HITRUST отвечает на запрос о гармонизации правил кибербезопасности

HITRUST опубликовала ответ на запрос Белого дома о предоставлении информации (RFI) о гармонизации правил кибербезопасности, предполагая, что само по себе регулирование не является решением текущих киберпространств, с которыми сталкиваются объекты критически важной инфраструктуры.

Скорее, HITRUST рекомендовала отказаться от дальнейших правил в пользу нового акцента на подотчетности и взаимности в рамках существующих стандартов. Кроме того, HITRUST подчеркнула важность надежных оценок и гарантий кибербезопасности.

Первоначальный запрос о гармонизации правил кибербезопасности, опубликованный в июле 2023 года, поставил перед заинтересованными сторонами вопросы, касающиеся возможностей и проблем, связанных с гармонизацией правил кибербезопасности. В частности, Офис национального директора по кибербезопасности (ONCD) запросил комментарии у руководителей относительно проблем, связанных с дублированием нормативных актов, и о потенциальной основе взаимности или признании одним регулирующим органом оценки другого агентства.

ONCD задал вопросы о противоречивых нормативных актах, использовании существующих фреймворков и о том, как различные секторы используют сторонние фреймворки для сопоставления мер контроля кибербезопасности с результатами кибербезопасности.

Как организация по стандартизации кибербезопасности и конфиденциальности данных, поддерживающая собственную структуру, HITRUST была хорошо оснащена для реагирования на запрос. В ответе HITRUST подчеркивается важность гармонизации правил кибербезопасности, но утверждается, что подход правительства к этому “должен требовать минимально необходимого при обеспечении максимальной гибкости”.

“HITRUST предлагает свести к минимуму дополнительное федеральное и, возможно, государственное регулирование, которое предписывало бы больше требований к кибербезопасности, и вместо этого поощрять дух гармонизации и сосредоточения внимания на взаимности и подотчетности не только в рамках существующих нормативных актов, поддерживающих различные отрасли, но и в рамках систем гарантий частного сектора, которые могут доказуемо и прозрачно обеспечивать высококачественные и надежные результаты”, – сказал Роберт Э. Букер, директор по стратегии HITRUST.

“Такое партнерство и подход улучшат кибербезопасность нашей страны за счет внедрения государственных стандартов во многих отраслях, привлечения существующих инвестиций частного сектора для согласования и унификации этих стандартов, а также принятия постоянно обновляемых, надежных и прозрачных механизмов обеспечения, которые направляют и демонстрируют эффективную кибербезопасность”.

HITRUST также подчеркнула важность признания того, что разные секторы имеют разные потребности в области кибербезопасности. Отраслевые угрозы потребуют уникальных ответных мер, и нормативные акты, которые не учитывают это, могут причинить больше вреда, чем пользы.

По мнению HITRUST, надежный подход к обязательным или добровольным стандартам – это тот, который обеспечивает нечто большее, чем модель соблюдения по принципу “поставь галочку”, и имеет предписывающую политику и ожидания от внедрения.

Более того, HITRUST рекомендовала, чтобы при любом будущем регулировании учитывались программы сертификации частного сектора и фокусировались на практических и последовательных результатах.

“HITRUST с уважением предлагает сосредоточиться на том, как используются и измеряются существующие структуры и нормативы для достижения доказуемых и надежных результатов в области кибербезопасности с надежной взаимностью, основанной на продемонстрированной прозрачности и целостности результатов”, – добавил Букер.

“Мы считаем, что такой подход принесет большие выгоды в улучшении результатов в области кибербезопасности, соответствует фокусу Управления Национального директора по кибербезопасности, эффективен для внедрения на основе существующих стандартов, правил и возможностей как частного, так и государственного сектора, и в конечном итоге принесет пользу всему правительству и нашей стране наиболее эффективным из возможных способов”.