250-й Указ по-американски

Пока одни расчехляют свою рюмки и стаканы, а другие примеряют подаренные им носки, трусы, прыскаются дезодорантами или ломают бритвы о недельную растительность, я решил закончить трудовую неделю чем-нибудь простым и незатейливым, а именно размышлениями на тему круговорота ИБ-мыслей между материками. Но начну я с некоторых цифр:

• 51% американских компаний списка Fortune 100 имеют членов в их советах директоров, имеющих соответствующую ИБ-экспертизу.
• В списках Fortune 200 и Fortune 500 таких членов уже всего 9%.
• В списке Russel 3000 таких членов еще меньше — 8%.

То есть в списке Russel не хватает 2724 директоров по ИБ! И это в продвинутой Америке. Интересно, какие цифры в России?

Комиссия по ценным бумагам США в марте 2022 года предложила новое регулирование, которое должно вступить в силу в апреле этого года и которое будет требовать от публичных компаний раскрытия информации в следующих сферах:

• Наличие обязательной экспертизы в области ИБ хотя бы у одного из членов советов директоров.
• Управление рисками и методы корпоративного управления по вопросам ИБ.
• Существенные инциденты (не позже 4 дней с момента наступления инцидента).

Когда я читал предложения американцев, я обратил внимание на несколько важных моментов. Во-первых, они дали год (!) на подготовку своих подопечных к новым нормам. И никаких внезапных сюрпризов — у вас есть 2 месяца вместо двух недель (как у нас) на подготовку своих предложений и замечаний. Во-вторых, 100 с лишним страниц объяснений и обоснований новых предложений. Никаких вам «средств из федерального бюджета не потребуется». Начинается все с объяснительной записки, которая мало чем отличается от творений наших законодателей и регуляторов; разве что они активно ссылаются на СМИ и различные исследования, а также более детально прорабатывают экономику, например, перечисляя формы потерь бизнеса от инцидентов ИБ. Помимо этого, американцы дают примеры того, о каких инцидентах надо репортить, а также что считать существенным инцидентом со ссылкой на существующие нормативные требования и правоприменительную практику.

Что меня поразило, так это то, что Комиссия по ценным бумагам спрашивает мнение у поднадзаорных относительно тех или иных требований, задает вопросы сразу по тексту предложений, интересуется, как правильно сформулировать то или иное требование? Это вообще какой-то космос. Например, они пишут, что хотят установить требование для компаний определять «существенность» инцидента «как можно скорее после инцидента» и сразу же спрашивают, достаточно ли такой формулировки и не будут ли компании задерживать определение «существенности»? И не надо ли авторам нормативки разработать дополнительные и точные временные параметры, чтобы у поднадзорных не возникло желание обманывать регулятора?

Ну где вы видели, чтобы регулятор спрашивал подопечных, как сделать так, чтобы подопечные не обманывали регулятора? Но вообще вопросы там задаются прям по делу. У нас бы так.

Чтобы члены совета директоров не халявили и не заставляли своих подчиненных сдавать за них экзамены по ИБ (а у нас это сплошь и рядом происходит — многие заместители руководителей мне это не раз рассказывали, даже хвалясь такими трюками), в новом НПА американцы хотят спросить:

• Какой предыдущий опыт работы в ИБ у топ-менеджера есть?
• Где топ-менеджер получал высшее образование или проходил профпереподготовку?
• Какие знания и навыки в ИБ есть у топ-менеджера?

А среди вопросов, которые регулятор спрашивает, есть такой: «Не будут ли данные требования непреднамеренно мешать обеспечению кибербезопасности или иным образом налагать чрезмерные обременения на компанию? Если да, то какие?» Или «Мы не определяем термина «квалификация». Должны ли мы это сделать и если да, то как?» Наконец, они хотят понять, не надо ли исключить данное требование для небольших компаний?

Красавчики! Беспокоятся, не напрягут ли они подопечных своими требованиями…

Но самое интересное в предлагаемой нормативке — это раздел «потенциальные преимущества и затраты«, в котором регулятор с калькулятором в руках считает, что получат и что потеряют компании от внедрения новых норм. Например, в США есть закон о снижении бумажной бюрократии и комиссия по ценным бумагам посчитала, что новые требования потребуют 2180 часов на заполнение только двух новых форм отчетности (а всего изменения касаются 8 форм отчетности). И эти цифры вполне себе обоснованны — регулятор оценил, сколько компаний заполняло схожие формы в прошлые годы, и опираясь на эти цифры сделали свое предсказание.

Блин, космос какой-то!

Раздел «Преимущества» достаточно большой и различные плюсы для разных целевых аудиторий от новой нормативки; даже финансовые. Со ссылками на различные исследования, конечно. Никаких голословных высказываний или заявлений. Прямые и непрямые затраты от введения новой нормативки тоже оцениваются. Наконец, Комиссия по ценным бумагам даже разные альтернативы предлагаемой отчетности рассматривает.

Хотелось в укороченный рабочий день написать что-то незамысловатое, — не получилось. Ну да ладно. Зато будут мысли на выходные, над которыми можно поразмыслить. А пока хочу поздравить всех с наступающим 23-м февраля! Хочу пожелать только одного — чтобы грядущее 24-е февраля не принесло новых сюрпризов — ни тех, с которыми мы столкнулись в прошлом году, ни тех, что нам обещает сопредельная сторона!