Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Требование 6: Разработка и поддержка безопасных систем и программного обеспечения
Определенные требования к подходу
6.1 Процессы и механизмы разработки и обслуживания безопасных систем и программного обеспечения определяются и понимаются.
| Требования к определенному подходу PCI-DSS | Рекомендации и советы Microsoft Entra |
|---|---|
|
6.1.1 . Все политики безопасности и операционные процедуры, определенные в требовании 6, являются: задокументированные поддерживаются в актуальном состоянии используются известны всем затронутым сторонам |
Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. |
| 6.1.2 Роли и обязанности по выполнению действий в требованиях 6 документируются, назначаются и понимаются. | Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. |
6.2 Индивидуальное и пользовательское программное обеспечение разрабатываются безопасно.
| Требования к определенному подходу PCI-DSS | Рекомендации и советы Microsoft Entra |
|---|---|
|
6.2.1 Bespoke и пользовательское программное обеспечение разрабатываются безопасно, как показано ниже: на основе отраслевых стандартов и /или рекомендаций по обеспечению безопасной разработки. В соответствии с PCI-DSS (например, безопасной проверкой подлинности и ведением журнала). Включение учета проблем информационной безопасности на каждом этапе жизненного цикла разработки программного обеспечения. |
Приобретение и разработка приложений, использующих современные протоколы проверки подлинности, такие как OAuth2 и OpenID Connect (OIDC), которые интегрируются с идентификатором Microsoft Entra.
Создайте программное обеспечение с помощью платформы удостоверений Microsoft. Рекомендации и советы по платформе удостоверений Майкрософт |
|
6.2.2 Персонал по разработке программного обеспечения, работающий над индивидуальным и пользовательским программным обеспечением, проходит обучение по крайней мере один раз каждые 12 месяцев следующим образом: по безопасности программного обеспечения в связи с их должностными обязанностями и языками программирования. Включая безопасный дизайн программного обеспечения и безопасные методы написания кода. В том числе, если используются средства тестирования безопасности, как использовать средства для обнаружения уязвимостей в программном обеспечении. |
Используйте следующий экзамен, чтобы предоставить подтверждение знаний на платформе идентификаций Майкрософт: Экзамен MS-600: Создание приложений и решений с основными службами Microsoft 365. Используйте следующую подготовку для подготовки к экзамену: MS-600: Реализация идентификаций Майкрософт. |
|
6.2.3 Индивидуальное и пользовательское программное обеспечение проверяется до выпуска в продуктивную среду или для клиентов, чтобы определить и исправить потенциальные уязвимости в коде, следующим образом: проверки кода обеспечивают разработку кода в соответствии с рекомендациями по безопасному программированию. Проверки кода ищут как существующие, так и новые уязвимости программного обеспечения. Соответствующие исправления реализуются до выпуска. |
Неприменимо к идентификатору Microsoft Entra. |
|
6.2.3.1 . Если проверки кода вручную выполняются для bespoke и пользовательского программного обеспечения до выпуска в рабочую среду, изменения кода проверяются отдельными лицами, кроме автора исходного кода, и которые знакомы с методами проверки кода и безопасными методами написания кода. Проверено и утверждено руководством до выпуска. |
Неприменимо к идентификатору Microsoft Entra. |
|
6.2.4 Техники инженерии программного обеспечения или другие методы определяются и используются персоналом по разработке программного обеспечения для предотвращения или уменьшения распространенных атак на программное обеспечение и связанных уязвимостей в индивидуальном и специализированном программном обеспечении, включая, но не ограничиваясь, следующим: инъекционные атаки, включая SQL, LDAP, XPath или другие команды, параметры, объекты, ошибки или недостатки типа инъекции. Атаки на структуры данных и данных, включая попытки управления буферами, указателями, входными данными или общими данными. Атаки на использование криптографии, включая попытки использовать слабые, небезопасные или неуместные криптографические реализации, алгоритмы, наборы шифров или режимы работы. Атаки на бизнес-логику, в том числе попытки злоупотреблять функциями и функциями приложений путем манипуляции с API, протоколами связи и каналами, клиентскими функциями или другими функциями систем или приложений и ресурсами. Это включает межсайтовый скриптинг (XSS) и межсайтовую подделку запроса (CSRF). Атаки на механизмы управления доступом, включая попытки обхода или нарушения идентификации, проверки подлинности или механизмов авторизации или попытки использовать слабые места в реализации таких механизмов. Атаки с помощью любых уязвимостей с высоким риском, выявленных в процессе идентификации уязвимостей, как определено в требованиях 6.3.1. |
Неприменимо к идентификатору Microsoft Entra. |
6.3 Уязвимости безопасности определяются и устраняются.
