* Данный текст распознан в автоматическом режиме, поэтому может содержать ошибки
134
Глава 2. Международные стандарты безопасности
• визуальной идентификации посетителей; • учета, контроля перемещения и защиты отчуждаемых носителей, содержащих данные платежных карт; • уничтожения всех видов носителей защищаемой информации, вклю¬ чая жесткие диски, бумажные носители и магнитные ленты. Обычно к моменту принятия решения о внедрении стандарта PCI DSS большинство требований данного раздела в банковской организа¬ ции уже выполняется. Особенно в случае, если банк занимается выпус¬ ком платежных карт самостоятельно — ведь для выпуска платежных карт предъявлены намного более серьезные требования по физической защите помещений. Вместе с требованием 5 (антивирусная защита) это требование является наиболее простым и понятным в реализации. Особенно если сравнивать его с требованием 3 (защита данных пла тежных карт) и требованием 10 (протоколирование и мониторинг дос¬ тупа).
Регулярный мониторинг и тестирование сетей
Требование 10: должен отслеживаться и контролироваться любой дос¬ туп к сетевым ресурсам и данным держателей карт. Данное обобщенное требование содержит 27 требований и 29 соот¬ ветствующих им процедур оценки, регламентирующих вопросы прото¬ колирования и мониторинга событий, включая особенности: перечня и состава протоколируемых событий; • удаленного хранения и защиты собранных журналов аудита; • синхронизации времени между источниками событий и системой мониторинга; • периода хранения журналов аудита. Практика показывает, что одна из самых серьезных проблем на пути к соответствию PCI DSS — организация процесса мониторинга событий ИБ. C точки зрения стандарта организовать процесс можно различными способами: централизованно/децентрализованно, средствами автомати¬ зации или без оных и т. п. Для обычного российского банка, имеющего собственный процессинг, организация мониторинга событий информа¬ ционной безопасности могла бы выглядеть так: сбор событий автоматизирован;
• •
