Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Payment Card Industry Data Security Standard (RU)
Framework № PCI DSS 4.0 от 01.03.2022
Requirement 9.5.1.3
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
РЗИ.15
РЗИ.15 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 9 п.п. 7
8.9.7. В организации БС РФ должны быть определены роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю результатов, а также назначены ответственные за выполнение указанных ролей.
Р. 8 п. 9 п.п. 3
8.9.3. В планах обучения и повышения осведомленности должны быть установлены требования к периодичности обучения и повышения осведомленности.
CIS Critical Security Controls v8 (The 18 CIS CSC):
14.6
14.6 Train Workforce Members on Recognizing and Reporting Security Incidents
Train workforce members to be able to recognize a potential incident and be able to report such an incident.
Train workforce members to be able to recognize a potential incident and be able to report such an incident.
NIST Cybersecurity Framework (RU):
PR.AT-1
PR.AT-1: Все пользователи проинформированы и обучены
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования":
7.2 Компетенция
7.2 Компетенция
Организация должна:
Организация должна:
- a) определить необходимую компетенцию лиц (-а), выполняющих работы под ее (организации) контролем, влияющим на их (лиц) исполнение информационной безопасности;
- b) обеспечить компетентность этих лиц на основе соответствующих образования, обучения или опыта;
- c) где это применимо, предпринимать действия по овладению необходимой компетенцией и оценивать эффективность предпринятых действий; а также
- d) сохранять соответствующую документированную информацию в качестве подтверждения компетенции.
ПРИМЕЧАНИЕ Применимыми действиями могут быть, например, предоставление обучения, наставничество или переназначения действующих сотрудников, или найм или привлечение по контракту компетентных лиц.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.5.1.3
9.5.1.3
Defined Approach Requirements:
Training is provided for personnel in POI environments to be aware of attempted tampering or replacement of POI devices, and includes:
Defined Approach Requirements:
Training is provided for personnel in POI environments to be aware of attempted tampering or replacement of POI devices, and includes:
- Verifying the identity of any third-party persons claiming to be repair or maintenance personnel, before granting them access to modify or troubleshoot devices.
- Procedures to ensure devices are not installed, replaced, or returned without verification.
- Being aware of suspicious behavior around devices.
- Reporting suspicious behavior and indications of device tampering or substitution to appropriate personnel.
Customized Approach Objective:
Personnel are knowledgeable about the types of attacks against POI devices, the entity’s technical and procedural countermeasures, and can access assistance and guidance when required.
Defined Approach Testing Procedures:
Personnel are knowledgeable about the types of attacks against POI devices, the entity’s technical and procedural countermeasures, and can access assistance and guidance when required.
Defined Approach Testing Procedures:
- 9.5.1.3.a Review training materials for personnel in POI environments to verify they include all elements specified in this requirement.
- 9.5.1.3.b Interview personnel in POI environments to verify they have received training and know the procedures for all elements specified in this requirement.
Purpose:
Criminals will often pose as authorized maintenance personnel to gain access to POI devices.
Good Practice:
Personnel training should include being alert to and questioning anyone who shows up to do POI maintenance to ensure they are authorized and have a valid work order, including any agents, maintenance or repair personnel, technicians, service providers, or other third parties. All third parties requesting access to devices should always be verified before being provided access—for example, by checking with management or phoning the POI maintenance company, such as the vendor or acquirer, for verification. Many criminals will try to fool personnel by dressing for the part (for example, carrying toolboxes and dressed in work apparel), and could also be knowledgeable about locations of devices, so personnel should be trained to always follow procedures.
Another trick that criminals use is to send a “new” POI device with instructions for swapping it with a legitimate device and “returning” the legitimate device. The criminals may even provide return postage to their specified address. Therefore, personnel should always verify with their manager or supplier that the device is legitimate and came from a trusted source before installing it or using it for business.
Examples:
Suspicious behavior that personnel should be aware of includes attempts by unknown persons to unplug or open devices.
Ensuring personnel are aware of mechanisms for reporting suspicious behavior and who to report such behavior to—for example, a manager or security officer—will help reduce the likelihood and potential impact of a device being tampered with or substituted.
Criminals will often pose as authorized maintenance personnel to gain access to POI devices.
Good Practice:
Personnel training should include being alert to and questioning anyone who shows up to do POI maintenance to ensure they are authorized and have a valid work order, including any agents, maintenance or repair personnel, technicians, service providers, or other third parties. All third parties requesting access to devices should always be verified before being provided access—for example, by checking with management or phoning the POI maintenance company, such as the vendor or acquirer, for verification. Many criminals will try to fool personnel by dressing for the part (for example, carrying toolboxes and dressed in work apparel), and could also be knowledgeable about locations of devices, so personnel should be trained to always follow procedures.
Another trick that criminals use is to send a “new” POI device with instructions for swapping it with a legitimate device and “returning” the legitimate device. The criminals may even provide return postage to their specified address. Therefore, personnel should always verify with their manager or supplier that the device is legitimate and came from a trusted source before installing it or using it for business.
Examples:
Suspicious behavior that personnel should be aware of includes attempts by unknown persons to unplug or open devices.
Ensuring personnel are aware of mechanisms for reporting suspicious behavior and who to report such behavior to—for example, a manager or security officer—will help reduce the likelihood and potential impact of a device being tampered with or substituted.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.7.2.2
A.7.2.2 Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements":
7.2 Competence
7.2 Competence
The organization shall:
The organization shall:
- a) determine the necessary competence of person(s) doing work under its control that affects its information security performance;
- b) ensure that these persons are competent on the basis of appropriate education, training, or experience;
- c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and
- d) retain appropriate documented information as evidence of competence.
NOTE Applicable actions can include, for example: the provision of training to, the mentoring of, or the reassignment of current employees; or the hiring or contracting of competent persons.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.7.13
А.7.13 Обслуживание оборудования
В целях обеспечения доступности, целостности и конфиденциальности информации оборудование должно обслуживаться корректным образом.
В целях обеспечения доступности, целостности и конфиденциальности информации оборудование должно обслуживаться корректным образом.
SWIFT Customer Security Controls Framework v2022:
7 - 7.2 Security Training and Awareness
7.2 Security Training and Awareness
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ДНС.2
ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
ИПО.4
ИПО.4 Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы
NIST Cybersecurity Framework (EN):
PR.AT-1
PR.AT-1: All users are informed and trained
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ДНС.2
ДНС.2 Обучение и отработка действий персонала в нештатных ситуациях
ИПО.0
ИПО.0 Регламентация правил и процедур информирования и обучения персонала
ИПО.4
ИПО.4 Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.13
А.7.13 Equipment maintenance
Equipment shall be maintained correctly to ensure availability, integrity and confidentiality of information.
Equipment shall be maintained correctly to ensure availability, integrity and confidentiality of information.
Связанные защитные меры
Ничего не найдено