در تاریخ 9 فوریه 2022 ، کمیسیون اوراق بهادار و بورس ایالات متحده (SEC) قوانین جدید مربوط به مدیریت ریسک امنیت سایبری را برای مشاوران سرمایه گذاری ثبت شده ("مشاوران") و شرکت های سرمایه گذاری ثبت شده و شرکت های توسعه تجارت (به طور جمعی "بودجه") ارائه داد. اصلاحات در قوانین موجود حاکم بر مشاور و افشای صندوق و ثبت رکورد نیز پیشنهاد شده است. این پیشنهادات به منظور تقویت آمادگی امنیت سایبری و بهبود اعتماد به نفس سرمایه گذاران در تاب آوری مشاوران و وجوه در برابر تهدیدها و حملات امنیت سایبری طراحی شده است.

براساس پیشنهاد SEC ، مشاوران و وجوه چهار تعهد متمایز خواهند داشت:

سیاست ها و رویه های امنیت سایبری کتبی را برای رفع خطرات امنیت سایبری ایجاد کنید

گزارش حوادث امنیت سایبری "قابل توجه" را در مورد فرم محرمانه جدید ، فرم پیشنهادی ADV-C گزارش دهید

خطرات و حوادث امنیت سایبری را فاش کنید

کتاب ها و سوابق مربوط به امنیت سایبری را حفظ کنید

01. سیاست ها و رویه های امنیت سایبری

مشاوران و صندوق ها باید سیاست ها و رویه های کتبی را ایجاد کنند که به طور منطقی برای رفع خطرات طراحی شده اند که می تواند به مشتریان مشاوره و سرمایه گذاران صندوق آسیب برساند یا منجر به دسترسی یا استفاده غیرمجاز یا استفاده از اطلاعات محافظت شده شود. سیاست های کتبی باید شامل اقداماتی باشد که برای آنها حساب می شود:

ارزیابی ریسک دوره ای.

طراحی و اجرای کنترل دسترسی کاربر.

مدیریت تهدید و آسیب پذیری.

پاسخ و بهبود حادثه.

02. گزارش حادثه

هر مشاور که در SEC ثبت نام کند یا باید ثبت نام کند ، باید سریعاً یک فرم پیشنهادی ADV-C را ارسال کند ، اما به هیچ وجه بیش از 48 ساعت ، پس از داشتن یک مبنای معقول برای نتیجه گیری که یک حادثه امنیت سایبری "مهم" رخ داده است یااتفاق می افتدفرم پیشنهادی ADV-C یک گزارش محرمانه است که به SEC اجازه می دهد تا تأثیر حادثه امنیت سایبری را بر روی یک مشاور و مشتریان یا صندوق و سرمایه گذاران آن نظارت کند. گزارش ADV-C همچنین SEC را در معرض خطرات سیستمیک بالقوه مؤثر بر بازارهای مالی به طور گسترده تر فراهم می کند.

یک حادثه "قابل توجه" در زمینه امنیت سایبری اتفاقی است که به طور قابل ملاحظه ای توانایی حفظ عملیات مهم را مختل می کند یا منجر به سازش اطلاعاتی می شود که باعث آسیب قابل توجهی به مشاور یا آسیب به مشتری یا یک سرمایه گذار در یک صندوق خصوصی می شود که به آن دسترسی پیدا کرده است.

گزارش های حادثه ADV-C باید شامل موارد زیر باشد:

اطلاعات اساسی در مورد ماهیت و دامنه این حادثه که از جمله هرگونه اقدام و اقدامات بازیابی برنامه ریزی شده گزارش شده است.

این که آیا هرگونه داده به سرقت رفته ، تغییر یافته یا دسترسی یا برای هر هدف غیرمجاز دیگر استفاده شده است.

این که آیا این حادثه به مشتری و یا به سرمایه گذاران فاش شده است.

