В марте 2022 года Комиссия по ценным бумагам и биржам (SEC) предложил правило о раскрытии информации о кибербезопасности, управлении и управлении рисками для публичных компаний, известных как Предлагаемое правило для публичных компаний (PRPC). Это правило потребует от компаний сообщать о «существенных» инцидентах кибербезопасности в течение четырех дней. Это также потребует, чтобы советы директоров обладали опытом в области кибербезопасности.
Неудивительно, что это встречают всевозможные отпоры. В своей нынешней форме предлагаемое правило оставляет много места для интерпретации и в некоторых областях оно непрактично.
Во-первых, строгие ограничения по раскрытию информации окажут огромное давление на директоров по информационной безопасности (CISO), заставляя их раскрывать существенные инциденты до того, как они получат все подробности. На понимание и полное устранение инцидентов могут уйти недели, а иногда и месяцы. Невозможно узнать влияние новой уязвимости, пока на ее устранение не будут выделены достаточные ресурсы. Директорам по информационной безопасности также может потребоваться раскрыть уязвимости, которые со временем станут менее серьезной проблемой и, следовательно, несущественными. Это, в свою очередь, может повлиять на краткосрочную цену компании.
Инциденты — это живое существо, а не одноразовая сделка
Требование о раскрытии информации в течение четырех дней может показаться нормальным на первый взгляд. Но они нереалистичны и в конечном итоге отвлекут директоров по информационной безопасности от тушения пожаров.
Для сравнения я буду использовать Общий регламент ЕС по защите данных (GDPR). Согласно этому постановлению, компании должны сообщать о случаях несоблюдения требований в течение 72 часов. Однако в случае GDPR необходимость отчета четко определена. Хотя 72 часа часто слишком малы, чтобы узнать подробности общего воздействия инцидента, организации, по крайней мере, будут знать, была ли скомпрометирована личная информация.
Сравните это с предлагаемыми требованиями PRPC к раскрытию информации. У организаций будут дополнительные 24 часа, но, исходя из того, что было опубликовано на данный момент, они должны будут пройти внутреннюю квалификацию, если нарушение будет выявлено. материала. Согласно GDPR, компания может сделать это в зависимости от конфиденциальности данных, их объема и того, куда они были направлены. Согласно PRPC, «существенность» определяется SEC как все, что «разумный акционер сочтет важным». Это может быть практически все, что акционеры считают существенным для своего бизнеса. Оно довольно широкое и нечетко определенное.
Другие слабые определения
Еще одним вопросом является требование предложения раскрывать обстоятельства, при которых инцидент безопасности не был существенным сам по себе, а стал таковым «в совокупности». Как это работает на практике? Является ли неисправленная уязвимость, возникшая шесть месяцев назад, теперь подлежит раскрытию (учитывая, что компания не исправила ее), если она используется для расширения масштабов последующего инцидента? Мы уже смешиваем угрозы, уязвимости и влияние на бизнес. Уязвимость, которая не используется, не является существенной, поскольку она не оказывает влияния на бизнес. Что вам нужно будет раскрывать, когда необходимо сообщать об совокупных инцидентах, и не усложняет ли положение о агрегировании это распознавание?
Чтобы еще больше усложнить ситуацию, предлагаемое правило потребует от организаций раскрывать любые изменения в политике, возникшие в результате предыдущих инцидентов. Насколько строго это будет измеряться и, честно говоря, зачем это делать? Политики должны быть заявлениями о намерениях, а не низкоуровневыми руководствами по настройке. Обновление документа более низкого уровня (стандарта) для включения определенного алгоритма шифрования конфиденциальных данных имеет смысл, но есть несколько документов более высокого уровня, которые будут обновлены из-за инцидента. Примерами могут быть требование многофакторной аутентификации или изменение соглашения об уровне обслуживания (SLA) для исправления критических уязвимостей.
