Цифровые технологии теперь прочно укоренились в подавляющем большинстве предприятий и организаций по всей Великобритании , независимо от размера. Для большинства критически важные бизнес-операции, такие как расчет заработной платы и выставление счетов, не могли бы осуществляться без цифровых технологий. Однако директора и советы директоров часто не имеют или почти не имеют никакого значимого контроля над тем, как эти технологии используются и управляются, несмотря на критически важные для бизнеса риски, если с ними что-то случится.

Киберинциденты могут привести к серьезным последствиям для предприятий и организаций, будь то прямая потеря дохода из-за сбоя в предоставлении услуг, подрыв доверия клиентов из-за кражи персональных данных или интеллектуальной собственности или дорогостоящие меры по устранению последствий атаки программ-вымогателей.

Предлагаемый Кодекс практики киберуправления определяет, как советы директоров компаний и старшие руководители могут повысить устойчивость к широкому спектру киберрисков в своей организации. Кодекс, который был разработан совместно с техническими экспертами из NCSC и рядом экспертов по управлению в отрасли, фокусируется на действиях, которые руководители должны предпринять для эффективного управления киберрисками в своей организации.

Проект кодекса практики был опубликован в рамках призыва к представлению мнений в период с января по март 2024 года.

В этом документе представлен обзор ответов на призыв к мнениям и ключевым темам, которые возникли, а также излагается ответ правительства на обратную связь. В этом документе излагаются следующие шаги, включая обязательство опубликовать полный Кодекс практики киберуправления в начале 2025 года.

Этот правительственный ответ был опубликован 31 января 2025 года в рамках более широкого правительственного заявления о кибербезопасности. Пожалуйста, прочтите пресс-релиз для получения дополнительной информации.

Опубликовано 31 января 2025 г.

Политический документ

Ответ правительства на призыв высказать свое мнение по вопросу киберуправления

Опубликовано 31 января 2025 г.

Кодекс практики киберуправления: ответ правительства на призыв к высказаться

Январь 2025 г.

КП 1260

ISBN 978-1-5286-5412-8

Предисловие министра

Питер Кайл, депутат парламента, государственный секретарь по науке, инновациям и технологиям.

Это правительство стремится поддерживать бизнес и стимулировать экономический рост Великобритании. Как государственный секретарь Департамента науки, инноваций и технологий ( DSIT ), одним из моих главных приоритетов является обеспечение безопасной разработки и внедрения новых и существующих технологий по всей Великобритании с доступными для всех преимуществами. Предприятия и организации становятся все более зависимыми от цифровых технологий. Это помогает максимизировать инновации, эффективность и рост во всей экономике.

Рост цифровизации и возможностей, которые она открывает, также представляет собой растущий и развивающийся киберриск. 50% британских предприятий столкнулись с той или иной формой нарушения кибербезопасности или кибератаки за последние 12 месяцев ^{[сноска 1]} . Это может привести к неблагоприятным последствиям, таким как потеря дохода из-за невозможности работать из-за потери доступа к системам или репутационный ущерб из-за потери данных клиентов.

Очевидно, что Великобритании необходимо принять более решительные меры по повышению нашей киберустойчивости и обеспечению надлежащей готовности организаций по всей экономике к киберинцидентам. Исследование нарушений кибербезопасности 2024 года подчеркнуло, что кибербезопасность является приоритетом для высшего руководства большинства организаций, но недостаток знаний, обучения и времени не позволяет советам директоров более активно взаимодействовать.

Кодекс практики киберуправления, разработанный DSIT в сотрудничестве с Национальным центром кибербезопасности и отраслью, был разработан специально для поддержки этой потребности. Он формализует ожидания правительства относительно управления кибербезопасностью организации и устанавливает четкие действия, которые директора и неисполнительные директора должны предпринять для выполнения своих обязанностей по управлению киберрисками.

Проект кодекса был опубликован в рамках призыва к мнениям ранее в этом году. Я хотел бы поблагодарить всех, кто участвовал в нем и предоставил ответы. Я также хотел бы поблагодарить все организации, которые либо принимали участие в одном из многочисленных мероприятий, семинаров и вебинаров с должностными лицами DSIT в период призыва к мнениям. Эта работа вызвала значительный интерес и мнения со стороны ряда заинтересованных сторон в экономике и обществе Великобритании, что отражает важность этого вопроса и поддержку действий. Мы выслушали то, что вы сказали, и взяли на себя ряд обязательств по улучшению кодекса практики и поддержке его внедрения. Они изложены в этом ответе правительства.

Киберриск, с которым сталкивается Великобритания, обширен и сложен, и наш ответ должен быть всеобъемлющим. Кодекс практики киберуправления — это лишь один из элементов того, что делает это правительство для повышения кибербезопасности во всей экономике. Мы взяли на себя обязательство улучшить кибербезопасность нашей критической национальной инфраструктуры с помощью Закона о кибербезопасности и устойчивости, а также принимаем ряд мер для повышения киберустойчивости экономики и общества в целом и обеспечения безопасного развертывания технологий. Это включает в себя работу по устранению разрыва в навыках путем продолжения инвестиций в наши программы по кибернавыкам, такие как CyberFirst; стимулирование внедрения важных базовых схем, таких как Cyber Essentials; введение дополнительных Кодексов практики по безопасности программного обеспечения и кибербезопасности ИИ; а также существующую работу по безопасности продуктов; через Закон о безопасности продуктов и телекоммуникационной инфраструктуре 2022 года и Кодекс практики для операторов и разработчиков магазинов приложений.

Благодаря вашему постоянному участию и поддержке настоящего Кодекса практики киберуправления, а также более широкой программы инициатив мы сможем значительно укрепить киберустойчивость Великобритании и сделать ее мировым лидером в области безопасных цифровых инноваций и инвестиций.

Достопочтенный Питер Кайл, депутат 

Государственный секретарь 

Департамент науки, инноваций и технологий 

1. Краткое изложение

Цифровые технологии теперь прочно укоренились в подавляющем большинстве предприятий и организаций по всей Великобритании, независимо от размера. Для большинства критически важные бизнес-операции, такие как расчет заработной платы и выставление счетов, не могли бы осуществляться без цифровых технологий. Однако директора и советы директоров часто не имеют или почти не имеют никакого значимого контроля над тем, как эти технологии используются и управляются, несмотря на критически важные для бизнеса риски, если с ними что-то случится.

