Professor
Professional
- Messages
- 689
- Reaction score
- 737
- Points
- 93
Ниже — обновлённая версия чек-листа аудита POS-систем с добавлением оценки приоритета уязвимостей по шкале CVSS (Common Vulnerability Scoring System) v3.1.
Каждая критическая уязвимость снабжена:
Вы можете использовать этот чек-лист как основу для формирования отчёта, включив:
Каждая критическая уязвимость снабжена:
- CVSS-оценкой (0.0–10.0),
- Уровнем риска (Низкий / Средний / Высокий / Критический),
- Кратким обоснованием оценки на основе векторов (AV, AC, PR, UI, S, C, I, A).
CVSS v3.1 — стандартная система оценки серьёзности уязвимостей, используемая в NVD, CVE и отчётах по кибербезопасности.
Чек-лист аудита POS-систем с оценкой приоритета уязвимостей (CVSS v3.1)
1. Физическая безопасность терминалов
| № | ПРОВЕРКА | ДА / НЕТ | CVSS | УРОВЕНЬ РИСКА | КОММЕНТАРИИ / ОБОСНОВАНИЕ |
|---|---|---|---|---|---|
| 1.1 | Есть признаки физического вмешательства (сколы, люфты)? | 7.5 (AV:L, AC:H, PR:N, UI:N, S:U, C:H, I:H, A:H) | Высокий | Прямой доступ к устройству может привести к извлечению ключей или установке скиммера. | |
| 1.2 | Установлены ли антитампер-сенсоры? | — | — | Отсутствие — повышает риск (CVSS ~6.5), если есть физический доступ. | |
| 1.3 | Проводится ли регулярный осмотр на скиммеры? | 8.1 (AV , AC:L, PR:N, UI:N, S:U, C:H, I:H, A:H) | Высокий | Отсутствие контроля позволяет долгосрочное присутствие скиммера. | |
| 1.4 | Ограничен ли доступ инженеров? | 6.3 (AV:A, AC:L, PR:L, UI:N, S:U, C:H, I:L, A:L) | Средний | Неконтролируемый доступ третьих лиц — вектор для инфицирования. |
2. Сетевая безопасность
| № | ПРОВЕРКА | ДА / НЕТ | CVSS | УРОВЕНЬ РИСКА | КОММЕНТАРИИ / ОБОСНОВАНИЕ |
|---|---|---|---|---|---|
| 2.1 | POS в общем VLAN с офисной сетью? | 8.6 (AV:N, AC:L, PR:N, UI:N, S:U, C:H, I:H, A:H) | Критический | Позволяет перемещение атаки из компрометированного ПК на POS. | |
| 2.2 | Открытые порты: 21 (FTP), 23 (Telnet), 3389 (RDP)? | 9.8 (AV:N, AC:L, PR:N, UI:N, S:U, C:H, I:H, A:H) | Критический | Открытые сервисы без шифрования — прямой путь к компрометации. | |
| 2.3 | Используется ли TLS 1.0/1.1? | 7.4 (AV:N, AC:L, PR:N, UI:N, S:U, C:H, I:N, A:N) | Высокий | Устаревшее шифрование уязвимо к MITM (POODLE, BEAST). | |
| 2.4 | Нет валидации сертификатов (certificate pinning)? | 8.1 (AV:N, AC:H, PR:N, UI:N, S:U, C:H, I:H, A:H) | Высокий | Позволяет MITM-атаки на трафик к процессингу. | |
| 2.5 | Используется Wi-Fi без шифрования или WPA2-Personal? | 8.8 (AV:A, AC:L, PR:N, UI:N, S:U, C:H, I:H, A:H) | Критический | Лёгкий доступ к трафику в радиусе действия. |
3. Программное обеспечение и прошивка
| № | ПРОВЕРКА | ДА / НЕТ | CVSS | УРОВЕНЬ РИСКА | КОММЕНТАРИИ / ОБОСНОВАНИЕ |
|---|---|---|---|---|---|
| 3.1 | Устройство использует EOL-прошивку (например, Windows XP Embedded)? | 9.8 (AV:N, AC:L, PR:N, UI:N, S:U, C:H, I:H, A:H) | Критический | Нет обновлений, известные эксплойты (например, EternalBlue). | |
| 3.2 | Обнаружен malware (например, BlackPOS)? | 10.0 (AV:N, AC:L, PR:N, UI:N, S:C, C:H, I:H, A:H) | Критический | Прямой доступ к PAN в памяти. | |
| 3.3 | Хардкод-ключи в прошивке или ПО? | 9.1 (AV:N, AC:L, PR:N, UI:N, S:U, C:H, I:H, A:N) | Критический | Злоумышленник может извлечь ключи и подделать транзакции. | |
| 3.4 | Нет проверки цифровой подписи прошивки? | 8.1 (AV:L, AC:L, PR:N, UI:N, S:U, C:H, I:H, A:H) | Высокий | Возможна установка модифицированной прошивки. |
4. Обработка и хранение данных карт
| № | ПРОВЕРКА | ДА / НЕТ | CVSS | УРОВЕНЬ РИСКА | КОММЕНТАРИИ / ОБОСНОВАНИЕ |
|---|---|---|---|---|---|
| 4.1 | Хранится ли полный PAN в базе или логах? | 10.0 (AV:N, AC:L, PR:N, UI:N, S:C, C:H, I:H, A:H) | Критический | Прямое нарушение PCI DSS, массовая утечка данных. | |
