12.3.1
Определенные требования подхода:
Для каждого требования PCI DSS, которое требует выполнения целенаправленного анализа рисков, этот анализ документируется и включает:
- Идентификацию защищаемых активов.
- Идентификацию угроз(ы), от которых данное требование защищает.
- Идентификацию факторов, которые способствуют вероятности и/или последствиям реализации угрозы.
- Результирующий анализ, который определяет и включает обоснование того, как частота или процессы, определенные организацией для выполнения требования, минимизируют вероятность и/или последствия реализации угрозы.
- Обзор каждого целенаправленного анализа рисков не реже одного раза в год, чтобы определить, действительны ли результаты или необходим обновленный анализ рисков.
- Выполнение обновленных анализов рисков, когда это необходимо, по результатам ежегодного обзора.
Цель Индивидуального подхода:
Поддержание актуальных знаний и оценки рисков для CDE (среда обработки данных карт).
Примечания по применимости:
Это требование является хорошей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью учтено в ходе оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 12.3.1 Изучите документированные политики и процедуры, чтобы убедиться, что процесс выполнения целенаправленных анализов рисков для каждого требования PCI DSS, которое предусматривает выполнение анализа рисков, определен, и что процесс включает все элементы, указанные в этом требовании.
Цель:
Некоторые требования PCI DSS позволяют организации определить, как часто выполняется деятельность на основе рисков для среды организации. Выполнение этого анализа рисков в соответствии с методологией обеспечивает действительность и согласованность с политиками и процедурами.
Этот целенаправленный анализ рисков (в отличие от традиционной оценки рисков для всей организации) фокусируется на тех требованиях PCI DSS, которые позволяют организации выбирать частоту выполнения контроля. В рамках этого анализа рисков организация внимательно оценивает каждое требование PCI DSS, которое предоставляет такую гибкость, и определяет частоту, которая поддерживает достаточный уровень безопасности для организации, а также уровень риска, который организация готова принять.
Анализ рисков определяет конкретные активы, такие как системные компоненты и данные — например, журнальные файлы или учетные данные — которые требование направлено защищать, а также угрозы или последствия, от которых требование защищает эти активы, — например, вредоносное ПО, незамеченный злоумышленник или неправомерное использование учетных данных. Примеры факторов, которые могут способствовать вероятности или последствиям, включают все, что может увеличить уязвимость актива к угрозе — например, воздействие ненадежных сетей, сложность среды или высокая текучесть кадров — а также критичность системных компонентов или объем и чувствительность защищаемых данных.
Обзор результатов этих целенаправленных анализов рисков хотя бы один раз в год и после изменений, которые могут повлиять на риски для среды, позволяет организации убедиться, что результаты анализа рисков остаются актуальными в связи с изменениями в организации и развивающимися угрозами, тенденциями и технологиями, а также что выбранная частота все еще адекватно учитывает риски организации.
Надлежащая практика:
Рекомендуется, но не требуется, провести оценку рисков для всей организации, которая является точечной деятельностью, позволяющей организациям выявить угрозы и связанные с ними уязвимости, с целью понимания более широких и новых угроз, которые могут негативно повлиять на бизнес. Такая оценка рисков для всей организации может быть частью общей программы управления рисками, которая используется как входная информация для ежегодного обзора общей политики информационной безопасности организации (см. Требование 12.1.1).
Примеры методологий оценки рисков для оценок рисков на уровне всей организации включают, но не ограничиваются, ISO 27005 и NIST SP 800-30.
Дополнительная информация:
Смотрите следующие документы на веб-сайте PCI SSC:
- Дополнение к информации: Руководство по TRA
- Пример шаблона: TRA для частоты деятельности