Киберинциденты могут привести к серьезным последствиям для предприятий и организаций, будь то прямая потеря дохода из-за сбоя в предоставлении услуг, ущерб доверию клиентов после кражи персональных данных или интеллектуальной собственности или дорогостоящие меры по исправлению положения после атаки программ-вымогателей. Чтобы еще больше усложнить ситуацию, предприятия и организации могут серьезно пострадать даже в тех случаях, когда они не подвергаются прямым атакам. Это произошло, когда в июне 2023 года произошла утечка данных сотрудников организаций из-за атаки на программное обеспечение для передачи файлов MOVEit. Инциденты могут повлиять на предприятия и организации всех размеров, как это было продемонстрировано в июле 2024 года, когда глобальный сбой в работе ИТ-систем нарушил предоставление услуг клиентам почти на десять часов. Эти инциденты четко подчеркивают необходимость для всех предприятий и организаций понимать и управлять цифровыми зависимостями и рисками в основных услугах и цепочках поставок.

Хорошее киберуправление на уровне совета директоров задает тон для создания устойчивости к широкому спектру киберрисков в организации, в то время как плохое управление увеличивает барьеры для эффективного управления киберрисками и замедляет принятие важных решений. Исследование нарушений кибербезопасности 2024 года показывает, что советы директоров и старшие руководители по-прежнему испытывают трудности с вовлечением в киберпроблемы из-за отсутствия понимания, обучения и времени, и только 30% всех британских предприятий и благотворительных организаций имеют членов совета директоров или попечителей с явной ответственностью за кибербезопасность.

Вместо этого эти решения часто делегируются техническим экспертам, а цифровые и кибервопросы рассматриваются отдельно в рамках более широкого управления бизнес-рисками. Проблемы в общении между техническими экспертами и директорами еще больше увеличивают этот разрыв и могут привести к существенному влиянию на распределение бюджета, общий профиль рисков бизнеса и критические пробелы в подотчетности.

Чтобы помочь решить эти проблемы и поддержать директоров в выполнении их обязанностей по управлению киберпроблемами наряду с более широкими деловыми вопросами, DSIT разрабатывает Кодекс практики киберуправления. Это соответствует обязательству DSIT по обеспечению безопасного развертывания новых и существующих технологий по всей Великобритании, чтобы позволить большему количеству предприятий и организаций максимально использовать возможности, которые они предоставляют.

Кодекс, разработанный совместно с техническими экспертами NCSC и рядом экспертов по управлению из разных отраслей, фокусируется на действиях, которые руководители должны предпринять или должны обеспечить их выполнение для эффективного управления киберрисками в своей организации.

Предлагаемый кодекс практики был опубликован в рамках призыва к представлению мнений в январе 2024 года. Этот призыв к представлению мнений был приглашением всем заинтересованным сторонам отрасли или другим лицам предоставить обратную связь по трем ключевым областям:

разработка кодекса практики;
как правительство может стимулировать его использование и соблюдение кодекса; и
достоинства и необходимость процесса подтверждения соответствия кодексу.

В период призыва к мнениям DSIT провела обширное взаимодействие для более подробного обсуждения вопросов с рядом заинтересованных сторон в отрасли и академических кругах, включая торговые организации, профессиональные ассоциации, директоров компаний и сети неисполнительных директоров. В общей сложности DSIT охватила более 1700 заинтересованных сторон на 20 мероприятиях. Было проанализировано 160 ответов на опросы. Данные как из письменных ответов на опросы, так и из взаимодействий были проанализированы для информирования о том, как кодекс практики будет реализован.

В этом документе представлен обзор ответов на призыв к мнениям и ключевым темам, которые возникли, а также излагается ответ правительства на обратную связь. Он структурирован вокруг пяти ключевых тем из ответов, как указано ниже:

Была выражена общая поддержка целей и дизайна кодекса, а также высказан ряд предложений по дальнейшим дополнениям;
Большинство респондентов высказались в пользу схемы обеспечения, однако поддержка зависела от дизайна схемы;
Большое количество респондентов отметили широкую целевую аудиторию кодекса и ее влияние на его внедрение;
Многие респонденты запросили дополнительную ясность относительно связей с другими стандартами, руководствами и ресурсами; а также
Правительство выразило заинтересованность в сотрудничестве с широким кругом заинтересованных сторон в целях содействия внедрению кодекса.

Документ завершается описанием следующих шагов, включая обязательство опубликовать Кодекс практики киберуправления в начале 2025 года.

2. Предыстория

DSIT стремится обеспечить безопасное развертывание новых и существующих технологий по всей Великобритании. Это позволит предприятиям и организациям максимально использовать разнообразные возможности, которые они предоставляют. Это будет включать в себя введение законопроекта о кибербезопасности и устойчивости для лучшей защиты критически важных систем Великобритании. Однако необходимо сделать больше, чтобы гарантировать, что все предприятия и организации в экономике в целом смогут управлять своими киберрисками и уверенно внедрять новые технологии.

Кибербезопасность рассматривается как высокий приоритет для высшего руководства 75% предприятий и 63% благотворительных организаций ^{[сноска 2]} . Институт дипломированных внутренних аудиторов также определил кибербезопасность как самый высокий риск для организаций в настоящее время и главный риск, с которым, по ожиданиям руководителей, столкнутся их организации в течение следующих трех лет ^{[сноска 3]} . Управление комиссара по информации (ICO) призвало организации повысить свою кибербезопасность на фоне растущего числа нарушений кибербезопасности ^{[сноска 4]} , чтобы гарантировать, что организации выполняют свои обязательства в соответствии с Общим регламентом по защите данных (UK GDPR) по защите личной информации. Совет по финансовой отчетности (FRC) также предпринял дальнейшие шаги по повышению значимости управления рисками кибербезопасности в своем Руководстве по кодексу корпоративного управления ^{[сноска 5]} , в котором излагается важность совета, управляющего киберрисками.

