New York Eyaleti Finansal Hizmetler Departmanı’nın Siber Güvenlik Koşulları 23 NYCRR 500

CYBERSECURITY REQUIREMENTS FOR FINANCIAL SERVICES COMPANIES (FİNANSAL HİZMET ŞİRKETLERİ İÇİN SİBER GÜVENLİK GEREKSİNİMLERİ)

Kingston ile Yasal Uyumu Sağlayın

Tehditleri Yönetir ve Riskleri Azaltır

Encrypted lineup

Mevcut seçenekler, Kişisel, Kurumsal ya da Devlet dahil olmak üzere her türlü gereksinimi kapsamaktadır.

  • %100 Uyumlu Şifreli USB veri saklama
  • Basit, kolay kullanımlı, yazılım ya da sürücü gerektirmez
  • Hızlı ve etkili kullanıma alınacak şekilde tasarlanmıştır
Compliance logos

NYDFS - 23 NYCRR 500: Dikkat edilmesi gereken en önemli 5 konu:

Yönetmeliğe uyumlu olduğunuzdan emin olmanın en önemli 5 ana alanı:

  1. Hem taşınmakta hem de saklanma durumunda olan hassas verileri şifreleyin. (Bölüm 500.15 Halka Açık Olmayan Bilgilerin Şifrelenmesi.)
  2. Bilgi Güvenliği Müdür (CISO) Atayın
  3. Siber Güvenlik Programı Oluşturun
  4. Siber Güvenlik Programı Uygulamaya Alın
  5. Üçüncü şahıs hizmet sağlayıcıların yönetilmesi
    • Yapılması gerekenler:
      • Yıllık penetrasyon testleri
      • İki yılda bir saldırıya açıklık değerlendirmeleri
New York State Seal

Yönetmeliğe uygun olmamak cezalara neden olur mu?

Yeni DFS programına göre, şirket yöneticilerinin NY DFS yönetmelikleri ile uyumunun her yıl onaylanması gerekmektedir.

  • Bu sertifikalar doğru değilse, DFS ya da tüketicilerin, bu sertifikanın ihlali için bankalara, sigorta şirketlerin ve diğer finansal hizmet şirketlerine dava açmaları için bir temel sağlayabilir. Teklif, gerekliliğinin “yürürlükteki herhangi bir yasa ile” uygulanacağını belirtmektedir. Bu yasalar arasında aşağıdakiler gösterilebilir:
    • ör., New York Bankacılık Yasası, New York Sigorta Yasası
    • Bunlarda, DFS’ye bilerek sahte beyanlarda bulunmak için maddi ve kriminal cezalar bulunmaktadır.
Yönetmeliğe uygun olmamak cezalara neden olur mu?

Neleri bilmem gerekiyor?

Önemli Noktalar

  • NIST standartlarından alınmıştır
  • Geçen teklif, hem taşınmakta hem de saklanmakta olan verilerin korunmasından bankaları, sigorta şirketlerini ve diğer finansal hizmet firmalarını sorumlu tutacaktır.
  • Teklif, kuruluşların hem taşınmakta hem de saklanma durumunda olan hassas verileri şifrelemesini gerekmektedir.
  • Wall Street’i ve 2,9 Trilyon Amerika Doları varlığa sahip yaklaşık 1900 şirketi etkileyecektir
  • İhlalden kimin sorumlu olduğunu düzenler, farkındalık ve eylem planı olmalıdır; yönetim kuruluna kadar ilerler
  • Şirketlerin bir kriter tanımlaması, olaya karşı tepki politikasına sahip olması, satıcı yönetimini finansal kurumlarla iş yapmak için minimum standartları yerine getirecek şekilde güncellemesi gerekmektedir

