2.3: Безопасность беспроводных сред

Подробное описание

Требование 2.3 обеспечивает защиту беспроводных сетей от несанкционированного доступа и перехвата данных держателей карт. Беспроводные технологии создают дополнительные векторы атак из-за передачи данных по радиоканалам, которые могут быть перехвачены за пределами физического периметра организации. Стандарт требует применения строгих криптографических мер, сегментации беспроводного трафика и регулярного мониторинга для предотвращения компрометации карточных данных. Все беспроводные точки доступа должны быть инвентаризированы, авторизованы и защищены в соответствии с лучшими отраслевыми практиками.

Практические шаги внедрения

1. 1

   Составить полный инвентарный реестр всех беспроводных точек доступа и контроллеров в среде карточных данных

2. 2

   Внедрить WPA3-Enterprise или WPA2-Enterprise с надёжной аутентификацией (802.1X/EAP-TLS) для корпоративных беспроводных сетей

3. 3

   Изолировать беспроводные сегменты от среды карточных данных с помощью VLAN и межсетевых экранов

4. 4

   Изменить все заводские пароли администраторов, SSID и настройки безопасности беспроводного оборудования

5. 5

   Отключить WPS (Wi-Fi Protected Setup), скрытие SSID и другие небезопасные функции

6. 6

   Развернуть систему обнаружения несанкционированных точек доступа (wireless IDS/IPS)

7. 7

   Проводить ежеквартальное сканирование на наличие rogue access points и анализировать результаты

Типичные нарушения

• Использование устаревших протоколов шифрования WEP или WPA вместо WPA2/WPA3

• Беспроводные сети с прямым доступом к среде карточных данных без промежуточной сегментации

• Незащищённые заводские настройки точек доступа (default SSID, пароли admin/admin)

• Отсутствие инвентаризации и мониторинга несанкционированных беспроводных устройств

• Использование гостевого Wi-Fi в той же broadcast-зоне без изоляции от корпоративной сети

Почему это важно

Проверяемые категории

Связанные контроли