CIS Critical Security Controls v8 (The 18 CIS CSC)

5.4.1
Defined Approach Requirements: 
Processes and automated mechanisms are in place to detect and protect personnel against phishing attacks. 

Customized Approach Objective:
Mechanisms are in place to protect against and mitigate risk posed by phishing attacks. 

Applicability Notes:
This requirement applies to the automated mechanism. It is not intended that the systems and services providing such automated mechanisms (such as email servers) are brought into scope for PCI DSS. 
The focus of this requirement is on protecting personnel with access to system components inscope for PCI DSS. 
Meeting this requirement for technical and automated controls to detect and protect personnel against phishing is not the same as Requirement 12.6.3.1 for security awareness training. Meeting this requirement does not also meet the requirement for providing personnel with security awareness training, and vice versa. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:

Purpose:
Technical controls can limit the number of occasions personnel have to evaluate the veracity of a communication and can also limit the effects of individual responses to phishing. 

Good Practice:
When developing anti-phishing controls, entities are encouraged to consider a combination of approaches. For example, using anti-spoofing controls such as Domain-based Message Authentication, Reporting & Conformance (DMARC), Sender Policy Framework (SPF), and Domain Keys Identified Mail (DKIM) will help stop phishers from spoofing the entity’s domain and impersonating personnel. 
The deployment of technologies for blocking phishing emails and malware before they reach personnel, such as link scrubbers and server-side anti-malware, can reduce incidents and decrease the time required by personnel to check and report phishing attacks. Additionally, training personnel to recognize and report phishing emails can allow similar emails to be identified and permit them to be removed before being opened. It is recommended (but not required) that antiphishing controls are applied across an entity’s entire organization. 

Definitions 
Phishing is a form of social engineering and describes the different methods used by attackers to trick personnel into disclosing sensitive information, such as user account names and passwords, and account data. Attackers will typically disguise themselves and attempt to appear as a genuine or trusted source, directing personnel to send an email response, click on a web link, or enter data into a compromised website. Mechanisms that can detect and prevent phishing attempts are often included in antimalware solutions.

Further Information:
See the following for more information about phishing: 

12.6.3.1
Defined Approach Requirements: 
Security awareness training includes awareness of threats and vulnerabilities that could impact the security of the CDE, including but not limited to:

Customized Approach Objective:
Personnel are knowledgeable about their own human vulnerabilities and how threat actors will attempt to exploit such vulnerabilities. Personnel are able to access assistance and guidance when required. 

Applicability Notes:
See Requirement 5.4.1 for guidance on the difference between technical and automated controls to detect and protect users from phishing attacks, and this requirement for providing users security awareness training about phishing and social engineering. These are two separate and distinct requirements, and one is not met by implementing controls required by the other one. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:

Purpose:
Educating personnel on how to detect, react to, and report potential phishing and related attacks and social engineering attempts is essential to minimizing the probability of successful attacks. 

Good Practice:
An effective security awareness program should include examples of phishing emails and periodic testing to determine the prevalence of personnel reporting such attacks. Training material an entity can consider for this topic include:

An emphasis on reporting allows the organization to reward positive behavior, to optimize technical defenses (see Requirement 5.4.1), and to take immediate action to remove similar phishing emails that evaded technical defenses from recipient inboxes. 

5.4.1
Определенные Требования к Подходу:
Существуют процессы и автоматизированные механизмы для обнаружения и защиты персонала от фишинговых атак.

Цель Индивидуального подхода:
Существуют механизмы защиты от фишинговых атак и снижения рисков, связанных с ними.

Примечания по применению:
Это требование относится и к автоматизированному механизму. Не предполагается, что системы и службы, обеспечивающие такие автоматизированные механизмы (например, серверы электронной почты), подпадают под действие стандарта PCI DSS.
Основное внимание в этом требовании уделяется защите персонала, имеющего доступ к системным компонентам inscope для PCI DSS.
Выполнение этого требования для технических и автоматизированных средств контроля для обнаружения и защиты персонала от фишинга отличается от требования 12.6.3.1 для обучения по вопросам безопасности. Выполнение этого требования также не соответствует требованию о проведении обучения персонала по вопросам безопасности, и наоборот.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Технический контроль может ограничить количество случаев, когда персонал должен оценивать достоверность сообщения, а также может ограничить последствия индивидуальных ответов на фишинг.

Надлежащая практика:
При разработке средств борьбы с фишингом организациям рекомендуется рассмотреть сочетание подходов. Например, использование средств защиты от подделки, таких как DMARC, SPF и DKIM, поможет предотвратить подделку домена организации фишерами и выдачу себя за персонал.
Внедрение технологий для блокирования фишинговых электронных писем и вредоносных программ до того, как они попадут к персоналу, таких как средства очистки ссылок и серверные средства защиты от вредоносных программ, может сократить количество инцидентов и сократить время, необходимое персоналу для проверки фишинговых атак и сообщения о них. Кроме того, обучение персонала распознаванию фишинговых писем и сообщению о них может позволить идентифицировать похожие электронные письма и разрешить их удаление перед открытием. Рекомендуется (но не обязательно), чтобы средства защиты от фишинга применялись во всей организации организации.

Определения:
Фишинг является формой социальной инженерии и описывает различные методы, используемые злоумышленниками для обмана персонала с целью раскрытия конфиденциальной информации, такой как имена и пароли учетных записей пользователей, а также данные учетных записей. Злоумышленники обычно маскируются и пытаются выдать себя за подлинный или надежный источник, приказывая персоналу отправить ответ по электронной почте, перейти по веб-ссылке или ввести данные на скомпрометированный веб-сайт. Механизмы, которые могут обнаруживать и предотвращать попытки фишинга, часто включаются в решения для защиты от вредоносных программ.

Дополнительная информация:
Дополнительные сведения о фишинге см. Ниже:

12.6.3.1
Определенные Требования к Подходу:
Обучение по повышению осведомленности о безопасности включает в себя осведомленность об угрозах и уязвимостях, которые могут повлиять на безопасность CDE, включая, но не ограничиваясь этим:

Цель Индивидуального подхода:
Персонал осведомлен о своих собственных человеческих уязвимостях и о том, как субъекты угроз будут пытаться использовать такие уязвимости. Персонал может получить доступ к помощи и руководству, когда это необходимо.

Примечания по применению:
См. Требование 5.4.1 для получения указаний о различии между техническими и автоматизированными средствами контроля для обнаружения и защиты пользователей от фишинговых атак, а также это требование для обеспечения обучения пользователей по вопросам безопасности в отношении фишинга и социальной инженерии. Это два отдельных и отличных требования, и одно из них не выполняется путем внедрения средств контроля, требуемых другим.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Обучение персонала тому, как обнаруживать, реагировать и сообщать о потенциальных фишинговых и связанных с ними атаках, а также попытках социальной инженерии, имеет важное значение для минимизации вероятности успешных атак.

Надлежащая практика:
Эффективная программа повышения осведомленности о безопасности должна включать примеры фишинговых электронных писем и периодическое тестирование для определения распространенности сообщений персонала о таких атаках. Учебные материалы, которые организация может рассмотреть для этой темы, включают:

Акцент на отчетности позволяет организации поощрять позитивное поведение, оптимизировать технические средства защиты (см. Требование 5.4.1) и принимать немедленные меры по удалению аналогичных фишинговых писем, которые обходили технические средства защиты, из почтовых ящиков получателей.