2.2.1
Определенные Требования к Подходу:
Стандарты конфигурации разрабатываются, внедряются и поддерживаются в соответствии с рекомендациями:

Цель Индивидуального подхода:
Все компоненты системы сконфигурированы надежно и последовательно в соответствии с принятыми в отрасли стандартами безопасности или рекомендациями поставщиков.

Определенные Процедуры Тестирования Подхода:

Цель:
Известны уязвимости многих операционных систем, баз данных, сетевых устройств, программного обеспечения, приложений, образов контейнеров и других устройств, используемых организацией или в среде организации. Существуют также известные способы настройки этих системных компонентов для устранения уязвимостей. Устранение уязвимостей уменьшает возможности, доступные злоумышленнику.
Разрабатывая стандарты, организации гарантируют, что их системные компоненты будут сконфигурированы последовательно и надежно, и обеспечивают защиту устройств, для которых полная защита может быть более сложной.

Надлежащая практика:
Соответствие текущим отраслевым рекомендациям поможет организации поддерживать безопасные конфигурации.
Конкретные средства управления, которые будут применяться к системе, будут различаться и должны соответствовать типу и функциям системы.
Многочисленные организации, занимающиеся вопросами безопасности, разработали руководящие принципы и рекомендации по настройкам системы, в которых содержится информация о том, как исправить известные недостатки.

Дополнительная информация:
Источники информации для руководства по стандартам конфигурации включают, но не ограничиваются ими: Центр безопасности Интернета (CIS), Международная организация по стандартизации (ISO), Национальный институт стандартов и технологий (NIST), Альянс облачной безопасности и поставщики продуктов.

2.2.2
Определенные Требования к Подходу:
Учетные записи поставщика по умолчанию управляются следующим образом: 

Цель Индивидуального подхода:
Доступ к системным компонентам с использованием паролей по умолчанию невозможен.

Примечания по применению:
Это относится ко ВСЕМ учетным записям и паролям поставщика по умолчанию, включая те, которые используются операционными системами, программным обеспечением, предоставляющим службы безопасности, учетными записями приложений и систем, терминалами точек продаж (POS), платежными приложениями и протоколами простого сетевого управления (SNMP) по умолчанию.
Это требование также применяется, если системный компонент не установлен в среде организации, например, программное обеспечение и приложения, которые являются частью CDE и доступны через облачную службу подписки.

Определенные Процедуры Тестирования Подхода:

Цель:
Злоумышленники часто используют имена учетных записей и пароли поставщиков по умолчанию для компрометации операционных систем, приложений и систем, на которых они установлены.
Поскольку эти настройки по умолчанию часто публикуются и хорошо известны, изменение этих настроек сделает системы менее уязвимыми для атак.

Надлежащая практика:
Все учетные записи поставщика по умолчанию должны быть идентифицированы, а их назначение и использование должны быть поняты. Важно установить контроль для учетных записей приложений и систем, в том числе тех, которые используются для развертывания и обслуживания облачных служб, чтобы они не использовали пароли по умолчанию и не могли использоваться неавторизованными лицами.
Если учетная запись по умолчанию не предназначена для использования, изменение пароля по умолчанию на уникальный пароль, соответствующий требованию PCI DSS 8.3.6, удаление любого доступа к учетной записи по умолчанию, а затем отключение учетной записи предотвратит повторное включение учетной записи злоумышленником и получение доступа с помощью пароля по умолчанию.
Рекомендуется использовать изолированную промежуточную сеть для установки и настройки новых систем, а также может использоваться для подтверждения того, что учетные данные по умолчанию не были введены в производственные среды.

Примеры:
Значения по умолчанию, которые следует учитывать, включают идентификаторы пользователей, пароли и другие учетные данные для аутентификации, обычно используемые поставщиками в своих продуктах.

2.2.3
Определенные Требования к Подходу:
Основные функции, требующие различных уровней безопасности, управляются следующим образом:

или

или

Цель Индивидуального подхода:
Основные функции с более низкими требованиями к безопасности не могут повлиять на безопасность основных функций с более высокими требованиями к безопасности в том же компоненте системы.

Определенные Процедуры Тестирования Подхода:

Цель:
Системы, содержащие комбинацию служб, протоколов и демонов для их основной функции, будут иметь профиль безопасности, соответствующий для обеспечения эффективной работы этой функции. Например, системы, которые должны быть напрямую подключены к Интернету, будут иметь определенный профиль, например DNS-сервер, веб-сервер или сервер электронной коммерции. И наоборот, другие системные компоненты могут выполнять основную функцию, содержащую другой набор служб, протоколов и демонов, которые выполняют функции, которые объект не хочет предоставлять в Интернет. Это требование направлено на обеспечение того, чтобы различные функции не влияли на профили безопасности других служб таким образом, который может привести к их работе на более высоком или более низком уровне безопасности.

Надлежащая практика:
В идеале каждая функция должна быть размещена на разных компонентах системы. Это может быть достигнуто путем реализации только одной основной функции для каждого компонента системы. Другим вариантом является изоляция основных функций в одном и том же системном компоненте, которые имеют разные уровни безопасности, например, изоляция веб-серверов (которые должны быть напрямую подключены к Интернету) от серверов приложений и баз данных.
Если системный компонент содержит основные функции, которым требуются разные уровни безопасности, третьим вариантом является внедрение дополнительных средств управления, чтобы гарантировать, что результирующий уровень безопасности основной функции (функций) с более высокими требованиями к безопасности не снижается из-за наличия основных функций с более низким уровнем безопасности. Кроме того, функции с более низким уровнем безопасности должны быть изолированы и/или защищены, чтобы гарантировать, что они не могут получить доступ к ресурсам другой системной функции или повлиять на них, и не создают слабых мест в безопасности для других функций на том же сервере.
Функции с различными уровнями безопасности могут быть изолированы с помощью физических или логических элементов управления. Например, система баз данных не должна также размещать веб-службы, если только не используются элементы управления, такие как технологии виртуализации, для изоляции и разделения функций на отдельные подсистемы. Другим примером является использование виртуальных экземпляров или предоставление доступа к выделенной памяти с помощью системной функции. Там, где используются технологии виртуализации, уровни безопасности должны быть определены и управляться для каждого виртуального компонента. 
Примеры соображений, касающихся виртуализированных сред, включают:

2.2.4
Определенные Требования к Подходу:
Включаются только необходимые службы, протоколы, демоны и функции, а все ненужные функции удаляются или отключаются.

