Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 12.6.3.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
РОН.6
РОН.6 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер обеспечения операционной надежности в рамках процесса обеспечения операционной надежности.
CIS Critical Security Controls v8 (The 18 CIS CSC):
14.9
14.9 Conduct Role-Specific Security Awareness and Skills Training
Conduct role-specific security awareness and skills training. Example implementations include secure system administration courses for IT professionals, OWASP® Top 10 vulnerability awareness and prevention training for web application developers, and advanced social engineering awareness training for high-profile roles.
Conduct role-specific security awareness and skills training. Example implementations include secure system administration courses for IT professionals, OWASP® Top 10 vulnerability awareness and prevention training for web application developers, and advanced social engineering awareness training for high-profile roles.
14.2
14.2 Train Workforce Members to Recognize Social Engineering Attacks
Train workforce members to recognize social engineering attacks, such as phishing, pre-texting, and tailgating.
Train workforce members to recognize social engineering attacks, such as phishing, pre-texting, and tailgating.
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОРО.17
ОРО.17 Организация целевого обучения работников, задействованных в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, в частности организация целевого обучения по вопросам противодействия реализации информационных угроз для работников, входящих в группы повышенного риска*.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
14.9
14.9 Реализовано проведение обучения в области информационной безопасности в соответствии с ролями на предприятии
Отдельные тренинги проводятся для ИТ-специалистов, разработчиков, менеджеров среднего и высшего звена.
Отдельные тренинги проводятся для ИТ-специалистов, разработчиков, менеджеров среднего и высшего звена.
14.2
14.2 Реализовано обучение работников распознаванию атак с использованием социальной инженерии
Обучить сотрудников распознавать атаки с использованием социальной инженерии.
Обучить сотрудников распознавать атаки с использованием социальной инженерии.
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 10 п. 2
10.2. Рекомендуемым решением является доведение до клиента – физического лица плана (регламента) действий, содержащего:
- условия возникновения необходимости выполнения плана (регламента), в том числе:
- спам-рассылки, реализуемые в рамках реализации методов “социального инжиниринга”;
- деструктивное воздействие компьютерных вирусов;
- обнаружение сайтов-двойников организации БС РФ (“фишинговых” сайтов) в информационно-телекоммуникационной сети Интернет;
- несанкционированный перевод денежных средств;
- описание следующего порядка действий:
- фиксация и описание СВТ (настольные компьютеры, ноутбуки), используемого клиентом для осуществления доступа к системам ДБО, осуществляемые с учетом содержания пункта 6.6 настоящего стандарта;
- отключение СВТ, используемого клиентом для осуществления доступа к системам ДБО, путем прерывания питания1 с последующим возможным извлечением запоминающих устройств;
- передачей запоминающего устройства в адрес организации БС РФ с обеспечением их безопасной упаковки, хранения и транспортировки, осуществляемых с учетом содержания пункта 6.7 настоящего стандарта.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
7.2 Competence
7.2 Competence
The organization shall:
The organization shall:
- a) determine the necessary competence of person(s) doing work under its control that affects its information security performance;
- b) ensure that these persons are competent on the basis of appropriate education, training, or experience;
- c) where applicable, take actions to acquire the necessary competence, and evaluate the effectiveness of the actions taken; and
- d) retain appropriate documented information as evidence of competence.
NOTE Applicable actions can include, for example: the provision of training to, the mentoring of, or the reassignment of current employees; or the hiring or contracting of competent persons.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.6.3.1
12.6.3.1
Определенные Требования к Подходу:
Обучение по повышению осведомленности о безопасности включает в себя осведомленность об угрозах и уязвимостях, которые могут повлиять на безопасность CDE, включая, но не ограничиваясь этим:
Определенные Требования к Подходу:
Обучение по повышению осведомленности о безопасности включает в себя осведомленность об угрозах и уязвимостях, которые могут повлиять на безопасность CDE, включая, но не ограничиваясь этим:
- Фишинг и связанные с ним атаки.
- Социальная инженерия.
Цель Индивидуального подхода:
Персонал осведомлен о своих собственных человеческих уязвимостях и о том, как субъекты угроз будут пытаться использовать такие уязвимости. Персонал может получить доступ к помощи и руководству, когда это необходимо.
Примечания по применению:
См. Требование 5.4.1 для получения указаний о различии между техническими и автоматизированными средствами контроля для обнаружения и защиты пользователей от фишинговых атак, а также это требование для обеспечения обучения пользователей по вопросам безопасности в отношении фишинга и социальной инженерии. Это два отдельных и отличных требования, и одно из них не выполняется путем внедрения средств контроля, требуемых другим.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Персонал осведомлен о своих собственных человеческих уязвимостях и о том, как субъекты угроз будут пытаться использовать такие уязвимости. Персонал может получить доступ к помощи и руководству, когда это необходимо.
Примечания по применению:
См. Требование 5.4.1 для получения указаний о различии между техническими и автоматизированными средствами контроля для обнаружения и защиты пользователей от фишинговых атак, а также это требование для обеспечения обучения пользователей по вопросам безопасности в отношении фишинга и социальной инженерии. Это два отдельных и отличных требования, и одно из них не выполняется путем внедрения средств контроля, требуемых другим.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 12.6.3.1 Изучите содержание тренинга по повышению осведомленности о безопасности, чтобы убедиться, что оно включает все элементы, указанные в этом требовании.
Цель:
Обучение персонала тому, как обнаруживать, реагировать и сообщать о потенциальных фишинговых и связанных с ними атаках, а также попытках социальной инженерии, имеет важное значение для минимизации вероятности успешных атак.
Надлежащая практика:
Эффективная программа повышения осведомленности о безопасности должна включать примеры фишинговых электронных писем и периодическое тестирование для определения распространенности сообщений персонала о таких атаках. Учебные материалы, которые организация может рассмотреть для этой темы, включают:
Обучение персонала тому, как обнаруживать, реагировать и сообщать о потенциальных фишинговых и связанных с ними атаках, а также попытках социальной инженерии, имеет важное значение для минимизации вероятности успешных атак.
Надлежащая практика:
Эффективная программа повышения осведомленности о безопасности должна включать примеры фишинговых электронных писем и периодическое тестирование для определения распространенности сообщений персонала о таких атаках. Учебные материалы, которые организация может рассмотреть для этой темы, включают:
- Как идентифицировать фишинг и другие атаки социальной инженерии.
- Как реагировать на подозрения в фишинге и социальной инженерии.
- Где и как сообщать о подозрениях в фишинге и социальной инженерии.
Акцент на отчетности позволяет организации поощрять позитивное поведение, оптимизировать технические средства защиты (см. Требование 5.4.1) и принимать немедленные меры по удалению аналогичных фишинговых писем, которые обходили технические средства защиты, из почтовых ящиков получателей.
Strategies to Mitigate Cyber Security Incidents (EN):
1.15.
User education. Avoid phishing emails (e.g. with links to login to fake websites), weak passphrases, passphrase reuse, as well as unapproved: removable storage media, connected devices and cloud services.
Relative Security Effectiveness: Good | Potential User Resistance: Medium | Upfront Cost: High | Ongoing Maintenance Cost: Medium
Relative Security Effectiveness: Good | Potential User Resistance: Medium | Upfront Cost: High | Ongoing Maintenance Cost: Medium
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.