Однако относительно немногие предприятия и организации имеют четкие линии ответственности для обеспечения адекватного управления кибербезопасностью. Исследование нарушений кибербезопасности 2024 года показывает, что только 30% британских предприятий и благотворительных организаций имеют членов совета директоров или попечителей с явной ответственностью за кибербезопасность как часть их должностных обязанностей. Советы директоров не могут больше заниматься кибербезопасностью из-за отсутствия знаний, обучения и времени ^{[сноска 6]} . Данные из призыва Департамента цифровых технологий, культуры, медиа и спорта (DCMS) 2020 года о предоставлении доказательств по стимулам и правилам кибербезопасности показывают явный спрос со стороны отрасли на более четкое направление в отношении того, «как выглядит хорошо». Это особенно касается директоров, которые не имеют технического образования в области кибербезопасности ^{[сноска 7]} .

Целью Кодекса практики киберуправления является решение этих проблем путем оказания поддержки директорам и членам совета директоров в понимании того, что они должны делать как минимум для надзора за управлением киберрисками. Хотя не существует единого подхода, который подходил бы всем, есть некоторые общие фундаментальные действия, которые должны предпринимать все директора и их организации. Этот кодекс призван предоставить четкий набор действий, сформулированных на языке, используемом директорами. Кодекс призван прояснить связи между киберрисками и другими деловыми рисками, и он формализует ожидания правительства от директоров в управлении киберрисками.

DSIT также изучает, как код может быть использован для поддержки регулирующих органов, чтобы понять, как он может помочь в соблюдении нормативных требований, в том числе GDPR Великобритании.

Проект кодекса практики включает пять принципов, каждый из которых подкреплен от трех до пяти действий. Эти принципы — управление рисками, киберстратегия, люди, планирование и реагирование на инциденты, а также обеспечение и надзор. Кодекс был разработан в дополнение к набору инструментов кибербезопасности для советов директоров NCSC . Хотя кодекс устанавливает, что директора должны делать для управления киберрисками, набор инструментов предоставляет дополнительную информацию о том, как директора должны выполнять действия, изложенные в кодексе, и почему. Мы ожидаем, что кодекс и набор инструментов будут работать вместе, чтобы сформировать согласованный набор руководств для директоров и советов директоров.

Кодекс практики киберуправления также является неотъемлемой частью более широкого пакета кодексов практики, разрабатываемых DSIT ^{[сноска 8]} . Этот кодекс практики будет действовать как основополагающий кодекс, который имеет особое внимание к средним и крупным организациям во всех секторах, но может использоваться всеми организациями. Другие проекты кодексов практики, включая поставщиков программного обеспечения и ИИ, которые были опубликованы для консультаций в мае, имеют отношение к определенным секторам или областям технологий. Они являются дополнением к ранее опубликованным кодексам практики App Stores и Consumer IoT. Организации, которые подпадают под действие этих кодексов, также должны будут следовать кодексу управления. Сборник кодексов практики является частью более широкого подхода правительства к улучшению базовых практик кибербезопасности и киберустойчивости по всей Великобритании. DSIT разработал модульный подход к внедрению кодексов практики , чтобы помочь организациям понять, как они взаимодействуют и какие кодексы имеют для них значение.

3. Методология

Призыв к мнениям был открыт с 23 января по 19 марта 2024 года. Опрос был открыт для общественности, и ответы были получены от отдельных лиц и организаций. Респондентам было предложено принять участие в онлайн-опросе или отправить ответы по электронной почте.

В рамках призыва к мнениям респондентам было задано 32 вопроса по проекту кодекса практики, включая как закрытые, так и открытые вопросы. Респондентам не нужно было отвечать на каждый вопрос.

В анализ было включено 160 ответов. Это составило 140 онлайн-ответов и 20 ответов по электронной почте. Для включения в анализ респонденты должны были ответить на вопросы хотя бы из одного из основных разделов (Design, Uptake, Assurance) или предоставить ответ в вопросе «дополнительная обратная связь». Ответы исключались из анализа, если они не давали никаких ответов в этих разделах (т. е. отвечали только на демографические вопросы). Некоторые ответы также исключались, поскольку они были дубликатами.

В случае вопросов с открытым ответом каждый ответ был рассмотрен, и хотя не все доводы, высказанные каждым респондентом, могли быть отражены, ответы были закодированы для выявления общих тем.

Было предоставлено уведомление о конфиденциальности , содержащее информацию для участников об их правах и о том, как будут использоваться их ответы. Вся персонально идентифицируемая информация была удалена из анализа.

4. Ключевые темы и реакция правительства

а) Общая поддержка дизайна кода с некоторыми дополнительными предложениями.

Одной из основных целей призыва к представлению мнений было получение отзывов о разработке кодекса практики и степени поддержки различных элементов кодекса.

Анализ ответов

Ответы на призыв к мнениям показали, что общая поддержка разработки кодекса была. Как показано на рисунке 1, большинство респондентов согласились с тем, что предложенные принципы следует включить в кодекс (94% или более поддерживают каждый принцип).

Рисунок 1: Поддерживаете ли вы включение этого принципа в кодекс практики?

Базовые размеры: A: 141, B: 141, C: 141, D: 141, E: 142

В призыве к мнениям также спрашивалось, отсутствуют ли в кодексе какие-либо принципы. 39% заявили, что в кодексе отсутствуют принципы, в то время как 33% заявили, что не было никаких принципов. Еще один вопрос касался отсутствия каких-либо действий. 40% респондентов заявили, что в кодексе отсутствуют действия, в то время как 38% заявили, что их нет. Другие респонденты сказали, что не знают (28% по принципам, 23% по действиям).

Качественная обратная связь от респондентов включала предложения по различным дополнительным принципам. Одной из ключевых тем было предложенное добавление принципа технических мер, охватывающего такие области, как поддержание и управление техническими и ИТ-контролями, а также (существующими и новыми) технологиями. Также был проявлен интерес к руководству для советов директоров и директоров о том, как их участие может поддержать это, что респонденты считали основополагающим для проблем, с которыми сталкиваются в области кибербезопасности. Другим распространенным предложением было предложение о дополнительном принципе, охватывающем цепочки поставок и третьих лиц, в том числе для программного обеспечения. Респонденты подчеркнули, что это область, в которой организации в настоящее время не анализируют и не управляют рисками.

Качественная обратная связь по дополнительным действиям, в основном связанным с нетехническими мерами по содействию надлежащему киберуправлению, например, внутренний контроль, соблюдение нормативных требований и назначение ответственных лиц за киберуправление.

