New York State Department of Financial Services 23 NYCRR 500

promo nydfs header
ธ.ค. 2022
หน้าแรกของบล็อก

ข้อกำหนดด้านความปลอดภัยทางไซเบอร์จากแผนกบริการด้านการเงินของรัฐนิวยอร์ก 23 NYCRR 500

เงื่อนไขด้านความปลอดภัยของระบบคอมพิวเตอร์สำหรับหน่วยงานให้บริการด้านการเงิน

ได้มาตรฐานของ Kingston

จัดการภัยคุกคามและช่วยลดความเสี่ยงต่าง ๆ

Encrypted lineup

มีหลากหลายรุ่นตามความต้องการทั้งสำรองใช้งานส่วนตัว สำหรับองค์กรหรือภาครัฐ

  • สื่อบันทึกข้อมูล USB แบบเข้ารหัสที่ได้มาตรฐาน 100%
  • ใช้งานง่าย ไม่ยุ่งยาก ไม่ต้องติดตั้งซอฟต์แวร์หรือไดร์เวอร์
  • ออกแบบมาให้ใช้งานได้อย่างรวดเร็วและมีประสิทธิภาพ
Compliance logos

NYDFS - 23 NYCRR 500: ข้อสำคัญ 5 ประการที่ควรทราบ:

ประเด็นสำคัญ 5 ประการเพื่อให้แน่ใจว่าคุณผ่านเกณฑ์มาตรฐาน:

  1. เข้ารหัสข้อมูลที่อ่อนไหวทั้งระหว่างนำส่งและพักเก็บไว้ (มาตรา 500.15 เรื่องการเข้ารหัสข้อมูลที่ไม่เปิดเผยแก่สาธารณะ)
  2. การแต่งตั้งประธานเจ้าหน้าที่ฝ่ายความปลอดภัยด้านสารสนเทศ (CISO)
  3. กำหนดแผนงานด้านความปลอดภัยของระบบคอมพิวเตอร์
  4. ปรับใช้นโยบายความปลอดภัยทางคอมพิวเตอร์
  5. การกำกับดูแลผู้ให้บริการจากภายนอก
    • ครอบคลุม:
      • การทดสอบการเจาะระบบประจำปี
      • การประเมินความเสี่ยงปีละสองครั้ง
New York State Seal

มีโทษใดบ้างหากไม่ปฏิบัติตาม

ภายใต้แผนของ DFS ใหม่ ผู้บริหารของบริษัทจะต้องรับรองการควบคุมมาตรฐาน NY DFS เป็นประจำทุกปี

  • หากพบว่าการรับรองมาตรฐานเหล่านี้ไม่ถูกต้อง สามารถชี้มูลอ้างอิงเพื่อให้ DFS หรือผู้บริโภคเรียกร้องสิทธิ์กับทางธนาคาร บริษัทประกันและสถาบันการเงินอื่น ๆ กรณีละเมิดการรับรองเหล่านี้ หมายเหตุกำกับข้อเสนอว่าจะมีการปฏิบัติตามเงื่อนไขอย่างเคร่งครัด “ภายใต้เงื่อนไขทางกฎหมายที่เกี่ยวข้อง” ครอบคลุมทั้ง:
    • ยกตัวอย่างเช่น New York Banking Law, New York Insurance Law
    • มีกำหนดโทษทางแพ่งและทางอาญาสำหรับกรณีจงใจแจ้งข้อมูลอันเป็นเท็จให้แก่ DFS
มีโทษใดบ้างหากไม่ปฏิบัติตาม

ฉันต้องทราบอะไรบ้าง

ไฮไลท์

  • อ้างอิงจากมาตรฐาน NIST
  • ข้อเสนอแบบเหมารวมมีผลกับธนาคาร บริษัทประกันและหน่วยงานด้านการเงินอื่น ๆว่าจะต้องรับผิดชอบด้านการป้องกันข้อมูลที่อยู่ระหว่างนำส่งและพักเก็บไว้
  • การติดต่อเสนอให้หน่วยงานต่าง ๆ เข้ารหัสข้อมูลที่อ่อนไหวทั้งระหว่างนำส่งและพักเก็บไว้
  • มีผลกับ Wall Street และบริษัทประมาณ 1,900 แห่งที่มีทรัพย์สินมากถึง 2.9 ล้านล้านเหรียญสหรัฐฯ (USD)
  • มีผลกับผู้ที่ต้องรับผิดชอบกรณีละเมิด โดยจะต้องมีมาตรการตรวจติดตามและแผนดำเนินการต่อเนื่องไปจนถึงระดับคณะกรรมการบริหาร
  • บริษัทต่าง ๆ จะต้องกำหนดหลักเกณฑ์ นโยบายการจัดการและปรับปรุงมาตรการการกำกับดูแลผู้ให้บริการโดยกำหนดมาตรฐานขั้นต่ำในการติดต่อธุรกิจกับสถาบันการเงิน

