Требования нормативных актов в области кибербезопасности могут сильно различаться в зависимости от размера компании, региона, отрасли, конфиденциальности данных и уровня зрелости программы. Например, публичная компания не имеет иного выбора, кроме как соблюдать несколько нормативных актов, проводить оценку рисков и разрабатывать планы смягчения последствий. Государственные органы или компании, продающие государственным органам, должны соответствовать определенным требованиям соответствия государственного сектора. Банки, организации здравоохранения, инфраструктурные компании, компании электронной коммерции и другие компании должны соблюдать свои собственные отраслевые правила соответствия.
Рекомендуем к прочтению: Готовы ли вы к новым правилам для кредитных карт?
Безопасность — это не то же самое, что соответствие требованиям
Даже для компаний, которые не подпадают ни под одну из этих категорий, могут быть причины демонстрировать лучшие практики безопасности, например, если они стремятся получить сертификацию SOC или подают заявку на киберстрахование. Комплексные системы соответствия требованиям кибербезопасности, такие как NIS-2 и ISO, предоставляют всем компаниям рекомендации, которым они могут следовать, а также структуры для сообщения о результатах.
Но: только потому, что вы соблюдаете правила, это еще не значит, что вы в безопасности. Опытные эксперты по безопасности рассматривают соответствие нормативным требованиям как абсолютный минимум и выходят далеко за рамки необходимых компонентов для защиты своих компаний в своих рекомендациях.
Соблюдение нормативных требований как условие ведения бизнеса
Хотя менеджер по безопасности может рекомендовать инвестиции и практики кибербезопасности для удовлетворения требований соответствия, он не является конечным лицом, принимающим решения. Поэтому важной задачей CISO является информирование о риске несоблюдения нормативных требований и совместное с другими руководителями компании принятие решений о том, какие инициативы должны иметь приоритет. В этом контексте риск включает не только технический, но и бизнес-риск. Чтобы избежать трений, имеет смысл также показать сотрудникам деловую выгоду от соответствующей кибербезопасности.
Соотношение затрат и выгод
Руководство компании должно сопоставить затраты и выгоды от соблюдения нормативных требований с потенциальными затратами на их несоблюдение. Предположим, компания не полностью выполняет лучшие практики управления разрешениями: при несоблюдении нормативных требований основные уязвимости, помимо возможных исков со стороны акционеров, могут иметь еще более серьезные последствия для компании, включая простои, выплаты за программы-вымогатели и потерю доходов. С другой стороны, соблюдение требований соответствия может принести деловую выгоду, например, за счет более быстрых продаж, более прочных партнерских отношений или более низких ставок киберстрахования.
Как CISO могут использовать системы соответствия требованиям
CISO могут использовать существующие системы соответствия требованиям в качестве методологии для методов и процессов их интеграции в свою программу кибербезопасности. По сути, их задача заключается в информировании о приоритетах программы и составлении «списка покупок» решений, которые им абсолютно необходимы и которые соответствуют программе, которую они хотят построить.
Но есть и разница между использованием системы соответствия требованиям для управления обоснованным управлением рисками и точным соблюдением нормативных требований. Здесь важно найти баланс и, в зависимости от ситуации, принимать решения, основанные на риске.
CISO нуждаются в партнерах для соблюдения нормативных требований
CISO не одиноки в вопросе соблюдения нормативных требований. Им необходимо налаживать партнерские отношения с юридическими отделами, специалистами по защите данных и комитетами по аудиту или управлению рисками, чтобы понимать меняющиеся требования соответствия и принимать решения о том, как их выполнять.
Иногда эти внутренние партнеры требуют от команд безопасности внедрения более строгих мер контроля, но они также могут нажать на тормоза. Например, некоторые CISO хотели бы детально отслеживать поведение своих сотрудников, но законы о защите данных запрещают это, а юридический отдел обеспечивает соблюдение этих законов.
Команды по обеспечению соответствия делают многое для инженеров и аналитиков по безопасности, у которых нет ни времени, ни ресурсов. Они привлекают безопасность к ответственности и проверяют, работают ли элементы управления должным образом. Они действуют как посредники между командами безопасности, регулирующими органами и аудиторами, чтобы продемонстрировать соответствие нормативным требованиям, будь то сбор доказательств с помощью ручных анкет по безопасности или интеграция технологий.
Например, для сертификации в государственном секторе необходимо отслеживать и регистрировать меры безопасности, а данные должны храниться не менее шести месяцев, чтобы доказать, что все требования были выполнены.
Рекомендуем к прочтению: Как международные системы безопасности поддерживают CISO
Инструменты и ресурсы для поддержки соблюдения нормативных требований
Реестры рисков помогают собрать всех заинтересованных сторон вместе, документируя все риски и расставляя их по приоритетам. Когда все заинтересованные стороны видят одну и ту же информацию, они могут договориться о соответствующих мерах. В рамках программы управления рисками политики, стандарты и процедуры регулярно пересматриваются, а все изменения утверждаются до их внедрения.
С помощью таких инструментов, как системы Управление, Риски и Соответствие (GRC) и непрерывный мониторинг соответствия нормативным требованиям, таким как NIS-2 и ISO, компании могут отслеживать текущие действия по обеспечению безопасности и сообщать о результатах. Системы GRC могут быть связаны с решениями SIEM для сбора журналов, а в сочетании со сканерами уязвимостей можно продемонстрировать проведение аудитов.
В дополнение к таким инструментам многие компании полагаются на третьи стороны для оценки соответствия нормативным требованиям. Они могут провести внутренний аудит соответствия перед внешним аудитом, чтобы убедиться в отсутствии сюрпризов, когда придут регулирующие органы.
Выполнить один раз, применить ко многим
Большинство компаний имеют множество контролирующих органов, которым они должны отчитываться, а также поставщиков киберстрахования, клиентов и партнеров. Хотя соблюдение нормативных требований может быть обременительным, существуют методы для оптимизации процесса оценки. В конце концов, большая часть законодательных требований почти идентична. Например, если CISO ориентируются на такую систему, как NIST, они могут применять одни и те же процедуры везде. Например, требования к управлению привилегированным доступом (PAM), такие как управление паролями, многофакторная аутентификация (MFA) и управление доступом на основе ролей, встречаются во всех системах соответствия требованиям.
Перспективы
В конечном счете, соблюдение нормативных требований — это динамичная область, требования которой постоянно меняются, чтобы отражать меняющиеся модели рисков и условия ведения бизнеса. Ожидается, что обеспечение соответствия требованиям будет занимать еще большую часть работы CISO в будущем. Поскольку отрасль сталкивается со все более серьезными угрозами, соблюдение нормативных требований является важной частью стратегического и комплексного подхода к управлению рисками кибербезопасности. (jm)
Рекомендуем к прочтению: Что требует новый рамочный закон KRITIS
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Andreas Müller
