Киберкрепость: всестороннее руководство по компьютерной безопасности - Пётр Юрьевич Левашов
Закон Сарбейнса — Оксли (SOX) — это федеральный закон США, принятый в 2002 году, который требует от публично торгуемых компаний поддерживать процедуры внутреннего контроля и финансовой отчетности, обеспечивающие точность и целостность финансовой информации. Закон также учредил совет по надзору за бухгалтерским учетом в публичных компаниях (PCAOB) для надзора за аудитом таких компаний.
Соблюдение требований SOX распространяется на публично торгуемые компании и их дочерние предприятия. Это относится к финансовой отчетности, внутреннему контролю, а также его документированию и поддержанию. Соблюдение требований SOX касается также защиты финансовых данных, выявления и предотвращения мошенничества.
Обеспечение соответствия требованиям SOX включает в себя следующие действия.
1. Определение и документирование внутреннего контроля. Сюда входит определение всех процессов финансовой отчетности и механизмов контроля, которые действуют для обеспечения точности и целостности финансовой информации.
2. Оценка внутреннего контроля. К ней относятся оценка эффективности существующих механизмов контроля и выявление слабых мест.
3. Внедрение и тестирование средств внутреннего контроля. Включает в себя внедрение любых изменений в средствах контроля и их тестирование, чтобы убедиться, что они работают так, как задумано.
4. Поддержание и мониторинг внутреннего контроля. Предусматривает постоянный мониторинг средств контроля для обеспечения их эффективности и внесение любых обновлений или изменений.
Соответствие требованиям SOX предписывает компаниям необходимость ведения точной и полной финансовой документации, включая документальное подтверждение всех операций и финансовой отчетности. Также они должны иметь систему обнаружения и предотвращения мошенничества.
Соблюдение требований SOX должно быть постоянным и требует регулярного мониторинга, тестирования и обновления системы внутреннего контроля. Компании должны регулярно представлять отчеты в PCAOB и комиссию по ценным бумагам и биржам (SEC), чтобы продемонстрировать соответствие требованиям закона.
Нарушение SOX может привести к серьезным наказаниям, включая штрафы, санкции и даже уголовное преследование. Компании должны следить за соблюдением SOX и принимать меры для ведения точной финансовой документации и защиты от мошенничества.
NIST Cybersecurity Framework (CSF). Обзор и внедрение
Концепция кибербезопасности Национального института стандартов и технологий (NIST CSF) — это набор рекомендаций и лучших практик для управления киберактивами организации и их защиты. Концепция разработана таким образом, чтобы быть гибкой и адаптируемой к уникальным потребностям различных организаций, и может использоваться предприятиями, государственными учреждениями и другими организациями всех размеров, относящимися к любым отраслям. NIST CSF разделена на пять основных функций: идентификация, защита, обнаружение, реагирование и восстановление. Эти функции обеспечивают структуру для управления кибербезопасностью организации и улучшения ее состояния. Каждая функция имеет набор категорий и подкатегорий, которые описывают конкретные действия и результаты в области кибербезопасности.
• Функция идентификации направлена на понимание того, какие киберактивы имеются у организации, в чем заключаются угрозы, с которыми они сталкиваются, и каким может быть потенциальное воздействие киберинцидента. Эта функция включает такие виды деятельности, как управление рисками, руководство и управление активами.
• Функция защиты направлена на реализацию мер защиты для предотвращения и/или смягчения последствий киберинцидента. Она включает в себя такие действия, как контроль доступа, реагирование на инциденты и обучение по вопросам безопасности.
• Функция обнаружения направлена на выявление потенциальных киберинцидентов и своевременное реагирование на них. Она включает такие виды деятельности, как мониторинг, обнаружение и анализ.
• Функция реагирования направлена на принятие мер по локализации киберинцидента и смягчению его последствий. Она включает в себя такие действия, как реагирование на инцидент и восстановление.
• Функция восстановления направлена на возобновление нормальной работы и извлечение уроков из инцидента для улучшения будущих действий по обеспечению кибербезопасности. Она включает такие мероприятия, как планирование непрерывности бизнеса и анализ ситуации после инцидента.
Внедрение NIST CSF включает в себя ряд шагов, в том числе следующие:
• самооценка существующего состояния кибербезопасности организации;
• выявление недостатков и областей для улучшения;
• разработка плана по устранению выявленных недостатков и улучшению общего уровня кибербезопасности;
• реализация плана;
• постоянный мониторинг и оценка состояния кибербезопасности организации.
NIST CSF — полезный инструмент, позволяющий повысить уровень кибербезопасности в организации и продемонстрировать ее соответствие различным нормативным и отраслевым стандартам.
Соответствие требованиям FISMA. Руководящие принципы и лучшие практики
Федеральный закон о модернизации информационной безопасности (FISMA) — это набор правил, установленных правительством США для обеспечения того, чтобы федеральные агентства внедряли и поддерживали эффективные средства контроля информационной безопасности. Соблюдение FISMA обязательно для всех агентств и организаций, которые работают с конфиденциальной правительственной информацией.
Для достижения соответствия требованиям FISMA организации должны разработать, документировать и внедрить программу информационной безопасности, которая включает в себя политику, процедуры и технические средства контроля. Ее следует регулярно пересматривать и обновлять, чтобы гарантировать, что она эффективно защищает конфиденциальную информацию.
Некоторые ключевые рекомендации и лучшие практики для достижения соответствия требованиям FISMA:
• Разработка и внедрение системы управления информационной безопасностью (СУИБ), основанной на стандарте ISO/IEC 27001.
• Регулярная оценка рисков для выявления потенциальных угроз и уязвимостей.
• Внедрение технических средств контроля для защиты от несанкционированного доступа, раскрытия, изменения или уничтожения конфиденциальной информации.
• Разработка планов реагирования на инциденты и аварийного восстановления для обеспечения быстрого и эффективного восстановления конфиденциальной информации в случае инцидента безопасности.
• Регулярный мониторинг и тестирование средств контроля безопасности для обеспечения того, чтобы они функционировали так, как задумано, а также для своевременного выявления и устранения любых проблем.
• Обучение по вопросам безопасности для всех сотрудников, позволяющее убедиться, что они понимают свои роли и обязанности по защите конфиденциальной информации.
• Регулярный отчет об эффективности программы информационной безопасности организации перед высшим руководством и государственными чиновниками.
Соблюдение требований FISMA — непрерывный процесс, который требует регулярного мониторинга и анализа для обеспечения того, чтобы программа информационной безопасности организации оставалась эффективной. Организации должны знать о любых изменениях в правилах FISMA и соответствующим образом обновлять свою программу.
CIS Critical Security Controls. Стандарты и внедрение
Центр интернет-безопасности (Center for Internet Security, CIS) Critical Security Controls (CSC) — это набор лучших практик и рекомендаций по обеспечению безопасности ИТ-систем и сетей. Эти средства контроля разработаны для обеспечения проактивного и комплексного подхода к защите ИТ-систем и сетей и основаны на наиболее распространенных и опасных сценариях кибератак. CIS CSC разделены на 20 областей контроля, каждая из которых затрагивает конкретный аспект безопасности.
Внедрение CIS