КиберОценка

6.3: Управление уязвимостями безопасности

Уязвимости безопасности выявляются и устраняются

Подробное описание

Требование 6.3 обязывает организации выявлять уязвимости безопасности в своих системах и устранять их до того, как они будут использованы злоумышленниками. Уязвимости могут присутствовать в операционных системах, веб-приложениях, сетевых устройствах и другом программном обеспечении. PCI DSS требует установки критичных патчей безопасности в течение одного месяца с момента публикации, а также регулярного сканирования на наличие уязвимостей. Процесс управления уязвимостями должен быть непрерывным и документированным, охватывая все компоненты среды данных держателей карт.

Практические шаги внедрения

  1. 1

    Развернуть систему управления уязвимостями (Vulnerability Management System) для централизованного отслеживания патчей и CVE

  2. 2

    Настроить автоматическое получение оповещений о новых уязвимостях из источников вендоров, NIST NVD, CERT и отраслевых баз данных

  3. 3

    Проводить ежемесячное сканирование уязвимостей с использованием сертифицированных инструментов (Nessus, Qualys, OpenVAS)

  4. 4

    Классифицировать обнаруженные уязвимости по критичности (Critical, High, Medium, Low) с учётом CVSS и контекста бизнеса

  5. 5

    Установить процесс приоритизации: критичные патчи устанавливать в течение 30 дней, менее критичные — согласно риск-анализу

  6. 6

    Внедрить процедуры тестирования патчей в тестовой среде перед развёртыванием в production

  7. 7

    Вести реестр всех выявленных уязвимостей, установленных патчей и компенсирующих мер для неисправленных уязвимостей

Типичные нарушения

  • Критичные уязвимости остаются неустранёнными дольше 30 дней без документированного риск-анализа и компенсирующих контролей

  • Отсутствует формализованный процесс отслеживания новых уязвимостей — организация узнаёт о патчах только после инцидента

  • Сканирование уязвимостей проводится нерегулярно или не охватывает все системы среды данных держателей карт

  • Патчи устанавливаются без предварительного тестирования, что приводит к сбоям в работе критичных систем

  • Реестр уязвимостей не ведётся или содержит устаревшую информацию, невозможно доказать аудитору своевременность устранения

Почему это важно

Неустранённые уязвимости — одна из главных причин утечек данных держателей карт. Злоумышленники активно сканируют интернет в поисках непропатченных систем, а время между публикацией уязвимости и началом массовых атак может составлять всего несколько часов. Проактивное управление уязвимостями критически важно для предотвращения компрометации и соответствия PCI DSS.

Проверяемые категории

VulnerabilityTechnology StackCode LeakSupply Chain

Связанные контроли

Связанные контроли в других фреймворках

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности