5.4.1
Определенные Требования к Подходу:
Процессы и автоматизированные механизмы внедрены для обнаружения и защиты персонала от фишинговых атак.
Цель Индивидуального Подхода:
Механизмы внедрены для защиты от фишинговых атак и смягчения рисков, связанных с ними.
Примечания по применению:
Основное внимание в этом требовании уделяется защите персонала, имеющего доступ к компонентам системы, которые находятся в пределах действия PCI DSS.
Выполнение этого требования для технических и автоматизированных средств защиты от фишинга не означает выполнение Требования 12.6.3.1 по обучению безопасности. Выполнение этого требования не означает также выполнение требования по предоставлению персоналу обучения безопасности, и наоборот.
Это требование является лучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью учтено в ходе оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 5.4.1 Наблюдать за внедренными процессами и исследовать механизмы, чтобы убедиться, что контрольные меры для обнаружения и защиты персонала от фишинговых атак реализованы.
Цель:
Технические меры контроля могут ограничить количество случаев, когда персоналу необходимо проверять достоверность сообщения, а также минимизировать последствия индивидуальных откликов на фишинг.
Надлежащая практика:
При разработке антифишинговых мер организациям рекомендуется использовать комплексный подход. Например, использование технологий для предотвращения подделки, таких как Domain-based Message Authentication, Reporting & Conformance (DMARC), Sender Policy Framework (SPF) и Domain Keys Identified Mail (DKIM), поможет предотвратить подделку домена организации и выдачу себя за сотрудников.
Развертывание технологий для блокировки фишинговых писем и вредоносных программ до того, как они дойдут до персонала, таких как очистка ссылок и серверные анти-вредоносные решения, может сократить количество инцидентов и время, необходимое персоналу для проверки и сообщения о фишинговых атаках. Кроме того, обучение персонала распознавать и сообщать о фишинговых письмах поможет выявлять такие письма и удалять их до того, как они будут открыты.
Рекомендуется (но не требуется), чтобы антифишинговые меры были применены ко всей организации.
Определения:
Фишинг — это форма социальной инженерии, описывающая методы, которые используют злоумышленники, чтобы обманом заставить персонал раскрывать конфиденциальную информацию, такую как имена пользователей, пароли и данные учетных записей. Злоумышленники обычно маскируются под подлинные или доверенные источники и пытаются заставить персонал ответить на электронное письмо, перейти по веб-ссылке или ввести данные на скомпрометированном веб-сайте. Механизмы, которые могут обнаруживать и предотвращать фишинговые попытки, часто включаются в решения для защиты от вредоносных программ.
Дополнительная информация:
Смотрите следующее для получения дополнительной информации о фишинге:
- Национальный центр кибербезопасности — Фишинговые атаки: защита вашей организации.
- Агентство кибербезопасности и инфраструктурной безопасности США — Сообщение о фишинговых сайтах.