in

Понимание новых правил SEC по кибербезопасности: последствия для компаний, акции которых котируются на бирже, и практические ответные меры

Комиссия по ценным бумагам и биржам США (SEC) недавно выпустила новые правила для зарегистрированных на бирже компаний, касающиеся управления рисками кибербезопасности, стратегии, управления и раскрытия информации об инцидентах.

Например, раскрытие информации за финансовые годы, заканчивающиеся 15 декабря 2023 года или после этой даты, будет подпадать под новые требования к ежегодной отчетности. В результате организации ломают голову над тем, как эти новые правила повлияют на них.

В этом посте мы расскажем о новых правилах, о том, что они означают для вас и что необходимо внедрить вашим командам DevOps и DevSecOps, чтобы отреагировать на них.

Понимание объявления SEC

В пресс-релизе председатель SEC Гэри Генслер кратко излагает причины введения новых правил: “В настоящее время многие зарегистрированные на бирже компании предоставляют инвесторам информацию о кибербезопасности.

Однако и компании, и инвесторы только выиграют, если эти сведения будут предоставляться в более последовательной, сопоставимой и полезной для принятия решений форме.

Помогая обеспечить раскрытие компаниями важной информации о кибербезопасности, сегодняшнее правило принесет пользу инвесторам, компаниям и рынкам, которые их объединяют”.

Раздел I окончательного документа SEC о принятии правил позволяет лучше понять предысторию этого нового правила. Приведем некоторые ключевые моменты:

  • Сообщения об инцидентах в области кибербезопасности поступали непоследовательно.
  • Об инцидентах, связанных с кибербезопасностью, также, вероятно, сообщается недостаточно.
  • Экономическая активность все больше зависит от электронных систем, подверженных киберрискам.
  • Частота и финансовые последствия кибератак растут.

Исходя из этого, понятно, почему SEC захотела стандартизировать порядок информирования об инцидентах. Давайте подробнее рассмотрим особенности новых правил.

Что такое “существенный инцидент кибербезопасности”?

Новый регламент устанавливает требования к сообщению о серьезных инцидентах кибербезопасности.

Для технических специалистов расшифровка термина “серьезный инцидент кибербезопасности” может быть сложной с юридической точки зрения.

Понятно, что утечка информации, в результате которой скомпрометированы миллионы конфиденциальных записей или нанесен ущерб в десятки миллионов долларов, является значительной, но с какого момента утечка информации считается незначительной?

К счастью, существует прецедентное право, помогающее интерпретировать эту ситуацию: концепция “существенности” уже давно является ключевым моментом, когда речь идет о правилах SEC.

В целом, ключевые характеристики “существенности” можно резюмировать двумя цитатами из заключения судьи Тергуда Маршалла 1976 года:

  • Существует “значительная вероятность того, что разумный акционер сочтет это важным при принятии решения о том, как голосовать”.
  • Разумный инвестор воспринял бы этот факт как “существенное изменение “общего набора” доступной информации”.

Обратите внимание, что конкретная сумма денег не делает инцидент существенным.

Более того, несколько связанных инцидентов, которые не являются существенными, могут стать существенными в контексте; один из примеров, приведенных в окончательном правиле SEC, включает одного субъекта угроз, участвующего в нескольких небольших, но продолжающихся атаках на организацию.

Что касается “инцидента кибербезопасности”, то SEC определяет этот термин как “несанкционированное вторжение в информационную систему компании-регистратора или через нее, которое ставит под угрозу конфиденциальность, целостность или доступность информационной системы компании-регистратора или содержащейся в ней информации”.

В какие сроки следует сообщать об инциденте?

Если инцидент признан “существенным”, пострадавшая компания должна подать заявление по форме 8-K Комиссии по ценным бумагам и биржам США в течение четырех рабочих дней.

Существует несколько исключений из этого срока, которые касаются соображений национальной безопасности и исключений для информации, связанной с национальной безопасностью и внешней политикой.

Какие организации затронуты?

Новые правила SEC затрагивают публичные компании. К ним относятся иностранные частные эмитенты (ИЧЭ) – тип компаний, зарегистрированных за пределами США, но ведущих значительную деятельность в США.

Как организация раскрывает эту информацию?

Требования к отчетности в новых правилах SEC определяют различные формы, которые организации должны заполнять для раскрытия соответствующей информации. Они также включают требования к раскрытию информации на расширяемом языке бизнес-отчетности Inline (XBRL).

Ниже перечислены основные формы, относящиеся к новым правилам SEC, и сроки их заполнения. Обратите внимание, что хотя формы не являются новыми, новые правила SEC добавляют новые требования, касающиеся раскрытия информации о кибербезопасности.

Форма 8-K

Для чего используется эта форма?

  • Раскрывать информацию, связанную с любым существенным инцидентом в сфере кибербезопасности
  • Описать существенные аспекты сообщенного инцидента
  • Описать масштабы, характер и сроки инцидента
  • Описать вероятное воздействие, включая любое воздействие на финансы и операции

Пункт 1.05 формы 8-K должен быть подан в течение четырех рабочих дней после того, как инцидент кибербезопасности будет признан значительным.

Форма 10-K

Для чего используется эта форма?