Veri şifreleme

  • Bir Kingston ve IronKey Şifrelenmiş USB sürücü, veri şifreleme uyumu için standartlaşmada uygulanabilecek çözümlerden biridir.
  • Teklif, kuruluşların hem taşınmakta hem de saklanma durumunda olan hassas verileri şifrelemesini gerekmektedir. (Bölüm 500.15 Halka Açık Olmayan Bilgilerin Şifrelenmesi.)
    • Bölüm 500.15 Halka Açık Olmayan Bilgilerin Şifrelenmesi.
      • (a) Siber güvenlik programının bir parçası olarak, Risk Değerlendirmesine göre her Kapsam Altındaki Varlığın, Kapsam Altındaki Varlık tarafından hem harici ağlarda hem de saklama sırasında saklanan ya da taşınan Halka Açık Olmayan Bilgileri korumak için şifreleme dahil olmak üzere kontroller uygulaması gerekmektedir.
  • Kişisel olarak tanımlanabilecek bilgilerini işleyen ya da saklayan kuruluşların, kişisel veri kaybını önlemek için gerekli güvenlik önlemlerini uygulamaya almalarını gerektirmektedir.
  • Kuruluşların bu gelişmiş veri şifreleme standartlarını üçüncü şahıs sağlayıcılarla yaptıkları sözleşmelere eklemeleri gerekecektir. (Bölüm 500.11 Üçüncü Şahıs Hizmet Sağlayıcı Güvenlik Politikası.)
    • Çok sayıda hizmet sağlayıcıya sahip kuruluşlar, her hizmet sağlayıcının şifreleme kurallarına uygunluğunu onaylamak için gerekli adımları atmalıdır.
      • Bölüm 500.11 Üçüncü Şahıs Hizmet Sağlayıcı Güvenlik Politikası.
        • (2) Üçüncü Şahıs Hizmet Sağlayıcının, Halka Açık Olmayan Bilgileri taşınma ve saklanma sırasında korunması için bu Kısmın 500.15 bölümünün gerektirdiği şekilde şifrelemenin kullanılmasıyla ilgili politikaları ve yordamları:

Bu durum benim işimi nasıl etkiler?

  • New York City’de bankacılık, sigortacılık ve diğer finansal hizmetler sektöründe faaliyet gösteren şirketler ya da bu sektördeki şirketlere hizmet sağlayan ya da satıcı olarak sözleşme yapan şirketler, bu kurallara uymalıdır ve tabidir.
  • Aynı zamanda güvenlik ve veri saklama bilgi şifrelemesi için doğru sistemlere sahip olunmasıyla ilgili yönetmeliklere ve kurallara da uygun hareket etmeniz gerekmektedir.
  • Kişisel olarak tanımlanabilecek bilgilerini işleyen ya da saklayan kuruluşların, kişisel veri kaybını önlemek için gerekli güvenlik önlemlerini uygulamaya almalarını gerektirmektedir.

İşletmemin neyle uyumlu olması gerekmektedir?

  • Veri saklayan şirket içi ya da şirket dışı ürünleri / cihazları eşleyin
    Veri güvenli politikanıza göre şirket ekipmanlarını kayıt altına alın, kullanılmalarını zorunlu hale getirin ve veri şifrelemesinin kullanıldığından emin olun. Bunlar ve benzeri cihazlar: sunucular, sabit disk sürücüler, SSD’ler, USB Flash sürücüler, bilgisayarlar ve mobil cihazlar.
  • Envanter Analizi
    Toplamdaki kişisel veri miktarını değerlendirin.
  • Boşaltın
    Gereksiz kişisel olarak tanımlama sağlayabilecek bilgileri içeren arşivleri ortadan kaldırın (PII).
  • Bilgi Denetleyicileri
    Gizlilik riski ve etki değerlendirmelerini gözden geçirin.
  • Sözleşmeler
    Şubat 2018’de etkin başlangıç tarihinden sonra zorunlu hale gelen politikaları uygulamaya alarak işletmenizi gelecekteki gereksinimlere uygun hale getirin.
  • Veri İhlalleri
    Yönetmelik, 72 saat içinde uyarı yapılmasını gerektirmektedir.

Çözüm - Uyumsuzluk riskini önlemek için kişisel verilerin / kişisel olarak tanımlanmayı sağlayacak bilgilerin (PII) şifrelenmesi gibi uygun korumaları, teknik standartlar ve politikalar uygulamaya alın. Daha fazla bilgi

İhlal Bildirimi

Veri ihlali bildirimlerinin mümkünse ihlalin öğrenilmesinden sonraki 72 saat içinde yapılması gerekiyor olmasına karşın bildirimin, bireylerin hakları ya da özgürlüğü konusunda bir sonuca neden olma olasılığı düşükse DPA’ya yapılması zorunlu olmayabilir.

Tüketici Hakları

Kişisel Olarak Tanımlanmayı Sağlayacak Bilgiler (PII) nedir?

