На предыдущую страницу
#Информационная безопасность

ASV-сканер

ASV-сканер — программно-аппаратный комплекс, сканирующий точки подключения внутренней сети организации к интернет-ресурсам.

Сканирование проводится по требованиям стандарта PCI DSS. Организации, которые предоставляют подобную услугу, должны обладать необходимым статусом (PCI ASV).

ASV-сканирование обязательно для всех организаций, которые принимают банковские карты к оплате — например, офлайн- и онлайн-магазины.

ASV-сканирование обязательно для всех организаций, которые принимают банковские карты к оплате — например, оффлайн- и онлайн-магазины.

Соответствие PCI DSS

Этапы сканирования

Процедура сканирования условно разделяется на несколько этапов.

  • Заказчик подготавливает инфраструктуру предприятия к сканированию. Выделяет часть сетевой инфраструктуры, которая относится к области действия стандарта PCI DSS.
  • Аудитор в назначенный день проводит проверку согласно требованиям стандарта. Использует специализированное оборудование, которое сертифицировано для проведения проверки.
  • По окончании процесса клиенту предоставляется соответствующий документ о результатах проверки. В нем также приводятся рекомендации по устранению уязвимостей.

Принцип сканирования

ASV-сканер предоставляется как услуга по подписке. Заказчик регистрируется на сайте поставщика услуги и выбирает один из вариантов услуги.

На следующем шаге клиент задает расписание для сканирования. Как правило, процедура проводится раз в квартал. Указывается IP-адрес сайта (если он белый) либо доменное имя. После этого заказчик оплачивает услугу.

Сканер проверяет заданные адреса на наличие уязвимостей, степень риска и другие параметры, которые прописаны в стандарте PCI DSS. Если уязвимости будут найдены, то заказчику будет предоставлен отчет о каждой проблеме с подробным описанием риска, степени угрозы, CVSS-оценка, CVE-код и способ устранения проблемы.

CVSS — это промышленный стандарт открытого типа, на основании которого производится оценка уровня опасности каждой уязвимости. CVSS-оценка — это значение, которое присвоено уязвимости в зависимости от уровня угрозы.

CVE (Common Vulnerabilities and Exposures) — глобальный перечень угроз и уязвимостей. Для каждой записи присваивается уникальный номер (CVE-код).

Отчет действителен в течение 90 календарных дней. В этот период клиент обязан устранить найденные ошибки и провести повторное сканирование. Если уязвимости отсутствуют, то выдается сертификат соответствия информационной системы требованиям PCI DSS.

Оцените данную статью