Цифровая системная архитектура

Для этого обычно существуют разные процедуры. В случае, если человек, с которым необходимо поделиться данными, также зарегистрированный в облачной службе, общий доступ часто может быть предоставлен специально с использованием соответствующего имени пользователя. Если не используется сам облачный сервис, часто можно настроить общий доступ по ссылке.

При обмене ссылками следует помнить следующее: любой человек, который знает ссылку, будет иметь доступ к общим данным. Здесь есть много способов, которыми неавторизованное лицо может узнать об этой ссылке, например, в случае если ссылка отправлена в незашифрованном электронном письме. Поскольку идентификация обычно не происходит при доступе к общим данным по ссылке, даже в ретроспективе трудно отследить, кто в конечном итоге получил доступ к данным.

– Вот что следует учитывать при предоставлении общих ресурсов:

По возможности не следует использовать общий доступ по ссылке для данных, заслуживающих защиты. Безопасность может быть повышена, если поставщик разрешит дополнительную защиту данных с помощью пароля. В этом случае рекомендуется передать ссылку и пароль противоположному лицу с помощью различных средств (например электронной почты и телефонного звонка).

По возможности следует заранее ограничить время публикации. В случае, если поставщик облачных услуг не разрешает это, следует регулярно проверять, какие люди имеют доступ к каким собственным данным и по-прежнему ли необходим такой доступ.

К общим ресурсам всегда следует применять особые и ограничительные меры, то есть в случае совместного использования файла действительно следует предоставлять общий доступ только к этому файлу, а не к папке, в которой он находится.

При использовании нового облачного сервиса рекомендуется сначала проверить настройки по умолчанию. Хорошей стратегией является выбор с самого начала как можно более строгих настроек, то есть, например, отключение передачи данных третьим лицам и отключение ненужных функций. Если позже потребуется какая-либо функциональность, ее можно будет снова включить.

Защита от стороннего доступа и выбор поставщика облачных услуг

Когда мы используем облачный сервис, мы передаем на аутсорсинг поставщику облачных услуг личные и защищенные данные. При этом мы передаем контроль и ответственность поставщику облачных услуг, и мы должны полагаться на него в обеспечении безопасности данных. Ниже мы опишем, какие подходы должны использовать пользователи, чтобы сделать выбор поставщика на основе рациональных фактов и защитить свои данные от постороннего доступа.

– Идентификатор безопасности (сертификаты и сертификаты)

Как пользователи могут быть уверены, что облачные сервисы правильно обрабатывают передаваемые данные с точки зрения ИТ-безопасности? Верно одно: доверие – это хорошо, контроль – лучше. Однако домашние пользователи не могут взять на себя управление лично, посетив центр обработки данных. Однако различные сертификаты безопасности (сертификаты или сертификаты), выданные независимыми учреждениями, позволяют пользователям проверять, соответствует ли поставщик облачных услуг установленным стандартам безопасности или соответствует соответствующим государственным нормативным актам.

Поставщики облачных услуг не обязаны проходить такую сертификацию, она всегда является добровольной. Тем не менее, многие поставщики предоставляют ряд сертификатов и других меток безопасности. Поставщик облачных услуг должен иметь возможность продемонстрировать, что сертификаты обновляются с помощью периодических проверок. Также следует поставить под сомнение, сертифицированы ли только отдельные компоненты облачного сервиса или, как в идеале, все предложение в целом.

Местонахождение поставщика облачных услуг

Информация о местонахождении поставщика облачных услуг и его серверов предоставляет пользователям информацию о том, какое право на конфиденциальность распространяется на их данные после их хранения. Во многих облачных предложениях с первого взгляда не видно, в какой стране находится поставщик или где расположены его центры обработки данных.

Таким образом вполне могут использоваться серверы за рубежом. Затем данные могут быть переданы в юрисдикцию за рубежом. В каждом штате по-разному регулируются права доступа к файлам корпорациями и государственными органами в соответствии с действующими там законами о конфиденциальности и другими нормативными актами. В то время как в некоторых странах властям разрешено анализировать данные или конфисковывать компьютеры, в других странах это запрещено законом. Для пользователей, как правило, невозможно отследить, в каком месте хранятся их данные, если поставщик облачных услуг явно не укажет это.

Будьте осторожны: каждый поставщик может – в рамках применимых к нему правовых рамок – разработать свои собственные условия обслуживания и политику конфиденциальности. Они могут быть сформулированы таким образом, что вы можете предоставить поставщику права доступа и использования к сохраненным файлам, даже если вы этого не хотите.

