхронизации времени включает в себя управление уязвимостями и исправление технологии в соответствии с требованиями PCI DSS 6.3.1 и 6.3.3.

Определенные Процедуры Тестирования Подхода:

Цель:
Технология синхронизации времени используется для синхронизации часов в нескольких системах. Когда часы не синхронизированы должным образом, может быть трудно, если не невозможно, сравнить файлы журналов из разных систем и установить точную последовательность событий, что имеет решающее значение для криминалистического анализа после взлома.
Для групп судебной экспертизы после инцидента точность и согласованность времени во всех системах и время каждого действия имеют решающее значение для определения того, как были скомпрометированы системы.

Примеры:
Протокол сетевого времени (NTP) является одним из примеров технологии синхронизации времени.

10.6.2
Определенные Требования к Подходу:
Системы настраиваются на правильное и согласованное время следующим образом:

Цель Индивидуального подхода:
Время во всех системах является точным и последовательным.

Определенные Процедуры Тестирования Подхода:

Цель:
Использование надежных серверов времени является важным компонентом процесса синхронизации времени.
Получение обновлений времени из определенных, одобренных промышленностью внешних источников помогает предотвратить изменение настроек времени в системах злоумышленником.

Надлежащая практика:
Другим вариантом предотвращения несанкционированного использования внутренних серверов времени является шифрование обновлений с помощью симметричного ключа и создание списков контроля доступа, в которых указываются IP-адреса клиентских компьютеров, которым будут предоставляться обновления времени.

10.6.3
Определенные Требования к Подходу:
Настройки и данные синхронизации времени защищены следующим образом:

Цель Индивидуального подхода:
Настройки системного времени не могут быть изменены неавторизованным персоналом.

Определенные Процедуры Тестирования Подхода:

Цель:
Злоумышленники попытаются изменить временные настройки, чтобы скрыть свою активность. Следовательно, ограничение администраторам возможности изменять или изменять конфигурации синхронизации времени или системное время уменьшит вероятность успешного изменения злоумышленником временных конфигураций.

10.7.1
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Сбои в критически важных системах контроля безопасности обнаруживаются, предупреждаются и оперативно устраняются, включая, но не ограничиваясь, сбои в следующих критически важных системах контроля безопасности:

Цель Индивидуального подхода:
Сбои в критически важных системах контроля безопасности оперативно выявляются и устраняются.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Это требование будет заменено Требованием 10.7.2 с 31 марта 2025 года.

Определенные Процедуры Тестирования Подхода:

Цель:
Без формальных процессов обнаружения и оповещения о сбое критических средств защиты сбои могут оставаться незамеченными в течение длительного времени и предоставлять злоумышленникам достаточно времени для компрометации системных компонентов и кражи данных учетной записи из CDE.

Надлежащая практика:
Конкретные типы отказов могут варьироваться в зависимости от функции системного компонента устройства и используемой технологии. Типичные сбои включают в себя то, что система перестает выполнять свои функции безопасности или не функционирует должным образом, например, брандмауэр стирает все свои правила или переходит в автономный режим.

10.7.2
Определенные Требования к Подходу:
Сбои критических систем контроля безопасности обнаруживаются, предупреждаются и оперативно устраняются, включая, но не ограничиваясь, отказ следующих критических систем контроля безопасности:

Цель Индивидуального подхода:
Сбои в критически важных системах контроля безопасности оперативно выявляются и устраняются.

Примечания по применению:
Это требование распространяется на все организации, включая поставщиков услуг, и заменит требование 10.7.1 с 31 марта 2025 года. Он включает в себя две дополнительные критически важные системы контроля безопасности, не указанные в требовании 10.7.1.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Без формальных процессов обнаружения и оповещения о сбое критических средств защиты сбои могут оставаться незамеченными в течение длительного времени и предоставлять злоумышленникам достаточно времени для компрометации системных компонентов и кражи данных учетной записи из CDE.

Надлежащая практика:
Конкретные типы отказов могут варьироваться в зависимости от функции системного компонента устройства и используемой технологии. Однако типичные сбои включают в себя то, что система больше не выполняет свою функцию безопасности или не функционирует должным образом — например, брандмауэр стирает свои правила или переходит в автономный режим.

10.7.3
Определенные Требования к Подходу:
На сбои любых критически важных систем контроля безопасности оперативно реагируют, включая, но не ограничиваясь этим::

Цель Индивидуального подхода:
Сбои в критически важных системах контроля безопасности анализируются, локализуются и устраняются, а средства контроля безопасности восстанавливаются для минимизации последствий. Возникающие в результате проблемы безопасности устраняются, и принимаются меры для предотвращения повторения.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемая организация является поставщиком услуг до 31 марта 2025 года, после чего это требование будет применяться ко всем организациям.
Это действующее требование версии v3.2.1, которое применяется только к поставщикам услуг. Однако это требование является наилучшей практикой для всех других организаций до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Если на предупреждения о сбоях критически важных систем контроля безопасности не реагируют быстро и эффективно, злоумышленники могут использовать это время для внедрения вредоносного программного обеспечения, получения контроля над системой или кражи данных из среды организации.

Надлежащая практика:
Документированные доказательства (например, записи в системе управления проблемами) должны подтверждать наличие процессов и процедур для реагирования на сбои в системе безопасности. Кроме того, персонал должен быть осведомлен о своих обязанностях в случае сбоя. Действия и реакции на сбой должны быть отражены в документированных доказательствах.