12.10.1
Определенные Требования к Подходу:
План реагирования на инциденты существует и готов к активации в случае предполагаемого или подтвержденного инцидента безопасности. План включает в себя, но не ограничивается:

Цель Индивидуального подхода:
Поддерживается комплексный план реагирования на инциденты, соответствующий ожиданиям бренда card.

Определенные Процедуры Тестирования Подхода:

Цель:
Без всеобъемлющего плана реагирования на инциденты, который должным образом распространен, прочитан и понят ответственными сторонами, путаница и отсутствие единого ответа могут привести к дальнейшему простою бизнеса, ненужному освещению в средствах массовой информации, а также риску финансовых и/или репутационных потерь и юридической ответственности.

Надлежащая практика:
План реагирования на инциденты должен быть тщательным и содержать все ключевые элементы для заинтересованных сторон (например, юридические, коммуникационные), чтобы организация могла эффективно реагировать в случае нарушения, которое может повлиять на данные учетной записи. Важно поддерживать план в актуальном состоянии с учетом текущей контактной информации всех лиц, назначенных для участия в реагировании на инциденты. Другими соответствующими сторонами для уведомлений могут быть клиенты, финансовые учреждения (покупатели и эмитенты) и деловые партнеры.
Организациям следует рассмотреть вопрос о том, как устранить все нарушения данных в рамках CDE в своих планах реагирования на инциденты, включая данные учетной записи, беспроводные ключи шифрования, ключи шифрования, используемые для передачи и хранения, или данные учетной записи или данные о держателях карт и т.д.

Примеры:
Юридические требования к сообщению о компрометации включают требования большинства штатов США, Общего регламента ЕС по защите данных (GDPR) и Закона о защите персональных данных (Сингапур).

Дополнительная информация:
Для получения дополнительной информации обратитесь к Руководству по обработке инцидентов компьютерной безопасности NIST SP 800- 61 Rev. 2.

12.10.2
Определенные Требования к Подходу:
Не реже одного раза в 12 месяцев план реагирования на инциденты безопасности:

Цель Индивидуального подхода:
План реагирования на инциденты поддерживается в актуальном состоянии и периодически проверяется.

Определенные Процедуры Тестирования Подхода:

Цель:
Надлежащее тестирование плана реагирования на инциденты безопасности может выявить нарушенные бизнес-процессы и гарантировать, что ключевые шаги не будут пропущены, что может привести к увеличению риска во время инцидента. Периодическое тестирование плана гарантирует, что процессы остаются жизнеспособными, а также гарантирует, что весь соответствующий персонал в организации знаком с планом.

Надлежащая практика:
Проверка плана реагирования на инциденты может включать имитацию инцидентов и соответствующие меры реагирования в форме “настольных упражнений”, которые включают участие соответствующего персонала. Анализ инцидента и качества реагирования может дать организациям уверенность в том, что все необходимые элементы включены в план.

12.10.3
Определенные Требования к Подходу:
Назначается специальный персонал, который должен быть доступен в режиме 24/7 для реагирования на предполагаемые или подтвержденные инциденты безопасности.

Цель Индивидуального подхода:
При необходимости на инциденты реагируют немедленно.

Определенные Процедуры Тестирования Подхода:

Цель:
Инцидент может произойти в любое время, поэтому, если при обнаружении инцидента будет доступно лицо, прошедшее подготовку по реагированию на инциденты и знакомое с планом организации, способность организации правильно реагировать на инцидент повышается.

Надлежащая практика:
Часто определенный персонал назначается в состав группы реагирования на инциденты безопасности, при этом группа несет общую ответственность за реагирование на инциденты (возможно, на основе ротации) и управление этими инцидентами в соответствии с планом. Группа реагирования на инциденты может состоять из основных сотрудников, назначенных на постоянной основе, или персонала “по требованию”, который может быть вызван по мере необходимости, в зависимости от их опыта и специфики инцидента.
Наличие доступных ресурсов для быстрого реагирования на инциденты сводит к минимуму сбои в работе организации.
Примеры типов действий, на которые команда или отдельные лица должны реагировать, включают любые доказательства несанкционированной активности, обнаружение несанкционированных точек беспроводного доступа, предупреждения о критических идентификаторах и сообщения о несанкционированных изменениях критической системы или файлов содержимого.

12.10.4
Определенные Требования к Подходу:
Персонал, ответственный за реагирование на предполагаемые и подтвержденные инциденты безопасности, проходит надлежащую и периодическую подготовку по своим обязанностям по реагированию на инциденты.

Цель Индивидуального подхода:
Персонал хорошо осведомлен о своей роли и обязанностях в реагировании на инциденты и при необходимости может получить помощь и рекомендации.

