Održavati program upravljanja ranjivostima

Izvor: SIS Wiki
Skoči na: orijentacija, traži

PCI-DSS Norma, sukladnost sa PCI-DSS normom

Područje upravljanja ranjivostima pokriva sve vezano uz antivirusne programe i razvoj aplikacija, koje neće biti ranjive. Daje detaljnije upute o tome što sve treba provjeriti prilikom programiranja nove aplikacije, bilo ona web ili desktop.

Obuhvaća dva zahtjeva, jedan kraći koji upućuje na nužnost korištenja antivirusnih softvera i drugi koji daje smjernice za razvoj softvera, koji će raditi s podacima vezanim uz kartično poslovanje. U 6. su zahtjevu navedene najčešće ranjivosti kod aplikacija, koje treba ispraviti prije puštanja aplikacije u rad.

Sadržaj

5. zahtjev: Koristiti i redovito ažurirati antivirusni softver ili programe

PCI – DSS norma ima jasno definirane zahtjeve za izgradnju sigurnosne mreže, a uz to još i dodatni zahtjev za korištenje antivirusnog softvera, koji je detaljno opisan u tablici 5. Maliciozni kod se može u tvrtku proširiti preko osobnih računala, s Interneta ili mobilnih uređaja.

Tablica 5. Detaljni opis 5. zahtjeva (prema PCI Security Standards Council LLC, 2010a, str. 37)

PCI DSS zahtjev

Procedura za testiranje

5.1. instalirati antivirusni softver na sve sustave, na koje može utjecati maliciozni kod (posebno osobna računala i servere)

5.1. za dio sustavskih komponenti, koje uključuju sve vrste operacija na koje može utjecati maliciozni kod, potvrditi da je instaliran antivirusni softver

5.1.1. uvjeriti se da su svi antivirusni programi sposobni za otkrivanje, uklanjanje i zaštitu od svih mogućih tipova malicioznog softvera

5.1.1. za dio sustavskih komponenti potvrditi da svi antivirusni programi mogu otkriti, ukloniti i štititi od svih vrsta malicioznog softvera

5.2. uvjeriti se da svi antivirusni mehanizmi jesu ažurirani, aktivni i da generiraju logove

5.2. potvrditi da je sav antivirusni softver ažuriran, aktivan i da generira logove na slejdeći način:

5.2.a ispitati politiku i potvrditi da ona zahtjeva ažuriranje antivirusnog softvera

5.2.b potvrditi da je prilikom isntalacije omogućeno automatsko ažuriranje i periodičko skeniranje

5.2.c za dio sustavskih komponenti na koje može utjecati maliciozni kod, potvrditi da je omogućeno automatsko ažuriranje i periodičko skeniranje

5.2.d za dio sustavskih komponenti potvrditi da antivirusni softver radi logove i da su oni u skladu s zahtjevom 10.7. iz ove norme


6. zahtjev: Razvijati i održavati sigurne sustave i aplikacije

Unatoč dobroj sigurnosti u mreži tvrtke i dobrom antivirusnom programu, može se pronaći ranjivost u aplikacijama, pa ova norma zahtjeva i izgradnju sigurnih aplikacija za rad s karticama. Detaljan opis zahtjeva za izgradnju sigurnih sustava i aplikacija te procedura za testiranje je u tablici 6.

Tablica 6. Detaljni opis 6. zahtjeva (prema PCI Security Standards Council LLC, 2010a, str. 38 - 43)

PCI DSS zahtjev

Procedura za testiranje

6.1. uvjeriti se da su sve sustavske komponente i softver zaštićene od poznatih prijetnji, tako što su ažurirani s najnovijim zakrpama

6.1.a za dio sustavskih komponenti usporediti listu sigurnosnih zakrpi i provjeriti jesu li jednake listi najnovijih sigurnosnih zakrpi te potvrditi da su instalirane najnovije zakrpe

6.1.b ispitati politike vezane uz instalaciju sigurnosnih zakrpa i potvrditi da one zahtjevaju insalaciju novih zakrpi najmanje jednom mjesečno

6.2.napraviti proces za identifikaciju i dodjelu visine rizika za novo otkrivene sigurnosne ranjivosti

