11.3: Регулярное тестирование безопасности

Подробное описание

Требование 11.3 PCI DSS 4.0 обязывает организации проводить регулярное тестирование на проникновение и сканирование уязвимостей как внутренних, так и внешних систем. Внешнее сканирование должно выполняться квалифицированным поставщиком (ASV) ежеквартально и после значительных изменений в инфраструктуре. Внутреннее сканирование проводится минимум ежеквартально и после установки новых систем или изменений в сетевой топологии. Все выявленные уязвимости должны быть классифицированы по степени риска и устранены в установленные сроки.

Практические шаги внедрения

1. 1

   Заключить договор с квалифицированным ASV-поставщиком для проведения ежеквартального внешнего сканирования

2. 2

   Развернуть решение для внутреннего сканирования уязвимостей (Nessus, Qualys, OpenVAS)

3. 3

   Составить график регулярных сканирований: ежеквартальные плановые + внеплановые после значительных изменений

4. 4

   Настроить автоматические сканирования всех IP-адресов в области действия PCI DSS

5. 5

   Внедрить процесс устранения критических и высоких уязвимостей в течение установленных SLA (обычно 30 дней)

6. 6

   Проводить ежегодное тестирование на проникновение сетевого и прикладного уровней

7. 7

   Документировать результаты всех сканирований и подтверждения устранения уязвимостей для аудиторов

Типичные нарушения

• Отсутствие актуальных результатов ASV-сканирования за последний квартал

• Наличие неустранённых критических или высоких уязвимостей с истёкшим сроком исправления

• Пропуск внепланового сканирования после значительных изменений в инфраструктуре

• Неполное покрытие сканированием всех систем в области действия PCI DSS

• Отсутствие документированных процедур реагирования на выявленные уязвимости

Почему это важно

Проверяемые категории

Связанные контроли