8.3: Строгая аутентификация пользователей

Подробное описание

Требование 8.3 PCI DSS 4.0 обязывает внедрить строгую многофакторную аутентификацию (MFA) для всех пользователей с административным доступом к среде данных держателей карт (CDE), а также для любого доступа к CDE из недоверенных сетей. Строгая аутентификация предполагает использование минимум двух из трёх факторов: что-то, что пользователь знает (пароль), что-то, чем он владеет (токен, смартфон), и что-то, чем он является (биометрия). Начиная с версии 4.0, MFA стала обязательной для всех типов доступа к CDE, включая консольный доступ и веб-интерфейсы административных панелей.

Практические шаги внедрения

1. 1

   Провести инвентаризацию всех точек доступа к CDE: административные консоли, SSH, RDP, веб-панели, VPN

2. 2

   Внедрить MFA-решение для всех административных учётных записей (hardware tokens, TOTP, push-уведомления)

3. 3

   Настроить обязательную MFA для любого удалённого доступа к CDE из внешних или недоверенных сетей

4. 4

   Обеспечить, чтобы MFA требовала аутентификации каждого пользователя индивидуально (запрет на групповые учётные записи)

5. 5

   Протестировать устойчивость MFA к атакам: SIM-swapping, phishing MFA-кодов, replay-атаки

6. 6

   Внедрить процедуры управления MFA-устройствами: выдача, регистрация, отзыв при увольнении

7. 7

   Документировать политику MFA и обучить пользователей процедурам восстановления доступа при утере второго фактора

Типичные нарушения

• MFA настроена только для VPN, но отсутствует для прямого консольного доступа к серверам CDE

• Использование SMS как единственного второго фактора (уязвимо к SIM-swapping и SS7-атакам)

• Наличие backdoor-аккаунтов или аварийных учётных записей без MFA для критических ситуаций

• Общие (групповые) учётные записи администраторов, где невозможно отследить действия конкретного пользователя

• MFA-решение с известными уязвимостями (устаревшие версии) без обновлений безопасности

Почему это важно

Проверяемые категории

Связанные контроли