Использование облачных вычислений становится особенно важным, когда вы храните личные данные третьих лиц у поставщика. Здесь может быстро проявиться нарушение федерального закона о защите данных. Для этого уже достаточно записывать встречи с адресами и датами клиентов в облачном календаре. Если вы хотите хранить сторонние данные в облаке иностранного поставщика для ведения бизнеса, сначала обратитесь за юридической консультацией.

@@@@@@@@@@@@@@@@@@@@@@@@@@@

– CISO Playbook

Директора по информационной безопасности (CISO) часто говорят о снижении рисков финансовых потерь для своих организаций – будь то за счёт снижения вероятности несанкционированного раскрытия информации, обеспечения надёжности и целостности информации или снижения риска нарушения безопасности, которое может привести к простою, недоступности и повреждению информационных ресурсов и соответствующих систем. Одним из первых действий нового директора по информационной безопасности будет выбор системы контроля для повышения эффективности программы кибербезопасности (или информационной безопасности).

На выбор предлагается множество вариантов, таких как недавно обновлённая структура COBIT 2019 от ISACA, структура кибербезопасности (CSF) от Национального института стандартов и технологий (NIST), система управления информационной безопасностью ISO27001, Центр управления безопасностью (CIS), стандарт передовой практики информационной безопасности (ISF) или стандарт NIST 800—53 по обеспечению безопасности и конфиденциальности для информационных систем и организаций. Мы также можем обратиться к различным стандартам, законам и нормативным актам, таким как Стандарт безопасности данных индустрии платежных карт (PCI) и другие различные отраслевые законы и нормативные акты, касающиеся кибербезопасности, чтобы определить соответствующую основу. Кроме того, мы можем использовать комплексные фреймворки, которые объединяют элементы управления каждого из них в один инструмент, такие как Cloud Control Matrix от Cloud Security Alliance или HITRUST Common Security Framework, которая гармонизирует множество стандартов и фреймворков. Или же мы можем выбрать консалтинговую фирму «большой четверки», которая предоставит свою собственную проприетарную платформу для повышения зрелости программы. Также появляются новые подходы, такие как платформа CMMI Cybermaturity, которая фокусируется на подходе к киберустойчивости, основанном на оценке рисков, и укреплении доверия руководства.

Теперь, когда директор по информационной безопасности выбрал структуру, всё хорошо, верно? Большая часть работы выполнена! Не так быстро – проблема с контрольными структурами заключается в том, что мы зацикливаемся на текущем уровне зрелости («как есть») и на том, где мы хотели бы оказаться («что должно быть»), и прилагаем усилия до тех пор, пока не достигнем желаемого конечного состояния. Это место, где все красные и жёлтые цвета превращаются в зелёные, а двойки и тройки в нашей шкале зрелости от одного до пяти превращаются в четвёрки (потому что в нашей оценке зрелости никогда не будет единицы!).

Мы чувствуем себя хорошо, высшее руководство чувствует себя хорошо, и совет директоров чувствует себя хорошо, когда мы можем заполнить все графы зелёным цветом или достичь 4-го уровня зрелости. И в этом заключается проблема – мы зацикливаемся на том, чтобы как можно больше подцелей достичь желаемого уровня зрелости. Чем больше элементов управления мы можем раскрасить в разные цвета, тем лучше – количество часто побеждает качество. Что такое качество? Инвестиции в те области, где высока вероятность и велико влияние, как определено оценкой рисков – во-первых. Многие директора по информационной безопасности склонны устранять недостатки в системе контроля с помощью того же метода, что и при работе над списком дел по дому: вычёркивайте как можно больше пунктов, чтобы почувствовать себя успешным, оставляя самые важные и сложные задачи на завтра, которое никогда не наступает.

Учитывая недавние обвинения SEC против SolarWinds CISO и противоречивые публичные заявления сотрудников SEC о том, что Комиссия «не подвергает сомнению добросовестные суждения комплаенс-персонала, вынесенные после разумного расследования и анализа», очевидно прорисовывается актуальность аналитики систем ответственности CISO, которая зависит от таких факторов как, прилагал ли CISO добросовестные и достаточные усилия для выполнения своих обязанностей. Введение таких модернизаций системы обеспечило бы большую прозрачность, подотчетность и предсказуемость в том, как SEC планирует взимать плату с CISO.