ABD gizlilik yasaları ve bilgi güvenliğinde kullanılan haliyle Kişisel Olarak Tanımlanmayı Sağlayacak Bilgiler (PII) ya da Hassas Kişisel Bilgiler (SPI), kendi başına ya da diğer bilgilerle birlikte, bir kişiyi tanımlamak, yerini bulmak ya da bu kişiyle iletişim kurmak veya bir bağlamda bir bireyi tanımlamak için kullanılabilecek bilgilerdir.

  • NIST Özel Yayımı 800-122[4] PII’yı, “Bir birey hakkında bir kurum tarafından işlenen (1) ad, sosyal güvenlik numarası, tarih ve doğum tarihi, anne kızlık soyadı ya da biyometrik kayıtlar gibi bireyin kimliğinin anlaşılması ya da izlenmesi için kullanılabilecek bilgiler ve (2) tıbbi, eğitim, finansal ve istihdam bilgileri gibi bireyle bağlantılı ya da bağlantılandırılabilecek diğer bilgiler dahil olmak üzere her türlü bilgi” şeklinde tanımlanmaktadır. (Daha fazla bilgi için: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )
Tüketici Hakları

Cybersecurity Policy

(“Cybersecurity requirements for financial services companies” (Finansal hizmet şirketleri için siber güvenlik gereksinimleri) belgesinden alınmıştır: https://www.governor.ny.gov/sites/default/files/atoms/files/Cybersecurity_Requirements_Financial_Services_23NYCRR500.pdf )

Kapsam Altındaki Her Varlığın, Kapsam Altındaki Varlığın Bilgi Sistemlerinin ve bu Bilgi Sistemlerinde saklanan Halka Açık Olmayan Bilgilerin korunması için politikalarını ve prosedürlerini belirleyen, bir Üst Düzey Yönetici ya da Kapsam Altındaki Varlığın yönetim kurulu (ya da ilgili komitesi) ya da eşdeğer bir yönetici birim tarafından onaylanan yazılı bir politika ya da politikalar uygulaması ve devam ettirmesi gerekmektedir.

CyberSecurity

(a) bilgi güvenliği
(b) veri yönetişimi ve sınıflandırması
(c) varlık envanteri ve cihaz yöneticisi
(d) erişim kontrolleri ve kimlik yönetimi
(e) iş devamlılığı ve felaketten kurtulma planlaması ve kaynakları
(f) sistem çalışmaları ve kullanılabilirlik kaygıları
(g) sistemler ve ağ güvenliği
(h) sistemler ve ağ izlemesi
(i) sitemler ve uygulama gelişimi ve kalite güvencesi
(j) fiziksel güvenlik ve çevresel kontroller
(k) müşterinin veri gizliliği
(l) satıcı ya da Üçüncü Şahıs Hizmet Sağlayıcı yönetimi
(m) risk değerlendirmesi
(n) olaya karşı tepki

New York Siber Güvenlik Yönetmeliğine (23 NYCRR Part 500) göre Önemli Tarihler

  • 1 Mart 2017 - 23 NYCRR Kısım 500 yürürlüğe girdi.
  • 28 Ağustos 2017 - 180 günlük geçiş süresi sona erdi. Kapsam Altındaki Varlıkların, aksi belirtilmediği sürece 23 NYCRR Kısım 500 ile uyumlu olması gerekiyor.
  • 15 Şubat 2018 - Kapsam Altındaki Varlıkların, 23 NYCRR 500.17(b)’ye göre bu tarih ya da öncesinde ilk sertifikasyonlarını vermeleri gerekmektedir.
  • 1 Mart 2018 - Bir yıllık geçiş süresi sona eriyor. Kapsam Altındaki Varlıkların NYCRR Kısım 500’ün 500.04(b), 500.05, 500.09, 500.12 ve 500.14(b) bölümlerinin gereksinimlerine uygun hale gelmesi gerekiyor.
  • 3 Eylül 2018 - On sekiz aylık geçiş süresi sona eriyor. Kapsam Altındaki Varlıkların NYCRR Kısım 500’ün 500.06, 500.08, 500.13, 500.14(a) ve 500.15 bölümlerinin gereksinimlerine uygun hale gelmesi gerekiyor.
  • 1 Mart 2019 - İki yıllık geçiş süresi sona eriyor. Kapsam Altındaki Varlıkların, 23 NYCRR Kısım 500.11 ile uyumlu olması gerekiyor.