Внимание! Русскоязычная версия сайта предназначена для партнёров из Казахстана, Узбекистана, Грузии, Азербайджана, Киргизии. С компаниями из рф мы не сотрудничаем!

Illustration

Требования PCI DSS к тесту на проникновение

17.04.2019
PCI DSS — это стандарт безопасности платёжных карт. Естественно, что требования стандарта включают в себя регулярную проверку работы всех систем защиты ИТ-инфраструктуры. Такая проверка осуществляется с помощью теста на проникновение (пентеста). В этой статье обсудим то, как необходимо проводить пентест согласно требованиям стандарта PCI DSS.
Пентест – тестирование ИТ-инфраструктуры на проникновение. В ходе тестирования выполняется проверка на уязвимости, которые могли возникнуть в результате неправильной настройки систем или из-за недостатков программных продуктов. Пентест проводится как для ИТ-инфраструктуры, так и для различных бизнес-приложений. 
Пентест демонстрирует то, как обстоят дела с кибербезопасностью компании не только для технических специалистов, а и для руководителей. Это даёт понимание, насколько уязвима система и какой может быть потенциальный ущерб.
Эффективность работы системы кибербезопасности может проверить только тест на проникновение. Альтернативного способа нет! 
Стандарт PCI DSS включает в себя ряд требований, указывающих на то, с какой периодичностью необходимо выполнять сканирования ИТ-систем, проверки на наличие уязвимостей, а также тестирование на проникновение.

На рынке услуг по кибербезопасности широко представлены услуги по проведению теста на проникновение. Тестирование для обычной проверки ИТ-инфраструктуры и тестирование для стандарта PCI DSS имеют отличия. Об этих отличиях важно знать. 
Раздел 11.3 стандарта PCI DSS регулирует порядок выполнения тестирования на проникновение и требования к его содержанию. 
Стандарт безопасности PCI DSS предъявляет следующие требования к тестам на проникновение:1. Тест на проникновение должен проводиться не реже одного раза в год. Также пентест необходимо проводить после каждого изменения в ИТ-инфраструктуре, либо изменений в приложениях. К примеру, разработчик базы данных обновил версию базы данных, после такого обновления необходимо провести тест на проникновение.2. Отдельно для сервис-провайдеров, которые используют сегментацию сети, существуют требования по проведению второго теста на проникновение через шесть месяцев после проведения основного пентеста. Фактически такие компании-провайдеры должны проводить тест каждые полгода.3. Тест на проникновение должен проходить в рамках определённой методологии, основанной на общепринятых подходах: NIST, ISO, PTES, OWASP.4. В область тестирования должны быть включены все ИТ-системы, относящиеся к среде обработки карточных данных. В такую область необходимо включить тестирование серверов, рабочих станций, сетевого оборудования.5. Тест на проникновение должен проводиться как изнутри сети, так и снаружи. Важно, чтобы пентест затрагивал уязвимости, как на сетевом уровне, так и на уровне приложений. 6. Тест на проникновение обязательно должен включать рассмотрение и анализ всех атак и уязвимостей, с которыми компания сталкивалась на протяжении последних пятнадцати месяцев.7. Все выявленные в ходе пентеста уязвимости, которые могут быть потенциально использованы для взлома, должны быть устранены, и это устранение необходимо подтвердить повторным тестированием.
В дополнение к основным требованиям стандарта совет PCI DSS разработал более детальное руководство по проведению теста на проникновение.
Этот документ разъясняет все требования к сценарию проведения пентеста, к выбору исполнителя тестирования, к структуре и содержанию отчёта. Но самое важное — это чек-лист, расположенный на странице 25, который позволяет заказчику теста на проникновение проверить исполнителя и убедиться, что полученный отчёт будет принят аудитором PCI DSS без замечаний.
Для тех компаний, которые выполняют пентест своими силами, данная анкета является отличным способом самопроверки. Ответив всего на 22 вопроса, можно оценить качество проведённого пентеста. 
Конечно же, проводить пентест можно и своими силами, но наилучший способ проведения пентеста — это обратиться в компанию, специализирующуюся на сертификации PCI DSS. В таком случае тестирование па проникновение будет с учётом всех требований и положений стандарта.
Компания «ИТ Специалист» проводит тест на проникновение в составе комплексного пакета услуг по сертификации PCI DSS. Эксперты нашей команды, проводящие такое тестирование, специализируются на подобных проектах более десяти лет. Квалификация экспертов подтверждена сертификатами OSCP, CEH, WPTX.  
Вашему бизнесу необходимо быстрое и качественное тестирование на проникновение в ИТ-инфраструктуру? Вас интересует, чтобы ваш бизнес соответствовал стандарту PCI DSS? Наша команда предоставит для вас наилучший, быстрый и качественный результат.
Свяжитесь с нашими экспертами и получите ответы на все свои вопросы.

Остались вопросы?

Заполни форму обратной связи, и наши специалисты предоставят консультацию в ближайшее время.

Спасибо!

Мы свяжемся с вами в скором времени!

Can't send form.

Please try again later.

Made with