| 4.2 | Хранятся ли данные магнитной полосы (track data)? | 10.0 (AV:N, AC:L, PR:N, UI:N, S:C, C:H, I:H, A:H) | Критический | Запрещено PCI DSS, позволяет клонировать карту. | |
| 4.3 | Нет P2PE (Point-to-Point Encryption)? | 9.0 (AV:N, AC:L, PR:N, UI:N, S:U, C:H, I:H, A:H) | Критический | Данные передаются в открытом виде между ПК и терминалом. | |
| 4.4 | Используется слабое шифрование (DES вместо AES)? | 7.4 (AV:N, AC:L, PR:N, UI:N, S:U, C:H, I:N, A:N) | Высокий | Возможность дешифрования данных. |
5. Аутентификация и управление доступом
| № | ПРОВЕРКА | ДА / НЕТ | CVSS | УРОВЕНЬ РИСКА | КОММЕНТАРИИ / ОБОСНОВАНИЕ |
|---|---|---|---|---|---|
| 5.1 | Используются стандартные пароли (admin/1234)? | 8.8 (AV:A, AC:L, PR:N, UI:N, S:U, C:H, I:H, A:H) | Критический | Лёгкий брутфорс, полный контроль над терминалом. | |
| 5.2 | Нет MFA для административного доступа? | 7.1 (AV:N, AC:L, PR:L, UI:N, S:U, C:H, I:H, A:H) | Высокий | Упрощает компрометацию учётной записи. | |
| 5.3 | Нет журналирования действий администраторов? | 5.3 (AV:N, AC:L, PR:N, UI:N, S:U, C:L, I:L, A:L) | Средний | Затрудняет расследование инцидентов. |
6. Архитектура и тип системы
| № | ПРОВЕРКА | ДА / НЕТ | CVSS | УРОВЕНЬ РИСКА | КОММЕНТАРИИ / ОБОСНОВАНИЕ |
|---|---|---|---|---|---|
| 6.1 | Гибридная система (ПК + терминал) без P2PE? | 9.0 (AV:N, AC:L, PR:N, UI:N, S:U, C:H, I:H, A:H) | Критический | Данные карточки доступны на ПК до шифрования. | |
| 6.2 | mPOS на незащищённом смартфоне (нет MDM, шифрования)? | 8.1 (AV:N, AC:L, PR:N, UI:N, S:U, C:H, I:H, A:H) | Высокий | Устройство может быть украдено или заражено. |
7. Процессы и политики
| № | ПРОВЕРКА | ДА / НЕТ | CVSS | УРОВЕНЬ РИСКА | КОММЕНТАРИИ / ОБОСНОВАНИЕ |
|---|---|---|---|---|---|
| 7.1 | Нет политики информационной безопасности? | 6.5 (AV, AC:L, PR:N, UI:N, S:U, C:H, I:H, A:H) | Средний | Отсутствие процедур повышает риск человеческого фактора. | |
| 7.2 | Персонал не обучен основам безопасности? | 6.8 (AV, AC:L, PR:N, UI:R, S:U, C:H, I:M, A:L) | Средний | Риск фишинга, установки malware, утечки данных. | |
| 7.3 | Нет пентестов более года? | 7.5 (AV:N, AC:L, PR:N, UI:N, S:U, C:H, I:H, A:H) | Высокий | Неизвестные уязвимости могут эксплуатироваться долго. |
8. Соответствие стандартам
| № | ПРОВЕРКА | ДА / НЕТ | CVSS | УРОВЕНЬ РИСКА | КОММЕНТАРИИ / ОБОСНОВАНИЕ |
|---|---|---|---|---|---|
| 8.1 | Нет SAQ или ROC по PCI DSS? | 7.0 (AV, AC:L, PR:N, UI:N, S:U, C:H, I:H, A:H) | Высокий | Риск штрафов, потери доверия, приостановки эквайринга. | |
| 8.2 | Терминал не сертифицирован по PCI PTS? | 8.0 (AV, AC:L, PR:N, UI:N, S:U, C:H, I:H, A:H) | Высокий | Устройство может не соответствовать базовым требованиям безопасности. |
Таблица интерпретации CVSS
| ОЦЕНКА | УРОВЕНЬ РИСКА | ДЕЙСТВИЕ |
|---|---|---|
| 0.0 – 3.9 | Низкий | Устранить в плановом порядке |
| 4.0 – 6.9 | Средний | Устранить в течение 90 дней |
| 7.0 – 8.9 | Высокий | Устранить в течение 30 дней |
| 9.0 – 10.0 | Критический | Устранить немедленно (в течение 7 дней) |
Рекомендации по приоритизации
- Сначала устраняйте уязвимости с CVSS ≥ 9.0:
- Открытые порты (RDP, Telnet).
- Хранение track data.
- Отсутствие P2PE в гибридных системах.
- Затем — CVSS 7.0–8.9:
- Устаревшее шифрование.
- Стандартные пароли.
- Нет сегментации сети.
- В плановом порядке — CVSS < 7.0:
- Отсутствие MFA.
- Нет обучения персонала.
Приложение: Шаблон отчёта
Вы можете использовать этот чек-лист как основу для формирования отчёта, включив:- Сводную таблицу по уровням риска.
- Рекомендации по устранению.
- Сроки исправления.
- Ответственных лиц.
