Мальтийское управление финансовых услуг («MFSA») выпустило Руководящие принципы, устанавливающие минимальный набор лучших практик и процедур управления рисками с целью снижения рисков кибербезопасности в сфере технологий распределенной книги («DLT»). Особое внимание уделяется регистрации профессиональных инвестиционных фондов на Мальте, инвестирующим в виртуальные валюты, агентам виртуальных финансовых активов («VFA»), эмитентам VFA и поставщикам услуг VFA (совместно именуемым «юридическими лицами»).
Руководящие принципы следует рассматривать с точки зрения процессов и технологий, которые включает положения о кибербезопасности и обязывают поддерживать соответствующие структуры управления надлежащее поведение и соответствующий риск политики управления в отношении кибербезопасности.
Инвестиции в кибербезопасность: как защитить компанию от кибератак
Обычно ожидаются разумные и пропорциональные инвестиции в инструменты кибербезопасности и системы информационной безопасности вместе с инвестициями в дополнительные знания для того, чтобы уберечь компании от кибератак. Ожидается, что политика и процедуры в области кибербезопасности будут разработаны в ближайшее время. Кроме того, орган по принятию решений организации должен обеспечивать, чтобы внутренний аудит кибербезопасности будет проводится через регулярные промежутки времени (если оценка риска организации не указывает иное), по крайней мере, ежегодно. Это даст уверенность в том, что спустя время предприятия находятся все также под защитой.
Стандарты кибербезопасности
Следует отметить, что Руководящие принципы основаны на нескольких признанных международных стандартов кибербезопасности, а именно:
- ISO / IEC 27k (в частности, 27001, 27002, 27005, 27014, 27017 и 27018);
- ISO 31000;
- Структура рабочей силы по кибербезопасности NIST США;
- Руководство CPMI-IOSCO по кибербезопасности;
- PCI-DSS;
- ISACA / COBIT 5;
- Стандарт безопасности криптовалюты («CCSS»).
Инфраструктура кибербезопасности
Кибербезопасность должна охватывать целостную защиту данных и управление данными в любом формате: цифровом, физическом или аудиовизуальном, независимо от того, где находятся данные. При реализации надлежащей структуры кибербезопасности субъекты должны следовать международным и национальным стандартам обеспечения кибербезопасности в соответствии с Общим регламентом ЕС о защите данных, Директивой о платежных услугах и Директивой ЕС, касающейся мер по обеспечению высокого общего уровня безопасности сети и информационные системы по всему Союзу.
Назначение директора по информационной безопасности
Новые нормы предусматривают, что каждый субъект должен назначить квалифицированное и компетентное лицо, ответственное за создание, поддержание и надзор за структурой кибербезопасности, которого следует называть главным сотрудником по информационной безопасности («CISO»). Назначенное лицо несет ответственность за подход к образованию и обучению в области кибербезопасности для всего вовлеченного персонала. Общая интеграция управления по киберзащите включает в себя консультирование по таким вопросам, контроль за реализацией политики и взаимодействие с третьими сторонами по вопросам, связанным с киберзащиты и так далее. CISO также должен установить Политику информационной безопасности, которая должна охватывать агенты угроз, вредоносное ПО, взлом, уничтожение данных и нарушение работы критически важной инфраструктуры. Кроме того, такая политика должна также охватывать, среди прочего, нарушение важнейших общеотраслевых услуг и кибератаки.
Защита от кибератак: структура кибербезопасности
Для того, чтобы осуществить защиту компании от киберугроз, компании необходимо ввести Систему кибербезопасности («CSF»), которая должна быть создана в письменном виде с учетом конкретной структуры бизнеса, характера бизнеса, договорных соглашений и договоренностей с персоналом Организации и должна включать:
- роли и обязанности в области защиты информации и данных, включая назначение CISO;
- политику управления конфиденциальными данными;
- политику управления угрозами;
- текущую политику мониторинга;
- оценку риска, частоты и степени, которая должны быть определены предприятием для того, чтобы защитить бизнес от кибератак;
- ведение журналов аудита для обнаружения и реагирования на события кибербезопасности;
- составление плана реагирования на инциденты и восстановления;
- разработка плана обеспечения непрерывности бизнеса;
- Установление политики безопасности для сторонних поставщиков услуг;
- Управление данными и угрозы.
Как неотъемлемая часть процессов управления данными, каждый субъект должен создать систему классификации данных, надлежащий контроль данных и надлежащий доступ к ним. Угрозы должны устраняться путем анализа, чтобы обнаружить элементы, которые могут вызывать нарушениям.
Особые обязательства в зависимости от типа объекта DLT
Руководящие указания предусматривают конкретные процессы и меры обеспечения кибербезопасности, которые должны приниматься во внимание конкретно эмитентами и держателями лицензий VFA.
Эмитенты виртуальных финансовых активов
В отношении эмитентов виртуальных финансовых активов CISO должен провести предварительный анализ возможных угроз и факторов риска, влияющих на кибербезопасность эмитента. Также необходим целостный анализ для выявления возможных рисков в течение периода Первоначального предложения VFA (или ICO, как более широко известный) наряду с проверками механизмов кибербезопасности, которые будут изложены в официальном документе. Регистрация криптовалютной компании на Мальте предполагает выполнение обязательных требований в отношении проверки агентов.
Получение криптовалютной лицензии на Мальте: Поставщики услуг VFA
В Руководстве содержатся конкретные требования к кибербезопасности для различных классов лицензий VFA:
VFA Class 1
CISO должен обеспечить наличие подходящей структуры кибербезопасности для защиты соответствующих данных от утечки.
VFA Класс 2 и 3
CISO классов VFA 2 и 3 должны обеспечивать меры по смягчению последствий для защиты средств клиентов. Также должны быть созданы кошельки с учетом нескольких элементов, таких как уникальный адрес для транзакции и распределение ключей. Криптографические алгоритмы и конфигурации ключей должны быть проверены на наличие недостатков и лазеек посредством тщательного тестирования всех операций.
VFA Class 4
Поставщики услуг VFA класса 4 должны соблюдать все рекомендации, применимые к другим лицензиатам VFA, а также дополнительные требования. В этом отношении, среди прочего, следует отметить, что MFA является предпочтительным методом для доступа к ключам безопасности. Поставщики услуг 4 класса также должны гарантировать, что владельцы прошли проверку данных и что у предприятия есть средства для проведения соответствующих проверок. Защита бизнеса от кибератак - процесс, требующий профессиональной поддержки и консультации. Юристы IncFine активно следят за последними нововведениями в области защиты компании от любых угроз.