涉及釣魚模擬演練和釣魚培訓合規要求的全球法律法規、標準及框架有哪些?
責編:gltian |2025-03-21 17:40:15在組織中開展常態化釣魚模擬演練,可以幫助員工了解最新的釣魚攻擊手法,提升員工的反釣魚意識與能力。每年的HVV攻防演練,釣魚攻擊已經成為一種最常用也是最有效的手法之一。就像健身房鍛煉一樣,我們訓練得越頻繁,肌肉就就越會形成條件反射,被鍛煉過的肌肉哪怕過一段時間沒練了,一旦重拾運動量,也會比從未鍛煉過的肌肉更快地增大和變強。企業常態化開展釣魚模擬演練提供了這種肌肉記憶與思維訓練,這樣員工就能無意識地、本能地發現并報告可疑的釣魚攻擊企圖。
下文羅列了一些涉及釣魚模擬演練和釣魚培訓合規要求的一些國際法律法規、標準和框架,供業內同行參考。
PCI-DSS:《支付卡行業數據安全標準》
PCI-DSS (Payment Card Industry Data Security Standard) 即《支付卡行業數據安全標準》,是由PCI安全標準委員會制定和維護的一套安全標準,旨在提高信用卡、借記卡和現金卡交易的安全性,保障持卡人的數據安全,防止其個人信息免受泄漏、濫用和欺詐。
PCI DSS 4.0.1引入了新的安全意識培訓要求,從2025年3月31日開始,組織必須遵守PCI DSS 4.0中的新要求,新要求更加強調網絡釣魚意識培訓。隨著網絡犯罪分子不斷改進他們的攻擊策略,PCI DSS現在要求企業積極主動地對員工進行有關網絡釣魚和社會工程學攻擊的安全意識教育。
與網絡釣魚相關的主要條款包括:
- 要求5.4.1:組織必須實施自動化反網絡釣魚防御,以幫助檢測和防止攻擊。
- 要求12.6.3.1:組織必須加強現有的安全意識培訓,納入網絡釣魚和社會工程學相關內容。
PCI DSS意識到網絡釣魚攻擊在支付行業的流行和復雜性,這些更新要求強調了需要改進培訓方法,以應對不斷發展的網絡釣魚和社工策略,而常態化釣魚模擬演練是培訓員工識別和避免釣魚攻擊的最有效方法之一。
COBIT:《信息及其相關技術控制目標框架》
COBIT(Control Objectives for Information and related Technology)由IT治理研究所(ITGI)和信息系統審計與控制協會(ISACA)聯合開發,該框架適用于組織的整個IT 結構(而不僅僅是信息安全)。
COBIT框架沒有專門針對安全意識和培訓的章節,但在以下章節中有具體提及:
- PO6 溝通管理目標和方向
- PO7 管理 IT 人力資源
- DS5 確保系統安全
- DS7 教育和培訓用戶
例如:PO7-管理IT人力資源-7.4人員培訓—為IT員工提供適當的入職培訓和持續培訓,以保持其知識、技能、能力、內部控制和安全意識達到實現組織目標所需的水平。COBIT提供了一系列成熟度模型,用于培訓的COBIT成熟度模型(DS7 -教育和培訓用戶)為其5個成熟度級別中的每一級都明確了安全意識、培訓與教育要求。例如Level 4-可管理和可測量級:所有員工都接受適當水平的有關道德操守和系統安全意識及實踐的正式培訓,以防止影響可用性、機密性和完整性的故障所造成的傷害。Level 5-優化級:為安全培訓和教育計劃提供充足的預算、資源、設施和教學人員。
SOC2:《系統與組織控制2》
SOC2(System & Organization Controls 2)由美國注冊會計師協會(AICPA) 制定,歸屬于 AICPA 的信任服務標準。SOC2 適用于需要存儲、處理或處置客戶數據的技術服務提供商或 SaaS 公司,可以擴展到處理/提供數據的其他第三方供應商。SOC2 提供了一個框架,包含的五項信任服務標準/五個關鍵原則包括:安全性、可用性、機密性、處理完整性和隱私性。SOC2 審計的目的是向第三方客戶、合作伙伴或投資者證明,被審計的組織是認真對待信息安全和隱私保護的。
