18.02.2019
PCI DSS – це стандарт безпеки платіжних карток. Природно, що вимоги стандарту включають регулярну перевірку роботи всіх систем захисту ІТ-інфраструктури. Така перевірка здійснюється за допомогою тесту на проникнення (пентесту). У цій статті обговоримо, як необхідно проводити пентест згідно з вимогами стандарту PCI DSS.
Пентест – тестування ІТ-інфраструктури для проникнення. У ході тестування виконується перевірка на вразливості, які могли виникнути внаслідок неправильного налаштування систем або через недоліки програмних продуктів. Пентест проводиться як для ІТ-інфраструктури, так і для різних бізнес-додатків.
Пентест демонструє те, як справи з кібербезпекою компанії не тільки для технічних фахівців, а й для керівників. Це дає розуміння, наскільки вразлива система і якою може бути потенційна шкода.
Ефективність роботи системи кібербезпеки може перевірити лише тест на проникнення. Альтернативного способу нема!
Стандарт PCI DSS включає ряд вимог, що вказують на те, з якою періодичністю необхідно виконувати сканування ІТ-систем, перевірки на наявність уразливостей, а також тестування на проникнення.
На ринку послуг з кібербезпеки широко представлені послуги з проведення тесту на проникнення. Тестування для звичайної перевірки ІТ-інфраструктури та тестування для стандарту PCI DSS мають відмінності. Про ці відмінності важливо знати.
Розділ 11.3 стандарту PCI DSS регулює порядок виконання тестування на проникнення та вимоги щодо його змісту.
Стандарт безпеки PCI DSS висуває такі вимоги до тестів на проникнення:1. Тест на проникнення повинен проводитися не рідше одного разу на рік. Також пентест необхідно проводити після кожної зміни в ІТ-інфраструктурі або змін у додатках. Наприклад, розробник бази даних оновив версію бази даних, після цього необхідно провести тест на проникнення.2. Окремо для сервіс-провайдерів, які використовують сегментацію мережі, існують вимоги щодо проведення другого тесту на проникнення через шість місяців після проведення основного пентесту. Фактично такі компанії-провайдери мають проводити тест кожні півроку.3. Тест на проникнення повинен проходити у межах певної методології, заснованої на загальноприйнятих підходах: NIST, ISO, PTES, OWASP.4. До області тестування повинні бути включені всі ІТ-системи, що належать до середовища обробки карткових даних. У таку область потрібно включити тестування серверів, робочих станцій, мережного устаткування.5. Тест на проникнення повинен проводитися як зсередини мережі, і зовні. Важливо, щоб пентест торкався вразливості як на мережному рівні, так і на рівні додатків.6. Тест на проникнення обов'язково повинен включати розгляд та аналіз усіх атак та вразливостей, з якими компанія стикалася протягом останніх п'ятнадцяти місяців.7. Усі виявлені в ході пентесту вразливості, які можуть бути потенційно використані для злому, мають бути усунені, і це усунення необхідно підтвердити повторним тестуванням.
На додаток до основних вимог стандарту, рада PCI DSS розробила більш детальний посібник з проведення тесту на проникнення.
Цей документ роз'яснює всі вимоги до сценарію проведення пентесту, вибору виконавця тестування, структури та змісту звіту. Але найважливіше - це чек-лист, розташований на сторінці 25, який дозволяє замовнику тесту на проникнення перевірити виконавця і переконатися, що отриманий звіт буде прийнятий аудитором PCI DSS без зауважень.
Для тих компаній, які виконують пентест самотужки, дана анкета є чудовим способом самоперевірки. Відповівши лише на 22 питання, можна оцінити якість проведеного пентесту.
Звичайно ж, проводити пентест можна і самотужки, але найкращий спосіб проведення пентесту — це звернутися до компанії, що спеціалізується на сертифікації PCI DSS. У такому разі тестування на проникнення буде з урахуванням всіх вимог і положень стандарту.
Компанія «ІТ Спеціаліст» проводить тест на проникнення у складі комплексного пакету послуг із сертифікації PCI DSS. Експерти нашої команди, які проводять таке тестування, спеціалізуються на таких проектах понад десять років. Кваліфікацію експертів підтверджено сертифікатами OSCP, CEH, WPTX.
Вашому бізнесу потрібне швидке та якісне тестування на проникнення в ІТ-інфраструктуру? Вас цікавить, щоб ваш бізнес відповідав стандарту PCI DSS? Наша команда надасть вам найкращий, швидкий і якісний результат.
Зв'яжіться з нашими експертами та отримайте відповіді на всі свої запитання.