Учет политических факторов

Например, возможно, самый важный контроль для организации – это политика, направленная на то, чтобы у каждой критически важной бизнес-функции, системы и информационного ресурса был указан владелец бизнеса/данных. Кроме того, владелец бизнеса должен понимать, как работает приложение, какие доступны доступы, кто должен иметь доступ к приложению и где хранятся данные на протяжении всего процесса. Владелец бизнеса также должен периодически проверять и подтверждать наличие соответствующего доступа. Для многих организаций это сложный процесс. Однако для того, чтобы по-настоящему соблюдать правила конфиденциальности, такие как Общий регламент по защите данных (GDPR), необходимо приложить немало усилий. К сожалению, приобретение нового технического продукта, который проще внедрить, чем управлять организационной политикой, часто становится инвестиционным выбором, позволяющим вычеркнуть ещё один пункт из списка дел.

Чтобы оставаться успешным в своей работе, директору по информационной безопасности нужно гораздо больше, чем просто система контроля. Не менее важно уделять внимание источникам дохода компании, инновациям в продуктах, анализу рисков и анализу пробелов, а также развивать навыки ведения переговоров, слушания, составления бюджета, влияния, представления информации совету директоров, эмоциональный интеллект, навыки присутствия на совещаниях, презентации и коммуникации, а также понимать различия между предпочтениями поколений и индивидуальными особенностями своих команд, коллег и руководителей. Стратегия кибербезопасности останется лишь цифровой пылью, если сосредоточиться исключительно на повышении уровня зрелости с помощью системы контроля. Эти системы являются важнейшими инструментами для директора по информационной безопасности и должны рассматриваться как необходимые, но недостаточные.

Чрезмерные и растущие ожидания от CISO

В условиях растущих угроз кибербезопасности, в том числе связанных с национальной безопасностью, и новых нормативных требований, для многих компаний уже недостаточно, чтобы отделы информационных технологий («ИТ») решали все проблемы кибербезопасности. Теперь регулирующие органы ожидают, что в крупных организациях будет выделенный директор по информационной безопасности, который возглавит отдельную функцию информационной безопасности и будет контролировать, внедрять и обеспечивать соблюдение программы информационной безопасности – как для безопасности компании, так и для безопасности ее цепочки поставок. CISO находятся на переднем крае защиты своих компаний от возникающих угроз кибербезопасности, внедряя и обеспечивая соблюдение политик и процедур, разработанных для решения постоянно меняющегося ландшафта угроз, тесно сотрудничая с правоохранительными и другими государственными органами для защиты интересов национальной безопасности и, в то же время, собирая, оценивая и переводя информацию, которую, возможно, потребуется сообщить инвесторам и SEC другим сотрудникам компании в быстро меняющихся ситуациях.

Директора по информационной безопасности должны делать всё это, сталкиваясь со значительными структурными и логистическими ограничениями. Роль директора по информационной безопасности охватывает более широкий спектр технологий и данных и требует учёта систем, технологий и программного обеспечения. Старшему руководству и членам совета директоров компаний может не хватать знаний в области кибербезопасности (и они могут не соглашаться с приоритетами в области безопасности и раскрытием информации), а коллеги, не связанные с безопасностью, которые ищут более эффективные способы выполнения своей работы, могут сопротивляться политике и процедурам в области кибербезопасности. И даже там, где бизнес и технологии полностью согласованы, некоторые элементы кибербезопасности могут внедряться только поэтапно и на их реализацию могут уйти месяцы, если не годы. Действия SEC против CISO SolarWinds, по-видимому, предполагают, что CISO также будут нести личную ответственность за обеспечение эффективной разработки и поддержания всех мер контроля, связанных с безопасностью, требуемых Разделом 404 (a) Закона Сарбейнса-Оксли 2002 года («SOX») в отношении мер внутреннего бухгалтерского контроля. Эффективное управление киберрисками, таким образом, требует значительных ресурсов и межфункционального реагирования, которое привлекает ресурсы из деловых, комплаенс-, юридических, приватных и других функций – но, тем не менее, правоприменительный подход SEC, похоже, возлагает эту ответственность в первую очередь на CISO.

Быстро растущие требования регулирующих органов усугубляют расширяющиеся обязанности директора по информационной безопасности. Министерство юстиции, например, «тесно сотрудничает с компаниями-жертвами, как никогда раньше», и подчёркивает, что «критически важно», чтобы правительство и отрасль работали вместе над выявлением новых источников риска и субъектов угроз и делились информацией о них.