6.2.a intervjuirati odgovorno osoblje da bi se potvrdilo da su procesi implementirani da otkrivaju nove sigurnosne ranjivosti, i da pridodjeljuju

6.2.b potvrditi da procesi za otkrivanje novih ranjivosti uključuju vanjske izvore s informacijama o ranjivostima

6.3. razvijati aplikacije (interne i eksterne, uključujući one kojim se pristupa preko weba) sukladno normi PCI – DSS i na temelju primjera najbolje prakse, što uključuje sljedeće:

6.3.a ispitati proces razvoja aplikacija da bi se potvrdilo da je on temeljen na industrijskim standardima i primjerima najbolje prakse

6.3.b ispitati proces razvoja aplikacija da bi se potvrdilo da je informacijska sigurnost od početk auključena u taj proces

6.3.c ispitati proces razvoja aplikacija da bi se potvrdilo da su razvijene u skladu s PCI – DSS normom

6.3.d iz ispitivanja procesa razvoja aplikacija i intervjua developera, potvrditi sljedeće:

6.3.1. ukloniti korisničke račune i lozinke prije nego što aplikacija postane aktivna i dostupna korisnicima

6.3.1. da su korisnički računi i lozinke  iz aplikacije uklonjeni prije nego što se krenulo u proizvodnju ili izdavanje korisnicima

6.3.2.pregledati kod prije izdavanja u proizvodnju ili korisnicima da bi se identificirala potencijalna ranjivost u kodu

6.3.2.a provjeriti i pregledati politike da bi se potvrdilo da je sve promjene u kodu aplikacije pregledana na sljedeći način:

·         promjene koda su pregledane od stane neke osobe, koja ga nije razvijala ili osobe koja ima znanje programiranja

·         pregledati kod i utvrditi da je u skladu sa smjernicama sigurnog programiranja (zahtjev 6.5.)

·         prikladni ispravci koda su implementirani prije izdavanja

·         prije izdavanja je pregled koda odobren od strane menadžmenta

6.3.2.b odabrati dio postojećih aplikacijskih promjena i potvrditi da su razvijene prema točki 6.3.2.a

6.4. pratiti procese i procedure promjena za sve sustavske komponente. Procesi moraju uključivati sljedeće:

6.4. kreirati test za procese i procedure promjena, intervjue s sistem i mrežnih administratorima i testiranje bitnih podataka da bi se potvrdilo sljedeće:

6.4.1.razdvojiti  razvojnu/ testnu i proizvodnu okolinu

6.4.1.razdvojena je razvojna/testna i proizvodna okolina tako da svaka ima kontrolu pristupa

6.4.2. razdvojiti dužnosti između razvojne/testne i proizvodne okoline

6.4.2. razdvojene su dužnosti osoblja u razvojnoj/testnoj i proizvodnoj okolini

6.4.3. produkcijski podaci (pravi PANovi) se ne koriste za testiranje ili razvoj

6.4.3. produkcijski podaci (pravi PANovi) se ne koriste za testiranje ili razvoj

6.4.4. prije nego što sustav postane aktivan ukloniti testne podatke i račune

6.4.4. testni podaci i računi su uklonjeni prije nego što sustav postane aktivan

6.4.5. izmijeniti kontrolne procedure za implementaciju sigurnosih zakrpa i promjena softvera. Procedure moraju uključivati sljedeće:

6.4.5.a potvrditi da su promjenjene kontrolne procedure vezane uz implementaciju sigursnosnih zakrpa i promjenu softvera dokumentirane i zahtjevaju zahtjeve iz točki 6.4.5.1. – 6.4.5.4.

6.4.5.b za dio sustavskih komponenti i nedavne promjene zakrpa, pratiti promjene i provjeriti dokumentaciju. Za svaku promjenu ispitati sljedeće:

6.4.5.1. dokumentirati utjecaj

6.4.5.1. potvrditi da je dokumentacija utjecaja uključena u dokumentaciju o promjenama za svaku napravljenu promjena

6.4.5.2. dokumentirati dozvolu za promjene od strane ovlaštenih osoba

6.4.5.2 potvrditi da postoji dokumentirana dozvola od strane ovlaštenih osoba za svaki promjenu

6.4.5.3. testirati funkcionalnost da bi se potvrdilo da promjene ne utječu na sigurnost sustava

