F

Aktualisierung von Netzwerkdiagrammen für PCI DSS 3.0 Compliance

PCI DSS 3.0 ist ab 2015 Pflicht für alle Unternehmen, die mit Kreditkartendaten arbeiten. Auch Netzwerkdiagramme müssen den Anforderungen genügen.

Ich habe gelesen, dass mit PCI DSS 3.0 neue Anforderungen für Netzwerkdiagramme kommen, die Verbindungen zu Kreditkartendaten zeigen. Meine Firma hat ein solches Diagramm, aber es ist schon ein paar Jahre alt. Welche Schritte müssen wir unternehmen, um ein Netzwerkdiagramm konform mit PCI 3.0 DSS zu machen?

Es stimmt, dass sich mit der Freigabe von PCI DSS 3.0 die Anforderungen rund um Netzwerkdiagramme geändert haben. Bevor Sie aber Schritte einleiten, sollten Sie einen Blick in Ihren Compliance-Prozess und den Prüfungszeitraum für die PCI-DSS-Compliance-Dokumentation werfen. Wenn der Netzwerkplan schon ein paar Jahre alt ist, wird er wahrscheinlich nicht mehr aktuell sein.

Ich empfehle Ihnen dringend, dass sie einen jährlichen Prüfungs- und Aktualisierungsprozess einführen, um das Netzwerkdiagramm routinemäßig zu überprüfen. Denken Sie daran, dass PCI-DSS-Compliance keine Sache ist, die man nur einmal im Jahr erledigt. 

Es ist wichtig, das ganze Jahr über ein „aktuelles Netzwerkdiagramm“ zu haben. Der Netzwerkplan sollte alle Verbindungen zwischen Geräten, die Kreditkartendaten verarbeiten, sowie anderen Netzwerken beinhalten – mit einem besonderen Augenmerk auf Funknetzwerke.

Es gibt zwei PCI-DSS-Anforderungen, die Netzwerkdiagramme beinhalten. Die erste Anforderung 1.1.2 wurde nur leicht verändert. Sie erfordert nun die Aufrechterhaltung eines aktuellen Netzwerkdiagramms. Es muss alle Netzwerke, Netzwerkgeräte und Systemkomponenten identifizieren. 

Das gilt auch für Verbindungen zwischen dem CDE (Cardholder Data Environment) und anderen Netzwerken, einschließlich aller drahtlosen Netze. Der kursiv gedruckte Abschnitt in den PCI-Vorgaben wurde mit der Veröffentlichung von PCI DSS 3.0 aufgenommen. Kurz gefasst: Überprüfen Sie Ihr Netzwerkdiagramm, um sicherzustellen, dass es die Anforderungen der klargestellten Regel erfüllt, indem es relevante Netzwerke, Netzwerkgeräte und Systemkomponente enthält. 

Es muss auch jegliche Verbindungen zwischen dem Kreditkarten-Netzwerk und anderen Netzwerken zeigen. Wenn Sie bereits für die Pflege eines anständigen Netzwerkdiagramms gesorgt haben, dürfte der Großteil dieser Arbeit schon erledigt sein.

Die zweite Anforderung, 1.1.3, ist mit PCI DSS 3.0 neu. Sie verlangt die Pflege eines aktuellen Diagramms, das den Fluss aller Kreditkartendaten über die Systeme und Netzwerke zeigt. Diese Anforderung setzt ein Diagramm der aktuellen Geschäftsprozesse voraus, welches das Netzwerkdiagramm überlagert. Es sollte deutlich zeigen, wo Kreditkartendaten gespeichert sowie übertragen werden und wie die verschiedenen Systemkomponenten mit diesen Daten interagieren.

Ein deutschsprachiges Dokument zu Datensicherheitsstandards bei PCI DSS 3.0 und den Anforderungen und Sicherheitsbeurteilungsverfahren können Sie hier herunterladen.

Über den Autor:
Mike Chapple, Ph. D., CISA, CISSP ist Senior Director of IT an der Universität Notre Dame. Zuvor arbeitete er bei der National Security Agency und der U.S. Air Force als Sicherheitsforscher. Chapple trägt regelmäßig zur Webseite SearchSecurity.com bei.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im Oktober 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über PCI-Datensicherheitsstandards

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close