РОН.6  Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер обеспечения операционной надежности в рамках процесса обеспечения операционной надежности.

ПОН.7 Определение состава, подходов и требований к организации ресурсного обеспечения процесса обеспечения операционной надежности, в том числе технологического, технического и кадрового обеспечения*.

ЖЦ.20 Реализация проведения ежегодного контроля защищенности АС, включающего: - тестирование на проникновение; - анализ уязвимостей системы защиты информации АС и информационной инфраструктуры промышленной среды
3-Н 2-О 1-О

ЖЦ.14 Реализация контроля защищенности АС, включающего (по решению финансовой организации при модернизации АС проводится контроль защищенности только элементов информационной инфраструктуры, подвергнутых модернизации): - тестирование на проникновение; - анализ уязвимостей системы защиты информации АС и информационной инфраструктуры промышленной среды
3-Н 2-О 1-О

РЗИ.15 Обучение, практическая подготовка (переподготовка) работников финансовой организации, ответственных за применение мер защиты информации в рамках процесса защиты информации
3-О 2-О 1-О

8.9.7. В организации БС РФ должны быть определены роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю результатов, а также назначены ответственные за выполнение указанных ролей. 

ОРО.6 Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния кадровых рисков в рамках деятельности по управлению риском реализации информационных угроз, обеспечения операционной надежности и защиты информации, учитывающих в том числе:

ОРО.2.1 Для реализации функций в рамках управления риском реализации информационных угроз подразделений, формирующих «три линии защиты»;

ВИО.9.2 Оценки возможностей нарушителя безопасности информации;

ВИО.9.4 Определения возможных сценариев реализации информационных угроз.

ОРО.8 Организация и выполнение деятельности по повышению эффективности работников, направленной на исправление недостатков, выявленных по результатам оценки, предусмотренной мерой ОРО.7 настоящей таблицы, и осуществление последующего контроля.

ОРО.7 Организация и выполнение деятельности по оценке эффективности работников, задействованных в рамках управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации**.

ОРО.4 Организация и выполнение деятельности по обеспечению состава основных ресурсов и удовлетворение потребностей:

ОРО.3 Утверждение и пересмотр на регулярной основе исполнительным органом финансовой организации состава основных ресурсов.

ВИО.9.3 Выявления возможных уязвимостей критичной архитектуры;

ОРО.2.2 Для обеспечения своевременного выявления, реагирования на инциденты и восстановления функционирования бизнес- и технологических процессов и объектов информатизации после их реализации.

ОРО.16 Выделение на местах, в случае наличия у финансовой организации филиалов (региональных представительств), соответствующих подразделений ИБ (уполномоченных лиц) и организация их ресурсного (кадрового и финансового) обеспечения и обеспечение нормативной базой*.

ID.GV-1:  Установлена политика информационной безопасности организации 

PR.AT-1: Все пользователи проинформированы и обучены 

PR.AT-4: Высшее руководство понимает роли и ответственность 

PR.PT-1: В соответствии с политикой определяются, документируются, внедряются и проверяются записи аудита / журналов событий 

DE.AE-1: Для пользователей и систем устанавливается и управляется базовый уровень сетевых операций и ожидаемых потоков данных  

DE.DP-4: Информация об обнаружении событий передается соответствующим сторонам 

ВРВ.38 Определение в качестве показателей для оценки эффективности выявления, реагирования на инциденты и восстановления после их реализации:

ОСО.13 Включение в разрабатываемые для различных групп работников (с учетом их должностных обязанностей и выполняемых ролей) планы обучения и повышения осведомленности в части противостояния реализации информационных угроз учебных мероприятий по доведению:

ИКА.11 Установление во внутренних документах финансовой организации для каждого бизнес- и технологического процесса, входящего в критичную архитектуру, целевых показателей операционной надежности согласно Приложению Б.

ВПУ.14 Привлечение к сопровождению и техническому обслуживанию объектов информатизации финансовой организации лиц, обладающих соответствующей квалификацией.

УИ.30 Проведение сканирования на уязвимости и (или) тестирование на проникновение при существенных изменениях в критичной архитектуре и (или) внедрении новых объектов информатизации (автоматизированных систем).

