Прохождение процедуры соответствия корпоративных межсетевых экранов (МСЭ) и маршрутизаторов требованиям стандарта PCI DSS 3.0 является очень непростой задачей. Без применения автоматизированных систем оценки соответствия организации вынуждены выбирать между двух зол. В одном случае им приходится полностью, «с головой», погружать системного администратора в рутинную работу по выверению всех конфигураций на предмет выполнения требований стандарта. Этот процесс может занимать до двух и более месяцев. Во втором случае возникает необходимость прибегать к дорогостоящим услугам консультантов по безопасности и аудиторов для изучения политик МСЭ, решений по управлению политиками безопасности и действующих процедур эксплуатации. По аналогии с первым вариантом решения такой аудит тоже строится на скрупулезном ручном процессе проверки каждого элемента на соответствие определенному требованию PCI DSS по принципу «соответствует/не соответствует».

В этой статье мы не станем приводить подробные комментарии к стандарту и перечень «подводных камней» при адаптации к ним МСЭ на практике. Попробуем с учетом ответа рынка на существующие потребности сфокусироваться на той части требований PCI DSS 3.0, которую сложно реализовать вручную и которая на сегодня обеспечивается «одной кнопкой» специализированными ИТ-системами.

< ... >