127

Главная \ Безопасность карточного бизнеса. Бизнес-энциклопедия \ 101-150

* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки

Ц е н т р исследований п л а т е ж н ы х систем и расчетов Стандарты международных платежных систем: PCI DSS и смежные стандарты 127 • поддержание политики информационной безопасности: • требование 12: должна поддерживаться политика, регламенти¬ рующая деятельность всех сотрудников. Каждое из 12 общих требований содержит ряд «подтребований» и про¬ цедур их проверки, которые, с одной стороны, обеспечивают (как мини¬ мум в теории) однообразие контроля требований аудиторам и, с другой стороны, часто детализируют само требование. Также для понимания сути требования и/или процедуры проверки бывает полезно учитывать, в какой группе находится данное требование. Описание требований при¬ ведено для версии стандарта PCI DSS 2.0. Построение и поддержание защищенной сети Требование 1: установка и администрирование конфигурации межсе¬ тевых экранов для защиты данных держателей карт. Данное обобщенное требование содержит 18 требований и 25 процедур оценки их соответствия, регламентирующих различные аспекты приме¬ нения межсетевых экранов для защиты сегментов сети, обрабатывающих данные платежных карт, такие как: • сегментация сети на различные зоны безопасности и размещение серверов в них; • необходимость документирования и поддержания актуальности схемы сети, перечня разрешенных протоколов; настройка конкретных правил фильтрации трафика; • необходимость регламентирования процесса внесения изменений в конфигурации межсетевых экранов; настройка правил фильтрации трафика на мобильных компьютерах. Обычно реализация данных требований достаточно трудоемка, ввиду того что кроме настройки межсетевого экрана чаще всех приходится ме¬ нять сегментацию сети, переносить серверы в дополнительные сегменты безопасности, решать вопросы с производительностью межсетевых эк¬ ранов и определять порты, через которые работают серверы, ранее нахо¬ дившиеся в одном сегменте. Тем не менее при правильной реализации риск несанкционированно¬ го доступа в сеть после выполнения всех требований этого раздела су¬ щественно снижается. • •