Стандарт платежной системы UZCARD. Требования информационной безопасности.

ТРЕБОВАНИЯ
1.1 Разработать, опубликовать, поддерживать в актуальном состоянии и распространять политику информационной безопасности.
1.1.1. Пересматривать политику информационной безопасности не реже раза в год и обновлять ее в случае изменения среды Партнера.
1.1.2. Вести журнал ознакомления с Политикой ИБ и поддерживать ее в актуальном состоянии
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ
Проверить актуальную версию политики информационной безопасности. Просмотреть лист изменений политики для удостоверения наличия цикла пересмотра. Проверить журнал ознакомления с политикой информационной безопасности и убедиться в том, что все сотрудники, взаимодействующие со средой ИСП ознакомлены 

ТРЕБОВАНИЯ
1.2 Политика информационной безопасности должна поддерживаться локальными нормативными документами с целью дальнейшего управления и внедрения мер защиты информационной безопасности у Партнера. Данные локально-нормативные документы должны соответствовать требованиям Политики информационной безопасности и дополнять ее в управлении отдельными доменами мер защиты информационной безопасности. Примерами данных локально-нормативных документов могут быть:

Проверить реестр документов, чтобы удостовериться в наличии локально-нормативных документов, поддерживающие политику информационной безопасности. Документы второго уровня также могут быть прописаны в основной Политике ИБ как отдельные Приложения к Политике

ТРЕБОВАНИЯ
1.3 Внедрить процесс оценки рисков, который осуществляется не реже, чем раз в год и после значительного изменения среды в структуре Партнера, выявляет критичные активы, угрозы и уязвимости, и завершается официальным оформленным анализом рисков.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ

Проверить наличие актуального документа с надлежащими процессами по оценки рисков.

ТРЕБОВАНИЯ
1.4 Внедрить официальную программу повышения осведомленности сотрудников Партнера об информационной безопасности, целью которой является информирование сотрудников Компании о политиках и процедурах обеспечения безопасности.
1.4.1. Проводить обучение сотрудников Партнера при приеме на работу, а также не реже одного раза в год.
1.4.2. Требовать, чтобы персонал Партнера не реже одного раза в год подтверждал свое знание и понимание политик и процедур обеспечения информационной безопасности Партнера.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ

Проверить наличие данного пункта в Политике ИБ или других документах, получить последние данные по проведению обучения ИБ сотрудников Партнера. По крайней мере ответственные сотрудники, взаимодействующие со средой проверяемой ИСП, должны пройти обучение. Проверить наличие фактов о прохождении сотрудниками Партнера ежегодных тестов на проверку знаний по ИБ 

ТРЕБОВАНИЯ
1.5 Разработать план реагирования на инциденты, применяемый в случае взлома системы. Быть готовым немедленно отреагировать на взлом информационной системы.
1.5.1. Анализировать и тестировать план по реагированию на инциденты не реже одного раза в год
1.5.2. Включить в план процедуры реагирования на оповещения систем мониторинга информационной безопасности, включая, без ограничения, системы обнаружения и предупреждения вторжений, межсетевые экраны, а также системы мониторинга целостности файлов.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ

Запросить план реагирования на инциденты и убедиться, что план актуален, просматривается и тестируется регулярно. 

ТРЕБОВАНИЯ
1.6 Гарантировать, что политики безопасности и рабочие процедуры управления межсетевыми экранами задокументированы, используются и известны всем вовлеченным сотрудникам Партнера.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ

Проверить наличие актуального документа по управлению межсетевых экранов 

ТРЕБОВАНИЯ
1.7 Разработать стандарты конфигурирования для всех системных компонентов среды ИСП. Убедиться, что стандарты учитывают все известные уязвимости безопасности, а также положения общепринятых отраслевых стандартов безопасной конфигурирования. К примерам источников общепринятых отраслевых стандартов безопасной конфигурирования относятся: 

Выборочно проверить утвержденные актуальные стандарты конфигурирования 

ТРЕБОВАНИЯ
1.8 Внедрить процедуры управления идентификацией пользователей на всех системных компонентах среды ИСП, регламентирующих следующие требования: 

