11.3.1
Определенные требования подхода:
Внутренние сканирования уязвимостей выполняются следующим образом:
- Как минимум раз в три месяца.
- Уязвимости, которые являются высокорисковыми или критическими (в соответствии с рейтингами рисков уязвимостей, определенными в Требовании 6.3.1), устраняются.
- Повторные сканирования выполняются для подтверждения устранения всех высокорисковых и критических уязвимостей (как указано выше).
- Инструмент сканирования обновляется с последней информацией о уязвимостях.
- Сканирование выполняется квалифицированным персоналом, и существует организационная независимость тестера.
Цель Индивидуального подхода:
Периодическая проверка уровня безопасности всех системных компонентов с использованием автоматизированных инструментов, предназначенных для обнаружения уязвимостей внутри сети. Обнаруженные уязвимости оцениваются и устраняются на основе формальной оценки рисков.
Примечания по применимости:
Не требуется использовать QSA или ASV для проведения внутренних сканирований уязвимостей.
Внутренние сканирования уязвимостей могут проводиться квалифицированным внутренним персоналом, который достаточно независим от компонентов системы, которые сканируются (например, сетевой администратор не должен быть ответственным за сканирование сети), или организация может выбрать проведение внутренних сканирований уязвимостей сторонней специализированной компанией.
Определенные Процедуры Тестирования Подхода:
- 11.3.1.a Изучите отчеты о внутренних сканированиях за последние 12 месяцев, чтобы убедиться, что сканирования проводились как минимум раз в три месяца в течение последних 12 месяцев.11.3.1.b Изучите результаты внутренних сканирований и повторных сканирований, проведенных в последние 12 месяцев, чтобы убедиться, что все высокорисковые и критические уязвимости (определенные в Требовании 6.3.1 PCI DSS) были устранены.
- 11.3.1.c Изучите настройки инструмента сканирования и проведите интервью с персоналом, чтобы удостовериться, что инструмент сканирования обновляется с последней информацией о уязвимостях.
- 11.3.1.d Проведите интервью с ответственными сотрудниками, чтобы удостовериться, что сканирование было выполнено квалифицированным внутренним ресурсом или квалифицированной внешней стороной, и что существует организационная независимость тестера.
Цель:
Выявление и устранение уязвимостей своевременно снижает вероятность их эксплуатации и потенциального компрометации компонентов системы или данных картодержателей. Сканирования уязвимостей, проводимые как минимум раз в три месяца, обеспечивают такое выявление и идентификацию.
Надлежащая практика:
Уязвимости, представляющие наибольший риск для среды (например, классифицированные как высокие или критические в соответствии с Требованием 6.3.1), должны устраняться с наивысшим приоритетом. Уязвимости, выявленные при внутренних сканированиях уязвимостей, должны быть частью процесса управления уязвимостями, который включает несколько источников уязвимостей, как указано в Требовании 6.3.1.
Несколько отчетов о сканированиях могут быть объединены для ежеквартального процесса сканирования, чтобы показать, что все системы были отсканированы и все соответствующие уязвимости были устранены в рамках трехмесячного цикла сканирования. Однако могут потребоваться дополнительные документы для подтверждения того, что неустраненные уязвимости находятся в процессе устранения.
Хотя сканирование требуется как минимум раз в три месяца, рекомендуется проводить более частые сканирования в зависимости от сложности сети, частоты изменений и типов используемых устройств, программного обеспечения и операционных систем.
Определения:
Сканирование уязвимостей — это комбинация автоматизированных инструментов, техник и/или методов, которые запускаются против внешних и внутренних устройств и серверов, предназначенных для выявления потенциальных уязвимостей в приложениях, операционных системах и сетевых устройствах, которые могут быть найдены и использованы злонамеренными лицами.