Безопасность карточного бизнеса - страница 47
Все требования стандарта сгруппированы в 12 разделов, объединенных в 6 групп:
• построение и поддержание защищенной сети:
• требование 1: установка и администрирование конфигурации межсетевых экранов для защиты данных держателей карт;
• требование 2: не должны использоваться системные пароли и другие параметры безопасности, установленные производителем по умолчанию;
• защита данных держателей карт:
• требование 3: должна быть обеспечена защита данных держателей карт при хранении;
• требование 4: должно быть обеспечено шифрование передачи данных держателей карт по сетям общего пользования;
• реализация программы управления уязвимостями:
• требование 5: должно использоваться регулярно обновляемое антивирусное программное обеспечение;
• требование 6: должна обеспечиваться безопасность при разработке и поддержке систем и приложений;
• реализация мер по строгому контролю доступа:
• требование 7: доступ к данным держателей карт должен быть ограничен в соответствии со служебной необходимостью;
• требование 8: каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификатор;
• требование 9: физический доступ к данным держателей карт должен быть ограничен;
• регулярный мониторинг и тестирование сетей:
• требование 10: должен отслеживаться и контролироваться любой доступ к сетевым ресурсам и данным держателей карт;
• требование 11: должно выполняться регулярное тестирование систем и процессов обеспечения безопасности;
• поддержание политики информационной безопасности:
• требование 12: должна поддерживаться политика, регламентирующая деятельность всех сотрудников.
Каждое из 12 общих требований содержит ряд «подтребований» и процедур их проверки, которые, с одной стороны, обеспечивают (как минимум в теории) однообразие контроля требований аудиторам и, с другой стороны, часто детализируют само требование. Также для понимания сути требования и/или процедуры проверки бывает полезно учитывать, в какой группе находится данное требование. Описание требований приведено для версии стандарта PCI DSS 2.0.
Требование 1: установка и администрирование конфигурации межсетевых экранов для защиты данных держателей карт.
Данное обобщенное требование содержит 18 требований и 25 процедур оценки их соответствия, регламентирующих различные аспекты применения межсетевых экранов для защиты сегментов сети, обрабатывающих данные платежных карт, такие как:
• сегментация сети на различные зоны безопасности и размещение серверов в них;
• необходимость документирования и поддержания актуальности схемы сети, перечня разрешенных протоколов;
• настройка конкретных правил фильтрации трафика;
• необходимость регламентирования процесса внесения изменений в конфигурации межсетевых экранов;
• настройка правил фильтрации трафика на мобильных компьютерах.
Обычно реализация данных требований достаточно трудоемка, ввиду того что кроме настройки межсетевого экрана чаще всех приходится менять сегментацию сети, переносить серверы в дополнительные сегменты безопасности, решать вопросы с производительностью межсетевых экранов и определять порты, через которые работают серверы, ранее находившиеся в одном сегменте.
Тем не менее при правильной реализации риск несанкционированного доступа в сеть после выполнения всех требований этого раздела существенно снижается.
Требование 2: не должны использоваться системные пароли и другие параметры безопасности, установленные производителем по умолчанию.
Данное обобщенное требование содержит 23 требования и соответствующие им процедуры оценки, регламентирующие различные аспекты настройки серверов, сетевого оборудования, приложений и баз данных, в частности:
• разработка стандартов безопасной настройки, определяющих конкретные параметры безопасности для каждого вида используемых систем;
• изменение параметров систем, установленных по умолчанию;
• разделение важных функций между различными серверами;
• удаление ненужного или неиспользуемого функционала;
• регламентация используемых протоколов взаимодействия;