การเข้ารหัสข้อมูล

  • ไดร์ฟ USB เข้ารหัส Kingston และ IronKey เป็นหนึ่งในผลิตภัณฑ์ที่ใช้เพื่อกำหนดมาตรฐานในการเข้ารหัสข้อมูล
  • การติดต่อเสนอให้หน่วยงานต่าง ๆ เข้ารหัสข้อมูลที่อ่อนไหวทั้งระหว่างนำส่งและพักเก็บไว้ (Section 500.15 เรื่องการเข้ารหัสข้อมูลที่ไม่เปิดเผยแก่สาธารณะ)
    • Section 500.15 เรื่องการเข้ารหัสข้อมูลที่ไม่เปิดเผยแก่สาธารณะ
      • (ก) ภายใต้แผนการดูแลความปลอดภัยทางอินเทอร์เน็ต และตามข้อมูลการประเมินความเสี่ยง หน่วยงานที่อยู่ในหลักเกณฑ์แต่ละแห่งจะต้องกำหนดมาตรการควบคุม รวมทั้งการเข้ารหัส เพื่อปกป้องข้อมูลที่ไม่เปิดเผยแก่สาธารณะที่ถือครองหรือถ่ายโอนโดยหน่วยงานที่อยู่ในหลักเกณฑ์ ทั้งในการส่งไปยังเครือข่ายภายนอกหรือในการจัดเก็บภายใน
  • กำหนดให้หน่วยงานต่าง ๆ ที่ประมวลผลหรือเก็บรักษาข้อมูลระบุตัวบุคคลจะต้องกำหนดมาตรการด้านความปลอดภัยที่เหมาะสมเพื่อป้องกันข้อมูลส่วนบุคคลสูญหาย
  • หน่วยงานต่าง ๆ จะต้องกำหนดมาตรฐานการเข้ารหัสที่ดีขึ้นในสัญญาข้อตกลงกับผู้ให้บริการจากภายนอก (Section 500.11 นโยบายการรักษาความปลอดภัยของผู้ให้บริการจากภายนอก)
    • หน่วยงานที่มีผู้ให้บริการเป็นจำนวนมาก เนื่องจากจะต้องมีการตรวจสอบว่าผู้ให้บริการแต่ละรายปฏิบัติตามเงื่อนไขในการเข้ารหัสข้อมูลหรือไม่
      • Section 500.11 นโยบายการรักษาความปลอดภัยของผู้ให้บริการจากภายนอก
        • (2) นโยบายและกระบวนการสำหรับผู้ให้บริการจากภายนอกสำหรับใช้การเข้ารหัสตามที่กำหนดใน Section 500.15 นี้เพื่อปกป้องข้อมูลที่ไม่เปิดเผยแก่สาธารณะระหว่างการนำส่งและเก็บรักษา

จะส่งผลต่อธุรกิจของฉันอย่างไรบ้าง

  • ธุรกิจในกลุ่มธนาคาร ประกันภัยและสถาบันการเงินอื่น ๆ ในเมืองนิวยอร์ก หรือหากคุณให้บริการหรือมีสัญญาข้อตกลงเป็นผู้ให้บริการกับหน่วยงานเหล่านี้ คุณจะต้องปฏิบัติตามและอยู่ภายใต้หลักเกณฑ์เดียวกันนี้
  • นอกจากนี้คุณจะต้องปฏิบัติตามระเบียบข้อบังคับและกฎเกณฑ์ในการกำหนดระบบการทำงานที่เหมาะสมเพื่อรักษาความปลอดภัยและเข้ารหัสส่วนการจัดเก็บข้อมูลต่าง ๆ
  • กำหนดให้หน่วยงานต่าง ๆ ที่ประมวลผลหรือเก็บรักษาข้อมูลระบุตัวบุคคลจะต้องกำหนดมาตรการด้านความปลอดภัยที่เหมาะสมเพื่อป้องกันข้อมูลส่วนบุคคลสูญหาย