Определенные Процедуры Тестирования Подхода:

Цель:
Без обученной и легкодоступной группы реагирования на инциденты может произойти значительный ущерб сети, а критически важные данные и системы могут “загрязниться” из-за неправильного обращения с целевыми системами. Это может помешать успешному расследованию после инцидента.

Надлежащая практика:
Важно, чтобы весь персонал, участвующий в реагировании на инциденты, был обучен и хорошо осведомлен об управлении доказательствами для судебно-медицинской экспертизы и расследований.

12.10.4.1
Определенные Требования к Подходу:
12.10.4.1 Периодичность периодического обучения персонала по реагированию на инциденты определяется в рамках целевого анализа рисков организации, который выполняется в соответствии со всеми элементами, указанными в Требовании 12.3.1.

Цель Индивидуального подхода:
Персонал по реагированию на инциденты проходит обучение с периодичностью, учитывающей риски организации.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Среда и план реагирования на инциденты каждой организации различны, и подход будет зависеть от ряда факторов, включая размер и сложность организации, степень изменений в среде, размер группы реагирования на инциденты и текучесть кадров.
Проведение анализа рисков позволит организации определить оптимальную частоту обучения персонала, отвечающего за реагирование на инциденты.

12.10.5
Определенные Требования к Подходу:
План реагирования на инциденты безопасности включает мониторинг и реагирование на предупреждения от систем мониторинга безопасности, включая, но не ограничиваясь этим:

Цель Индивидуального подхода:
На предупреждения, генерируемые технологиями мониторинга и обнаружения, реагируют структурированным, повторяющимся образом.

Примечания по применению:
Приведенный выше пункт (для мониторинга и реагирования на предупреждения от механизма обнаружения изменений и несанкционированного доступа к платежным страницам) является наилучшей практикой до 31 марта 2025 года, после чего он потребуется как часть требования 12.10.5 и должен быть полностью рассмотрен во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Реагирование на предупреждения, генерируемые системами мониторинга безопасности, которые специально разработаны для выявления потенциального риска для данных, имеет решающее значение для предотвращения взлома, и поэтому это должно быть включено в процессы реагирования на инциденты.

12.10.6
Определенные Требования к Подходу:
План реагирования на инциденты безопасности модифицируется и развивается в соответствии с извлеченными уроками и с учетом отраслевых разработок.

Цель Индивидуального подхода:
Эффективность и точность плана реагирования на инциденты пересматриваются и обновляются после каждого вызова.

Определенные Процедуры Тестирования Подхода:

Цель:
Включение извлеченных уроков в план реагирования на инциденты после инцидента и в соответствии с развитием отрасли помогает поддерживать план в актуальном состоянии и реагировать на возникающие угрозы и тенденции в области безопасности.

Надлежащая практика:
Работа по извлечению уроков должна охватывать персонал всех уровней. Хотя он часто включается как часть анализа всего инцидента, он должен быть сосредоточен на том, как можно улучшить реакцию организации на инцидент.
Важно не просто рассмотреть элементы реагирования, которые не привели к запланированным результатам, но и понять, что сработало хорошо, и могут ли уроки из тех элементов, которые сработали хорошо, быть применены в тех областях плана, которые не сработали.
Другим способом оптимизации плана реагирования на инциденты организации является понимание атак, совершенных против других организаций, и использование этой информации для точной настройки процедур обнаружения, локализации, смягчения последствий или восстановления организации.

12.10.7
Определенные Требования к Подходу:
Существуют процедуры реагирования на инциденты, которые должны быть инициированы при обнаружении сохраненной информации в любом месте, где она не ожидается, и включают:

Цель Индивидуального подхода:
Существуют процессы для быстрого реагирования, анализа и устранения ситуаций в случае обнаружения открытого текстового сообщения там, где этого не ожидается.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Наличие документированных процедур реагирования на инциденты, которые выполняются в случае обнаружения сохраненного PAN там, где его не ожидается, помогает определить необходимые действия по устранению неполадок и предотвратить будущие утечки.

Надлежащая практика:
Если PAN был обнаружен за пределами CDE, следует выполнить анализ, чтобы 1) определить, был ли он сохранен независимо от других данных или с конфиденциальными данными аутентификации, 2) определить источник данных и 3) выявить пробелы в контроле, которые привели к тому, что данные оказались за пределами CDE.
Организации должны рассмотреть, существуют ли способствующие факторы, такие как бизнес-процессы, поведение пользователей, неправильные конфигурации системы и т.д., Которые привели к хранению PAN в неожиданном месте. Если такие способствующие факторы присутствуют, они должны быть устранены в соответствии с этим Требованием, чтобы предотвратить повторение.