Блог

Финансы - инвестирование - Юридические аспекты Вашей программы Кибербезопасности

Maukal | Просмотров: 821






--- Это Эфириума о том, чтобы свалить Биткоин?


--- Эфириума продолжает давление Биткоины на первое место Крипто

Так часто мы слышим о вопросах соблюдения нормативных требований, регулирующих кибербезопасности. Но что о вопросах, связанных с правовой точки зрения? Как ваши продавцы, которые не могут быть предметом регулирования С-П и Положением s-идентификатор, помочь обеспечить надлежащие гарантии при обслуживании Вашей фирмы?
Следующий правовой совет будет сосредоточена на областях, которые мы находим часто забывают рамках программы кибербезопасность финансовых организаций . Это включает в себя договорных искать и просить у поставщиков, должной осмотрительности вопросов к поставщикам услуг, которые имеют доступ к непубличной информации и информации, необходимой адвокату для реагирования на киберинциденты . (Для связанного чтения, см.: почему нормативно-маятник для качания вернуться к Дерегуляции. )
Кибербезопасность: что нужно знать
Кибербезопасность является одним из ведущих регуляторных направлений сегодня. Тему можно легко найти на сек домашнюю страницу и список 2016 экспертиза приоритетными направлениями. Большинство финансовых учреждений уже предприняты первые шаги по инвентаризации своих провайдеров критических услуг, аппаратных систем и программного обеспечения; но, по нашему опыту, лишь немногие из них вернулись, чтобы проверить свои договоры на обслуживание с этими важнейшими сторонами.
Возьмем, к примеру, ИТ-поставщика. ИТ-поставщика может иметь договор на обслуживание, который молчит на типы отчетов, если таковые имеются, которые они предоставляют, чтобы помочь сотрудник курировать программу. Теперь ты можешь вернуться и спросить за это (на безвозмездной основе)? Насчет сервисов, таких как Dropbox? Его адрес договор, если фирма будет уведомление, если Поставщик нарушает кибер? Если договор молчит, ты уже провел должной осмотрительности, как поставщик выполняет с нарушением требования об уведомлении и данных мер безопасности, как это применимо?
Заключайте контракты с юридическими фирмами и консультантами по соблюдению адрес (или адреса) внутреннего контроля, которую они имеют в месте, чтобы защитить закрытую информацию они могут получить о Вашей фирме и ее клиентура и производственные секреты? Если нет, вы провели должную осмотрительность о своих кибернетических и контроля за безопасностью данных? В качестве доверенного лица, есть нормативные ожидания, чтобы сделать это. (Для связанного чтения, см.: Верхний соответствие головные боли для финансовых консультантов. )
Что искать в контракты с поставщиками
Не все контракты с поставщиками похожи. В то время как многие из них содержат конфиденциальности или сходное положение, договор, поставщик, скорее всего, не будут рассмотрены важнейшие внутреннего контроля для данного поставщика, чтобы иметь место для обслуживания финансовой индустрии фирма. Это очень важно, особенно если этот поставщик является важным поставщиком услуг для компании и будет иметь доступ к непубличной информации о ваших клиентах и служебной информации, такой как коммерческая тайна. В случае, если договор молчит в этой связи, рассмотреть вопрос о представлении дополнения или ссылки на другой подобный документ, который будет охватывать следующие области и содержать следующую информацию, если применимо:
Опишите, когда и как продавец будет общаться с любым известным кибер-инцидентов, он испытывает к вам.
Опишите, кто является владельцем данных, в случае, если договор на обслуживание расторгнут или если Поставщик выходит из бизнеса.
Опишите способ защиты, через которые данных и передача файлов будет происходить (е. г. через несколько уровней шифрования).
Обобщить типы кибер-контроля взаимно ожидается, что Договаривающиеся Стороны.
Установленные расчетом на получение внутреннего аудита управления или аналогичного отчета и проведение аудита не реже одного раза в год и по мере необходимости.
В случае внешней его поставщика, подробно отчеты или сообщения от данного поставщика.
Управление рисками совет: до такой степени, что начальник отдела контроля опирается на ИТ-поставщиков для предоставления отчетов и аналитики как в силу своего кибер-программы, очень важно, чтобы получать содержательную информацию, чтобы знать сильные и слабые стороны вашего киберсреде.




