Какие требования PCI DSS предъявляет к персональным firewall, установленных на компьютерах системных администраторов? Тот же вопрос беспокоит и в части антивирусной защиты.

Если имеется ввиду 1.4, то те же самые, что и требования к персональным firewall, установленным на компьютерах пользователей:
- Персональные firewall нужно устанавливать на портативные/личные компьютеры сотрудников, которые могут иметь прямой доступ к сети интернет (в обход корпоративного межсетевого экрана) и подключающиеся в сеть организации.
- Персональные межсетевые экраны должны быть сконфигурированы в соответствии с имеющимися в организации стандартами, включая запрет изменений пользователями настроек МЭ (если пользователь сам является администратором, то для повседневной работы не должны использоваться административные права).
Аналогично относительно антивирусов – те же самые требования, что и для обычных пользователей.

Цитата:

Если имеется ввиду 1.4, то те же самые, что и требования к персональным firewall, установленным на компьютерах пользователей: - Персональные firewall нужно устанавливать на портативные/личные компьютеры сотрудников, которые могут иметь прямой доступ к сети интернет (в обход корпоративного межсетевого экрана) и подключающиеся в сеть организации. - Персональные межсетевые экраны должны быть сконфигурированы в соответствии с имеющимися в организации стандартами, включая запрет изменений пользователями настроек МЭ (если пользователь сам является администратором, то для повседневной работы не должны использоваться административные права). Аналогично относительно антивирусов – те же самые требования, что и для обычных пользователей.

Отлично, вся суть вопроса в том, каким образом реализовывается "запрет"? Админы просто должны соблюдать это правило, изложенное в стандартах или нужно предусмотреть технические меры, предупреждающие возможность обхода этого требования особо одарёнными администраторами (обычно каждый первый является одарённым или по крайней мере так думает). Нужно ли "рулить" настройками firewall на контроллере домена или одному из админов дать права на удалённую настройку других персональных firewall? Или же достаточно просто периодически контроллировать соблюдение правил и стандартов для данного случая?

Понятно, что в основном это касается обычных пользователей, администраторы это частный случай. Нет жесткого определения, как нужно реализовывать запрет в данном случае, главное понимать цель применения требования 1.4 - снизить риск заражения персонального компьютера вне корпоративной сети, а затем принести заразу в сеть организации. Думаю, ваши администраторы должны быть достаточно ответственны, чтобы это понимать и в таком случае достаточно просто подписи в политике ИБ и периодического контроля соблюдения.
Если это не так, то действительно нужно что-то с этим делать.
И в любом случае, никто не мешает Вам независимо от этих факторов реализовать описанную Вами схему с разделением прав.

Как раз сильно усложнять технически не хотелось бы, если для compliance достаточно соблюдения политики - это хорошо. А за админами особый контроль придётся продумывать отдельно...

Спасибо за ответ!