В целом, ответы на призыв к представлению мнений показали, что проект кодекса получил мощную поддержку, как показано выше на рисунке 1.

Реакция правительства

DSIT признает сильные положительные отзывы о включении каждого из пяти предложенных принципов, при этом 94% или более респондентов согласились с включением каждого принципа. Отзывы о том, какие дополнительные принципы или действия потребуются, были смешанными и неокончательными.

DSIT не будет вносить существенных изменений в дизайн кодекса практики до его публикации. Однако DSIT будет работать с NCSC и заинтересованными сторонами отрасли, чтобы внести незначительные изменения в формулировки, чтобы обеспечить большую ясность и гарантировать, что терминология правильно представлена для целевой аудитории. DSIT также оценит восприятие и влияние кодекса после публикации и будет работать с заинтересованными сторонами для периодического обзора и, при необходимости, обновления кода.

DSIT признает запрос некоторых на добавление дополнительных принципов и действий, особенно связанных с техническими мерами. Позиция DSIT заключается в том, что было бы нецелесообразно включать конкретные технические меры в кодекс практики по нескольким причинам. К ним относятся широкая целевая аудитория кодекса в нескольких секторах, намерение использовать его неспециалистами в области кибербезопасности и скорость, с которой развиваются технологии и требуемые технические меры. Однако DSIT укажет соответствующие указания NCSC в материалах, сопровождающих кодекс при его публикации.

б) Большинство респондентов выступают за схему обеспечения, в зависимости от ее структуры и преимуществ

Поиск отзывов о гарантии в соответствии с кодексом практики сформировал одну из трех основных тем призыва к мнениям. При обсуждении предлагаемого кодекса гарантия является темой, которая часто вызывает противоречивые мнения у различных заинтересованных сторон отрасли.

Схемы обеспечения могут помочь организациям продемонстрировать, что они соответствуют определенному руководству или набору стандартов. Их можно использовать для демонстрации соответствия потенциальным клиентам, оптимизации процессов управления поставщиками и повышения стимулов для следования надлежащей практике кибербезопасности.

Однако NCSC ^{[сноска 9]} и респонденты предыдущего призыва к мнениям ^{[сноска 10]} выразили предостережение относительно чрезмерной зависимости от схем обеспечения. Это может создать ложную уверенность и снизить стимулы для принятия других мер по обеспечению кибербезопасности, если ограничения схемы обеспечения не будут полностью поняты. Это может произойти, например, если заинтересованная сторона не осознает, что сертификация применяется только к части организации, а не ко всей организации, или сертификация не была продлена, когда это должно было быть сделано.

В ходе опроса респондентов просили высказать свое мнение о том, заинтересована ли их организация в получении внешнего подтверждения соответствия кодексу, о причинах этого и о типе внешнего подтверждения, который представлял бы наибольший интерес.

Анализ ответов

Призыв к мнениям показал, что интерес к схеме подтверждения есть, однако поддержка будет зависеть от ее разработки и предполагаемых выгод для организаций. Около половины респондентов (54%) сообщили, что их организация была бы заинтересована в получении внешнего подтверждения соответствия кодексу (рисунок 2.1).

Рисунок 2.1: Будет ли ваша организация заинтересована в получении внешних гарантий соответствия вашей организации кодексу?

База: 74

Качественная обратная связь показала, что респонденты, заинтересованные во внешнем подтверждении, склонны были думать, что это продемонстрирует общее соответствие и устойчивость внешним заинтересованным сторонам, в частности клиентам, поставщикам и другим организациям. Другие преимущества внешнего подтверждения кодекса, определенные респондентами, заключались в том, что оно давало бы конкурентное преимущество и позволяло бы лучше понимать внутренние риски и обеспечивать подтверждение для внутренних заинтересованных сторон (например, совета директоров).

Респонденты, которые не поддерживали внешнее подтверждение (11%), как правило, говорили, что это не принесет никакой дальнейшей пользы их организации, поскольку у них уже есть существующие аккредитации. Некоторые также заявили, что это было бы слишком обременительно, особенно для небольших организаций.

Как показано на рисунке 2.1, 27% респондентов также заявили, что они «не знают», будет ли их организация заинтересована во внешнем подтверждении. Качественная обратная связь показала, что некоторые из этих респондентов будут заинтересованы во внешнем подтверждении только в зависимости от затрат и связанных с этим выгод. Кроме того, некоторые из этих респондентов были заинтересованы во внешнем подтверждении только в определенных формах, а некоторые заявили, что это будет зависеть от структуры подтверждения и того, кто его предоставляет. По этим вопросам не было достигнуто единого мнения. Например, были разногласия между ответами о том, должно ли это быть государственное ведомство/независимая организация или частная фирма, которая должна предоставлять схему подтверждения.

Наблюдался сильный интерес к внешнему подтверждению кодекса, включающему самооценку с внешним обзором оценки, и некоторый интерес к независимому аудиту, как показано на рисунке 2.2. Следует отметить, что респонденты часто выбирали оба варианта. Это может указывать на интерес к многоуровневой схеме внешнего подтверждения и отражать призывы к тому, чтобы кодекс был чувствителен к различным типам организаций. Несколько респондентов, которые выбрали «другое» на вопрос о том, какой тип внешнего подтверждения следует использовать, прямо упомянули интерес к многоуровневой схеме аккредитации, похожей на Cyber Essentials и Cyber Essentials Plus .

Рисунок 2.2: Какой тип внешнего обеспечения следует использовать для демонстрации соответствия кодексу? Выберите все подходящие варианты.

База: 97

В целом, призыв к мнениям подчеркнул важность разработки схемы внешнего обеспечения. Хотя в некоторых областях разработки и преимуществ не было консенсуса, были более веские признаки интереса к внешнему обеспечению в форме самооценки и независимого аудита.

Реакция правительства

Ответы на призыв к мнениям показывают, что существует высокий уровень интереса к потенциальной схеме обеспечения, которая будет сопровождать кодекс практики. Однако существуют значительные проблемы в создании эффективной схемы обеспечения, которая была бы полезна организациям и их заинтересованным сторонам. Правительство позаботится о том, чтобы новая схема обеспечения не создавала чрезмерного бремени для организаций и не создавала извращенных стимулов для более слабого поведения в области безопасности. Например, плохо разработанная схема обеспечения может побудить организацию выбирать «быстрые решения» для получения сертификации вместо того, чтобы рассматривать то, что подходит организации.