Наконец, в предложении говорится, что квартальные отчеты о доходах станут форумом для раскрытия информации. Лично мне кажется, что ежеквартальные телеконференции о прибылях и убытках не являются подходящим форумом для подробного обсуждения обновлений политики и инцидентов безопасности. Кто будет давать обновления? Финансовый директор или генеральный директор, которые обычно предоставляют отчеты о прибылях и убытках, могут быть недостаточно информированы, чтобы предоставлять такие критические отчеты. Итак, присоединится ли к звонкам директор по информационной безопасности? И если да, то будут ли они отвечать на вопросы финансовых аналитиков? Все это кажется непрактичным, но нам придется подождать и посмотреть.
Вопросы об опыте работы в совете директоров
Первая версия PRPC требовала раскрытия информации о надзоре совета директоров за политикой управления рисками кибербезопасности. Это включало раскрытие информации об отдельных членах совета директоров и их соответствующих знаниях в области кибербезопасности. Комиссия по ценным бумагам и биржам (SEC) заявляет, что намеренно сохранила широкое определение, учитывая диапазон навыков и опыта, присущих каждому совету директоров.
К счастью, после тщательного изучения они решили снять это требование. PRPC по-прежнему требует от компаний описать процедуру совета директоров по надзору за рисками кибербезопасности и роль руководства в управлении этими рисками.
Это потребует некоторых корректировок в общении и общей осведомленности. Недавно доктор Кери Перлсон, исполнительный директор по кибербезопасности MIT Sloan, и Люсия Миликэ, директор по информационной безопасности в Stanley Black & Decker, опросил 600 членов совета директоров о деятельности, связанной с кибербезопасностью. Они обнаружили, что «менее половины (47%) членов работают в советах директоров, которые регулярно взаимодействуют со своими директорами по информационной безопасности, и почти треть из них видят своих директоров по информационной безопасности только на презентациях совета директоров». Это явно указывает на пробел в коммуникациях.
Хорошей новостью является то, что в большинстве советов директоров уже есть комитет по аудиту и рискам, который может служить для этой цели частью совета директоров. Тем не менее, директора по информационной безопасности и ОГО нередко представляют вопросы, связанные с кибербезопасностью, которые остальная часть совета директоров не до конца понимает. Чтобы устранить этот разрыв, необходимо добиться большей согласованности между советом директоров и руководителями служб безопасности.
Неопределенность преобладает
Как и в случае с любым новым постановлением, в отношении PRPC есть вопросы и неопределенности. Нам просто придется подождать и посмотреть, как все будет развиваться и смогут ли компании соответствовать предложенным требованиям.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- ЧартПрайм. Улучшите свою торговую игру с ChartPrime. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos
- :имеет
- :является
- :нет
- :куда
- $UP
- 2022
- 24
- 7
- 72
- a
- О нас
- активно
- корректировки
- влиять на
- После
- совокупный
- агрегирование
- тому назад
- ДОГОВОР
- алгоритм
- выравнивание
- Все
- почти
- уже
- причислены
- суммы
- an
- Аналитики
- и
- любой
- все
- МЫ
- области
- AS
- At
- аудит
- Аутентификация
- осведомленность
- основанный
- BE
- , так как:
- становиться
- было
- до
- не являетесь
- между
- Черный
- доска
- нарушение
- широкий
- бизнес
- но
- by
- призывают
- Объявления
- CAN
- случаев
- Генеральный директор
- CFO
- изменения
- изменения
- главный
- обстоятельства
- CISO
- явно
- Закрыть
- комиссии
- комитет
- Связь
- Связь
- Компании
- Компания
- сравнение
- сложный
- Ослабленный
- Конфигурация
- Рассматривать
- может
- Создайте
- критической
- Текущий
- кибер-
- Информационная безопасность
- данным
- защита данных
- Дней
- решенный
- преданный
- глубоко
- определенный
- определение
- описывать
- подробнее
- А не было
- директор
- Директора
- Раскрывать
- раскрытие
- do
- документ
- приносит
- Безразлично
- Dont
- dr
- два
- каждый
- Заработок
- Звонки о доходах
- шифрование
- конец
- Европейская кухня
- Европейский Союз
- Даже
- эволюционирует
- Примеры
- обмена
- исполнительный
- Исполнительный директор
- руководителей высшего звена.