Проверить наличие процедур управления идентификацией пользователей 

ТРЕБОВАНИЯ
2.1 Использовать надлежащие средства контроля доступа в помещение, чтобы ограничивать и отслеживать физический доступ к системам в среде ИСП.
2.1.1. Использовать систему видеонаблюдения (СВН) для контроля физического доступа в критичное помещение среды ИСП.
2.1.2. Использовать систему или механизмы контроля и управления доступом (СКУД) для контроля физического доступа в критичное помещение среды ИСП.
2.1.3. Проводить анализ данных, собранных системами и механизмами контроля доступа.
Хранить такие данные не менее трех месяцев.
2.1.4. Ограничивать доступ к беспроводным точкам доступа, шлюзам, портативным устройствам, сетевому/коммуникационному оборудованию и каналам связи.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ
В случае, если серверная инфраструктура ИСП находится в здании Партнера, где ответственность за физическую защиту несет непосредственно Партнер, проверить использование средств контроля доступа в помещение (ЦОД). 
В случае, если серверная инфраструктура ИСП была арендована у сервис провайдера на основании договора (среда виртуальных машин, колокейшн), проверить наличие надлежащего пункта договоре об ответственности за физическую защиту оборудований сервис провайдером 

ТРЕБОВАНИЯ
2.2 Разработать процедуры, позволяющие легко различать сотрудников Партнера, имеющих доступ к среде ИСП, включающие: 

ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ
Запросить список ответственных сотрудников Партнера, имеющих доступ в серверное помещение 

ТРЕБОВАНИЯ
2.3 Контролировать физический доступ сотрудников к критичным помещениям следующим образом: 

ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ
Запросить заявления на предоставление доступа в серверное помещение 

ТРЕБОВАНИЯ
3.1 Разработать и реализовывать стандарты конфигурирования межсетевых экранов и маршрутизаторов
3.1.1. Разработать формальный процесс утверждения и тестирования всех сетевых подключений и изменений в конфигурациях межсетевых экранов и маршрутизаторов.
3.1.2. Внедрить актуальную схему сети с указанием всех подключений к среде ИСП из других сетей, включая все беспроводные сети.
3.1.3. Внедрить актуальную схему, отображающая все потоки данных платежных карт в среде ИСП, полученных из ПО SVGATE в системах и сетях.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ
Убедиться, что была внедрена актуальная схема сети и схема потоков данных платежных карт сегмента ИСП. Изучить актуальную схему сети и схему потоков данных платежных карт UZCARD. 
Удостовериться, что был создан формальный процесс утверждения и тестирования всех сетевых подключений и изменений в конфигурациях МЭ 

ТРЕБОВАНИЯ
3.2 Ограничивать входящий и исходящий трафик только соединениями, необходимыми для среды ИСП, запрещать весь остальной трафик.
3.2.1. Настраивать ограничения соединений на межсетевых экранах и маршрутизаторах между другими сетями и любыми системными компонентами, находящимися в среде ИСП.
3.2.2. Пересматривать наборы правил межсетевых экранов и маршрутизаторов не реже одного раза в полгода.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ
Проверить правила межсетевого экрана на отсутствие правил по умолчанию и общедоступных правил (any-any). Убедиться, что была проведена настройка ограничения соединений в среде ИСП. Обеспечить проведение пересмотра наборов правил межсетевых экранов и маршрутизаторов не реже одного раза в полгода. 

ТРЕБОВАНИЯ
3.3 Запрещать прямой публичный доступ между Интернетом и любыми системными компонентами в среде ИСП. 
3.3.1. Внедрить демилитаризованную зону (DMZ), чтобы ограничить входящий трафик только теми системными компонентами, которые предоставляют авторизованный доступ к общедоступным службам, протоколам и портам. 
3.3.2. Ограничивать входящие Интернет-соединения только адресами, находящимися в DMZ. 
3.3.3. Запрещать неавторизованный исходящий трафик из среды ИСП в Интернет. 
3.3.4. Размещать системные компоненты (например, базы данных), в которых хранятся данные держателей карт, во внутреннем сегменте сети, отделенном от DMZ и иных недоверенных сетей. 
3.3.5. Не раскрывать частные IP-адреса и данные о маршрутах третьим сторонам, не имеющим санкционированного доступа к такой информации. 
Примечание: Методы сокрытия IP-адресации включают, но не ограничиваются: 

ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ
Удостовериться, что основные системные компоненты ИСП не имеют прямой доступ в Интернет, равно также, как и отсутствует прямой доступ к основным системным компонентам ИСП из Интернета. Проверить, что интернет-соединение в сегменте ИСП осуществляется через зону DMZ. Удостовериться, что системные компоненты, которые хранят карточные данные размещены во внутреннем сегменте сети, отдельный от DMZ. 

