Описание требований стандарта

Все требования стандарта сгруппированы в 12 разделов, объединенных в 6 групп:

•построение и поддержание защищенной сети:

•требование 1: установка и администрирование конфигурации межсетевых экранов для защиты данных держателей карт;

•требование 2: не должны использоваться системные пароли и другие параметры безопасности, установленные производителем по умолчанию;

•защита данных держателей карт:

•требование 3: должна быть обеспечена защита данных держателей карт при хранении;

•требование 4: должно быть обеспечено шифрование передачи данных держателей карт по сетям общего пользования;

•реализация программы управления уязвимостями:

•требование 5: должно использоваться регулярно обновляемое антивирусное программное обеспечение;

•требование 6: должна обеспечиваться безопасность при разработке и поддержке систем и приложений;

•реализация мер по строгому контролю доступа:

•требование 7: доступ к данным держателей карт должен быть ограничен в соответствии со служебной необходимостью;

•требование 8: каждому лицу, имеющему доступ к вычислительным ресурсам, должен быть назначен уникальный идентификатор;

•требование 9: физический доступ к данным держателей карт должен быть ограничен;

•регулярный мониторинг и тестирование сетей:

•требование 10: должен отслеживаться и контролироваться любой доступ к сетевым ресурсам и данным держателей карт;

•требование 11: должно выполняться регулярное тестирование систем и процессов обеспечения безопасности;

•поддержание политики информационной безопасности:

•требование 12: должна поддерживаться политика, регламентирующая деятельность всех сотрудников.

Каждое из 12 общих требований содержит ряд «подтребований» и процедур их проверки, которые, с одной стороны, обеспечивают (как минимум в теории) однообразие контроля требований аудиторам и, с другой стороны, часто детализируют само требование.