Должной осмотрительности вопросы задавать поставщиков услуг
Финансовые фирмы должны вернуться к основам, когда они берут интервью и в конечном итоге привлекать поставщиков для выполнения сервиса. Просто в качестве финансовой отрасли фирмы должны проводить экспертизу на любые инвестиции, прежде чем рекомендовать его для клиента, такие фирмы должны предпринять разумные шаги, чтобы проверить, как сервис-провайдеры, которые получают или имеют возможность получить доступ к вашей не лобковые информацию, принимать меры для защиты такой информации.
Возьмем, к примеру, внешний поставщик ИТ-услуг . При условии, что Поставщик не является каким-то образом связан с финансовой отрасли фирма, вполне вероятно, что она не подчиняется тем же правилам, как и брокер-дилеров и инвестиционных консультантов. Поставщик нет необходимости поддерживать электронные коммуникации в родной формат и периодически обследовать их . Также отсутствует требование, что поставщик ИТ-услуг, чтобы план обеспечения непрерывности бизнеса гораздо меньше кибербезопасности план. Поставщик услуг не нужно будет думать о принятии письменных политик и процедур для выявления, профилактики и устранения кибер нарушений. И нет необходимости для поставщика услуг, чтобы иметь план реагирования на кибер-инциденты в случае нарушения кибер .
Независимо от типа поставщика, до адаптации любого поставщика услуг или новых обязательств, считаю постановку следующих вопросов:
Есть ли у вас план кибербезопасности? Если да, не могли бы вы поделиться им?
Сколько отрасли финансовых фирм у вас услуги?
Вы знакомы с правилами, которые относятся к нашей фирме, касающихся кибербезопасности? Если да, то каковы они?
Какие надзорные контроля за работниками поставщика, чтобы убедиться, что они не пропали непубличную личную информацию фирмы?
Каковы процедуры поставщика в отношениях с увольняемым работникам, чтобы гарантировать, что они больше не имеют доступа к системам и данным фирмы и не присваивал информацию и взяли его с собой? (Для связанного чтения, см.: как избежать рисков в своей практике. )
Далее, попросите продавца предоставить вам с отчетом о внутреннем контроле (например SAAE-16 отчета) и спросить, как нужно, как он намерен сообщить вам о нарушении кибер; я. э. что такое план сообщения . Кроме того, вы можете захотеть узнать, может ли поставщик кибер-страхование ответственности . В той мере, в какой он продавец нескольких сотрудников, выданные компанией устройств (например, ноутбуков, мобильных телефонов и планшетов), проверьте, чтобы увидеть, что политика в месте для протирания устройства(устройств) очистки (если он потерян, или в случае с уволенными сотрудниками) и на удаленное взаимодействие в службу поддержки учетных записей. Кибер управления также важны для производителей, как для финансовой индустрии фирма ИТ-услуг.
Работая с адвокатом в случае нарушения кибер
В случае, если имеется нарушение кибер, важно немедленно провести расследование и сообщить ваш адвокат. Советы помогут фирме определить, является ли событие, один из которых следует сообщать в правоохранительные органы и/или в контролирующие органы. Адвокат также будет играть важную роль, помогая вам оценить исправления, в том числе типа коммуникаций, которые могут быть необходимы, чтобы уведомить клиентов о потенциальном или фактическом нарушении. Насколько фирма страховой кибер ответственности, адвокат также может оказать помощь с торгов кибер претензии к вашей страховой компании. Когда уведомления вашего адвоката нарушения кибер, быть готовы к обсуждению следующих тем:
Как было обнаружено нарушение?
Это было системно и широко распространено или изолированный с одного аккаунта?
Вы знаете последствия нарушения кибер; (я. э. был любому клиенту, пострадавшему)?
Каков ваш план реагирования на кибер-инциденты и вы закончили свое расследование?
Какие договорные, законодательные и/или нормативные обязательства вы должны уведомить клиентов и провайдеров критических услуг нарушения кибер?
Нижняя Линия
Почти каждое финансовое учреждение испытал своего рода кибератаки за последние несколько лет. Концерн не если это произойдет—это когда. Поэтому крайне важно заблаговременно принять меры сейчас, чтобы создать безопасную среду кибер для Вашей фирмы. Принимая во внимание указанные выше шаги по снижению рисков, фирма сможет развиваться дальше свою программу кибербезопасности . (Для связанного чтения, см.: нормативные акты: помогают ли они бизнесу?)
Эта статья была написана Мишель Л. Жако, Эсквайр. , управляющий партнер, Юридическая Группа Жако, ПК. СГС активно работает с консультантами по инвестициям, брокеров-дилеров, инвестиционных компаний, хедж-фондов, банков и корпоративных клиентов по вопросам ценных бумаг и вопросам корпоративного адвоката .
Эта статья предназначена для информационных целей и не содержит или передать юридическая консультация. Информация в настоящем документе не следует полагаться в отношении любого конкретного факта или обстоятельства, без предварительной консультации с юристом.





Комментарии


Ваше имя:

Комментарий:

ответьте цифрой: дeвять + пять =



Юридические аспекты Вашей программы Кибербезопасности
Юридические аспекты Вашей программы Кибербезопасности
Юридические аспекты Вашей программы Кибербезопасности