ТРЕБОВАНИЯ
3.4 Использовать механизмы обнаружения и/или предотвращения вторжений для обнаружения и/или предотвращения вторжения в сеть.
3.4.1. Осуществлять мониторинг сетевого трафика по периметру среды ИСП и в критичных точках внутри среды ИСП, и оповещать сотрудников Партнера о подозрительных действиях.
3.4.2. Поддерживать системы обнаружения и предотвращения вторжений и их сигнатуры в актуальном состоянии.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ
Проверить настройки межсетевого экрана на наличие включенных модулей обнаружения и/или предотвращения вторжений в сеть. Данные механизмы так же могут быть развернуты отдельно от основного межсетевого экрана 

ТРЕБОВАНИЯ
3.5 Контролировать и отслеживать любой доступ к сетевым ресурсам.
3.5.1. Внедрить журнал регистрации событий, связывающий любой доступ к системным компонентам с конкретным пользователем.
3.5.2. Настроить журналы регистрации событий на отправку событий в централизованную систему сбора событий (SIEM).
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ
Проверить события с централизованной системы сбора событий на наличие событий входа/выхода из межсетевых экранов. Проверить внедрение журнала регистрации событий. Удостовериться в настройке журнала регистрации событий на отправку событий в SIEM. Проверить внедрение журнала регистрации событий. Удостовериться в настройке журнала регистрации событий на отправку событий в SIEM 

ТРЕБОВАНИЯ
4.1 Настроить все системные компоненты среды ИСП на основе формально утвержденных стандартов конфигурирования.
4.1.1. Не использовать пароли и другие системные параметры безопасности, заданные производителем по умолчанию
4.1.2. Включать только необходимые службы, протоколы, демоны и т. д., требующиеся для функционирования системы.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ
Выборочно проверить системные компоненты ИСП на обновленные настройки безопасности. Убедиться, что системные настройки не являются по умолчанию и были настроены в соответствии с утвержденным стандартом конфигурирования. 

ТРЕБОВАНИЯ
4.2 При использовании неконсольного административного доступа к системе шифровать канал с использованием стойких криптографических алгоритмов.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ
Проверить настройки удаленного доступа к серверам ИСП, такие как настройки SSH и убедиться, что используются стойкие методы шифрования для удаленного доступа к серверам ИСП.

ТРЕБОВАНИЯ
4.3 Вести журнал учета системных компонентов, которые входят в область технической проверки.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ
Проверить наличие данного журнала. Журналом учета системных компонентов может быть документ с таблицей всех системных компонентов среды ИСП 

ТРЕБОВАНИЯ
4.4 Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО или программы:

Гарантировать, что все антивирусные механизмы: 

Проверить актуальную лицензию антивирусного ПО и дату последнего обновления в выборочном устройстве 

ТРЕБОВАНИЯ
4.5 Разрабатывать и поддерживать безопасные системы и ПО
4.5.1. Наладить процесс выявления уязвимостей с помощью авторитетных внешних источников информации об уязвимостях, а также управлению риска (например, «высокий», «средний» или «низкий») недавно обнаруженных уязвимостей.
4.5.2. Гарантировать, что все компоненты систем и ПО защищены от известных уязвимостей при помощи установки патчей безопасности, выпускаемых производителем. Устанавливать критичные исправления безопасности в течение месяца с даты их выпуска. Примечание. Какие из исправлений безопасности считаются критичными, должно быть установлено исходя из анализа рисков"
4.5.3. Удалять учетные записи разработчиков, тестовые и (или) пользовательские учетные записи, идентификаторы пользователей и пароли перед переводом приложений в производственный режим или их доступностью клиентам.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ

Выборочно проверить сервера приложения на историю обновления и установки патчей безопасности. Убедиться в установке патчей безопасности и в своевременной установке критичных исправлений. 
Запросить последний отчет о выполненной работе по выявлению и устранению уязвимостей путем установки патчей безопасности. Убедиться, что был налажен процесс выявления уязвимостей с помощью авторитарных внешних источников. 