В то же время SEC все больше внимания уделяет кибербезопасности с точки зрения своего собственного регулирования, о чем свидетельствуют недавно принятые ею правила управления рисками кибербезопасности, стратегии, руководства и отчетности об инцидентах («Правила кибербезопасности SEC»), которые в совокупности устанавливают беспрецедентный обязательный режим раскрытия информации о кибербезопасности, включая значительно ускоренное раскрытие информации о рисках и инцидентах. Эти обязательства по раскрытию информации, которые не действовали на момент российской кибератаки на SolarWinds, могут потребовать решающего участия CISO и использования его или ее суждений относительно значимости и масштабов любого риска или инцидента. Помимо прочего, новые правила потребуют от публичных компаний:

В своих публичных документах раскройте информацию о нескольких программах управления рисками в сфере кибербезопасности, в том числе о том, как вы оцениваете, выявляете и управляете существенными рисками; привлекаете ли вы аудиторов, консультантов или других третьих лиц в связи с такими процессами; есть ли у вас процессы для контроля и выявления рисков, связанных с третьими лицами. Компаниям необходимо будет раскрывать информацию о том, повлияли ли какие-либо риски, связанные с угрозами кибербезопасности, текущие или прошлые, на бизнес-стратегию, операции или финансовое положение компании или могут ли они повлиять на них.

Раскрывайте определённую информацию о существенном инциденте, связанном с кибербезопасностью, в течение четырёх рабочих дней после определения (без необоснованной задержки) того, что инцидент, связанный с кибербезопасностью, является существенным. В форме 8-K компании должны будут раскрывать существенные аспекты характера, масштабов, сроков и обоснованно вероятного существенного влияния инцидента на компанию (включая её финансовое состояние и результаты деятельности) в той мере, в какой эта информация известна на момент раскрытия.

Требования новых правил к раскрытию информации, связанной с ролью высшего руководства и совета директоров в управлении и надзоре за кибербезопасностью, также повышают требования к директорам по информационной безопасности. В соответствующих случаях компании должны учитывать возможность включения в раскрываемую информацию сведений о том, какие должности отвечают за управление рисками кибербезопасности, включая соответствующий опыт таких лиц, членов совета директоров, ответственных за надзор за кибербезопасностью, и процесс информирования совета директоров о рисках кибербезопасности и управлении ими. Директора по информационной безопасности будут играть важную роль в эффективной интеграции этих новых процессов и требований Комиссии по ценным бумагам и биржам в отношении управления кибербезопасностью, управления рисками, а также процессов и требований, связанных с существенностью и раскрытием информации, в существующие политики и механизмы контроля.

Ответственность CISO

Неудивительно, что как рабочие процессы, ориентированные на национальную безопасность и защиту жертв, так и более ориентированные на правоприменение обязательства, связанные с раскрытием информации и эффективным внутренним контролем, могут потребовать значительного участия директоров по информационной безопасности и, как показали недавние обвинения в адрес директора по информационной безопасности SolarWinds, могут навлечь на директоров по информационной безопасности значительную потенциальную личную ответственность.

Ещё до обнародования новых правил Комиссия использовала имеющиеся у неё инструменты для привлечения к ответственности компаний за якобы неполное раскрытие информации после кибератак. Этот прецедент показал, что Комиссия будет изучать программы кибербезопасности до и после взлома, исходя из теории, что «кибератаки часто приводят к нарушениям законодательства о ценных бумагах». Но решение SEC выделить CISO для потенциальной личной ответственности является особенно спорным шагом, учитывая, что эффективное управление киберрисками требует межфункционального реагирования и широкого участия, которое включает правление, менеджмент и юридические отделы, отдел комплаенса, ИТ и коммуникации. Например, CISO часто подчиняются директорам по информационным технологиям, что отражает необходимость сбалансировать рекомендации по безопасности с технологическими потребностями компании. Решение SEC сосредоточить внимание на таких лицах, как CISO, в целях привлечения к ответственности, даже если они добросовестно совещались и работали с другими заинтересованными сторонами в компании, подрывает представление о том, что кибербезопасность требует усилий всей компании.

И, что важно, постоянно меняющийся характер кибербезопасности означает, что директора по информационной безопасности всегда должны оценивать риск, связанный с любой конкретной угрозой или уязвимостью, а также необходимость устранения или раскрытия информации, основываясь на неполной информации на данный момент, зная, что к моменту оценки риска информация, на которой директор по информационной безопасности основывает свои решения, почти наверняка устареет, поскольку угроза часто меняется. Таким образом, принудительные меры в отношении директоров по информационной безопасности за предполагаемые неправомерные действия, связанные с принятием обоснованных решений в отношении программ кибербезопасности и реагированием на инциденты, а также раскрытие соответствующей информации, будут препятствовать тому, чтобы люди открыто говорили об этих проблемах или, что ещё хуже, становились или продолжали работать в качестве директоров по информационной безопасности в то время, когда эта должность критически важна для защиты данных компании и клиентов, чтобы сохранить акционерную стоимость – как в бизнес-целях, так и в интересах национальной безопасности.

