Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Framework № PCI DSS 4.0 от 01.... Requirement 12.6.3.1
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard (RU)

Requirement 12.6.3.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
РОН.6
РОН.6  Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер обеспечения операционной надежности в рамках процесса обеспечения операционной надежности.
CIS Critical Security Controls v8 (The 18 CIS CSC):
14.2
14.2 Train Workforce Members to Recognize Social Engineering Attacks
Train workforce members to recognize social engineering attacks, such as phishing, pre-texting, and tailgating.  
14.9
14.9 Conduct Role-Specific Security Awareness and Skills Training
Conduct role-specific security awareness and skills training. Example implementations include secure system administration courses for IT professionals, OWASP® Top 10 vulnerability awareness and prevention training for web application developers, and advanced social engineering awareness training for high-profile roles. 
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОРО.17
ОРО.17 Организация целевого обучения работников, задействованных в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, в частности организация целевого обучения по вопросам противодействия реализации информационных угроз для работников, входящих в группы повышенного риска*.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
14.9
14.9 Реализовано проведение обучения в области информационной безопасности в соответствии с ролями на предприятии
Отдельные тренинги проводятся для ИТ-специалистов, разработчиков, менеджеров среднего и высшего звена. 
14.2
14.2 Реализовано обучение работников распознаванию атак с использованием социальной инженерии
Обучить сотрудников распознавать атаки с использованием социальной инженерии. 
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 10 п. 2
10.2. Рекомендуемым решением является доведение до клиента – физического лица плана (регламента) действий, содержащего:
  • условия возникновения необходимости выполнения плана (регламента), в том числе:
    • спам-рассылки, реализуемые в рамках реализации методов “социального инжиниринга”;
    • деструктивное воздействие компьютерных вирусов;
    • обнаружение сайтов-двойников организации БС РФ (“фишинговых” сайтов) в информационно-телекоммуникационной сети Интернет;
    • несанкционированный перевод денежных средств;
  • описание следующего порядка действий:
    • фиксация и описание СВТ (настольные компьютеры, ноутбуки), используемого клиентом для осуществления доступа к системам ДБО, осуществляемые с учетом содержания пункта 6.6 настоящего стандарта;
    • отключение СВТ, используемого клиентом для осуществления доступа к системам ДБО, путем прерывания питания1 с последующим возможным извлечением запоминающих устройств;
    • передачей запоминающего устройства в адрес организации БС РФ с обеспечением их безопасной упаковки, хранения и транспортировки, осуществляемых с учетом содержания пункта 6.7 настоящего стандарта. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.6.3.1
12.6.3.1
Defined Approach Requirements: 
Security awareness training includes awareness of threats and vulnerabilities that could impact the security of the CDE, including but not limited to:
  • Phishing and related attacks.
  • Social engineering. 
Customized Approach Objective:
Personnel are knowledgeable about their own human vulnerabilities and how threat actors will attempt to exploit such vulnerabilities. Personnel are able to access assistance and guidance when required. 

Applicability Notes:
See Requirement 5.4.1 for guidance on the difference between technical and automated controls to detect and protect users from phishing attacks, and this requirement for providing users security awareness training about phishing and social engineering. These are two separate and distinct requirements, and one is not met by implementing controls required by the other one. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:
  • 12.6.3.1 Examine security awareness training content to verify it includes all elements specified in this requirement. 
Purpose:
Educating personnel on how to detect, react to, and report potential phishing and related attacks and social engineering attempts is essential to minimizing the probability of successful attacks. 

Good Practice:
An effective security awareness program should include examples of phishing emails and periodic testing to determine the prevalence of personnel reporting such attacks. Training material an entity can consider for this topic include:
  • How to identify phishing and other social engineering attacks. 
  • How to react to suspected phishing and social engineering.
  • Where and how to report suspected phishing and social engineering activity. 
An emphasis on reporting allows the organization to reward positive behavior, to optimize technical defenses (see Requirement 5.4.1), and to take immediate action to remove similar phishing emails that evaded technical defenses from recipient inboxes. 
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
7.2 Competence
7.2 Competence
The organization shall:
  • a) determine the necessary competence of person(s) doing work under its control that affects its information security performance;
  • b) ensure that these persons are competent on the basis of appropriate education, training, or experience;
  • c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and
  • d) retain appropriate documented information as evidence of competence.
NOTE Applicable actions can include, for example: the provision of training to, the mentoring of, or the reassignment of current employees; or the hiring or contracting of competent persons.
Strategies to Mitigate Cyber Security Incidents (EN):
1.15.
User education. Avoid phishing emails (e.g. with links to login to fake websites), weak passphrases, passphrase reuse, as well as unapproved: removable storage media, connected devices and cloud services.
Relative Security Effectiveness:  Good | Potential User Resistance:   Medium | Upfront Cost:  High | Ongoing Maintenance Cost:  Medium
Методика экспресс-оценки уровня кибербезопасности организации РезБез:
10.1.2.1.
Проводятся периодические штабные учения по реагированию на инциденты ИБ

Связанные защитные меры

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.