SOC2 框架雖然沒有白紙黑字地直接要求組織開展釣魚模擬演練和釣魚培訓,但釣魚模擬演練和釣魚培訓是一種基于人的(People-Based)控制措施,符合保護組織中人的深度防御策略,有助于證明符合SOC 2安全信任服務標準所需的控制。
CMMC:《網絡安全成熟度模型認證》
CMMC的全稱是網絡安全成熟度模型認證(Cybersecurity Maturity Model Certification),是美國國防部(DoD)為規范其供應鏈網絡安全防護能力而推出的一套強制性認證體系。該認證旨在通過分級評估機制,確保參與國防合同的企業、組織或供應商滿足不同層級的網絡安全要求,從而保護受控未分類信息(CUI)和聯邦合同信息(FCI)的安全。
CMMC的建立背景源于美國國防供應鏈中頻發的網絡安全漏洞事件,CMMC通過引入第三方評估機構(C3PAO)的審核機制,強制要求企業通過認證才能參與國防項目,以此提升整體供應鏈的網絡安全水平。CMMC適用于所有與美國國防部直接或間接合作的企業,涵蓋軍工制造、信息技術服務、科研機構等領域。
CMMC 2.0版本將成熟度分為三個等級:Level 1(需要滿足15項安全要求), Level 2(涉及110項安全要求), Level 3(涉及134項安全要求),CMMC模型由14個安全域構成,其中一項包括意識與培訓(AT)。 Level 2級別特別關注兩類安全意識與培訓:基于崗位角色的(Role-Based)風險意識與培訓,以及內部人員威脅(Insider Threat)意識與培訓。Level 2級別重點關注高級威脅(Advanced Threat)意識與培訓,以及實踐性培訓演練(Practical Training Exercises)
CMMC 模型也沒有白紙黑字地指明要求開展釣魚模擬演練和釣魚培訓,但組織想要獲得Level 2及Level 3級別認證,證明開展釣魚培訓和模擬演練是必不可少的一環。
SIMM 5320-A: 《加州信息管理手冊之釣魚演練標準》
SIMM(State-wide Information Management Manual)是美國加利福尼亞州制定的手冊,包含州政府機構為滿足信息技術政策所必須使用的標準、指南、表格和模板等。加州政府強調保護州政府免受惡意電子郵件攻擊需要同時使用安全技術措施和安全意識措施。定期開展釣魚培訓和模擬演練是一個成熟的信息安全管理計劃的重要組成部分,因此被列入加州政府管理手冊(SAM)5320。該釣魚演練標準(SIMM 5320-A)規定了一套各州機構/實體與加州科技部(CDT)信息安全辦公室(OIS)和加州網絡安全集成中心(Cal-CSIC)協調釣魚演練的具體要求。
該標準列出了七種關鍵網絡釣魚技術,包括鏈接操縱、短信釣魚、語音釣魚、網站偽造、惡意彈窗釣魚、視頻電話會議釣魚以及社交媒體釣魚。該標準要求各州機構/實體開展釣魚演練時,必須至少提前72小時(三個工作日)通知CDT OIS和Cal- CSIC。該標準還對釣魚演練規劃、釣魚演練同意與事前通知、釣魚演練事件響應生命周期等做出了詳細規定。
GDPR:《通用數據保護條例》
GDPR(General Data Protection Regulation)由歐盟制定,該法規于2018年實施,旨在協調整個歐洲的數據隱私法,賦予歐洲公民個人數據的權力,并重塑組織處理數據隱私的方式。它促使企業重新思考自己的網絡安全與隱私政策,尤其是在員工安全意識與培訓方面。網絡安全與隱私保護不僅僅是一個技術問題,而是一個“以人為中心”的問題。許多數據泄露是由于“人為錯誤”造成的(例如中招網絡釣魚攻擊、糟糕的密碼習慣、敏感文檔處理不當、數據共享方式不當等等都可能導致代價高昂的數據泄露),因此,員工在保護個人數據方面發揮著關鍵作用。對于想要符合GDPR合規要求的組織來說,全面的員工安全意識培訓不是可有可無的可選項,而是“必選項”。安全意識培訓有助于減少人為錯誤的可能性,增強組織應對網絡攻擊的彈性,并培養一種優先考慮數據保護的安全文化。