Цель Индивидуального подхода:
Системные компоненты не могут быть скомпрометированы путем использования ненужных функций, присутствующих в системном компоненте.

Определенные Процедуры Тестирования Подхода:

Цель:
Ненужные службы и функции могут предоставить злоумышленникам дополнительные возможности для получения доступа к системе. Удаляя или отключая все ненужные службы, протоколы, демоны и функции, организации могут сосредоточиться на обеспечении безопасности необходимых функций и снизить риск использования неизвестных или ненужных функций.

Надлежащая практика:
Существует множество протоколов, которые могут быть включены по умолчанию и которые обычно используются злоумышленниками для компрометации сети. Отключение или удаление всех неиспользуемых служб, функций и протоколов сводит к минимуму потенциальную возможность атаки — например, путем удаления или отключения неиспользуемого FTP или веб-сервера.

Примеры:
Ненужные функциональные возможности могут включать, но не ограничиваться ими, скрипты, драйверы, функции, подсистемы, файловые системы, интерфейсы (USB и Bluetooth) и ненужные веб-серверы.

2.2.5
Определенные Требования к Подходу:
Если присутствуют какие-либо небезопасные службы, протоколы или демоны:

Цель Индивидуального подхода:
Системные компоненты не могут быть скомпрометированы путем использования небезопасных служб, протоколов или демонов.

Определенные Процедуры Тестирования Подхода:

Цель:
Обеспечение надлежащей защиты всех небезопасных служб, протоколов и демонов с помощью соответствующих функций безопасности затрудняет злоумышленникам использование уязвимостей в сети.

Надлежащая практика:
Включение функций безопасности до развертывания новых системных компонентов предотвратит внедрение в среду небезопасных конфигураций. Некоторые решения поставщиков могут предоставлять дополнительные функции безопасности для обеспечения безопасности небезопасного процесса.

Дополнительная информация:
Для получения рекомендаций по службам, протоколам или демонам, которые считаются небезопасными, обратитесь к отраслевым стандартам и рекомендациям (например, опубликованным NIST, ENISA и OWASP).

2.2.6
Определенные Требования к Подходу:
Параметры безопасности системы настроены для предотвращения неправильного использования.

Цель Индивидуального подхода:
Системные компоненты не могут быть скомпрометированы из-за неправильной настройки параметров безопасности.

Определенные Процедуры Тестирования Подхода:

Цель:
Правильная настройка параметров безопасности, предоставляемых в системных компонентах, использует возможности системного компонента для предотвращения вредоносных атак.

Надлежащая практика:
Стандарты конфигурации системы и связанные с ними процессы должны учитывать параметры и параметры безопасности, которые имеют известные последствия для безопасности для каждого типа используемой системы.
Для безопасной настройки систем персонал, ответственный за настройку и/или администрирование систем, должен быть осведомлен о конкретных параметрах и настройках безопасности, которые применяются к системе. Соображения также должны включать безопасные настройки параметров, используемых для доступа к облачным порталам.

Дополнительная информация:
Обратитесь к документации поставщика и отраслевым справочникам, указанным в Требовании 2.2.1, для получения информации о применимых параметрах безопасности для каждого типа системы.

2.2.7
Определенные Требования к Подходу:
Весь административный доступ, не связанный с консольным доступом, шифруется с использованием надежной криптографии.

Цель Индивидуального подхода:
Открытые текстовые факторы авторизации администратора не могут быть прочитаны или перехвачены из любых сетевых передач.

Примечания по применению:
Это включает в себя административный доступ через браузерные интерфейсы и интерфейсы прикладного программирования (API).

Определенные Процедуры Тестирования Подхода:

Цель:
Если неконсольное (в том числе удаленное) администрирование не использует зашифрованные сообщения, факторы авторизации администратора (такие как идентификаторы и пароли) могут быть раскрыты злоумышленнику. Злоумышленник может использовать эту информацию для доступа к сети, стать администратором и украсть данные.

Надлежащая практика:
Какой бы протокол безопасности ни использовался, он должен быть настроен на использование только безопасных версий и конфигураций, чтобы предотвратить использование небезопасного соединения — например, используя только доверенные сертификаты, поддерживая только надежное шифрование и не поддерживая возврат к более слабым, небезопасным протоколам или методам.

Примеры:
Протоколы открытого текста (такие как HTTP, telnet и т.д.) не шифруют трафик или данные входа в систему, что упрощает перехват этой информации злоумышленником. Неконсольный доступ может быть облегчен с помощью технологий, обеспечивающих альтернативный доступ к системам, включая, но не ограничиваясь этим, внеполосный (OOB), управление отключением света (LOM), Интеллектуальный интерфейс управления платформой (IPMI) и переключатели клавиатуры, видео, мыши (KVM) с удаленными возможностями. Эти и другие технологии и методы, не связанные с консольным доступом, должны быть защищены надежной криптографией

Дополнительная информация:
Обратитесь к отраслевым стандартам и передовой практике, таким как NIST SP 800-52 и SP 800-57.