Поэтому DSIT опубликует кодекс практики без сопутствующей схемы обеспечения в начале 2025 года. Однако DSIT будет тесно сотрудничать с ключевыми заинтересованными сторонами для дальнейшего изучения возможности создания сопутствующей схемы обеспечения на более позднем этапе. Это необходимо для того, чтобы преимущества добровольного кодекса практики могли быть реализованы раньше, не ставя под угрозу процесс разработки хорошей схемы обеспечения.

в) Область действия кодекса и его влияние на его внедрение

Кодекс практики киберуправления был разработан для применения к организациям всех размеров и во всех секторах. Действия, включенные в кодекс, предназначены для того, чтобы быть теми, которые должны выполнять все организации, при этом признавая, что некоторым организациям может потребоваться сделать больше в зависимости от их профиля риска и характера организации. Однако сфера действия кодекса и его применимость к различным типам организаций, особенно к небольшим организациям, были ключевой темой, поднятой респондентами.

Анализ ответов

Призыв к мнениям вызвал обратную связь по сфере действия кодекса, при этом многие респонденты указали, что небольшим организациям будет трудно внедрить руководство. На вопрос о препятствиях для эффективного внедрения, три главных препятствия были выбраны следующим образом: киберустойчивость не является приоритетом для директоров организаций всех размеров (71%), что существует недостаточный охват директоров малых и средних организаций (64%) и что кодекс рассматривается как кибертехническое руководство (60%) (рисунок 3).

Рисунок 3: Какие существуют препятствия для эффективного использования кода? Выберите все подходящие варианты.

Киберустойчивость не является приоритетом для директоров (организаций всех размеров)

71%

Существующие рекомендации уже эффективны (если да, то укажите, какие именно)

11%

Рассматривается как кибертехническое руководство

60%

Действия не позиционируются на уровне деятельности директора

43%

Отсутствие доступа к директорам малых и средних организаций

64%

Другой

46%

База: 99

Качественные ответы усилили эту обратную связь. Хотя респонденты выразили общую поддержку кодексу и работе правительства по киберуправлению, многие дали по крайней мере одну оговорку в своей поддержке, связанную с областью действия и внедрения кодекса. Наиболее заметно, что респонденты считали, что организации разных размеров имеют разные потребности, к которым кодекс в настоящее время не адаптирован (особенно небольшие организации). В некоторых качественных ответах респонденты также заявили, что внешнее обеспечение будет особенно дорогостоящим для небольших организаций, что затруднит внедрение. В целом, то, какие организации попадают в область действия кодекса, и любое потенциальное внешнее обеспечение стали ключевой областью интереса, а в некоторых случаях и критики кодекса. Однако большинство предположили, что адаптация текущего проекта кодекса или наличие вариаций кода будет достаточным для различных типов организаций.

Реакция правительства

После получения этой обратной связи DSIT разъяснит, что Кодекс практики киберуправления будет ориентирован в первую очередь на средние и крупные предприятия и организации. Терминология, используемая в кодексе, будет адаптирована для этих организаций. Правительство ожидает, что все средние и крупные предприятия и организации (50 сотрудников и более) должны иметь возможность внедрить кодекс.

Однако следует отметить, что многие малые предприятия (менее 50 сотрудников) играют важную роль в кибербезопасности более широких цифровых цепочек поставок. Это может быть связано с конфиденциальностью данных, которые они обрабатывают от имени других организаций, или с тем, что они предоставляют важную услугу организации с особенно высоким профилем риска, например, оператору критической национальной инфраструктуры. В таких случаях малому предприятию следует рассмотреть возможность использования кодекса практики для информирования о своих методах управления кибербезопасностью. Они могут пожелать адаптировать действия в рамках каждого принципа к своим обстоятельствам, стремясь при этом достичь тех же результатов.

Другие малые предприятия и организации могут захотеть сделать то же самое в зависимости от их киберзрелости и профиля риска. DSIT рекомендует малым предприятиям и организациям обратиться на веб-сайт NCSC для получения дополнительных рекомендаций, специально разработанных для этой аудитории. DSIT продолжает работать с NCSC , чтобы изучить, как поддержать малые предприятия и организации в реализации хорошей кибербезопасности, включая темы, охватываемые кодексом практики.

Организации с высоким уровнем риска, такие как владельцы и операторы критически важной национальной инфраструктуры, также должны использовать кодекс практики для информирования при проведении обсуждений и заключении соглашений со своими поставщиками всех размеров.

г. Ясность связей с другими стандартами, руководствами и другими ресурсами

В призыве к мнениям респондентов просили высказать предложения о том, как способствовать внедрению кодекса практики, особенно в плане связей с другими организациями и их продуктами или услугами. В рамках этого респонденты подчеркнули необходимость большей ясности в отношении того, как кодекс соотносится с этим более широким контекстом отраслевых стандартов и государственной политики, как внутренней, так и международной.

Анализ ответов

Респонденты на призыв к мнениям проявили сильный интерес к получению дополнительной информации о том, как кодекс связан с другими стандартами, руководствами и ресурсами. В частности, был интерес к дополнительной информации о том, как кодекс «сопоставляется» с существующей работой для ясности и согласованности, а также к предполагаемой выгоде от его внедрения.

Опрос по запросу мнений включал несколько вопросов о том, на какие соответствующие руководства следует ссылаться при публикации кодекса, какие инструменты следует выпускать вместе с кодексом/его публикацией, и в какие продукты и услуги следует включать кодекс. Отзывы настоятельно указывали на то, что кодекс должен быть связан с существующими государственными руководствами и законодательством, в частности, руководством NCSC . Кроме того, респонденты ссылались на различные международные или отраслевые примеры руководств и нормативных актов (например, руководство NIST, NIS2, FCA). Также было предложено включить кодекс в существующие программы обучения (особенно целевое обучение совета директоров), а несколько респондентов указали, что кодекс можно включить в страховые анкеты. В частности, респонденты часто подчеркивали возможность «сопоставления» кодекса с другими ресурсами, руководствами и стандартами, чтобы показать организациям, где есть совпадения, и создать последовательные подходы к киберуправлению.