| Требования к определенному подходу PCI-DSS | Рекомендации и советы Microsoft Entra |
|---|---|
|
6.3.1 Уязвимости безопасности определяются и управляются следующим образом: новые уязвимости безопасности определяются с помощью отраслевых источников для информации об уязвимостях безопасности, включая оповещения от международных и национальных и региональных групп реагирования на чрезвычайные ситуации компьютеров (CERTs). Уязвимостям присваивается оценка уровня риска на основе отраслевых рекомендаций и с учетом потенциального влияния. Рейтинги рисков определяют, как минимум, все уязвимости, которые считаются высоким риском или критически важными для среды. Рассматриваются уязвимости для индивидуального, заказного и стороннего программного обеспечения (например, операционные системы и базы данных). |
Узнайте об уязвимостях. MSRC | Обновления системы безопасности, руководство по обновлению системы безопасности |
| 6.3.2 Инвентаризация bespoke и пользовательского программного обеспечения, а также сторонние компоненты программного обеспечения, включенные в bespoke и настраиваемое программное обеспечение, поддерживаются для упрощения управления уязвимостями и исправлениями. | Создание отчетов для приложений с помощью идентификатора Microsoft Entra для проверки подлинности для инвентаризации.
applicationSignInDetailedSummary тип ресурсаПриложения, перечисленные в корпоративных приложениях |
|
6.3.3 Все системные компоненты защищены от известных уязвимостей путем установки применимых исправлений для системы безопасности/обновлений следующим образом: критически важные или высокобезопасные исправления/обновления (идентифицированные в соответствии с процессом ранжирования рисков по требованию 6.3.1) устанавливаются в течение одного месяца выпуска. Все остальные применимые исправления или обновления безопасности устанавливаются в течение соответствующего интервала времени, определяемого сущностью (например, в течение трех месяцев выпуска). |
Неприменимо к идентификатору Microsoft Entra. |
6.4 Общедоступные веб-приложения защищены от атак.
| Требования к определенному подходу PCI-DSS | Рекомендации и советы Microsoft Entra |
|---|---|
|
6.4.1 Для общедоступных веб-приложений новые угрозы и уязвимости устраняются на постоянной основе, и эти приложения защищены от известных атак следующим образом: просмотр общедоступных веб-приложений с помощью ручных или автоматизированных средств оценки уязвимостей приложений, как показано ниже: — по крайней мере один раз каждые 12 месяцев и после значительных изменений. — организация, которая специализируется на защите приложений. — включая, как минимум, все распространенные атаки программного обеспечения в требованиях 6.2.4. — Все уязвимости ранжируются в соответствии с требованием 6.3.1. — Исправлены все уязвимости. — Приложение переоценится после исправления или установки автоматизированного технического решения, которое постоянно обнаруживает и предотвращает атаки на основе веб-сайтов следующим образом: — устанавливается перед общедоступными веб-приложениями для обнаружения и предотвращения атак на основе веб-приложений. — активно работает и актуально в соответствии с применимыми требованиями. — создание журналов аудита. — настроено либо блокировать веб-атаки, либо создавать оповещение, которое немедленно расследуется. |
Неприменимо к идентификатору Microsoft Entra. |
|
6.4.2 Для общедоступных веб-приложений развертывается автоматизированное техническое решение, которое постоянно обнаруживает и предотвращает атаки на веб-основе, по крайней мере следующее: устанавливается перед общедоступными веб-приложениями и настраивается для обнаружения и предотвращения веб-атак. Активно работает и обновлено в соответствии с применимыми требованиями. Создание журналов аудита. Настроено либо блокировать веб-атаки, либо создавать оповещение, которое немедленно расследуется. |
Неприменимо к идентификатору Microsoft Entra. |
|
6.4.3 Все скрипты страниц оплаты, загруженные и выполняемые в браузере потребителя, управляются следующим образом: метод реализуется для подтверждения того, что каждый скрипт авторизован. Метод реализуется для обеспечения целостности каждого скрипта. Инвентаризация всех скриптов поддерживается с письменным обоснованием по поводу того, почему каждый из них необходим. |
Неприменимо к идентификатору Microsoft Entra. |
6.5 Изменения для всех системных компонентов управляются безопасно.