ТРЕБОВАНИЯ
4.6 Проверять написанный программный код (автоматически или вручную) на наличие потенциальных уязвимостей до запуска в производственный режим или доступностью клиентам и убеждаться, что: 

4.6.1. Соблюдать процессы и процедуры управления изменениями системных компонентов. 
4.6.2. Предотвращать распространенные уязвимости программного кода в процессе разработки ПО следующим образом: 

4.6.3. Изучать на постоянной основе новые угрозы и уязвимости общедоступных веб-приложений и гарантировать, что эти приложения защищаются от известных атак при помощи следующих методов: 

Получить сведения на тему какие работы ведутся по проверке программного кода и работе над выявленными уязвимостями в коде и в использованных библиотеках. Убедиться в соблюдении процессов и процедур управления изменениями системных компонентов.
Примечание. Следует использовать актуальную версию таких требований, например, OWASP, SANS CWE Top 25, CERT Secure Coding и т.д. 

ТРЕБОВАНИЯ
4.7 Отделить среды разработки/тестирования от производственных сред, а также внедрить механизмы разграничения доступа.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ

Проверить наличие разделенных сегментов под производственные и тестовые среды. Удостовериться, что между сегментами нет какого либо доступа. 

ТРЕБОВАНИЯ
4.8 Разделять обязанности между сотрудниками, выполняющими обязанности разработки/тестирования, и сотрудниками, работающими в производственной среде.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ

Удостовериться, что сотрудники, работающие в тестовой среде, не имеют доступа к производственной среде. Работа с производственной средой может быть осуществляться только отдельными ответственными сотрудниками, назначенные приказом или иным подтверждающим документом 

ТРЕБОВАНИЯ
4.9 Не использовать производственные данные (действующие основные номера держателей карт) для тестирования и разработки.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ

Запросить выборку (select) из базы данных тестовой среды с наличием данных платежных карт и проверить их реальность и актуальность 

ТРЕБОВАНИЯ
4.10 Удалять все тестовые данные и учетные записи из системы перед переводом такой системы в эксплуатацию / производственный режим.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ

Интервьюировать персонал Партнера на метод перевода тестовой среды в производственный. Проверить производственную среду на отсутствие тестовых данных 

ТРЕБОВАНИЯ
4.11 Синхронизировать все системные часы и системное время на критичных системах и обеспечивать выполнение следующих требований для получения, распространения и хранения данных о времени: 

Запросить данные о наличии централизованной системы синхронизации системных часов. Убедиться, что сервера ИСП настроены на синхронизации системных часов 

ТРЕБОВАНИЯ
5.1 Огранивать хранение данных только необходимым минимумом.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ

Запросить информацию о том, в каких целях и процессах используются данные платежных карт "UZCARD". 

ТРЕБОВАНИЯ
5.2 Маскировать основной номер держателя карты (PAN) при его отображении (SELECT), где максимально возможное количество цифр для отображения - первые шесть и последние четыре. Пример: 8600 00xx xxxx 1234
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ

Запросить выборку (SELECT) из базы данных производственной среды с наличием данных платежных карт. Убедиться, что номера карт отображаются в маскированном виде. 

ТРЕБОВАНИЯ
5.3 Применить механизмы шифрования с использованием стойких криптографических алгоритмов для шифрования полного номера карт PAN UZCARD.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ

Запросить и проверить настройки СУБД или настройки приложения, где применены механизмы шифрования полного номера PAN Также, запросить выборку (select) из базы данных производственной среды с наличием данных платежных карт чтобы удостовериться что PAN зашифрованы. 

ТРЕБОВАНИЯ
5.4 Ограничить доступ к криптографическим ключам. Разрешать доступ к таким ключам наименьшему возможному числу сотрудников, ответственных за криптографические ключи. 

Запросить документ по управлению криптографическими ключами и удостовериться в том, что криптографические ключи хранятся надежно и доступ к ним ограничен в соответствии с внутренним приказом. Проверить чтобы документация выполнялась в полной мере, проверить стойкость криптографических ключей, проверить безопасность распространения ключей шифрования, проверить безопасность хранения ключей шифрования. 

