133

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 101-150

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

jff^ \Srj UeHTp исследований п л а т е ж н ы х систем и расчетов Стандарты международных платежных систем: PCI DSS и смежные стандарты 133 вания и документирования минимально достаточных прав доступа для выполнения той или иной работы сотрудникам, а также наличия систе¬ мы контроля доступа, позволяющей реализовать задуманную политику минимально достаточного доступа. Если в компании есть должностные инструкции и налажена система предоставления доступа через систему заявок, серьезных трудностей с реализацией этих требований обычно не возникает. Требование 8: каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификатор. Данное обобщенное требование содержит 18 требований и 25 соот¬ ветствующих им процедур оценки, обеспечивающих две важные задачи безопасности — обеспечение мониторинга действий каждого пользова¬ теля в любой системе и снижение риска несанкционированного доступа с использованием чужого пароля. Для этого описаны требования по: • длине, сложности и частоте смены паролей; • использованию двухфакторной аутентификации при удаленном доступе; • автоматической блокировке сеансов работы в случае бездействия пользователя; • хранению паролей в системах в нечитаемом виде; • удалению неиспользуемых учетных записей; • запрету прямого доступа к базам данных, содержащим данные пла¬ тежных карт для всех пользователей, за исключением администра¬ торов СУБД. Большинство требований достаточно просто реализуются штатными средствами операционных систем и баз данных, а для повышения уве¬ ренности, что все системные компоненты будут настроены корректно, настройки, обеспечивающие выполнение этих требований, рекомендует¬ ся включать в стандарты конфигурирования (см. Требование 2). Требование 9: физический доступ к данным держателей карт должен быть ограничен. Данное обобщенное требование содержит 20 требований и 28 соот¬ ветствующих им процедур оценки, регламентирующих вопросы физиче¬ ской защиты серверов и сетевого оборудования: систем видеонаблюдения и контроля доступа в помещения; •