Также был проявлен определенный интерес к новым руководствам и ресурсам (например, индикаторам надлежащей практики или рейтингам зрелости, специально созданным вокруг кодекса). Эта обратная связь, как правило, подчеркивала, что новые руководства, стандарты и инструменты должны быть нацелены конкретно на директоров (например, с простым языком, объясняющим технические аспекты) и/или что они должны быть получены из существующих руководств или соответствовать им.

В целом, призыв к представлению мнений показал, что существует заинтересованность в том, чтобы кодекс был объединен и контекстуализирован для организаций с другими руководствами и ресурсами, как внутренними, так и международными.

Реакция правительства

На момент публикации кодекса практики правительство предоставит дополнительную информацию о том, как кодекс соотносится с ключевыми международными и отраслевыми стандартами и руководствами. DSIT будет работать с отраслевыми и международными заинтересованными сторонами для изучения возможности проведения формального сопоставления между ними и Кодексом практики киберуправления. Кодекс также будет сопоставлен с NCSC Board Toolkit, что поможет членам совета директоров и старшим руководителям понять, как можно реализовать требования кодекса.

е. Заинтересованность в сотрудничестве правительства с широким кругом заинтересованных сторон для содействия принятию кодекса

Чтобы способствовать принятию кодекса практики, правительство будет взаимодействовать с различными заинтересованными сторонами. Это должно было бы описать, почему советы директоров и директора должны предпринять дальнейшие действия по киберуправлению, и почему принятие кодекса практики является наилучшим курсом действий. В рамках призыва к мнениям DSIT попросила высказать предложения о том, с кем им следует работать для продвижения кодекса.

Анализ ответов

Призыв к представлению мнений показал, что существует заинтересованность в том, чтобы правительство взаимодействовало с широким кругом заинтересованных сторон в целях поощрения принятия кодекса.

В ходе опроса респондентам задавался вопрос о том, какие организации или профессии могли бы лучше всего способствовать внедрению кодекса среди директоров. Наиболее часто выбираемыми ответами были комитеты по рискам/аудиту, директора по информационной безопасности, регуляторы и аудиторы – каждый из них был выбран 60% или более респондентов (таблица 1).

Таблица 1: Какие организации или профессии могли бы лучше всего помочь в продвижении кодекса среди директоров? Выберите все подходящие варианты

Организация/профессия	Число	%
Компании по управлению активами	27	27%
Аудиторы	64	63%
Директора по информационной безопасности	72	71%
Секретари компании	45	45%
Страховщики	60	59%
Инвесторы	44	44%
Юристы	35	35%
Регуляторы	68	67%
Комитеты по рискам/аудиту	76	75%
Акционеры	40	40%
Другой	36	36%

База: 101

Качественная обратная связь показала, что респонденты особенно поощряли правительство работать с профессиональными, торговыми и промышленными организациями (например, Институтом директоров, Федерацией малого бизнеса, Конфедерацией британской промышленности, торговыми палатами) и сетями советов директоров.

Многие респонденты также предположили, что внешние группы (т. е. те, кто мог бы заставить организации отвечать за кодекс) должны быть вовлечены в продвижение кодекса, причем респонденты чаще всего упоминали регуляторов, аудиторов, бухгалтеров, страховщиков и юристов как ключевые профессии и организации. Различные типы кибер- и ИТ-специфичных организаций также были упомянуты некоторыми респондентами (например, NCSC , поставщики киберобучения и пункты предупреждения, консультирования и отчетности (WARP)).

В целом респонденты, как правило, выражали заинтересованность в сотрудничестве правительства с более чем одной из этих организаций и профессий, что свидетельствует о заинтересованности в широком участии правительства в продвижении кодекса.

Реакция правительства

DSIT будет тесно сотрудничать с широким кругом заинтересованных сторон в ходе внедрения кодекса практики для содействия его широкому внедрению. DSIT будет особенно фокусироваться на взаимодействии с профессиональными, торговыми и отраслевыми организациями и сетями советов директоров. DSIT также будет работать с группами, которые могли бы возложить на организации ответственность за соблюдение кодекса, такими как регулирующие органы, аудиторы, бухгалтеры, страховщики и юристы. Работа с этими группами будет особенно важна для содействия внедрению кодекса после его публикации.

DSIT также продолжит работать со своей существующей сетью профессионалов в области кибербезопасности, чтобы протестировать дизайн и оценить влияние внедрения кода. Это будет важно для обеспечения того, чтобы код адекватно учитывал текущие и будущие киберугрозы, поскольку характер кибербезопасности со временем меняется.

е. Другие поднятые вопросы

Некоторые призывы к законодательству

Как указано в призыве к мнениям, намерение состоит в том, чтобы кодекс практики был запущен как добровольный инструмент, то есть без собственной законодательной основы. Респондентов призыва к мнениям не спрашивали напрямую об их мнении о том, чтобы сделать соблюдение кодекса юридическим обязательством для определенных организаций, хотя некоторые из них подняли этот вопрос в своих ответах на другие вопросы, особенно те, которые касались гарантий и стимулирования внедрения.

Анализ ответов

Были некоторые отзывы от открытых текстовых вопросов в призыве к мнениям, которые призывали к законодательству о киберуправлении. Хотя это мнение было среди меньшинства респондентов, это была повторяющаяся тема в нескольких областях качественной обратной связи.

Например, когда их спросили о том, в какие продукты или услуги следует включить код, несколько респондентов предположили, что его следует включить в законодательство или регулирование. Из этих ответов большинство ссылались на существующее законодательство (например, Закон о защите данных и NIS), однако некоторые также предложили включить код в новые кибер- и технологические правила.

Призывы к принятию законодательства также были отмечены в дополнительных полученных отзывах, где высказывалась определенная поддержка идеи сделать кодекс обязательным или ввести вокруг него правила.

В целом, судя по призыву высказать свое мнение, можно отметить определенный интерес к законодательству об управлении в киберпространстве, хотя он был проявлен меньшинством респондентов.

