Лента
Форум
Файлы
О стандартах PCI
О проекте
Форумы|Пользователи|Поиск|Войти|Регистрация
Ответить
Подписаться   Версия для печати
Сканирования и тесты на проникновение: SSP-DSS
bbbbbit

bbbbbit
На форуме с:
20.05.2009
20.05.2009|12:54 Личное сообщение Инфо Ответить
У меня к Вам следующий вопрос относительно SSP-DSS.<br />
<br />
Согласно описанным требованиям стандарта, при первом аудите компания должна иметь ежеквартальные отчеты по SSP-DSS со статусом COMPLINCE.<br />
Я хотел узнать, так как наша компания проходит аудит уже не в первый раз обязательно ли выполнять данное требование. <br />
Т.е. на данный момент мы провели внешнее сканирование (SSP-DSS) и результат был NOT COMPLINCE, выявленные уязвимости сейчас исправляются, но вопрос нужно ли сразу после устранения всех выявленных (в отчете) уязвимостей, проводить еще одно сканирование? Либо можно его провести в следующем квартале? Так как каждое доп. сканирование несет за собой дополнительные финансовые расходы.<br />
Плюс вопрос каким образом устанавливается статус COMPLINCE или NOT COMPLINCE, т.е. какое количество замечаний допустимо LOW, MEDIUM, HIGH
Елисеев Игорь, QSA
Информзащита

На форуме с:
10.09.2009
21.05.2009|12:37 Личное сообщение Инфо Ответить
Согласно требованиям 11.2.b-c компания должна регулярно (ежеквартально) проводить внешнее сканирование в соответствии с PCI Security Scanning Procedures, а так же после внесения любых значительных изменений в сеть. В случае обнаружения уязвимостей они должны оперативно устранятся, после чего должны выполнятся повторные сканирования, подтверждающие отсутствие уязвимостей.

На каждом аудите (не только на первом) компания должна подтвердить наличие данного процесса, предоставив отчеты за последний 12-месячный период (как минимум 4 отчета о ежеквартальных сканированиях). Исключение делается только для компаний проходящих аудит впервые и реализовавших процесс сканирования менее 12 месяцев до проведения аудита, в этом случае компания должна предоставить отчеты с момента внедрения процесса сканирования, включая отчеты о повторных сканированиях, подтверждающие отсутствие уязвимостей.

Для получения статуса COMPLIANT каждый IP-адрес не должен иметь уязвимостей классифицированных выше уровня Medium, то есть недопустимо ни одной уязвимости уровня High, Critical или Urgent. Для получения общего статуса COMPLIANT, все компоненты (IP-адреса) должны иметь статус COMPLIANT.
bbbbbit

bbbbbit
На форуме с:
20.05.2009
21.05.2009|12:44 Личное сообщение Инфо Ответить
Спасибо, за подробный ответ.
Ответить
Подписаться   Версия для печати
Сейчас на форуме человек: 1 (пользователей: 0, гостей: 1) | Форумов: 7, Тем: 34, Сообщений: 129, Участников: 125 | Рекорд посещаемости на 18.02.2010: всего человек: 547 (пользователей: 0, гостей: 547)