علاوه بر موارد فوق ، یک ثبت کننده باید فاش کند که آیا این حادثه تحت بیمه بیمه سایبری (IES) تحت پوشش قرار گرفته است و آیا آن را به بیمه گذار (های) گزارش داده است یا خیر. این مورد برای SEC لازم است تا (1) تأثیر احتمالی این حادثه را بر مشتری درک کند و (2) کفایت پاسخ حادثه را ارزیابی کند زیرا بیمه گذار (ها) ممکن است نیاز به اقدامات درمانی و کاهش خاص در طی و بعد از حادثه امنیت سایبری داشته باشد.

03. خطرات امنیت سایبری و افشای حوادث

براساس قوانین پیشنهادی ، سرمایه گذاران آینده نگر و فعلی حق دارند از افشای مربوط به امنیت سایبری خاص ، از جمله شرح هرگونه خطرات امنیت سایبری و حوادث قابل توجهی برخوردار باشند. SEC با هدف افزایش بینش در مورد تاریخ امنیت سایبری و خطرات ، حمایت از سرمایه گذار را افزایش می دهد.

04. کتاب ها و سوابق مربوط به امنیت سایبری

سیاست ها و رویه های امنیت سایبری ، گزارش های مربوط به بررسی سالانه سیاستهای امنیت سایبری ، گزارش های حادثه امنیت سایبری و سوابق مربوط به ارزیابی ریسک امنیت سایبری باید حداقل 5 سال توسط مشاوران و صندوق ها حفظ شود.

در حالی که قوانین پیشنهادی برای اظهار نظر عمومی باز است و ممکن است پس از دوره اظهار نظر تجدید نظر شود ، مشاوران و وجوهی که به طور بالقوه در معرض آنها قرار دارند ، باید آماده سازی برای افزایش فعالیت های قانون و اجرای قانون از SEC در هنگام مدیریت سایبریسک شوند.

وجوه و مشاوران باید کلیه خط مشی ها و رویه های کتبی خود را در مورد محافظت از داده ها و اطلاعات و به روزرسانی آنها بررسی کنند و آنها را به روز کنند تا اطمینان حاصل شود که امنیت سایبری و مدیریت سایبری بهترین روشهای انجام شده است. رعایت بهترین شیوه های امنیت سایبری نه تنها با توجه به قوانین و اصلاحات پیشنهادی SEC بلکه برای به دست آوردن بیمه سایبری نیز ضروری است. ما همچنین توصیه می کنیم بیمه نامه های سایبری موجود را بررسی کرده و با تعهدات گزارشگری تحت این سیاست ها و همچنین کنترل ضرر بیمه گذاران و ارائه پاسخ به حادثه آشنا شوید تا اطمینان حاصل شود که استراتژی های مدیریت ریسک به طور کامل اجرا می شوند.

قوانین و اصلاحات پیشنهادی SEC نشان دهنده بیشتر تمرکز آژانس بر افشای امنیت سایبری و گزارشگری است. در سال 2018 ، SEC راهنمایی های مربوط به افشای شرکت های عمومی راجع به خطرات و حوادث امنیت سایبری منتشر کرد. SEC اخیراً چندین اقدامات اجرایی مربوط به افشای ناکافی اطلاعات نقض را انجام داده است.

سازمان ها ، اعم از دولتی و خصوصی ، باید درک کنند که چگونه قوانین و مقررات مربوط به امنیت سایبری تغییر می کنند ، این قوانین چه تاثیری در سازمان و نحوه مدیریت پیگیری انطباق دارند. برای کسب اطلاعات بیشتر و کمک های بیشتر ، با مجری حساب کاربری سایبر و فناوری خود تماس بگیرید یا از طریق سایت [email protected] به ما ایمیل بزنید.

بارگیری هشدار (یک پنجره جدید را باز می کند) < SPAN> قوانین و اصلاحات پیشنهادی SEC ، تصویر بیشتری از افزایش تمرکز آژانس بر افشای امنیت سایبری و گزارشگری است. در سال 2018 ، SEC راهنمایی های مربوط به افشای شرکت های عمومی راجع به خطرات و حوادث امنیت سایبری منتشر کرد. SEC اخیراً چندین اقدامات اجرایی مربوط به افشای ناکافی اطلاعات نقض را انجام داده است.