Реакция правительства

DSIT опубликует кодекс практики в качестве добровольного инструмента в начале 2025 года. Правительство будет контролировать внедрение кодекса и оценивать его эффективность в улучшении управления киберрисками. DSIT продолжит изучать варианты того, как кодекс может быть использован для содействия соблюдению нормативных требований, включая UK GDPR. Если внедрение кодекса будет ограниченным и не будет достаточных улучшений в управлении киберрисками, DSIT рассмотрит варианты более жестких рычагов для содействия более широкому внедрению. Это может включать в себя будущее введение законодательства и/или использование требований государственных закупок.

5. Дальнейшие шаги

Тесно сотрудничая с NCSC , DSIT внесет незначительные изменения в Кодекс практики киберуправления перед его публикацией в начале 2025 года.

DSIT и NCSC разработают материалы для поддержки внедрения кодекса и будут тесно сотрудничать с заинтересованными сторонами отрасли для содействия его внедрению. Эти заинтересованные стороны отрасли будут включать профессиональные, торговые и промышленные организации и сети советов директоров, а также группы, которые могли бы заставить организации отвечать за кодекс.

DSIT будет стремиться к сотрудничеству с промышленностью с целью разработки публичного обязательства, которое будет способствовать внедрению кодекса путем чествования ключевых партнеров, внедряющих кодекс и стремящихся стимулировать его внедрение в своих секторах.

DSIT и NCSC будут работать над тем, чтобы обеспечить ясность взаимодействия между Кодексом практики киберуправления и другими государственными политиками, стандартами, руководствами и ресурсами. Это включает в себя предстоящий законопроект о кибербезопасности и устойчивости.

DSIT будет работать с NCSC и заинтересованными сторонами отрасли для мониторинга внедрения и внедрения кодекса практики. DSIT будет корректировать и обновлять политику по мере необходимости, следуя этим выводам и по мере развития ландшафтов кибербезопасности и технологий с течением времени.

Приложение A – результаты опроса с закрытыми вопросами и диаграммы

В этом приложении содержатся диаграммы и количественные данные из ответов на закрытые вопросы опроса по запросу мнений. Они представлены в этом приложении для демонстрации полной прозрачности количественных данных.

В8-12: Поддерживаете ли вы включение этого принципа в Кодекс практики?

Базовые размеры: A: 141, B: 141, C: 141, D: 141, E: 142

Немаркированные столбики составляют менее 2%.

В13: Отсутствуют ли какие-либо принципы в текущей версии Кодекса практики?

База: 137

В15: Есть ли еще какие-либо действия, отсутствующие в текущей версии Кодекса практики?

База: 128

Q19: Где должен быть опубликован код? Выберите все подходящие варианты.

База: 104

Q22: Какие организации или профессии могли бы лучше всего способствовать внедрению Кодекса среди директоров? Выберите все подходящие варианты.

Компании по управлению активами

27%

Аудиторы

63%

Директора по информационной безопасности

71%

Секретари компании

45%

Страховщики

59%

Инвесторы

44%

Юристы

35%

Регуляторы

67%

Комитеты по рискам/аудиту

75%

Акционеры

40%

Другой

36%

База: 101

В24: Будет ли ваша организация заинтересована в получении внешних гарантий соблюдения ею Кодекса?

База: 74

Q26: Если да, что побудило бы вас обрести уверенность в Кодексе? Выберите все подходящие варианты.

Повышение общей киберустойчивости

85%

Помощь в обеспечении соответствия нормативным требованиям, включая GDPR Великобритании и NIS

79%

Соответствие существующим стандартам, установленным конкурентами в вашем секторе

54%

Соблюдение требований цепочки поставок

67%

Предоставление внешних и внутренних гарантий, например, клиентам и акционерам

82%

Другой

10%

База: 39

В27: Какой тип внешнего подтверждения следует использовать для демонстрации соответствия Кодексу? Выберите все подходящие варианты.

База: 97

В28: Какие организации или профессии оценили бы другие организации, получившие заверения в соответствии с Кодексом? Выберите все подходящие варианты.

Компании по управлению активами

41%

Аудиторы

63%

Директора по информационной безопасности

63%

Секретари компании

37%

Страховщики

74%

Инвесторы

66%

Юристы

37%

Регуляторы

78%

Комитеты по рискам/аудиту

70%

Акционеры

69%

Никто

Другой

28%

База: 90

Q30 Какие существуют препятствия для эффективного внедрения Кодекса? Выберите все подходящие варианты.

Киберустойчивость не является приоритетом для директоров (организаций всех размеров)

71%

Существующие рекомендации уже эффективны (если да, то укажите, какие именно)

11%

Рассматривается как кибертехническое руководство

60%

Действия не позиционируются на уровне деятельности директора

43%

Отсутствие доступа к директорам малых и средних организаций

64%

Другой

46%

База: 99

Приложение B – анкета опроса

Раздел 1: Демографические вопросы

1. Вы отвечаете как частное лицо или от имени организации?

Индивидуальный
Организация

2.Какое из следующих утверждений лучше всего вас описывает?

Академический
Аудитор
Секретарь компании
Специалист по кибербезопасности
Исполнительный директор
Неисполнительный директор
Заинтересованный представитель общественности
Другое [если выбрано, то появится текстовое поле с указанием]

3.[if organization] Сколько человек работает в вашей организации по всей Великобритании в целом? Пожалуйста, оцените, если вы не уверены.

Меньше 10
10–49
50–249
250–499
500-999
1000 или больше
Не уверен

4.[если вы физическое лицо] Где вы находитесь?

Англия
Шотландия
Уэльс
Северная Ирландия
Европа (кроме Англии, Шотландии, Уэльса и Северной Ирландии)
Северная Америка
Южная Америка
Африка
Азия
Океания (Австралия и соседние страны)
Другое [если выбрано, то появится текстовое поле с указанием]

5.[если организация] Где находится штаб-квартира вашей организации?

Англия
Шотландия
Уэльс
Северная Ирландия
Европа (кроме Англии, Шотландии, Уэльса и Северной Ирландии)
Северная Америка
Южная Америка
Африка
Азия
Океания (Австралия и соседние страны)
Другое [если выбрано, то появится текстовое поле с указанием]

6. Вы готовы, чтобы Департамент науки, инноваций и технологий связался с вами для дальнейшего обсуждения вашего ответа на этот призыв к высказанным мнениям?

