ВНУТРЕННЕЕ СКАНИРОВАНИЕ УЯЗВИМОСТЕЙ

Цель: Выполнение заказчиком требования 11.2 PCI DSS в части внутренних сканирований уязвимостей.

Внутренние сканирования уязвимостей выполняются из внутренней сети организации. Сегмент сети, в который включается сканер, выбирается таким образом, чтобы для сканирования были доступны все элементы инфраструктуры Заказчика, задействованные в обработке данных карт или имеющие к ним доступ, включая сетевые устройства и рабочие станции. В отличие от внешнего сканирования, никаких специальных требований к сканеру и к организации, выполняющей сканирование, не предъявляется, форма отчета о сканировании также может быть произвольной.

Внутренние сканирования уязвимостей, так же как внешние, должны выполняться ежеквартально или после значительных изменений в инфраструктуре. В отчете о внутреннем сканировании допускается наличие неустраненных уязвимостей, но это не значит, что найденные внутренние уязвимости можно не устранять. Все уязвимости, по крайней мере, с высокой степенью риска, должны быть устранены за период до выполнения следующего планового сканирования, т.е. за 90 дней.

Исходными данными для сканирования являются сетевые адресов устройств, входящих в область оценки PCI DSS. Процесс выполнения сканирования занимает, как правило, 2-3 дня, из них 1-2 дня – работы на территории Заказчика.

Услуга включает:

  • Выполнение одного внутреннего сканирования уязвимостей в соответствии с исходными данными Заказчика, с предоставлением отчета.