5.4.1
Определенные Требования к Подходу:
Существуют процессы и автоматизированные механизмы для обнаружения и защиты персонала от фишинговых атак.
Цель Индивидуального подхода:
Существуют механизмы защиты от фишинговых атак и снижения рисков, связанных с ними.
Примечания по применению:
Это требование относится и к автоматизированному механизму. Не предполагается, что системы и службы, обеспечивающие такие автоматизированные механизмы (например, серверы электронной почты), подпадают под действие стандарта PCI DSS.
Основное внимание в этом требовании уделяется защите персонала, имеющего доступ к системным компонентам inscope для PCI DSS.
Выполнение этого требования для технических и автоматизированных средств контроля для обнаружения и защиты персонала от фишинга отличается от требования 12.6.3.1 для обучения по вопросам безопасности. Выполнение этого требования также не соответствует требованию о проведении обучения персонала по вопросам безопасности, и наоборот.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 5.4.1 Наблюдать за внедренными процессами и изучать механизмы для проверки наличия средств контроля для обнаружения и защиты персонала от фишинговых атак.
Цель:
Технический контроль может ограничить количество случаев, когда персонал должен оценивать достоверность сообщения, а также может ограничить последствия индивидуальных ответов на фишинг.
Надлежащая практика:
При разработке средств борьбы с фишингом организациям рекомендуется рассмотреть сочетание подходов. Например, использование средств защиты от подделки, таких как DMARC, SPF и DKIM, поможет предотвратить подделку домена организации фишерами и выдачу себя за персонал.
Внедрение технологий для блокирования фишинговых электронных писем и вредоносных программ до того, как они попадут к персоналу, таких как средства очистки ссылок и серверные средства защиты от вредоносных программ, может сократить количество инцидентов и сократить время, необходимое персоналу для проверки фишинговых атак и сообщения о них. Кроме того, обучение персонала распознаванию фишинговых писем и сообщению о них может позволить идентифицировать похожие электронные письма и разрешить их удаление перед открытием. Рекомендуется (но не обязательно), чтобы средства защиты от фишинга применялись во всей организации организации.
Определения:
Фишинг является формой социальной инженерии и описывает различные методы, используемые злоумышленниками для обмана персонала с целью раскрытия конфиденциальной информации, такой как имена и пароли учетных записей пользователей, а также данные учетных записей. Злоумышленники обычно маскируются и пытаются выдать себя за подлинный или надежный источник, приказывая персоналу отправить ответ по электронной почте, перейти по веб-ссылке или ввести данные на скомпрометированный веб-сайт. Механизмы, которые могут обнаруживать и предотвращать попытки фишинга, часто включаются в решения для защиты от вредоносных программ.
Дополнительная информация:
Дополнительные сведения о фишинге см. Ниже:
- Национальный Центр кибербезопасности - Фишинговые атаки: Защита вашей Организации. Агентство кибербезопасности и безопасности инфраструктуры США - Сообщает о фишинговых сайтах.
