Построение и поддержание защищенной сети
Требование 1: установка и администрирование конфигурации межсетевых экранов для защиты данных держателей карт.
Данное обобщенное требование содержит 18 требований и 25 процедур оценки их соответствия, регламентирующих различные аспекты применения межсетевых экранов для защиты сегментов сети, обрабатывающих данные платежных карт, такие как:
•сегментация сети на различные зоны безопасности и размещение серверов в них;
•необходимость документирования и поддержания актуальности схемы сети, перечня разрешенных протоколов;
•настройка конкретных правил фильтрации трафика;
•необходимость регламентирования процесса внесения изменений в конфигурации межсетевых экранов;
•настройка правил фильтрации трафика на мобильных компьютерах.
Обычно реализация данных требований достаточно трудоемка, ввиду того что кроме настройки межсетевого экрана чаще всех приходится менять сегментацию сети, переносить серверы в дополнительные сегменты безопасности, решать вопросы с производительностью межсетевых экранов и определять порты, через которые работают серверы, ранее находившиеся в одном сегменте.
Тем не менее при правильной реализации риск несанкционированного доступа в сеть после выполнения всех требований этого раздела существенно снижается.
Требование 2:не должны использоваться системные пароли и другие параметры безопасности, установленные производителем по умолчанию.
Данное обобщенное требование содержит 23 требования и соответствующие им процедуры оценки, регламентирующие различные аспекты настройки серверов, сетевого оборудования, приложений и баз данных, в частности:
•разработка стандартов безопасной настройки, определяющих конкретные параметры безопасности для каждого вида используемых систем;
•изменение параметров систем, установленных по умолчанию;
•разделение важных функций между различными серверами;
•удаление ненужного или неиспользуемого функционала;
•регламентация используемых протоколов взаимодействия;
•обеспечение безопасного удаленного доступа администраторов для управления системами.
Как правило, реализация данного набора требований требует определенного времени как на разработку необходимых параметров безопасности, так и на тестирование их работоспособности и применение на всех системных компонентах. Для большой организации этот процесс может затянуться на несколько месяцев.
Но в результате безопасность систем существенно возрастает, особенно в совокупности с правильно настроенным межсетевым экраном и вовремя устанавливаемыми обновлениями безопасности. По сути, реализация требований 1, 2 и 6 в полном объеме могли бы предотвратить более 90% случившихся взломов систем с последующими утечками данных платежных карт.