ธุรกิจของฉันจะต้องทำอย่างไรเพื่อให้เป็นไปตามเงื่อนไข

  • จัดทำแผนผังโครงสร้างผลิตภัณฑ์/อุปกรณ์ทั้งภายในและภายนอกที่ใช้เพื่อจัดเก็บข้อมูล
    บันทึกประวัติและกำหนดให้มีการใช้อุปกรณ์ของบริษัทภายใต้นโยบายดูแลความปลอดภัยข้อมูลของคุณ รวมทั้งใช้การเข้ารหัสข้อมูลร่วมด้วย ส่วนประกอบต่าง ๆ เช่น ฮาร์ดไดร์ฟ SSD แฟลชไดร์ฟ USB คอมพิวเตอร์และอุปกรณ์พกพา
  • การวิเคราะห์รายการคงคลัง
    ประเมินปริมาณข้อมูลส่วนบุคคลโดยรวม
  • ล้างข้อมูล
    ทำลายข้อมูลจัดเก็บแยกที่ไม่จำเป็นที่สามารถระบุตัวบุคคล (PII)
  • ผู้กำกับดูแลข้อมูล
    พิจารณาทบทวนปัจจัยเสี่ยงด้านความเป็นส่วนตัวและประเมินผลกระทบ
  • สัญญาข้อตกลง
    ปกป้องธุรกิจของคุณในอนาคตโดยการปรับใช้นโยบายภาคบังคับต่าง ๆ หลังวันบังคับใช้เดือนกุมภาพันธ์ 2018
  • การละเมิดข้อมูล
    ข้อบังคับกำหนดให้มีการแจ้งเหตุภายใน 72 ชั่วโมง

แนวทางแก้ไข - กำหนดมาตรการป้องกันที่เหมาะสม มาตรฐานด้านเทคนิคและนโยบายต่าง ๆ เช่น การเข้ารหัสข้อมูลส่วนบุคคล/ข้อมูลระบุตัวบุคคล (PII) เพื่อลดโอกาสเสี่ยงในการละเมิดมาตรฐาน เพิ่มเติม

การแจ้งกรณีละเมิด

การแจ้งกรณีละเมิดข้อมูลจะต้องมีขึ้นภายใน 72 ชั่วโมงหลังจากทราบเหตุละเมิดหากสามารถทำได้ ทั้งนี้ไม่ได้กำหนดว่าจะต้องแจ้งกับ DPA หากไม่คาดว่าอาจกระทบสิทธิ์หรือเสรีภาพของบุคคลใด ๆ

สิทธิ์ของผู้บริโภค

ข้อมูลระบุตัวบุคคล (PII) คืออะไร

ข้อมูลระบุตัวบุคคล (PII) หรือข้อมูลส่วนบุคคลที่อ่อนไหว (SPI) ตามที่ระบุในกฎหมายความเป็นส่วนตัวและความปลอดภัยของข้อมูลของสหรัฐฯ คือข้อมูลที่หากใช้โดยตัวมันเองหรือร่วมกับข้อมูลอื่่นแล้วสามารถระบุตัวตน ข้อมูลติดต่อหรือระบุสถานที่ของบุคคลหรือใช้ระบุตัวบุคคลได้ผ่านเนื้อหาในภาพรวม

  • ข้อมูลระบุตัวบุคคล (PII) หรือข้อมูลส่วนบุคคลที่อ่อนไหว (SPI) ตามที่ระบุในกฎหมายความเป็นส่วนตัวและความปลอดภัยของข้อมูลของสหรัฐฯ คือข้อมูลที่หากใช้โดยตัวมันเองหรือร่วมกับข้อมูลอื่่นแล้วสามารถระบุตัวตน ข้อมูลติดต่อหรือระบุสถานที่ของบุคคลหรือใช้ระบุตัวบุคคลได้ผ่านเนื้อหาในภาพรวม https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )
สิทธิ์ของผู้บริโภค

นโยบายความปลอดภัยของระบบคอมพิวเตอร์

(จาก “Cybersecurity requirements for financial services companies”: https://www.governor.ny.gov/sites/default/files/atoms/files/Cybersecurity_Requirements_Financial_Services_23NYCRR500.pdf )

