2.2: Безопасная конфигурация системных компонентов
Системные компоненты настроены и управляются безопасно
Подробное описание
Требование 2.2 обязывает организации разработать и внедрить стандарты безопасной конфигурации для всех системных компонентов в среде данных держателей карт (CDE). Это включает серверы, сетевое оборудование, базы данных и приложения. Стандарты должны охватывать все известные уязвимости безопасности и соответствовать отраслевым best practices (CIS Benchmarks, vendor hardening guides). Необходимо задокументировать каждый параметр конфигурации с обоснованием и регулярно пересматривать настройки при изменении угроз.
Практические шаги внедрения
- 1
Разработать письменные стандарты конфигурирования для каждого типа системных компонентов (ОС, СУБД, веб-серверы, сетевые устройства)
- 2
Отключить или удалить все ненужные сервисы, протоколы, демоны и функции (принцип минимальной функциональности)
- 3
Удалить дефолтные учётные записи и изменить все vendor default пароли до ввода системы в эксплуатацию
- 4
Настроить параметры безопасности системы в соответствии с отраслевыми рекомендациями (CIS, NIST, vendor guides)
- 5
Внедрить процесс управления изменениями конфигурации с обязательным security review перед применением
- 6
Автоматизировать мониторинг соответствия конфигураций утверждённым baseline (с использованием configuration management tools)
- 7
Проводить ежегодный пересмотр стандартов конфигурации с учётом новых угроз и изменений в инфраструктуре
Типичные нарушения
Использование vendor default паролей на критичных компонентах (SNMP community strings, admin/admin на консолях управления)
Работающие ненужные сервисы (Telnet, FTP, TFTP) или небезопасные протоколы аутентификации
Отсутствие документированных стандартов конфигурирования или несоответствие фактических настроек утверждённым baseline
Неполное удаление тестовых/дефолтных учётных записей (guest, test, sample database users)
Отсутствие процесса регулярного аудита конфигураций и автоматического обнаружения отклонений от стандарта
Почему это важно
Небезопасные конфигурации — одна из главных причин успешных атак на платёжные системы. Злоумышленники автоматизированно сканируют публичные ресурсы в поисках дефолтных паролей и известных уязвимостей в стандартных настройках. Единственная незащищённая точка входа может привести к компрометации всей CDE, утечке данных держателей карт и миллионным штрафам от платёжных систем.
Проверяемые категории
Связанные контроли
Связанные контроли в других фреймворках
ГОСТ Р 57580.1-2017
GDPR (ОРЗД)
Проверьте соответствие автоматически
Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.