Киберкрепость: всестороннее руководство по компьютерной безопасности - Пётр Юрьевич Левашов

Закон Сарбейнса — Оксли (SOX) — это федеральный закон США, принятый в 2002 году, который требует от публично торгуемых компаний поддерживать процедуры внутреннего контроля и финансовой отчетности, обеспечивающие точность и целостность финансовой информации. Закон также учредил совет по надзору за бухгалтерским учетом в публичных компаниях (PCAOB) для надзора за аудитом таких компаний.

Соблюдение требований SOX распространяется на публично торгуемые компании и их дочерние предприятия. Это относится к финансовой отчетности, внутреннему контролю, а также его документированию и поддержанию. Соблюдение требований SOX касается также защиты финансовых данных, выявления и предотвращения мошенничества.

Обеспечение соответствия требованиям SOX включает в себя следующие действия.

1. Определение и документирование внутреннего контроля. Сюда входит определение всех процессов финансовой отчетности и механизмов контроля, которые действуют для обеспечения точности и целостности финансовой информации.

2. Оценка внутреннего контроля. К ней относятся оценка эффективности существующих механизмов контроля и выявление слабых мест.

3. Внедрение и тестирование средств внутреннего контроля. Включает в себя внедрение любых изменений в средствах контроля и их тестирование, чтобы убедиться, что они работают так, как задумано.

4. Поддержание и мониторинг внутреннего контроля. Предусматривает постоянный мониторинг средств контроля для обеспечения их эффективности и внесение любых обновлений или изменений.

Соответствие требованиям SOX предписывает компаниям необходимость ведения точной и полной финансовой документации, включая документальное подтверждение всех операций и финансовой отчетности. Также они должны иметь систему обнаружения и предотвращения мошенничества.

Соблюдение требований SOX должно быть постоянным и требует регулярного мониторинга, тестирования и обновления системы внутреннего контроля. Компании должны регулярно представлять отчеты в PCAOB и комиссию по ценным бумагам и биржам (SEC), чтобы продемонстрировать соответствие требованиям закона.

Нарушение SOX может привести к серьезным наказаниям, включая штрафы, санкции и даже уголовное преследование. Компании должны следить за соблюдением SOX и принимать меры для ведения точной финансовой документации и защиты от мошенничества.

NIST Cybersecurity Framework (CSF). Обзор и внедрение

Концепция кибербезопасности Национального института стандартов и технологий (NIST CSF) — это набор рекомендаций и лучших практик для управления киберактивами организации и их защиты. Концепция разработана таким образом, чтобы быть гибкой и адаптируемой к уникальным потребностям различных организаций, и может использоваться предприятиями, государственными учреждениями и другими организациями всех размеров, относящимися к любым отраслям. NIST CSF разделена на пять основных функций: идентификация, защита, обнаружение, реагирование и восстановление. Эти функции обеспечивают структуру для управления кибербезопасностью организации и улучшения ее состояния. Каждая функция имеет набор категорий и подкатегорий, которые описывают конкретные действия и результаты в области кибербезопасности.

• Функция идентификации направлена на понимание того, какие киберактивы имеются у организации, в чем заключаются угрозы, с которыми они сталкиваются, и каким может быть потенциальное воздействие киберинцидента. Эта функция включает такие виды деятельности, как управление рисками, руководство и управление активами.

• Функция защиты направлена на реализацию мер защиты для предотвращения и/или смягчения последствий киберинцидента. Она включает в себя такие действия, как контроль доступа, реагирование на инциденты и обучение по вопросам безопасности.

• Функция обнаружения направлена на выявление потенциальных киберинцидентов и своевременное реагирование на них. Она включает такие виды деятельности, как мониторинг, обнаружение и анализ.

• Функция реагирования направлена на принятие мер по локализации киберинцидента и смягчению его последствий. Она включает в себя такие действия, как реагирование на инцидент и восстановление.

• Функция восстановления направлена на возобновление нормальной работы и извлечение уроков из инцидента для улучшения будущих действий по обеспечению кибербезопасности. Она включает такие мероприятия, как планирование непрерывности бизнеса и анализ ситуации после инцидента.

Внедрение NIST CSF включает в себя ряд шагов, в том числе следующие:

• самооценка существующего состояния кибербезопасности организации;

• выявление недостатков и областей для улучшения;

• разработка плана по устранению выявленных недостатков и улучшению общего уровня кибербезопасности;

• реализация плана;

• постоянный мониторинг и оценка состояния кибербезопасности организации.

NIST CSF — полезный инструмент, позволяющий повысить уровень кибербезопасности в организации и продемонстрировать ее соответствие различным нормативным и отраслевым стандартам.

Соответствие требованиям FISMA. Руководящие принципы и лучшие практики

Федеральный закон о модернизации информационной безопасности (FISMA) — это набор правил, установленных правительством США для обеспечения того, чтобы федеральные агентства внедряли и поддерживали эффективные средства контроля информационной безопасности. Соблюдение FISMA обязательно для всех агентств и организаций, которые работают с конфиденциальной правительственной информацией.

Для достижения соответствия требованиям FISMA организации должны разработать, документировать и внедрить программу информационной безопасности, которая включает в себя политику, процедуры и технические средства контроля. Ее следует регулярно пересматривать и обновлять, чтобы гарантировать, что она эффективно защищает конфиденциальную информацию.

Некоторые ключевые рекомендации и лучшие практики для достижения соответствия требованиям FISMA:

• Разработка и внедрение системы управления информационной безопасностью (СУИБ), основанной на стандарте ISO/IEC 27001.

• Регулярная оценка рисков для выявления потенциальных угроз и уязвимостей.

• Внедрение технических средств контроля для защиты от несанкционированного доступа, раскрытия, изменения или уничтожения конфиденциальной информации.

• Разработка планов реагирования на инциденты и аварийного восстановления для обеспечения быстрого и эффективного восстановления конфиденциальной информации в случае инцидента безопасности.

• Регулярный мониторинг и тестирование средств контроля безопасности для обеспечения того, чтобы они функционировали так, как задумано, а также для своевременного выявления и устранения любых проблем.

• Обучение по вопросам безопасности для всех сотрудников, позволяющее убедиться, что они понимают свои роли и обязанности по защите конфиденциальной информации.

• Регулярный отчет об эффективности программы информационной безопасности организации перед высшим руководством и государственными чиновниками.

Соблюдение требований FISMA — непрерывный процесс, который требует регулярного мониторинга и анализа для обеспечения того, чтобы программа информационной безопасности организации оставалась эффективной. Организации должны знать о любых изменениях в правилах FISMA и соответствующим образом обновлять свою программу.

CIS Critical Security Controls. Стандарты и внедрение

Центр интернет-безопасности (Center for Internet Security, CIS) Critical Security Controls (CSC) — это набор лучших практик и рекомендаций по обеспечению безопасности ИТ-систем и сетей. Эти средства контроля разработаны для обеспечения проактивного и комплексного подхода к защите ИТ-систем и сетей и основаны на наиболее распространенных и опасных сценариях кибератак. CIS CSC разделены на 20 областей контроля, каждая из которых затрагивает конкретный аспект безопасности.

Внедрение CIS