CIS Critical Security Controls v8 (The 18 CIS CSC)

12.6.3.1
Defined Approach Requirements: 
Security awareness training includes awareness of threats and vulnerabilities that could impact the security of the CDE, including but not limited to:

Customized Approach Objective:
Personnel are knowledgeable about their own human vulnerabilities and how threat actors will attempt to exploit such vulnerabilities. Personnel are able to access assistance and guidance when required. 

Applicability Notes:
See Requirement 5.4.1 for guidance on the difference between technical and automated controls to detect and protect users from phishing attacks, and this requirement for providing users security awareness training about phishing and social engineering. These are two separate and distinct requirements, and one is not met by implementing controls required by the other one. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:

Purpose:
Educating personnel on how to detect, react to, and report potential phishing and related attacks and social engineering attempts is essential to minimizing the probability of successful attacks. 

Good Practice:
An effective security awareness program should include examples of phishing emails and periodic testing to determine the prevalence of personnel reporting such attacks. Training material an entity can consider for this topic include:

An emphasis on reporting allows the organization to reward positive behavior, to optimize technical defenses (see Requirement 5.4.1), and to take immediate action to remove similar phishing emails that evaded technical defenses from recipient inboxes. 

12.6.3.1
Определенные Требования к Подходу:
Обучение по повышению осведомленности о безопасности включает в себя осведомленность об угрозах и уязвимостях, которые могут повлиять на безопасность CDE, включая, но не ограничиваясь этим:

Цель Индивидуального подхода:
Персонал осведомлен о своих собственных человеческих уязвимостях и о том, как субъекты угроз будут пытаться использовать такие уязвимости. Персонал может получить доступ к помощи и руководству, когда это необходимо.

Примечания по применению:
См. Требование 5.4.1 для получения указаний о различии между техническими и автоматизированными средствами контроля для обнаружения и защиты пользователей от фишинговых атак, а также это требование для обеспечения обучения пользователей по вопросам безопасности в отношении фишинга и социальной инженерии. Это два отдельных и отличных требования, и одно из них не выполняется путем внедрения средств контроля, требуемых другим.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Обучение персонала тому, как обнаруживать, реагировать и сообщать о потенциальных фишинговых и связанных с ними атаках, а также попытках социальной инженерии, имеет важное значение для минимизации вероятности успешных атак.

Надлежащая практика:
Эффективная программа повышения осведомленности о безопасности должна включать примеры фишинговых электронных писем и периодическое тестирование для определения распространенности сообщений персонала о таких атаках. Учебные материалы, которые организация может рассмотреть для этой темы, включают:

Акцент на отчетности позволяет организации поощрять позитивное поведение, оптимизировать технические средства защиты (см. Требование 5.4.1) и принимать немедленные меры по удалению аналогичных фишинговых писем, которые обходили технические средства защиты, из почтовых ящиков получателей.