header-logo

Маркетинговые коммуникации на основе искусственного интеллекта

Отказ от ответственности: приведенный ниже текст был автоматически переведен с другого языка с помощью стороннего инструмента перевода.


Что нужно знать о новых правилах SEC по защите от утечек информации

Sep 7, 2022 3:45 AM ET

В марте 2022 года Комиссия по ценным бумагам и биржам (SEC) изложила новый набор правил и поправок, направленных на дальнейшее повышение безопасности финансового сектора и усиление защиты от кибератак. Основной целью этих предложений является попытка стандартизировать раскрытие информации об инцидентах, связанных с кибератаками, для улучшения управления рисками и лучшего информирования инвесторов во всем секторе.

Ниже вы можете более подробно ознакомиться с новыми правилами и узнать, как они повлияют на вашу деятельность, ваши обязательства по безопасности и что вам необходимо знать, чтобы оставаться в соответствии с правилами SEC.

Новое руководство SEC

Первый элемент нового руководства касается раскрытия информации о случаях кибератак. Он обязывает организации уведомлять акционеров и SEC в случае утечки данных или другого незапланированного киберсобытия в течение четырех дней после его возникновения. Эти новые правила отчетности внесут изменения в существующую форму 8-K. Однако существует некоторая путаница относительно того, что требуется и что не требуется раскрывать.

Второе предложение затрагивает требования организации к форме 10-K, требуя от них включить ответственность за кибербезопасность, а также управление рисками и стратегию в функции совета директоров. Члены совета директоров также должны будут раскрыть свой опыт в области кибербезопасности, если это применимо.

Первая поправка, касающаяся раскрытия информации об инцидентах, привлекла наибольшее внимание, но вторая может оказать более значительное долгосрочное влияние. Это ставит вопросы кибербезопасности прямо перед советом директоров, делая их жизненно важной частью любой будущей бизнес-стратегии. Итак, как же организациям соблюдать эти новые правила?

Что нужно делать организациям

Вам необходимо иметь план реагирования на инциденты кибербезопасности и следить за тем, чтобы он регулярно обновлялся. Поскольку на сообщение о любом инциденте в SEC отводится всего четыре рабочих дня, организациям необходимо быть гибкими в своих отчетах, особенно когда большинство ресурсов будет направлено на минимизацию последствий атаки. Хорошей идеей является пробное реагирование на любой инцидент для оценки времени реагирования.

Организации также должны попытаться разработать простые методы внутренней отчетности, предлагая обучение персонала и четкие формулировки критериев отчетности, чтобы все были заинтересованы, а не только соответствующие сотрудники службы безопасности. Это особенно важно сейчас, когда члены совета директоров также обязаны быть грамотными в вопросах кибератак.

И наконец, организациям необходимо убедиться в том, что их инструменты и приложения безопасности, такие как антивирусное программное обеспечение и услуги шифрования электронной почты, актуальны и эффективны. Не попадайте в ловушку, полагая, что вы защищены, даже если вы вложили средства в многочисленные средства контроля. Единственный способ убедиться в надежности ваших средств защиты - подвергнуть их тщательному и реалистичному тестированию. К сожалению, многие крупные нарушения безопасности происходят в организациях, где средства защиты уже имеются, но при необходимости не работают должным образом.

Шанс действовать

Не рассматривая эти новые рекомендации как очередное бремя или расходы, вы должны рассматривать новые предложения SEC как возможность для дальнейшей защиты вашего бизнеса или организации. Угроза кибератак реальна и растет, и необходимо сделать все возможное, чтобы устранить ее до того, как произойдет худшее.

Contact Information:

Name: Michael Bertini
Email: michael.bertini@iquanti.com
Job Title: Consultant
Tags:   Russian, United States, Wire