  • Для выполнения требований к годовой отчетности из пункта 106 Регламента S-K
  • Раскрыть процессы оценки, выявления рисков кибербезопасности и управления ими
  • Раскрывать последствия или вероятные последствия угроз кибербезопасности и прошлых инцидентов
  • Опишите роль совета директоров в надзоре за рисками кибербезопасности
  • Опишите роль руководства в оценке угроз кибербезопасности и управлении ими

Эту форму необходимо заполнять ежегодно.

Форма 6-K

Эта форма аналогична форме 8-K, но предназначена для иностранных частных эмитентов. Она должна быть заполнена после того, как произошел значительный инцидент, связанный с кибербезопасностью.

Форма 20-F

Эта форма аналогична форме 10-K, но предназначена для иностранных частных эмитентов. Она должна подаваться ежегодно.

Чем это отличается от других стандартов в прошлом?

Для компаний, зарегистрированных на бирже, правила и нормы не являются чем-то новым. Многие организации уже сталкиваются с жесткими требованиями к отчетности, связанными с такими нормативными актами, как HIPAA, PCI DSS и Закон SOX. Некоторые из наиболее значимых изменений для компаний, зарегистрированных на бирже, включают:

  • Стандартизация требований к отчетности: традиционно инциденты кибербезопасности различались по уровню детализации и частоте; новые правила SEC стандартизируют способы (формы) и сроки представления организациями отчетов об инцидентах.
  • Обновленная ежегодная отчетность теперь четко определена: государственные органы теперь должны ежегодно отчитываться о своей практике кибербезопасности и ее влиянии, используя форму 10-K или 20-F.

Теперь давайте перейдем к сути вопроса. Если вы являетесь CISO или частью отдела безопасности вашей организации, DevSecOps, команды по управлению рисками и соблюдению нормативных требований, каковы практические последствия этих новых правил?

Как новые правила SEC влияют на ваши меры кибербезопасности?

Новые правила SEC для публичных компаний эффективно определяют требования к кибербезопасности, раскрытию информации и управлению, которые организации должны учитывать в своих внутренних процессах и политиках.

Например, новые правила означают, что затронутые организации должны быстро обнаруживать и анализировать инциденты кибербезопасности.

Возможности реагирования и анализа инцидентов должны быть достаточно развиты, чтобы обеспечить адекватное раскрытие информации о “характере, масштабах и сроках” инцидентов. Акцент на участии совета директоров и руководства также создает требования к управлению организацией.

Это может усилить поддержку инициатив по кибербезопасности со стороны руководства, которые в противном случае могли бы провалиться.

В результате акцент на управлении может привести к усилению внимания к использованию соответствующих тактик и инструментов для эффективного обнаружения, предотвращения и раскрытия угроз кибербезопасности.

Какие инструменты могут помочь вам придерживаться новых правил?

С точки зрения инструментария, новые правила SEC должны побудить организации сосредоточиться на:

  • Обнаружение и предотвращение инцидентов, включая способность выявлять и устранять уязвимости до того, как они перерастут в полномасштабные инциденты.
  • Реагирование на инциденты, которое охватывает способность восстанавливаться после инцидентов кибербезопасности и собирать соответствующие данные для раскрытия их “характера, масштабов и сроков” акционерам.

Давайте рассмотрим некоторые из лучших инструментов и практик, позволяющих обнаруживать, предотвращать и реагировать на инциденты..

Постоянный мониторинг

Непрерывный мониторинг ИТ-инфраструктуры необходим для обнаружения угроз, анализа первопричин и реагирования на инциденты. Платформа непрерывного мониторинга позволяет компаниям убедиться в наличии адекватных средств контроля безопасности. В результате можно обнаружить аномалии и повысить MTTR в случае инцидента.

SIEM

Инструменты SIEM интегрируют данные журналов в среду и обеспечивают функции оповещения, отчетности, анализа и хранения данных. В сочетании с эффективным протоколированием платформы SIEM предоставляют множество функций, необходимых организациям для соответствия новым правилам SEC по кибербезопасности. Например, SIEM-платформа может обеспечить непрерывный мониторинг данных журнала и сопоставление событий безопасности с оповещениями, поступающими от всех средств безопасности организации. Это позволяет быстро расследовать угрозы и реагировать на них. Некоторые облачные SIEM-платформы могут расширить традиционные возможности SIEM для современного предприятия за счет анализа поведения пользователей и объектов (UEBA) для обнаружения неизвестных угроз.

Почему ведение журналов важно для кибербезопасности

Ведение журналов – важная часть инструментария кибербезопасности любой организации.

Ведение журналов помогает организациям собирать и хранить критически важные данные о безопасности и соответствии нормативным требованиям, обеспечивая возможности оповещения и анализа для таких инструментов, как системы предотвращения вторжений, системы обнаружения вторжений (IPS / IDS) и платформы SIEM.

Надежные инструменты централизованного протоколирования и управления необходимы для обеспечения кибербезопасности.

Ведение журналов актуально не только в связи с новыми правилами SEC.

Руководящие принципы, требования и рамки (например, FedRAMP, PCI DSS, ISO 27001, HIPAA, GLBA) могут включать требования к ведению журналов и хранению данных для организаций.

Заключение

Новые правила SEC стандартизируют раскрытие информации об инцидентах, связанных с кибербезопасностью, и подчеркивают важность управления при устранении рисков кибербезопасности.

Для публичных компаний правила добавляют конкретику и структуру в обработку инцидентов кибербезопасности и отчетность по кибербезопасности.

What do you think?

Начинающий

Written by Николай

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

GIPHY App Key not set. Please check settings