ТРЕБОВАНИЯ
5.5 Шифровать данные держателей карт при их передаче в открытых общедоступных сетях 
5.5.1. Использовать стойкую криптографию и протоколы безопасности для защиты конфиденциальных ИСП при их передаче в открытых общедоступных сетях, с учетом следующего: 

Стойкость шифрования соответствует используемой методологии шифрования.
5.5.2. Запретить пересылать незащищенный PAN при помощи пользовательских технологий передачи сообщений (например, электронная почта, системы мгновенного обмена сообщениями, СМС-сообщения, чаты и т.д.). 
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ

Проверить конфигурацию приложения для того, чтобы удостовериться, что используется шифрование данных при их передаче через интернет. Убедиться в использовании стойкой криптографии и протоколов безопасности для защиты конфиденциальных ИСП при их передаче в открытых общедоступных сетях. 

ТРЕБОВАНИЯ
6.1 Внедрить средства сбора и анализа журналов протоколирования событий, а также средства оповещения, системы сбора и корреляции событий (SIEM)
6.1.1. Выполнять автоматизированную регистрацию событий всех системных компонентов: 

6.1.2. Регистрировать как минимум следующие параметры в журналах регистрации событий в отношении каждого события каждого системного компонента: Идентификатор пользователя, Тип события, Дата и время, Каким было событие - успешным или неуспешным, Источник события, Идентификатор или название данных, системного компонента или ресурса, затронутых событием. 
6.1.3. Ограничивать доступ к просмотру журналов регистрации событий только теми сотрудниками, которым такой доступ необходим в соответствии с их должностными обязанностями. 
6.1.4. Защищать журналы регистрации событий от неавторизованного изменения. 
6.1.5. Просматривать журналы регистрации событий и события безопасности всех системных компонентов с целью обнаружения аномалий или подозрительной активности. Не реже одного раза в день проверять: 

6.1.6. Хранить журналы регистрации событий не менее одного года, и в оперативном доступе не менее трех месяцев (например, они могут находиться в прямом доступе, либо архивированы, либо могут быть оперативно восстановлены с носителя резервной копии).
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ
Проверить наличие рабочей системы SIEM. Удостовериться, что все сервера сегмента ИСП настроены на отсылку событий безопасности в SIEM. Проверить настройки аудита в системных компонентах информационной системы партнера на наличие настроек по автоматическому регистрированию событий безопасности. 
Удостовериться что доступ к просмотру журналов регистрации событий имеют только сотрудники, которым такой доступ необходим в соответствии с их должностными обязанностями. Проверить что журналы регистрации событий хранятся не менее одного года, и в оперативном доступе не менее трех месяцев. 

ТРЕБОВАНИЯ
6.2 Установить систему контроля доступа к системным компонентам, которая ограничивает доступ в соответствии со служебной необходимостью пользователя и которая настроена запрещать все, что заранее не разрешено. Внедрить систему управления привилегированным доступом (PAM) для контроля доступов к среде ИСП
6.2.1. Открывать доступ к среде ИСП отдельной учетной записью для каждого пользователя с разными уровнями доступов согласно внутренней матрицей доступов
6.2.2. Включить в системе журнал генерации событий при эксплуатации PAM с протоколированием каждые действия всех пользователей
6.2.3. Настроить систему на отсылку всех событий в централизованную систему сбора и корреляции событий (SIEM)
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ 
Проверить актуальную систему PAM. Удостовериться, что доступ к серверам сегмента ИСП осуществляется через систему PAM. Убедиться, что доступ к среде ИСП открывается отдельной учетной записью для каждого пользователя с разными уровнями доступов согласно внутренней матрицей доступов. Убедиться во включении в системе журнала генерации событий при эксплуатации PAM с протоколированием каждого действия всех пользователей. Проверить что систему настроена на отсылку всех событий в централизованную систему сбора и корреляции событий (SIEM) 

ТРЕБОВАНИЯ
6.3 Внедрить систему предотвращения утечек данных (DLP) для защиты от утечек конфиденциальной информации в среде ИСП
6.3.1. Обеспечить полное покрытие агентов в устройствах пользователей, взаимодействующих со средой ИСП
6.3.2. Ежедневно проверять активность агентов, а также оповещения от системы DLP по предустановленным критериям
6.3.3. Включить в системе журнал генерации событий при появлении оповещений (Alerts) в системе DLP
6.3.4. Настроить систему на отсылку всех событий в централизованную систему сбора и корреляции событий (SIEM)
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ 
Проверить актуальную систему DLP. Удостовериться, что обеспечено полное покрытие агентов в устройствах пользователей, взаимодействующих со средой ИСП. Проверить что обеспечено полное покрытие агентов в устройствах пользователей, взаимодействующих со средой ИСП. 

