Лето у меня проходит под знаком PCI DSS vs Virtualization. Информация накапливается, постараюсь агрегировать ее в парочке другой постов "про это". А ввиду того, что осенью предстоит готовить виртуальную инфраструктуру к аудиту на соответствие требованиям стандарта, будет написано и о непосредственно реализации требований стандарта.
PCI DSS - стандарт, который описывает требования к защите данных держателей карт. В общем, если организация хранит данные держателей карт, то ее инфраструктура, где все это хранится и обрабатывается должна соответствовать PCI DSS. Хотя условие не обязательное, не хотите - не соответствуйте, придется платить штрафы, например, Visa (e).
Текст стандарта можно скачать тут
После беглого просмотра становится понятно, что стандарт состоит в основном из слов: обеспечить, запрет, ограничить, регулярно, поддерживать, контролировать, отслеживать,наказывать и т.п.
Но по опыту подготовки "физической" инфраструктуры к соответствию требованиям стандарта могу предположить, что держится все это на:
- документирование всего: паспорта на все системы, сервера, оборудование. Причем реальные настройки всего должны полностью соответствовать описанным в документации. В процессе внесения изменений в конфигурации сначала инициируется описание этих изменений, потом сами изменения. Дело очень даже полезное, зачастую изменения в IT инфраструктуре происходят стихийно и бесконтрольно, что впоследствии усложняет процедуру администрирования. А ситуация "..... какая .... поменяла настройки этого сервера" знакома почти каждому администратору.
- ролевой доступ. Администратор ОС не может администрировать прикладное ПО, администратор windows не админит Linux или сетевое оборудование и т.д..
- логирование всего, что только можно логировать. А все "налогированное" хранить централизованно и анализировать.
- все остальное это вполне нормальные требования к firewall, портам, беспроводным сетям, DMZ, сервисам, протоколам, крипто механизмам, ключам, шифрованию, паролям, тестированию ПО, учетным записям, аудиту и т.п.
... а вокруг всего этого процедуры, процедуры, процедуры.
Совершенно обычные требования обычных безопасников к обычным айтишникам. Безопасности много не бывает, даже если она мешает администраторам выполнять свои непосредственные задачи.
Почти все требования стандарта выполнимы, несмотря на, порой, неоднозначные формулировки. На случай если требования нельзя выполнить в конкретной инфраструктуре, есть анализ информационных рисков и введение компенсационных мер.
Документ полезен для ознакомления, даже если сам PCI DSS не актуален для Вашей организации. В Интернете есть масса комментариев, пояснений, разъяснений к стандарту. Очень много полезной информации на сайте русского сообщества профессионалов PCI DSS.
PCI DSS - стандарт, который описывает требования к защите данных держателей карт. В общем, если организация хранит данные держателей карт, то ее инфраструктура, где все это хранится и обрабатывается должна соответствовать PCI DSS. Хотя условие не обязательное, не хотите - не соответствуйте, придется платить штрафы, например, Visa (e).
Текст стандарта можно скачать тут
После беглого просмотра становится понятно, что стандарт состоит в основном из слов: обеспечить, запрет, ограничить, регулярно, поддерживать, контролировать, отслеживать,
Но по опыту подготовки "физической" инфраструктуры к соответствию требованиям стандарта могу предположить, что держится все это на:
- документирование всего: паспорта на все системы, сервера, оборудование. Причем реальные настройки всего должны полностью соответствовать описанным в документации. В процессе внесения изменений в конфигурации сначала инициируется описание этих изменений, потом сами изменения. Дело очень даже полезное, зачастую изменения в IT инфраструктуре происходят стихийно и бесконтрольно, что впоследствии усложняет процедуру администрирования. А ситуация "..... какая .... поменяла настройки этого сервера" знакома почти каждому администратору.
- ролевой доступ. Администратор ОС не может администрировать прикладное ПО, администратор windows не админит Linux или сетевое оборудование и т.д..
- логирование всего, что только можно логировать. А все "налогированное" хранить централизованно и анализировать.
- все остальное это вполне нормальные требования к firewall, портам, беспроводным сетям, DMZ, сервисам, протоколам, крипто механизмам, ключам, шифрованию, паролям, тестированию ПО, учетным записям, аудиту и т.п.
... а вокруг всего этого процедуры, процедуры, процедуры.
Совершенно обычные требования обычных безопасников к обычным айтишникам. Безопасности много не бывает, даже если она мешает администраторам выполнять свои непосредственные задачи.
Почти все требования стандарта выполнимы, несмотря на, порой, неоднозначные формулировки. На случай если требования нельзя выполнить в конкретной инфраструктуре, есть анализ информационных рисков и введение компенсационных мер.
Документ полезен для ознакомления, даже если сам PCI DSS не актуален для Вашей организации. В Интернете есть масса комментариев, пояснений, разъяснений к стандарту. Очень много полезной информации на сайте русского сообщества профессионалов PCI DSS.
Комментариев нет:
Отправить комментарий