Финансовое управление опубликовало новые редакции Правил и Руководства по кибербезопасности для регулируемых субъектов, разработанные с учетом комментариев представителей частного сектора. Правилами, содержащими требования Финансового управления к управлению рисками в сфере кибербезопасности, предусмотрены обязанности, в результате неисполнения которых регулятором налагается штраф или принимаются прочие меры. В рамках Руководства обеспечивается содействие соответствующим субъектам в соблюдении положений Правил и отражаются меры, в соответствии с которыми Финансовое управление сможет оценивать соблюдение норм законодательства. Указанные Правила и Руководство вступят в силу 27 ноября 2020 года.
Сфера действия
Действие Правил распространяется на субъекты, регулируемые Финансовым управлением (включая контролируемые дочерние компании) согласно следующим нормативно-правовым актам: Закону о банках и трастовых компаниях (англ. — Banks and Trust Companies Law), Закону о страховании (англ. — Insurance Law), Закону о взаимных инвестиционных фондах (англ. — Mutual Funds Law) (за исключением регулируемых взаимных инвестиционных фондах), Закону об инвестировании в ценные бумаги (англ. — Securities Investment Business Law), Закону о строительных обществах (англ. — Building Societies Law), Закону о кооперативных обществах (англ. — Cooperative Societies Law), Закону о банке развития (англ. — Development Bank Law), Закону о финансовой деятельности по осуществлению операций с денежными средствами (англ. — Money Services Law), Закону об управлении компаниями (англ. — Companies Management Law), Закону о регистрации и лицензировании директоров (англ. — Directors Registration and Licensing Law) и Постановлению о частных трастовых компаниях (англ. — Private Trust Companies Regulations).
Основные положения
В Правилах закреплено требование для регулируемых субъектов относительно «разработки, реализации и сохранения задокументированной системы по обеспечению кибербезопасности, направленной на своевременное выявление, определение, протоколирование, оценку, мониторинг и контроль или минимизацию рисков в сфере кибербезопасности, а также отражение и устранение нарушений в сфере кибербезопасности, которые могут существенно отразиться на их деятельности». Система обеспечения кибербезопасности представляет собой «полный комплекс организационных ресурсов, включая политику, трудовые ресурсы, процессы, практику и технологии, используемые для оценки и снижения кибер-рисков, отражения и устранения кибер-атак».
В соответствующем документе Финансового управления, опубликованном после проведения публичных обсуждений профильного регулирования с представителями частного сектора, регулятор делает особый акцент на том, что Правила и Руководство не носит императивный характер в части методов, используемых регулируемыми субъектами для разработки, реализации и сохранения системы по обеспечению кибербезопасности; скорее регулируемые субъекты должны разрабатывать данную систему с учетом объемов и сложности своего бизнеса и характера подверженности рискам в сфере кибербезопасности. Кроме того, регулятор также прояснил, что регулируемые субъекты должны принимать меры, которые не только минимизируют кибер-риски и снижают количество нарушений в данной сфере, но и позволяют им эффективно отражать и устранять кибер-атаки.
Система обеспечения кибербезопасности
В Правилах приведен неисчерпывающий перечень составных элементов системы обеспечения кибербезопасности регулируемого субъекта. К таким элементам относятся:
- надлежащим образом задокументированная стратегия управления рисками, покрывающая все существенные риски в сфере кибербезопасности, имеющие отношение к данному регулируемому субъекту;
- внутренние нормативные документы по кибер- и информационной безопасности, обеспечивающие надлежащее выявление, оценку, снижение, контроль, мониторинг и протоколирование рисков;
- четко определенные управленческие обязанности и функции контроля; и
- эффективные процессы отражения и устранения кибер-атак, нарушений и инцидентов.