- опыт
- опыта
- Эксплуатируемый
- продлить
- дополнительно
- Face
- далеко
- несколько
- меньше
- финансовый
- конец
- пожары
- Во-первых,
- Что касается
- судебный
- форма
- Форум
- найденный
- 4
- от
- полностью
- разрыв
- GDPR
- Общие
- Общие данные
- Положение о защите данных Общие
- Дайте
- данный
- Go
- хорошо
- управление
- большой
- Гиды
- Половина
- Управляемость
- Сильнее
- Есть
- имеющий
- Честно
- ЧАСЫ
- Как
- Однако
- HTTPS
- if
- Влияние
- важную
- что она
- in
- инцидент
- включены
- individual
- информация
- информационная безопасность
- сообщил
- намерение
- взаимодействовать
- внутренне
- интерпретация
- с участием
- мобильной
- вопрос
- IT
- итерация
- ЕГО
- присоединиться
- JPG
- всего
- хранится
- Знать
- известный
- наименее
- Меньше
- такое как
- жизнью
- ll
- серия
- сделать
- ДЕЛАЕТ
- управление
- Мандат
- Март
- массивный
- материала
- Вопросы
- Май..
- Встречайте
- Участники
- встретивший
- может быть
- MIT
- месяцев
- БОЛЕЕ
- самых
- много
- многофакторная аутентификация
- должен
- Необходимость
- потребности
- Новые
- Новости
- сейчас
- of
- офицеров
- .
- on
- ONE
- только
- or
- организации
- внешний
- общий
- контроль
- надзор
- собственный
- особый
- Патчи
- Заделка
- личного
- Лично
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- пунктов
- сборах
- политика
- практика
- представить
- Presentations
- давление
- предыдущий
- цена
- процесс
- рассматривается
- предложило
- защиту
- приводит
- что такое варган?
- публичные компании
- цель
- положил
- Полагая
- квалифицировать
- Вопросы
- ассортимент
- скорее
- RE
- реалистичный
- разумный
- недавно
- регулярно
- "Регулирование"
- удаление
- отчету
- Сообщается
- Отчеты
- требовать
- обязательный
- требование
- Требования
- Полезные ресурсы
- те
- Реагируйте
- ОТДЫХ
- правую
- Снижение
- управление рисками
- рисках,
- Роли
- Комната
- Правило
- s
- Сказал
- говорит
- сфера
- рассмотрение
- SEC / КОМИССИЯ ПО ЦЕННЫМ БУМАГАМ И БИРЖАМ
- Ценные бумаги
- Комиссия по ценным бумагам и биржам
- безопасность
- посмотреть
- казаться
- кажется
- смысл
- чувствительный
- чувствительность
- служить
- акционер
- Акционеры
- краткосрочный
- ШЕСТЬ
- Шесть месяцев
- умение
- Слоан
- So
- некоторые
- скоро
- Звук
- конкретный
- конкретика
- стандарт
- Стэнли
- отчетность
- По-прежнему
- последующее
- предполагаемый
- окружающих
- взять
- чем
- который
- Ассоциация
- их
- Их
- Там.
- следовательно
- они
- задача
- В третьих
- этой
- те
- угрозы
- Таким образом
- время
- в
- слишком
- ОЧЕРЕДЬ
- типично
- В конечном счете
- неопределенности
- Обычный
- под
- понимать
- союз
- ненужный
- до
- обновление
- Updates
- обновление
- использование
- используемый
- ценностное
- очень
- фактически
- объем
- Уязвимости
- уязвимость
- ждать
- законопроект
- we
- Недели
- пошел
- Что
- когда
- будь то
- который
- в то время как
- КТО
- зачем
- будете
- окно
- в
- Работа
- бы
- Ты
- зефирнет