根據GDPR序言(Recital)第81條,明確提到需要充分的安全培訓,強調了培訓員工處理個人數據的重要性。另外GDPR第39條規定:數據保護官(DPO)的任務之一是監督數據控制者和處理者在保護個人數據方面的合規情況,定期提供安全培訓,提升員工在數據處理活動中的安全意識。
GDPR法規中沒有開展釣魚培訓和演練的明示條款,但要建立符合GDPR的網絡安全框架,安全培訓計劃必須涵蓋一些關鍵領域,例如:識別網絡威脅(Recognising Cyber Threats),網絡釣魚和社會工程學攻擊是員工安全意識培訓計劃中必不可少的內容。除了正式的安全培訓外,釣魚模擬演練有助于測試員工識別釣魚攻擊企圖的能力,并提升員工應對真實釣魚攻擊的警惕性。
NCSC-CAF:《英國國家網絡安全中心網絡評估框架》
英國國家網絡安全中心(NCSC)的網絡評估框架(CAF)提供了一套系統、全面的方法來評估組織的網絡風險管理與網絡彈性程度。該框架還為組織如何實施安全意識與培訓計劃提供了指導。基于CAF框架的評估既可以由責任組織本身(自我評估)進行,也可以由獨立的外部實體(可能是監管機構)進行。
CAF框架提出了評估網絡安全與彈性的四個頂層目標和14項原則。CAF框架-目標B(防止網絡攻擊)-原則B6-員工安全意識與培訓,要求員工應具備適當的安全意識、知識和技能,以有效履行與網絡和信息系統安全有關的組織職責。
原則B6.a為“網絡安全文化”,組織應塑造并維護積極的網絡安全文化。網絡安全文化評估結論分為三種類型:未實現(Not Achieved)、部分實現(Partially Achieved)和已實現(Achieved)。原則B6.b為“網絡安全培訓”,評估結論也分為三個層次:未實現(Not Achieved)、部分實現(Partially Achieved)和已實現(Achieved)。雖然CAF框架沒有釣魚演練和釣魚培訓的字眼,但“部分實現”和“已實現”的組織運用了一系列教學技術實施安全意識培訓,模擬演練是構架起理論知識與實踐操作相結合的一座橋梁,可以讓員工在模擬環境中應用所學知識。
DORA:《數字運營彈性法案》
DORA(Digital Operational Resilience Act)是由歐盟針對金融機構的新網絡安全規則,該法案已于2025年1月17日正式生效,該法案旨在加強歐盟境內運營的任何金融服務公司,無論規模大小,包括銀行、保險公司、信貸機構、投資公司、電子貨幣機構、加密資產公司、信用評級機構等金融實體的IT安全。
DORA法案第二章第13條~學習與持續發展(Learning and Evolving)中的第6點要求金融實體應將信息通信技術安全意識和數字運營彈性培訓作為其員工安全培訓計劃的必修模塊,其中包括網絡釣魚意識。這些計劃和培訓應適用于所有雇員和高級管理人員,其復雜程度應與其職責范圍相稱。在適當的情況下,金融實體還應根據第30(2)條第(i)點,將ICT第三方服務提供商納入其相關安全培訓計劃。
該法案還要求金融機構不斷測試其抵御網絡攻擊和運營中斷的彈性能力。包括:執行定期漏洞掃描和滲透測試,模擬網絡攻擊(包括釣魚演練),以評估安全響應和恢復能力,測試備份系統和恢復過程等。
另外值得一提的是NIS2(網絡和信息安全指令)-該歐盟指令于2024年10月17日生效,要求基本和數字服務提供商對員工進行網絡安全風險培訓,以保護關鍵基礎設施。每條法規/法案都有獨特的要求,但它們都有一個共識:未經充分培訓和演練的員工是一種安全風險。DORA側重于針對ICT中斷的主動恢復能力,而NIS2則加強關鍵服務保護,兩者都符合GDPR等更廣泛的網絡安全法規。