Проведение ASV-сканирований уязвимостей информационной инфраструктуры в соответствии с требованиями PCI DSS
ASV (Approved Scanning Vendor) сканирование представляет собой сертификационное сканирование уязвимостей для внешних адресов, проведение которого необходимо для соответствия требованию 11.2 стандарта PCI DSS.
ASV-сканирование проводится по правилам, регламентированным PCI SSC, организациями, которые имеют статус ASV вендора. Для получения статуса ASV вендора компания должна успешно пройти сертификацию в тестовой лаборатории, аккредитованной PCI SSC. Во время сертификации необходимо подтвердить, что решение, используемое для проведения ASV-сканирований, отвечает требованиям международных платежных систем в части обнаружения актуальных уязвимостей безопасности. АО «ДиалогНаука» входит в список одной из сотни компаний в мире, имеющей возможность выполнять эти работы. При этом в России всего 3 таких компании.
ASV-сканирование позволяет не только выявить уязвимости, но и оценить общий статус «соответствия» безопасности внешнего периметра сети требованиям Международных платежных систем и актуальным лучшим практикам.
Решение для сканирования, которое может использовать ASV вендор, должно позволять идентифицировать все типы уязвимостей и интерпретировать их согласно требованиям PCI SSC. В процессе сканирования не оказывается влияние на работоспособность сервисов сканируемой компании и не выполняются проверки, приводящие к отказу в обслуживании.
Мы проводим ASV сканирования с использованием сканеров безопасности топовых производителей и ручных проверок специалистов, обладающих компетенциями в области поиска и анализа уязвимостей.
Для построения качественного процесса управления уязвимостями специалисты ДиалогНаука участвуют в обратной связи по вопросам результатов или процесса сканирования, оказывают консультации и помогают с определением возможных компенсирующих мер и фиксированием диспутных процессов для достижения статуса «соответствие».
В результате выполнения работ получается отчёт, состоящий из 3 разделов:
- аттестат сканирования (включает информацию о сканируемой компании и ASV вендоре, результат сканирования с краткой информацией о статусе соответствия и количестве сканируемых узлов);
- общие сведения (краткое описание выявленных уязвимостей, их влияния на статус соответствия, возможных исключений/ложных срабатываний и компенсирующих мер, а также краткие рекомендации по устранению);
- детальное описание (содержит информацию по обнаруженным портам, ОС, шифрам и сертификатам, а также детальное описание всех выявленных уязвимостей с рекомендациями по каждой уязвимости и при возможности ссылки на материалы вендора).