Да
Нет

7.[Если да] Пожалуйста, предоставьте нам:

а. контактное лицо б. организация (если применимо) в. адрес электронной почты.

Раздел 2: Вопросы дизайна

В этом разделе мы хотели бы узнать ваше мнение о пяти принципах Кодекса практики (Приложение A). Мы спросим вас о каждом принципе по очереди и о том, следует ли учитывать какие-либо другие принципы.

А: Управление рисками

8.Поддерживаете ли вы включение этого принципа в Кодекс практики?

Да
Нет
Не знаю

B: Киберстратегия

9.Поддерживаете ли вы включение этого принципа в Кодекс практики?

Да
Нет
Не знаю

С: Люди

10.Поддерживаете ли вы включение этого принципа в Кодекс практики?

Да
Нет
Не знаю

D: Планирование и реагирование на инциденты

11.Поддерживаете ли вы включение этого принципа в Кодекс практики?

Да
Нет
Не знаю

E: Обеспечение и надзор

12.Поддерживаете ли вы включение этого принципа в Кодекс практики?

Да
Нет
Не знаю

13.Отсутствуют ли какие-либо принципы в текущей версии Кодекса практики?

Да
Нет
Не знаю

14.[Если ответ «да»] Пожалуйста, укажите любые новые принципы, которые, по вашему мнению, следует включить, и объясните, почему. (1800 символов)

15. Есть ли еще какие-либо действия, отсутствующие в текущей версии Кодекса практики?

Да
Нет
Не знаю

16.[Если ответ «да»] Пожалуйста, укажите любые новые действия, которые, по вашему мнению, следует включить, и объясните, почему. (1800 символов)

17. На какие соответствующие рекомендации следует ссылаться при публикации Кодекса практики, чтобы помочь директорам предпринять действия, изложенные в Кодексе? (1800 символов)

18.Какие инструменты, такие как «зеленые флажки», т. е. показатели надлежащей практики, контрольные списки и т. д., следует включить в публикацию или выпустить вместе с Кодексом практики, чтобы помочь директорам выполнять действия, изложенные в Кодексе? (1800 символов)

Раздел 3: Вопросы, вызывающие интерес

19.Где должен быть опубликован код? Выберите все подходящие варианты. [Мультикод]

Сайт Института директоров
веб-сайт FRC
веб-сайт NCSC
Правительство Великобритании
Другое — отраслевой веб-сайт [свободный текст для заполнения]
Другое — правительственный веб-сайт [свободный текст для заполнения]

20. С кем должно сотрудничать правительство для продвижения Кодекса, чтобы он дошел до директоров и лиц, занимающих должности, ответственные за организационное управление? (1800 символов)

21.В какие продукты или услуги (включая программы обучения директоров, существующие руководства, продукты аккредитации и т. д.) можно включить Кодекс, чтобы способствовать его внедрению среди директоров? (1800 символов)

22.Какие организации или профессии могли бы лучше всего помочь в продвижении Кодекса среди директоров? Выберите все подходящие варианты. [Мультикод]

Компании по управлению активами
Аудиторы
Директора по информационной безопасности
Секретари компании
Страховщики
Инвесторы
Юристы
Регуляторы
Комитеты по рискам/аудиту
Акционеры
Другое [укажите]

23.[Если ответили «Другое»] Пожалуйста, укажите любые другие заинтересованные стороны рынка, не включенные в список, и объясните почему. (1800 символов)

Раздел 4: Вопросы для подтверждения

24.[если организация] Будет ли ваша организация заинтересована в получении внешних гарантий соблюдения ею Кодекса?

Да
Нет
Я не знаю
Непригодный

25.[если организация] Пожалуйста, объясните свой ответ. (1800 символов)

26.[если да] Если да, что бы побудило вас обрести уверенность в кодексе? Выберите все подходящие варианты. [Мультикод]

Повышение общей киберустойчивости
Соблюдение GDPR
Соответствие существующим стандартам, установленным конкурентами в вашем секторе
Соблюдение требований цепочки поставок
Предоставление внешних и внутренних гарантий, например клиентам и акционерам
Другое [укажите]

27.Какой тип внешнего обеспечения следует использовать для демонстрации соответствия кодексу? Выберите все подходящие варианты. [Мультикод]

Самооценка с внешним обзором оценки (не аудит практики управления)
Выборочные проверки
Независимый аудит
Другое [укажите]

28.Какие организации или профессии оценили бы другие организации, получившие гарантии в соответствии с кодексом? Выберите все подходящие варианты. [Мультикод]

Компании по управлению активами
Аудиторы
Директора по информационной безопасности
Секретари компании
Страховщики
Инвесторы
Юристы
Регуляторы
Комитеты по рискам/аудиту
Акционеры
Никто
Другой

29. [Если ответили «Другое»] Пожалуйста, укажите любые другие заинтересованные стороны рынка, которые не были включены, и объясните почему. (1800 символов)

Раздел 5: Препятствия к внедрению

30.Какие барьеры могут существовать для эффективного использования Кодекса? Выберите все подходящие варианты. [Мультикод]

Киберустойчивость не является приоритетом для директоров (организаций всех размеров)
Существующие рекомендации уже эффективны [если да, укажите, какие рекомендации]
Рассматривается как кибертехническое руководство
Действия не позиционируются на уровне деятельности директора
Отсутствие доступа к директорам малых и средних организаций
Другое [укажите]

Раздел 6: Заключение

31.Спасибо, что уделили время для заполнения опроса. Мы ценим ваше время. Есть ли еще какие-либо отзывы, которыми вы хотели бы поделиться?

Да
Нет

32.[Если да], пожалуйста, изложите свой дополнительный отзыв в поле ниже. (2500 символов)

Вернуться наверх

WikiVisa — ВикиВиза — VikiVisa

Киберуправление — Кодекс практики 2025

Реакция правительства на киберуправление

Документы

Ответ правительства на призыв высказать свое мнение по вопросу киберуправления (PDF)

Ответ правительства на призыв высказать свое мнение по вопросу киберуправления

Ответ правительства на киберуправление (доступный в Интернете PDF-файл)

Подробности

Обновления на этой странице

Подпишитесь на рассылку по электронной почте или распечатайте эту страницу

Связанный контент

О нас

NOTA BENE