В мае 2017 года Департамент финансовых услуг штата Нью-Йорк (NYDFS) выпустил 23 NYCRR Part 500, новое правило кибербезопасности. Это постановление сейчас действует в полную силу, но что именно, может быть неясно.
С момента объявления этот набор требований претерпел несколько изменений, и его юридическая формулировка может быть неясной. Что такое правила кибербезопасности NYDFS и как они влияют на вас? Давайте рассмотрим подробнее.
Что такое правила кибербезопасности NYDFS?
Списки регулирования кибербезопасности NYDFS требования безопасности для финансовых услуг в Нью-Йорке. Подобно Общему регламенту по защите данных (GDPR) в Европе, эти правила направлены на защиту данных граждан, заставляя компании соблюдать определенный стандарт. В данном случае эти стандарты исходят в основном из Структура кибербезопасности NIST.
Согласно этим правилам финансовые компании Нью-Йорка должны:
- Периодически проверяйте безопасность своих ИТ-систем и конфиденциальность данных.
- Записывайте события кибербезопасности и храните эти записи в течение пяти лет.
- Разработайте политики и процедуры для безопасного удаления личной информации, которая им больше не нужна.
- Ограничьте доступ к личной информации (PII) и регулярно просматривайте эти привилегии.
- Составьте подробный письменный план об обнаружении инцидентов, связанных с кибербезопасностью, реагировании на них и восстановлении после них.
- Уведомить NYDFS в течение 72 часов о событии кибербезопасности.
В отличие от некоторых аналогичных законов, правила кибербезопасности NYDFS включают подробные инструкции о том, из чего должны состоять эти планы безопасности и отчетности. Это также требует, чтобы компании обеспечивали безопасность своих третьих лиц, а не только их внутренние операции.
Эти требования делают этот регламент одним из самых широких и строгих среди всех штатов. Компании, которые их нарушают, могут столкнуться с крупными штрафами, но полный размер штрафов до сих пор неясен.
На кого распространяется Положение о кибербезопасности NYDFS?
Регулирование кибербезопасности NYDFS применяется к любому физическому или юридическому лицу для этого нужна лицензия от NYDFS. Это касается финансовых и страховых компаний Нью-Йорка, в том числе:
- Банки.
- Кредитные союзы.
- Инвестиционные компании.
- Лицензированные кредиторы.
- Ипотечные брокеры.
- Страховые компании.
- Ссудо-сберегательные ассоциации.
Эти покрытые организации включают местные предприятия и иностранные компании, имеющие лицензию на работу в Нью-Йорке. Например, хотя Deutsche Bank является немецкой компанией, он должен соответствовать требованиям 23 NYCRR Part 500, поскольку работает в Нью-Йорке.
Из этого списка есть несколько исключений. Компании с менее чем 10 сотрудниками, менее 5 миллионов долларов годового дохода из Нью-Йорка за последние три года или менее 10 миллионов долларов в совокупных активах на конец года освобождаются от уплаты налога. То же самое и с предприятиями, которые не хранят и не обрабатывают личную информацию, но это маловероятно для компании, оказывающей финансовые услуги.
Что для вас означает положение о кибербезопасности?
Если вы живете или являетесь банком в штате Нью-Йорк, ваше учреждение, вероятно, подпадает под эти правила. Даже если вы этого не сделаете, правила кибербезопасности NYDFS все равно могут применяться к вашему банку. Если у него есть филиал в штате и он отвечает финансовым требованиям, он должен им соответствовать.
Как клиент банка, вам не нужно предпринимать никаких действий в соответствии с этими требованиями. Однако вы можете увидеть некоторые изменения в том, как работает ваше финансовое учреждение или страховщик. Возможно, вам придется использовать дополнительные меры безопасности, такие как многофакторная проверка подлинности (MFA), или настроить свои разрешения, поскольку эти компании улучшить свои меры кибербезопасности.
Структура кибербезопасности NIST, которая вдохновила эти правила, включает своевременный обмен информацией, что может повлиять на вас. Если в вашем банке или страховщике произошел инцидент, им, возможно, придется вас уведомить. Скорее всего, вам не придется ничего делать в ответ, но вы можете рассчитывать на получение таких сообщений.
Даже если у вас нет никаких юридических обязательств согласно 23 NYCRR Part 500, лучше всего быть осторожными с вашей финансовой информацией. Всегда используйте уникальные надежные пароли, по возможности включайте MFA и никогда не передавайте PII неизвестному источнику. Строгость этих правил подчеркивает важность этих вопросов, поэтому будьте осторожны.
Правительства более серьезно относятся к кибербезопасности
Регламент кибербезопасности NYDFS - один из многих недавних примеров того, как местные органы власти издают законы о кибербезопасности. Поскольку цифровые инструменты становятся все более распространенными в повседневной жизни, эти правила будут только расти.
Потребители и компании должны быть в курсе этих правил, чтобы убедиться, что они соблюдают. Поначалу может показаться, что эти изменения все усложняют, но они являются необходимым шагом на пути к повышению безопасности.
Ваши учетные записи в социальных сетях и смартфоны собирают данные о вас, и эта информация может использоваться государственными учреждениями. Вот как и почему.
Читать далее
- Безопасность
- Компьютерная безопасность
- Конфиденциальность в Интернете
- Безопасность данных
Шеннон - создатель контента из Филадельфии, штат Пенсильвания. Она писала в области технологий около 5 лет после получения степени в области информационных технологий. Шеннон - управляющий редактор журнала ReHack Magazine, освещающий такие темы, как кибербезопасность, игры и бизнес-технологии.
Подписывайтесь на нашу новостную рассылку
Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!
Нажмите здесь, чтобы подписаться