ТРЕБОВАНИЯ
6.4 Внедрить механизм обнаружения изменений (например, мониторинг целостности файлов FIM) таким образом, чтобы оповещать сотрудников о неавторизованных модификациях (включая изменения, добавления и удаления) критичных системных файлов, файлов конфигурации и файлов данных; сконфигурировать ПО таким образом, чтобы проводить сравнение критичных файлов не реже одного раза в неделю.
Примечание. В контексте обнаружения изменений критичные файлы — это файлы, изменение которых происходит редко, но факт изменения которых может служить признаком компрометации системы или риска компрометации системы. Механизмы обнаружения изменений (такие как средства мониторинга целостности файлов) обычно содержат предустановленный перечень критичных файлов в используемой операционной системе.
Внедрить процесс реагирования на любое срабатывание решения для обнаружения изменений.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ 
Запросить наличие систем, механизмов обнаружения изменений в информационных системах среды ИСП. Проверить актуальность данных в системе и отчет по последнему реагированию на изменения 

ТРЕБОВАНИЯ
6.5 Внедрить систему мониторинга и отслеживания статусов серверов и сервисов ИСП. Обеспечить полное покрытие агентов на серверах ИСП
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ 
Проверить актуальную систему отслеживания и мониторинга статусов серверов сегмента ИСП. 
Удостовериться, что обеспечено полное покрытие агентов системы мониторинга и отслеживания статусов на серверах ИСП. Проверить полное покрытие агентов на серверах ИСП 

ТРЕБОВАНИЯ
7.1 Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью
7.1.1. Ограничивать доступ к системным компонентам и данным держателей карт только для тех лиц, которым такой доступ требуется в соответствии с их должностными обязанностями.
7.1.2. Назначать права доступа на основании классификации должностей и должностных обязанностей.
7.1.3. Требовать формального утверждения доступа уполномоченными сторонами с указанием требуемых привилегий.
7.1.4. По умолчанию должен быть запрещен любой доступ (установлен параметр «запрещено все, что явно не разрешено» («deny all»)).
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ 
Удостовериться в наличии документа или процесса по управлению данными платежных карт. Запросить подтверждающие данные по ограничениям доступа к данным платежных карт. 
Удостовериться в установке процесса по ограничению доступа к системным компонентам и данным держателей карт только для тех лиц, которым такой доступ требуется в соответствии с их должностными обязанностями. 

ТРЕБОВАНИЯ
7.2 Обеспечить парольную политику при эксплуатации среды ИСП
7.2.1. Использовать стойкую криптографию для шифрования учетных данных для проверки подлинности (например, паролей/парольных фраз) при их передаче и хранении во всех системных компонентах.
7.2.2. Обеспечить соответствия паролей/парольных фраз следующим требованиям: - наличие в пароле не менее двенадцати символов; - наличие в пароле и цифр, и букв.
7.2.3. Менять пароли/парольные фразы не реже одного раза в 90 дней.
7.2.4. Запретить смену пользователем пароля/парольной фразы на какие-либо из четырех последних паролей/парольных фраз данного пользователя, использованных ранее.
7.2.5. Устанавливать уникальные первоначальные пароли/парольные фразы для каждого пользователя и требовать их немедленной смены при первом входе пользователя в систему.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ 
Удостовериться в наличии документа или процесса по управлению паролей в среде ИСП. Убедиться, что используемая криптография для шифрования учетных данных для проверки подлинности при из передаче и хранении во всех системных компонентах, является стойкой. Проверить соответствие паролей/парольных фраз по следующим параметрам: 

ТРЕБОВАНИЯ
7.3 Предусмотреть многофакторную аутентификацию (MFA) для всех случаев не консольного доступа в среду ИСП для сотрудников с правами администратора.
Предусмотреть многофакторную аутентификацию для всех случаев удаленного сетевого доступа (пользователей и администраторов, включая доступ любых третьих лиц для поддержки или техобслуживания), исходящего извне сети Партнера.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ 
Убедиться в настройке многофакторной аутентификации для всех случаев удаленного сетевого доступа, исходящего извне сети Партнера. 