Структура CISO

Предлагаемая здесь структура CISO отражает принцип, согласно которому SEC должна оценивать любую потенциальную ответственность CISO через призму того, предпринимал ли CISO добросовестные действия для выполнения своих обязанностей, связанных с CISO. Это должно быть началом и концом анализа SEC: даже если, оглядываясь назад, CISO ошибался или вводил в заблуждение, если он или она действовали добросовестно при разработке программы информационной безопасности или при реагировании на инцидент, SEC должна отказаться от предъявления индивидуальных обвинений.

Информацией для этой Системы CISO являются правоприменительные действия смежной SEC, возлагающие личную ответственность на контролеров соответствия требованиям, таких как главные сотрудники по соблюдению требований («CCO»), за предполагаемые нарушения соответствия требованиям. Учитывая параллели в обязанностях и функциях директоров по информационной безопасности и директоров по корпоративным вопросам в рамках компании, система ответственности директоров по информационной безопасности должна соответствовать давней двухпартийной позиции Комиссии по факторам, определяющим целесообразность предъявления обвинений директорам по корпоративным вопросам, а также факторам, изложенным в системе ответственности директоров по корпоративным вопросам, разработанной Комитетом по соблюдению нормативных требований Ассоциации адвокатов Нью-Йорка в 2021 году («Система ответственности директоров по корпоративным вопросам Ассоциации адвокатов Нью-Йорка»).

24 октября 2023 года директор SEC по правоприменению Гурбир Гревал повторил три «редких» случая, в которых Комиссия обычно возбуждает правоприменительные действия против CCO: когда он или она (i) «положительно участвовали в неправомерных действиях, не связанных с функцией соблюдения требований»; (ii) «ввели в заблуждение регулирующие органы»; или (iii) «когда имело место массовое невыполнение [] своих обязанностей по соблюдению требований».

Следуя этой модели, мы предлагаем, чтобы обвинения SEC против CISO были уместны только тогда, когда CISO (i) был достоверно причастен к предполагаемому неправомерному поведению, не связанному с функцией кибербезопасности; (ii) стремился ввести в заблуждение или воспрепятствовать расследованию SEC; или (iii) когда имеет место «полный провал» CISO «в выполнении обязанностей, которые были четко возложены» на него или нее. Поскольку не существует обоснованных споров о потенциальной ответственности директора по информационной безопасности в связи с первыми двумя категориями, в рамках этой концепции директора по информационной безопасности мы сосредоточимся на категории «массовый сбой».

«Общий сбой:» положительные факторы в пользу ответственности

Что такое массовый сбой и когда он может оправдать ответственность CISO? Мы предлагаем, чтобы при рассмотрении Комиссией потенциальных обвинений против CISO в связи с «массовым отказом» выполнять свои должностные функции учитывались следующие факторы: (i) прилагал ли CISO добросовестные усилия для выполнения своих обязанностей; (ii) был ли предполагаемый сбой связан с фундаментальным или центральным аспектом хорошо отлаженной программы кибербезопасности в компании; (iii) сохранялся ли предполагаемый сбой с течением времени; (iv) издала ли SEC четкие правила или рекомендации, касающиеся предполагаемого сбоя, до того, как произошел предполагаемый сбой; и (v) поможет ли взимание платы с CISO достижению нормативных целей SEC. Только в том случае, если возникает обоснованный вопрос о том, прилагал ли директор по информационной безопасности добросовестные усилия для выполнения своих обязанностей, что подтверждается его стремлением к обучению, вовлечению и реализации программы кибербезопасности компании, следует учитывать другие факторы.

Прежде чем предъявлять обвинение CISO за предполагаемые «массовые сбои», SEC должна установить, что каждый из этих факторов присутствовал, и быть готовой четко сформулировать их в документе о предъявлении обвинения, чтобы предоставить сообществу CISO четкие рекомендации и заверения в том, что индивидуальная ответственность была оправдана и не была просто результатом переоценки добросовестных суждений.

Приложил ли директор по информационной безопасности добросовестные усилия для выполнения своих обязанностей?