Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 12.10.4.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.10.4.1
12.10.4.1
Определенные Требования к Подходу:
12.10.4.1 Периодичность периодического обучения персонала по реагированию на инциденты определяется в рамках целевого анализа рисков организации, который выполняется в соответствии со всеми элементами, указанными в Требовании 12.3.1.
Цель Индивидуального подхода:
Персонал по реагированию на инциденты проходит обучение с периодичностью, учитывающей риски организации.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
12.10.4.1 Периодичность периодического обучения персонала по реагированию на инциденты определяется в рамках целевого анализа рисков организации, который выполняется в соответствии со всеми элементами, указанными в Требовании 12.3.1.
Цель Индивидуального подхода:
Персонал по реагированию на инциденты проходит обучение с периодичностью, учитывающей риски организации.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 12.10.4.1.a Изучите целевой анализ рисков организации на предмет частоты обучения персонала по реагированию на инциденты, чтобы убедиться, что анализ рисков был выполнен в соответствии со всеми элементами, указанными в Требовании 12.3.1.
- 12.10.4.1.b Изучить документированные результаты периодического обучения персонала по реагированию на инциденты и провести собеседование с персоналом, чтобы убедиться, что обучение проводится с частотой, определенной в целевом анализе рисков организации, выполненном для этого требования.
Цель:
Среда и план реагирования на инциденты каждой организации различны, и подход будет зависеть от ряда факторов, включая размер и сложность организации, степень изменений в среде, размер группы реагирования на инциденты и текучесть кадров.
Проведение анализа рисков позволит организации определить оптимальную частоту обучения персонала, отвечающего за реагирование на инциденты.
Среда и план реагирования на инциденты каждой организации различны, и подход будет зависеть от ряда факторов, включая размер и сложность организации, степень изменений в среде, размер группы реагирования на инциденты и текучесть кадров.
Проведение анализа рисков позволит организации определить оптимальную частоту обучения персонала, отвечающего за реагирование на инциденты.
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Р. 7 п. 2 п.п. 1
7.2.1. В организации БС РФ рекомендуется внедрить программу регулярного обучения и повышения осведомленности по следующим основным направлениям:
- повышение осведомленности работников организации БС РФ по вопросам исполнения регламента обнаружения событий ИБ и оповещения о них, в том числе по составу событий ИБ;
- повышение осведомленности представителей внешних организаций и клиентов организации БС РФ, использующих информационную инфраструктуру организации БС РФ, о порядке и процедурах информирования организации БС РФ об обнаруженных инцидентах ИБ;
- обучение и повышение осведомленности членов ГРИИБ и работников организации БС РФ, привлекаемых к реагированию на инциденты ИБ, по вопросам сбора, фиксации и документирования информации об инцидентах ИБ, использования классификатора инцидентов ИБ;
- обучение и повышение осведомленности членов ГРИИБ и работников организации БС РФ, привлекаемых к реагированию на инциденты ИБ, с целью приобретения знаний по технической эксплуатации информационной инфраструктуры организации БС РФ, позволяющих осуществить оперативное закрытие инцидентов ИБ;
- обучение работников подразделений информатизации организации БС РФ по вопросам эксплуатации технических средств;
- обучение работников службы ИБ организации БС РФ по вопросам контроля эксплуатации технических средств.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.