Новые стандарты кибербезопасности в США

Время на прочтение: 2 мин

В июле 2023 года главный регулятор финансового рынка США Комиссия по ценным бумагам и биржам утвердила «Окончательные правила» управления рисками кибербезопасности, стратегии, управления и раскрытия инцидентов.

18 декабря они вступили в силу. Согласно Правилам компании обязаны отчитываться об управлении рисками киберезопасности, стратегии и управлении, сообщать о существенных инцидентах кибербезопасности. Инцидент кибербезопасности определяется как «серия связанных несанкционированных событий». Это широкое определение потребует от компаний и групп по информационной безопасности постоянного мониторинга текущих и прошлых инцидентов для определения схожести в несанкционированных событиях и вторжениях. Кроме этого, в случае «существенного» инцидента отчитываться придется в четырехдневный срок. В понятие инцидента в Правилах включены сторонние и облачные нарушения, то есть нарушения в информационных системах, принадлежащих или используемых компанией, включая системы поставщиков и облачную инфраструктуру, независимо от расположения серверов. Это потребует от компаний оперативно оценивать влияние инцидентов кибербезопасности у поставщиков.

В правилах отмечается необходимость отслеживания предыдущих вторжений и проведения сравнений с существующими, что вынудит компании разрабатывать новые дорогостоящие системы для несущественных инцидентов. Кроме этого, организации обязаны предоставлять данные о процессах оценки, выявления и управления существенными рисками и угрозами кибербезопасности. В Правилах включено требование о раскрытии опыта руководства в области кибербезопасности и о надзоре руководства организаций за угрозами и рисками кибербезопасности, а также их роль и опыт в оценке и управлении материальными рисками. В целях соблюдения четырехдневного срока сообщения об инциденте, компании должны обеспечить четкий процесс последовательного и своевременного доведения информации.

Таким образом, США ужесточают процедуры отчетности о киберинцидентах в целях обеспечения национальной и общественной безопасности, что приведет к усложнению адаптации компаний к новым нормативным изменениям может оказаться сложной. Однако, целесообразно отметить другие изменений в обеспечении стандартов кибербезопасности.

По мере развития технологий ряд государств принимает более строгие законы в области кибербезопасности. Так, закон штата Калифорния о защите конфиденциальности потребителей, вступивший в силу 1 июля 2023 года, защищает личную информацию жителей Калифорнии, требуя от компаний предоставления клиентам доступа к их данным и контроль над ними.

В Великобритании ожидается принятие законопроекта о защите данных с более строгими требованиями к организациям по безопасности данных и уведомлений о нарушениях.

В 2022 году ЕС принял Директиву о сетевой и информационной безопасности с новыми требованиями отчетности по утечкам и увеличением штрафов за несоблюдение.

Похожие записи:

Отчет о мониторинге правоприменения регулирования информационного пространства в странах мира в 2020 году Стандартизация искусственного интеллекта в ЕС Кибератаки на критическую информационную инфраструктуру Правовое регулирование защиты несовершеннолетних пользователей сети «Интернет» от вредоносного контента Республика Индия
помеченные , , , ,