11.3.2
Определенные Требования к Подходу:
Проверка внешних уязвимостей выполняется следующим образом:
- По крайней мере, раз в три месяца.
- Поставщиком сканирования, одобренным PCI SSC (ASV).
- Уязвимости устранены, и требования Руководства по программе ASV для прохождения проверки выполнены.
- Повторное сканирование выполняется по мере необходимости, чтобы подтвердить, что уязвимости устранены в соответствии с требованиями Руководства по программе ASV для проходящего сканирования.
Цель Индивидуального подхода:
Это требование не подходит для индивидуального подхода.
Примечания по применению:
Для первоначального соответствия требованиям PCI DSS не требуется, чтобы в течение 12 месяцев было выполнено четыре проходных сканирования, если оценщик проверяет: 1) самым последним результатом сканирования было проходное сканирование, 2) организация имеет задокументированные политики и процедуры, требующие проверки не реже одного раза в три месяца, и 3) уязвимости, отмеченные в результаты сканирования были исправлены, как показано в повторном сканировании (-ах).
Однако в последующие годы после первоначальной оценки PCI DSS необходимо проходить сканирование не реже одного раза в три месяца.
Инструменты сканирования ASV могут сканировать широкий спектр типов и топологий сетей. Любые особенности целевой среды (например, балансировщики нагрузки, сторонние поставщики, интернет-провайдеры, конкретные конфигурации, используемые протоколы, помехи при сканировании) должны быть согласованы между ASV и клиентом сканирования.
Обратитесь к Руководству по программе ASV, опубликованному на веб-сайте PCI SSC, для получения информации об обязанностях клиента сканирования, подготовке к сканированию и т.д.
Определенные Процедуры Тестирования Подхода:
- 11.3.2.a Изучите отчеты о проверке ASV за последние 12 месяцев, чтобы убедиться, что проверка внешних уязвимостей проводилась не реже одного раза в три месяца в течение последнего 12-месячного периода.
- 11.3.2.b Изучите отчет о проверке ASV после каждого сканирования и повторного сканирования, выполненного за последние 12 месяцев, чтобы убедиться, что уязвимости устранены и требования Руководства по программе ASV для прохождения проверки выполнены.
- 11.3.2.c Изучите отчеты о сканировании ASV, чтобы убедиться, что сканирование было выполнено Поставщиком сканирования, одобренным PCI SSC (ASV).
Цель:
Злоумышленники обычно ищут незащищенные или уязвимые внешние серверы, которые можно использовать для проведения направленной атаки. Организации должны убедиться, что эти внешние устройства регулярно проверяются на наличие слабых мест и что уязвимости исправляются или устраняются для защиты организации.
Поскольку внешние сети подвергаются большему риску компрометации, проверка внешних уязвимостей должна выполняться по крайней мере раз в три месяца поставщиком сканирования, одобренным PCI SSC (ASV).
Надлежащая практика:
Хотя проверки требуются не реже одного раза в три месяца, рекомендуется проводить более частые проверки в зависимости от сложности сети, частоты изменений и типов используемых устройств, программного обеспечения и операционных систем.
Можно объединить несколько отчетов о проверке, чтобы показать, что все системы были проверены и что все применимые уязвимости были устранены в рамках трехмесячного цикла проверки уязвимостей. Однако может потребоваться дополнительная документация для подтверждения того, что не устраненные уязвимости находятся в процессе устранения.