УИ.28 Регулярное******* тестирование на проникновение (симуляция компьютерных атак), в том числе:

11.4.3
Defined Approach Requirements: 
External penetration testing is performed: 

Customized Approach Objective:
External system defenses are verified by technical testing according to the entity’s defined methodology as frequently as needed to address evolving and new attacks and threats, and to ensure that significant changes do not introduce unknown vulnerabilities. 

Defined Approach Testing Procedures:

11.4.2
Defined Approach Requirements: 
Internal penetration testing is performed:

Customized Approach Objective:
Internal system defenses are verified by technical testing according to the entity’s defined methodology as frequently as needed to address evolving and new attacks and threats and ensure that significant changes do not introduce unknown vulnerabilities 

Defined Approach Testing Procedures:

Purpose:
Internal penetration testing serves two purposes. Firstly, just like an external penetration test, it discovers vulnerabilities and misconfigurations that could be used by an attacker that had managed to get some degree of access to the internal network, whether that is because the attacker is an authorized user conducting unauthorized activities, or an external attacker that had managed to penetrate the entity’s perimeter. 
Secondly, internal penetration testing also helps entities to discover where their change control process failed by detecting previously unknown systems. Additionally, it verifies the status of many of the controls operating within the CDE. 
A penetration test is not truly a “test” because the outcome of a penetration test is not something that can be classified as a “pass” or a “fail.” The best outcome of a test is a catalog of vulnerabilities and misconfigurations that an entity did not know about and the penetration tester found them before an attacker could. A penetration test that found nothing is typically indicative of shortcomings of the penetration tester, rather than being a positive reflection of the security posture of the entity. 

Good Practice:
Some considerations when choosing a qualified resource to perform penetration testing include: 

Further Information:
Refer to the Information Supplement: Penetration Testing Guidance on the PCI SSC website for additional guidance. 

11.4.3
Определенные Требования к Подходу:
Выполняется внешнее тестирование на проникновение:

Цель Индивидуального подхода:
Защита внешней системы проверяется путем технического тестирования в соответствии с определенной организацией методологией так часто, как это необходимо для устранения возникающих и новых атак и угроз, а также для обеспечения того, чтобы значительные изменения не приводили к появлению неизвестных уязвимостей.

Определенные Процедуры Тестирования Подхода:

11.4.2
Определенные Требования к Подходу:
Выполняется внутреннее тестирование на проникновение:

Цель Индивидуального подхода:
Внутренняя защита системы проверяется путем технического тестирования в соответствии с определенной организацией методологией так часто, как это необходимо для устранения возникающих и новых атак и угроз и обеспечения того, чтобы значительные изменения не приводили к появлению неизвестных уязвимостей

Определенные Процедуры Тестирования Подхода:

Цель:
Внутреннее тестирование на проникновение служит двум целям. Во-первых, как и внешний тест на проникновение, он обнаруживает уязвимости и неправильные настройки, которые могут быть использованы злоумышленником, которому удалось получить некоторый доступ к внутренней сети, независимо от того, является ли это авторизованным пользователем, выполняющим несанкционированные действия, или внешним злоумышленником, которому удалось проникнуть в объектпериметр.
Во-вторых, внутреннее тестирование на проникновение также помогает организациям обнаружить, где их процесс управления изменениями потерпел неудачу, обнаруживая ранее неизвестные системы. Кроме того, он проверяет состояние многих элементов управления, работающих в CDE.
Тест на проникновение на самом деле не является “тестом”, потому что результат теста на проникновение - это не то, что можно классифицировать как “прошел” или “не прошел”. Лучший результат теста - это каталог уязвимостей и неправильных настроек, о которых организация не знала, а тестировщик на проникновение обнаружил их раньше, чем это смог бы сделать злоумышленник. Тест на проникновение, который ничего не обнаружил, обычно указывает на недостатки тестировщика на проникновение, а не является положительным отражением состояния безопасности организации.

Надлежащая практика:
Некоторые соображения при выборе квалифицированного ресурса для проведения тестирования на проникновение включают:

Дополнительная информация:
Дополнительные рекомендации см. в Информационном дополнении: Руководство по тестированию на проникновение на веб-сайте PCI SSC.

Функция КБ выделена в отдельную структуру, подчиняется напрямую топ-менеджменту

Функция КБ выделена в отдельную структуру или входит в состав ИТ-подразделения / службы безопасности, но не подчиняется напрямую топ-менеджменту (подчиняется руководителю ИТ-подразделения / службы безопасности)