Южная Америка

Обязательное применение Рамочной программы кибербезопасности Agesic: влияние на государственные органы и частный сектор

Новости Уругвая
Обязательное применение Рамочной программы кибербезопасности Agesic: влияние на государственные органы и частный сектор
Хосе Луис Мауро Вера, MBA, CISA, CDPSE, старший менеджер сектора технологических рисков в EY Uruguay Недавно был утвержден указ, регулирующий задачи Agesic и сферу его применения, в частности, в отношении кибербезопасности. Декрет № 66 025 расширяет сферу применения Рамочной программы кибербезопасности Agesic, поскольку некоторые компании частного сектора добавлены к сфере деятельности государственных органов. Это положение вводится в контексте, когда управление информационной безопасностью напрямую связано с непрерывностью бизнеса, защитой персональных данных и соблюдением нормативных требований. Применяется в государственных органах, а также в некоторых частных компаниях. Центральные правительственные учреждения, ведомственные правительства, автономные образования, децентрализованные службы и негосударственные публично-правовые лица должны принять эту систему в полном объеме. Помимо государственного сектора, Декрет также устанавливает обязательства для частных компаний, которые предоставляют критически важные услуги государству. Статья 2 Декрета 66 025 определяет эти услуги как те, прерывание которых может оказать сильное влияние на здоровье, безопасность, экономику или основное функционирование общества. Среди наиболее прямых примеров - телекоммуникационные услуги, электроснабжение, питьевая вода, цифровая инфраструктура, платформы электронных и финансовых услуг. Таким образом, она распространяется на поставщиков автономных организаций, предоставляющих услуги такого рода. Примеры требований к системе Принятие системы подразумевает реализацию мер на уровне людей, процессов и технологий, таких как назначение сотрудника по информационной безопасности (ISO), создание комитета по информационной безопасности (ISC), определение официальных политик, внедрение методологии оценки рисков и проведение внутренних и внешних аудитов. Поэтому необходимо провести инвентаризацию информационных активов для последующей оценки их критичности, классификации и последующей защиты с помощью ручных и автоматических средств контроля. К ним относятся меры шифрования, сегментация сети, контроль доступа к системе и регулярный пересмотр привилегий. И поскольку кибербезопасность не ограничивается защитой активов, она также требует ресурсов и возможностей для эффективного и действенного обнаружения инцидентов кибербезопасности, реагирования на них и восстановления после них. Это требует интеграции технологий, антикризисного управления, координации и связи с заинтересованными сторонами. Помимо соблюдения нормативных требований, эти действия обеспечивают внутреннюю прослеживаемость и укрепляют позиции компании при проведении аудита или тендеров. Внедрение системы также может быть интегрировано с существующими сертификатами ISO 27001 и служить оперативной защитой от инцидентов, имеющих контрактные или финансовые последствия. Внедрение и ответственность Процесс внедрения будет в значительной степени зависеть от текущей ситуации и степени зрелости организации. В этой связи проведение диагностики и аудита кибербезопасности с использованием модели зрелости, предусмотренной концепцией, помогает выявить недостатки и инициативы по развитию каждой из функций. Управление: назначьте ММСП и создайте КМП, чтобы определить корпоративную стратегию кибербезопасности, выделить необходимые бюджетные ресурсы, определить и утвердить необходимые политики и общие рекомендации. 2. риски: применение методологии для выявления угроз, уязвимостей и определения приоритетности мер по их устранению на основе обновленной инвентаризации информационных активов. В большинстве случаев это требует включения или повышения уровня зрелости управления рисками предприятия, поскольку часть из них - это риски кибербезопасности. 3. средства контроля: внедрение политик и технических мер, связанных с доступом, активами, непрерывностью и реагированием на инциденты. Меры включают не только внедрение конкретных технологий для защиты и обнаружения инцидентов, но и повышение осведомленности и обучение команд, способных реагировать на инциденты кибербезопасности. 4. последующие действия: установите цикл постоянного анализа, подготовки и аудита. Этот подход применим как к государственным органам, так и к частным компаниям, на которые распространяется действие указа. Во всех случаях ожидаемый результат - снижение риска, повышение операционной эффективности и соблюдение требований законодательства. На пути к следующему шагу в развитии кибербезопасности Принятие Рамочной основы кибербезопасности Agesic - это уже не техническая рекомендация, а юридическое требование. Для государственных органов она представляет собой базовую структуру для соблюдения Закона 20.212 и других межсекторальных нормативных актов, таких как защита персональных данных, и других для конкретных секторов, таких как здравоохранение, телекоммуникации или финансовый сектор. Для частных компаний, особенно тех, которые предоставляют услуги государству или являются частью его цифровой инфраструктуры, Рамочная программа становится обязательным условием для поддержания договорных и рабочих отношений. Внедрение этой системы не только снижает риски, но и структурирует ответственность, совершенствует процессы и позволяет доказательно реагировать на инциденты или аудиторские проверки, делая значительный шаг вперед в уровне зрелости руководства и управления кибербезопасностью. В регулируемой, конкурентной и взаимосвязанной цифровой среде применение системы не является чем-то особенным: это требование для продолжения работы.