หน่วยงานที่เข้าหลักเกณฑ์แต่ละแห่งจะต้องปรับใช้และกำกับดูแลเอกสารระบุนโยบายที่ผ่านการรับรองโดยผู้บริหารระดับสูงหรือคณะกรรมการบริหารของหน่วยงานของตน (หรือคณะกรรมการที่เกี่ยวข้อง) หรือหน่วยงานกำกับดูแลเทียบเท่า โดยกำหนดนโยบายและกระบวนการของหน่วยงานที่เข้าหลักเกณฑ์ในการปกป้องระบบสารสนเทศและข้อมูลที่ไม่เปิดเผยแก่สาธารณะที่จัดเก็บในระบบสารสนเทศเหล่านี้

CyberSecurity

(ก) การดูแลความปลอดภัยของข้อมูล
(ข) การกำกับดูแลและแยกประเภทข้อมูล
(ค) คลังข้อมูลและการจัดการอุปกรณ์ต่าง ๆ
(ง) การควบคุมการใช้งานและการจัดการส่วนการแสดงตัวตน
(จ) การวางแผนและจัดสรรทรัพยากรด้านความต่อเนื่องทางธุรกิจและการกู้ระบบจากภัยพิบัติ
(ฉ) การทำงานของระบบการทำงานต่าง ๆ และข้อกังวลด้านความพร้อมใช้งาน
(ช) การรักษาความปลอดภัยของระบบการทำงานและเครือข่าย
(ซ) การตรวจติดตามระบบการทำงานและเครือข่าย
(ฌ) การพัฒนาและรับรองคุณภาพของระบบการทำงานและแอพพลิเคชั่นต่าง ๆ
(ญ) การรักษาความปลอดภัยทางกายภาพและระบบควบคุมแวดล้อมต่าง ๆ
(ฎ) การรักษาความเป็นส่วนตัวของข้อมูลของลูกค้า
(ฏ) การจัดการผู้ให้บริการและผู้ให้บริการจากภายนอก
(ฐ) การประเมินความเสี่ยง
(ฑ) การจัดการเมื่อเกิดสถานการณ์ที่ไม่คาดคิด

กำหนดเวลาที่สำคัญภายใต้แผนงานควบคุมความปลอดภัยของระบบคอมพิวเตอร์รัฐนิวยอร์ก (23 NYCRR Part 500)

  • 1 มีนาคม 2017 - 23 NYCRR Part 500 จะเริ่มมีผลบังคับใช้
  • 28 สิงหาคม 2017 - สิ้นสุดระยะเวลาเตรียมความพร้อม 180 วัน หน่วยงานที่เข้าหลักเกณฑ์จะต้องปฏิบัติตามเงื่อนไขใ 23 NYCRR Part 500 ยกเว้นมีระบุไว้เป็นอย่างอื่น
  • 15 กุมภาพันธ์ 2018 - หน่วยงานที่เข้าหลักเกณฑ์จะต้องส่งหนังสือยืนยันการรับรองครั้งแรกภายใต้ 23 NYCRR 500.17(b) ณ หรือก่อนกำหนดวันที่นี้
  • 1 มีนาคม 2018 - สิ้นสุดระยะเวลาเตรียมความพร้อมหนึ่งปี หน่วยงานที่เข้าหลักเกณฑ์จะต้องปฏิบัติตามเงื่อนไขใน sections 500.04(b), 500.05, 500.09, 500.12 และ 500.14(b) ของ 23 NYCRR Part 500
  • 3 กันยายน 2018 - สิ้นสุดระยะเวลาเตรียมความพร้อมสิบแปดเดือน หน่วยงานที่เข้าหลักเกณฑ์จะต้องปฏิบัติตามเงื่อนไขใน sections 500.06, 500.08, 500.13, 500.14(a) and 500.15 ของ 23 NYCRR Part 500
  • 1 มีนาคม 2019 - สิ้นสุดระยะเวลาเตรียมความพร้อมสองปี หน่วยงานที่เข้าหลักเกณฑ์จะต้องปฏิบัติตามเงื่อนไขใน 23 NYCRR 500.11

ข้อมูลเพิ่มเติม

เรียนรู้เพิ่มเติมเกี่ยวกับ ไดร์ฟ USB เข้ารหัส - Kingston Technology
เรียนรู้เพิ่มเติมเกี่ยวกับ ไดร์ฟ USB เข้ารหัส - Kingston Technology