ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Оценка защищенности в соответствии с требованиями стандарта PCI DSS Сканирование сети Наталья Зосимовская Ведущий специалист компании «Информзащита» Как было отмечено выше, сканирования сети нужно проходить ежеквартально (или при любом существенном изменении сетевой инфраструктуры) с привлечением сторонней компании, сертифицированной на проведение данных работ и имеющей статус Approved Scanning Vendor (ASV). <...> Процесс сканирования регламентирован и проводится в соответствии с PCI DSS Security Scanning Procedures и PCI DSS Technical and Operational Requirements for Approved Scanning Vendors. <...> В Границы проведения сканирования Если говорить в целом, то сканирование проводится через Интернет и сканирова нию подлежат все публичные IPадреса компании. последнее время одной из популяр ных тем в банковском сообществе является тема аудита на соответст вие требованиям стандарта PCI DSS. <...> Но стоит отметить, что сама проце дура аудита является лишь небольшой частью из того, что требуется стандартом. <...> Это прохождение ежеквартальных сканирова ний сети и ежегодный тест на проникно вение. <...> К ним относятся: ● системы и сервисы, непосредственно участвующие в обработке данных пла тежных карточек (например, сайты ecommerce, платежные шлюзы и т. д.); ● системы и сервисы, компрометация ко торых может повысить риск компромета ции данных платежных карточек (напри мер: электронная почта, DNS и т. д.) <...> . Проще говоря, если сервер, на котором обрабатываются или хранятся данные платежных карточек, стоит в одной и той же сети с любым другим сервером, кото 87 БАНКОВСКИЕ ТЕХНОЛОГИИ • № 8 • 2008 СПЕЦИАЛЬНАЯ ТЕМА Рис. <...> 1 рядке убывания степени их критичности, содержащий детальное описание каждой уязвимости: ● название уязвимости; ● ссылка производителя; ● степень критичности; ● оценка уязвимости по CVSS; ● подробное описание уязвимости; ● рекомендации по устранению или сни жению риска. рый виден из Интернета, сканировать на до оба сервера, так как <...>