| Требования к определенному подходу PCI-DSS | Рекомендации и советы Microsoft Entra |
|---|---|
|
6.5.1 Изменения всех системных компонентов в рабочей среде выполняются в соответствии с установленными процедурами, включающими: причина и описание изменения. Документация по влиянию на безопасность. Документировано утверждение изменений авторизованными сторонами. Тестирование, чтобы убедиться, что изменение не негативно влияет на безопасность системы. Для изменений программного обеспечения и пользовательских обновлений все обновления проверяются на соответствие требованиям требования 6.2.4, прежде чем развертываться в рабочей среде. Процедуры для устранения сбоев и возвращения в безопасное состояние. |
Включите изменения в конфигурацию Microsoft Entra в процесс управления изменениями. |
| 6.5.2 После завершения значительного изменения все применимые требования PCI-DSS подтверждаются, что они применяются ко всем новым или измененным системам и сетям, а документация обновляется как применимое. | Неприменимо к идентификатору Microsoft Entra. |
| Предэксплуатационные среды 6.5.3 отделены от производственных сред, и это разделение обеспечивается с помощью контроля доступа. | Подходы к разделению предпроизводственной и производственной сред на основе требований организации.
Изоляция ресурсов у одного клиента Изоляция ресурсов с несколькими клиентами |
| 6.5.4 Роли и функции разделены между рабочими и предварительными средами, чтобы обеспечить подотчетность и развертывать только изменения, прошедшие проверку и утверждение. | Узнайте о привилегированных ролях и выделенных предпроизводственных арендаторах. Наилучшие практики для ролей Microsoft Entra |
| 6.5.5 Динамические PAN не используются в предварительных средах, за исключением тех случаев, когда эти среды включены в CDE и защищены в соответствии со всеми применимыми требованиями PCI-DSS. | Неприменимо к идентификатору Microsoft Entra. |
| 6.5.6 Тестовые данные и тестовые учетные записи удаляются из системных компонентов до того, как система перейдет в рабочую среду. | Неприменимо к идентификатору Microsoft Entra. |
Следующие шаги
PCI-DSS требования 3, 4, 9и 12 не применимы к идентификатору Microsoft Entra, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
Сведения о настройке идентификатора Microsoft Entra для соответствия ТРЕБОВАНИЯМ PCI-DSS см. в следующих статьях.
- Руководство PCI-DSS для Microsoft Entra
- Требование 1. Установка и обслуживание элементов управления безопасностью сети
- Требование 2. Применение безопасных конфигураций ко всем системным компонентам
- Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения
- Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения (здесь)
- Требование 7. Ограничение доступа к системным компонентам и данным держателей карт по необходимости для бизнеса
- Требование 8. Определение пользователей и проверка подлинности доступа к системным компонентам
- Требование 10. Ведение журнала и мониторинг всех доступа к системным компонентам и данным заполнителей карт
- Требование 11. Регулярное тестирование безопасности систем и сетей
- Руководство по многофакторной идентификации Microsoft Entra PCI-DSS