Система обеспечения кибербезопасности может имплементироваться на консолидированной основе в рамках корпоративной группы, и ее действие может распространяться на регулируемого субъекта, его материнскую и дочерние компании (при их наличии) при условии покрытия, по меньшей мере, требований, установленных в Правилах. В рамках своей общей стратегии управления рисками кибербезопасности регулируемый орган должен обеспечить учет следующих ключевых компонентов: идентификация, оценка, мониторинг и протоколирование рисков, а также политика реагирования на инциденты. Регулируемый орган также должен самостоятельно проводить соответствующую оценку на регулярной основе, по меньшей мере, ежегодно, с учетом требований Правил и Руководства, а также любых соответствующих положений и тенденций в сфере регулирования кибербезопасности.
Ответственность
Орган управления регулируемого субъекта в полном объеме отвечает за кибербезопасность предприятия. В обязанности органа управления входит:
- утверждение стратегии управления рисками кибербезопасности и системы обеспечения комплексной кибербезопасности;
- проведение анализа функционирования системы управления рисками и периодическая корректировка системы;
- утверждение плана аудита в сфере кибербезопасности (который должен быть основан на внутренних нормативных документах регулируемого субъекта); и
- обеспечение проведения независимого анализа кибербезопасности и устойчивости к угрозам кибербезопасности на периодической основе с учетом объемов деятельности, характера и профиля организации.
Руководством предусмотрено, что регулируемый субъект должен назначить Руководителя информационной службы (англ. — Chief Information Officer (CIO)) или Руководителя по информационной безопасности (англ. — Chief Information Security Officer (CISO)), в обязанности которого входит осуществление контроля за функционированием системы обеспечения кибербезопасности, оказание содействия органу управления организации в вопросах кибербезопасности и разработка рекомендаций по обеспечению актуальности решений, принимаемых органами управления и руководящим составом. Руководящий состав организации также отвечает за разработку, реализацию и мониторинг системы обеспечении кибербезопасности и обеспечение наличие у Руководителя информационной службы или Руководителя по информационной безопасности доступа к органу управления компании.
Управление рисками аутсорсинга
Если регулируемый субъект передает на аутсорсинг свои информационно-технологические функции третьему лицу или аффилированному предприятию, он продолжает нести полную ответственность за исполнение данных функций и отвечать за обеспечение кибербезопасности. В обязанности регулируемого субъекта также входит оценка соблюдения поставщиком соответствующих услуг положений Правил и профильного Руководства (в частности, Руководства по кибербезопасности для регулируемых субъектов (англ. — Cybersecurity for Regulated Entities) и Руководства по аутсорсингу: регулируемые субъекты (англ. — Outsourcing: Regulated Entities)).
Прочие обязанности
Регулируемые субъекты должны разработать комплексную программу обучения и ознакомления с вопросами кибербезопасности, мониторинг которой осуществляется на постоянной основе. При этом внутренние информационно-технологические системы должны являться документально оформленными. В случае если финансовые услуги оказываются онлайн и / или если потребители совершают операции через сеть Интернет (в том числе с использованием мобильных платформ и прочих технологий), использование сети должно быть основано на профильной политике. В соответствии с Руководством регулируемым субъектам рекомендуется проводить анализ рисков в сфере кибербезопасности и используемых систем контроля.
Защита данных
В Правилах закреплено требование для регулируемых субъектов относительно доказывания того, что при защите данных учитываются стратегия по рискам и система обеспечения кибербезопасности. В соответствии с Правилами в рамках системы обеспечения кибербезопасности должны учитываться Закон о защите данных (англ. — Data Protection Law) и руководство Омбудсмена по защите данных.
Требования к сообщению информации об инцидентах
Если регулируемому субъекту станет известно об инциденте в сфере кибербезопасности, который может иметь значительные последствия, он должен уведомить Финансовое управление в письменной форме не позднее истечения 72 часов после получении информации об инциденте. Если в результате возникшего инцидента будут нарушены нормы о защите информации, регулируемый субъект должен сообщить о нем затронутым лицам.
* * *
Риски кибербезопасности постоянно видоизменяются, поэтому не исключено, что до момента привидения в действие положений Правил и Руководства может возникнуть необходимость в доработке отдельных положений. Финансовое управление должно воспользоваться возможностями анализа информационно-технологических рисков в рамках своих процессов по управлению рисками и должно нивелировать возможные правовые пробелы до даты вступления в силу новых редакций рассмотренных документов.