Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Guideline for a healthy information system v.2.0 (EN)

Framework

24 STRENGTHENED

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
9.5
9.5 Implement DMARC 
To lower the chance of spoofed or modified emails from valid domains, implement DMARC policy and verification, starting with implementing the Sender Policy Framework (SPF) and the DomainKeys Identified Mail (DKIM) standards. 
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ПУИ.5
ПУИ.5 Контентный анализ передаваемой информации по протоколам исходящего почтового обмена
ПУИ.8
ПУИ.8 Ограничение на перечень протоколов сетевого взаимодействия, используемых для осуществления передачи сообщений электронной почты
СМЭ.20
СМЭ.20 Реализация почтового обмена с сетью Интернет через ограниченное количество контролируемых точек информационного взаимодействия, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (размещенного во внутренних сетях финансовой организации) почтовых серверов с безопасной репликацией почтовых сообщений между ними
ПУИ.1
ПУИ.1 Блокирование неразрешенной и контроль (анализ) разрешенной передачи информации конфиденциального характера на внешние адреса электронной почты
ПУИ.10
ПУИ.10 Ограничение на размеры файлов данных, передаваемых в качестве вложений в сообщения электронной почты
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 5.4.1
5.4.1
Defined Approach Requirements: 
Processes and automated mechanisms are in place to detect and protect personnel against phishing attacks. 

Customized Approach Objective:
Mechanisms are in place to protect against and mitigate risk posed by phishing attacks. 

Applicability Notes:
This requirement applies to the automated mechanism. It is not intended that the systems and services providing such automated mechanisms (such as email servers) are brought into scope for PCI DSS. 
The focus of this requirement is on protecting personnel with access to system components inscope for PCI DSS. 
Meeting this requirement for technical and automated controls to detect and protect personnel against phishing is not the same as Requirement 12.6.3.1 for security awareness training. Meeting this requirement does not also meet the requirement for providing personnel with security awareness training, and vice versa. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:
  • 5.4.1 Observe implemented processes and examine mechanisms to verify controls are in place to detect and protect personnel against phishing attacks. 
Purpose:
Technical controls can limit the number of occasions personnel have to evaluate the veracity of a communication and can also limit the effects of individual responses to phishing. 

Good Practice:
When developing anti-phishing controls, entities are encouraged to consider a combination of approaches. For example, using anti-spoofing controls such as Domain-based Message Authentication, Reporting & Conformance (DMARC), Sender Policy Framework (SPF), and Domain Keys Identified Mail (DKIM) will help stop phishers from spoofing the entity’s domain and impersonating personnel. 
The deployment of technologies for blocking phishing emails and malware before they reach personnel, such as link scrubbers and server-side anti-malware, can reduce incidents and decrease the time required by personnel to check and report phishing attacks. Additionally, training personnel to recognize and report phishing emails can allow similar emails to be identified and permit them to be removed before being opened. It is recommended (but not required) that antiphishing controls are applied across an entity’s entire organization. 

Definitions 
Phishing is a form of social engineering and describes the different methods used by attackers to trick personnel into disclosing sensitive information, such as user account names and passwords, and account data. Attackers will typically disguise themselves and attempt to appear as a genuine or trusted source, directing personnel to send an email response, click on a web link, or enter data into a compromised website. Mechanisms that can detect and prevent phishing attempts are often included in antimalware solutions.

Further Information:
See the following for more information about phishing: 
  • National Cyber Security Centre - Phishing Attacks: Defending your Organization. US Cybersecurity & Infrastructure Security Agency - Report Phishing Sites. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 5.4.1
5.4.1
Определенные Требования к Подходу:
Существуют процессы и автоматизированные механизмы для обнаружения и защиты персонала от фишинговых атак.

Цель Индивидуального подхода:
Существуют механизмы защиты от фишинговых атак и снижения рисков, связанных с ними.

Примечания по применению:
Это требование относится и к автоматизированному механизму. Не предполагается, что системы и службы, обеспечивающие такие автоматизированные механизмы (например, серверы электронной почты), подпадают под действие стандарта PCI DSS.
Основное внимание в этом требовании уделяется защите персонала, имеющего доступ к системным компонентам inscope для PCI DSS.
Выполнение этого требования для технических и автоматизированных средств контроля для обнаружения и защиты персонала от фишинга отличается от требования 12.6.3.1 для обучения по вопросам безопасности. Выполнение этого требования также не соответствует требованию о проведении обучения персонала по вопросам безопасности, и наоборот.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 5.4.1 Наблюдать за внедренными процессами и изучать механизмы для проверки наличия средств контроля для обнаружения и защиты персонала от фишинговых атак.
Цель:
Технический контроль может ограничить количество случаев, когда персонал должен оценивать достоверность сообщения, а также может ограничить последствия индивидуальных ответов на фишинг.

Надлежащая практика:
При разработке средств борьбы с фишингом организациям рекомендуется рассмотреть сочетание подходов. Например, использование средств защиты от подделки, таких как DMARC, SPF и DKIM, поможет предотвратить подделку домена организации фишерами и выдачу себя за персонал.
Внедрение технологий для блокирования фишинговых электронных писем и вредоносных программ до того, как они попадут к персоналу, таких как средства очистки ссылок и серверные средства защиты от вредоносных программ, может сократить количество инцидентов и сократить время, необходимое персоналу для проверки фишинговых атак и сообщения о них. Кроме того, обучение персонала распознаванию фишинговых писем и сообщению о них может позволить идентифицировать похожие электронные письма и разрешить их удаление перед открытием. Рекомендуется (но не обязательно), чтобы средства защиты от фишинга применялись во всей организации организации.

Определения:
Фишинг является формой социальной инженерии и описывает различные методы, используемые злоумышленниками для обмана персонала с целью раскрытия конфиденциальной информации, такой как имена и пароли учетных записей пользователей, а также данные учетных записей. Злоумышленники обычно маскируются и пытаются выдать себя за подлинный или надежный источник, приказывая персоналу отправить ответ по электронной почте, перейти по веб-ссылке или ввести данные на скомпрометированный веб-сайт. Механизмы, которые могут обнаруживать и предотвращать попытки фишинга, часто включаются в решения для защиты от вредоносных программ.

Дополнительная информация:
Дополнительные сведения о фишинге см. Ниже:
  • Национальный Центр кибербезопасности - Фишинговые атаки: Защита вашей Организации. Агентство кибербезопасности и безопасности инфраструктуры США - Сообщает о фишинговых сайтах.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.15 ЗИС.15 Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗИС.15 ЗИС.15 Реализация электронного почтового обмена с внешними сетями через ограниченное количество контролируемых точек

Связанные защитные меры

Ничего не найдено