Требование 1: Установите и поддерживайте средства управления сетевой безопасностью.
Обзор:
Средства управления сетевой безопасностью (NSCS), такие как брандмауэры и другие технологии сетевой безопасности, представляют собой точки применения сетевой политики, которые обычно управляют сетевым трафиком между двумя или более логическими или физическими сегментами сети (или подсетями) на основе заранее определенных политик или правил.
NSCs проверяют весь сетевой трафик, входящий (входящий) и выходящий (выходящий) из сегмента, и решают, на основе определенных политик, разрешено ли сетевому трафику проходить или он должен быть отклонен. Как правило, NSCS размещаются между средами с различными требованиями к безопасности или уровнями доверия, однако в некоторых средах NSCS контролируют трафик на отдельные устройства независимо от границ доверия. Применение политики обычно происходит на уровне 3 модели OSI, но данные, присутствующие на более высоких уровнях, также часто используются для определения политических решений. Традиционно эта функция обеспечивалась физическими брандмауэрами, однако теперь эта функциональность может предоставляться виртуальными устройствами, средствами управления доступом к облаку, системами виртуализации/контейнеров и другими программно-определяемыми сетевыми технологиями.
NSCS используются для управления трафиком внутри собственных сетей организации — например, между критичными и менее критичными областями — а также для защиты ресурсов организации от воздействия ненадежных сетей.
Среда обработки данных о держателях карт (CDE) является примером критичной области в сети организации. Часто кажущиеся незначительными пути к ненадежным сетям и из них могут обеспечить незащищенные пути в критичные системы. NSCS обеспечивают ключевой механизм защиты для любой компьютерной сети.
Общие примеры ненадежных сетей включают в себя сеть Интернет, выделенные соединения, такие как каналы связи между предприятиями, беспроводные сети, сети операторов связи (например, сотовые), сети третьих сторон и другие источники, находящиеся вне контроля организации. Кроме того, к ненадежным сетям также относятся корпоративные сети, которые считаются неподходящими для PCI DSS, поскольку они не оцениваются и, следовательно, должны рассматриваться как ненадежные, поскольку наличие средств контроля безопасности не было проверено. Организация может считать внутреннюю сеть надежной с точки зрения инфраструктуры, если сеть выходит за рамки стандарта PCI DSS, эта сеть должна считаться ненадежной для стандарта PCI DSS.