ТРЕБОВАНИЯ
7.4 Выполнять ограничение доступа к любой базе данных, содержащей данные держателей карт (включая доступ со стороны приложений, администраторов и любых других пользователей), следующим образом: 

ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ 
Удостовериться в наличии документа или процесса по управлению доступов к информационным системам сегмента ИСП. Запросить подтверждающие данные по предоставлению и ограничению доступа к базам данных, содержащие данные платежных карт 

ТРЕБОВАНИЯ
7.5 Внедрить процессы для проведения ежеквартальной проверки наличия беспроводных точек и для обнаружения всех авторизованных и неавторизованных беспроводных точек доступа.
7.5.1. Вести список авторизованных беспроводных точек доступа с указанием обоснования их необходимости.
7.5.2. Внедрить процедуры реагирования в случае, если обнаружены неавторизованные беспроводные точки доступа.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ 
Удостовериться в наличии документа или процесса по управлению беспроводными сетями. Запросить последний отчет по проведению сканирования беспроводных точек и обнаружения неавторизованных беспроводных точек. 
Проверить что ведется список авторизованных беспроводных точек доступа с указанием обоснования их необходимости. Убедиться во внедрении процедуры реагирования в случае, если обнаружены неавторизованные беспроводные точки доступа. 

ТРЕБОВАНИЯ
7.6 Выполнять внешнее и внутреннее сканирование сети на наличие уязвимостей не реже одного раза в квартал, а также после внесения значительных изменений в сеть.
7.6.1. Проводить ежеквартальное внутреннее сканирование на наличие уязвимостей. Устранять уязвимости и проводить повторные сканирования, пока не будут устранены все уязвимости, представляющие «высокий» уровень риска. Сканирования должны выполняться квалифицированными специалистами.
7.6.2. Проводить ежеквартальное внешнее сканирование на наличие уязвимостей посредством соответственного ПО для проведения внешнего сканирования на уязвимости. Проводить повторные сканирования до достижения удовлетворительного результата. Сканирования должны выполняться квалифицированными специалистами.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ 
Удостовериться в наличии документа или процесса по выполнению сканирований сегмента ИСП на наличие уязвимостей. 
Запросить последний отчет (страницы, где указаны дата и время выполнения сканирования, статус отчета) по проведенному внутреннему сканированию на наличие уязвимостей в сегменте ИСП. Запросить последний отчет (страницы, где указаны дата и время выполнения сканирования, статус отчета) по проведенному внешнему сканированию на наличие уязвимостей в сегменте ИСП 

ТРЕБОВАНИЯ
7.7 Внедрить методологию проведения тестирования на проникновение, которая: 

7.7.1. Проводить внешний тест на проникновение не реже одного раза в год, а также после любой значительной модификации или обновления инфраструктуры среды ИСП.
7.7.2. Проводить внутренний тест на проникновение не реже одного раза в год, а также после любой значительной модификации или обновления инфраструктуры среды ИСП.
7.7.3. Устранять эксплуатируемые уязвимости, обнаруженные во время теста на проникновение, и проводить повторное тестирование для проверки их устранения.
ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ 
Удостовериться во внедрении методологии проведения тестирования на проникновение, которая: 

ТРЕБОВАНИЯ
7.8 Внедрить процедуру своевременного выявления отказов и уведомления об отказах критических систем контроля безопасности, включающих отказы: 

ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ 
Запросить наличие систем, механизмов и процедуру своевременного выявления отказов и уведомления об отказах критических систем контроля безопасности. Удостовериться в актуальности систем и агентов по выявлению отказов в информационных системах сегмента ИСП 

ТРЕБОВАНИЯ
7.9 Выполнять своевременное реагирование на любые отказы критичных средств контроля безопасности. Процедуры для реагирования на отказы механизмов обеспечения безопасности должны включать: 

ПРОВЕРОЧНЫЕ ПРОЦЕДУРЫ 
Удостовериться в наличии документа или процесса по реагированию на отказы систем и серверов сегмента ИСП.