6.4.5.3.a za svaku promjenu, potvrditi testiranjem funkcionalnosti da  promjene ne utječu na sigurnost sustava

6.4.5.3.b za svaku promjenu koda potvrditi da su sva ažuriranja testirana i u skladu sa zahtjevom 6.5. iz ove norme prije izdavanja u proizvodnju

6.4.5.4. procedure za povlačenje

6.4.5.4. potvrditi da su sve procedure za povlačenje spremne za svaku promjenu

6.5. razvijati aplikacije temeljena na smjernicama za sigurno programiranje. Spriječiti česte ranjivosti u kodu tijekom procesa razvoja softvera, uključujući sljedeće:

6.5.a provjeriti proces razvoja softvera. Potvrditi da zahtjeva treniranje za tehnike sigurnog programiranja za developere temeljena na primjerima najbolje prakse

6.5.b intervjuirati dio developera i doakazati da znaju što su tehnike sigurnog programiranja (tehnike programiranja sigurnih aplikacija)

6.5.c potvrditi da su procesi u redu i da aplikacije nisu osjetljive sljedećim prijetnjama:

6.5.1. injection, najviše SQL injection, OS injection i sve druge vrste injectiona

6.5.1. sve vrste upada (injection) a najviše SQL injection (provjeriti da korisnik ne može unijeti podatke koji mogu biti naredbe ili upiti)

6.5.2. prekoračenje spremnika

6.5.2. prekoračenje spremnika (provjeriti veličine spremnika)

6.5.3. nesigurna kriptografska pohrana

6.5.3. nesigurna kriptografska pohrana (spriječiti kriptografske ispade)

6.5.4. nesigurno komuniciranje

6.5.4. nesigurno komuniciranje (ispravno kriptirati sve autentificirane i osjetljive komunikacije)

6.5.5. neispravno upravljanje greškama

6.5.5. neispravno upravljanje greškama (en smiju de odavati informacije preko poruka s grešakama)

6.5.6. sve druge ranjivosti klasificirane kao „visoke“ u zahtjevu 6.2.

6.5.6. sve druge ranjivosti klasificirane kao „visoke“ u zahtjevu 6.2.

6.5.7. cross – site scripting (XSS)

6.5.7. cross – site scripting (XSS) (provjeriti sve parametre prije uključivanja)

6.5.8. neispravna kontrola pristupa (kao što je nesigurno referenciranje na objekte, neuspješno otvaranje ograničenih URL-ova …)

6.5.8. neispravna kontrola pristupa (kao što je nesigurno referenciranje na objekte, neuspješno otvaranje ograničenih URL-ova …) (ispravno autentificirati korisnike i unos, ne izlagati reference na Internet objekte korisnicima)

6.5.9. cross – site request forgery (CSRF)

6.5.9. cross – site request forgery (CSRF) (ne upisivati autorizacijske podatke i tokene u automatski otvorene prozore od strane preglednika)

6.6. za aplikacije koje su javno dostupne preko weba, odrediti nove prijetnje i ranjivosti i utvrditi da su te aplikacije zaštićene od poznatih napada prema jednoj od metoda:

  • pregledati javne aplikacije koje koriste web ručno ili  uz pomoć alata za automatsko otkrivanje ranjivosti i to najmanje jednom godišnje ili nakon svake promjene
  • instalirati firewall za web aplikacije

 

6.6. za aplikacije koje su javno dostupne preko weba, utvrditi da se koristi barem jedna od sljedećih metoda:

·         potvrditi da su javne aplikacije pregledane (bilo ručno ili uz pomoć alata automatski) i to:

o   barem jednom godišnje

o   nakon svake promjene

o   od strane organizacije koja se bavi sigurnošću aplikacija

o   da su sve ranjivosti ispravljene

o   da je aplikacija ponovno pregledana nakon ispravaka

·         potvrditi da je firewall web aplikacije uredno postavljen da otkriva i zaustavlja napade s weba

PCI-DSS Norma, sukladnost sa PCI-DSS normom

obradila Jaskafka 13:44, 29. prosinca 2011. (CET)

Osobni alati
Imenski prostori
Inačice
Radnje
Orijentacija
Traka s alatima