Ми помітили, що ви зараз відвідуєте сайт у Великій Британії. Бажаєте відвідати наш основний сайт?

Требования к кибербезопасности Управления финансовых услуг штата Нью-Йорк 23 NYCRR 500

ТРЕБОВАНИЯ ПО КИБЕРБЕЗОПАСНОСТИ ДЛЯ ОКАЗЫВАЮЩИХ ФИНАНСОВЫЕ УСЛУГИ КОМПАНИЙ

Обеспечьте соблюдение этих норм и требований с продуктами компании Kingston

Ликвидация угроз и снижение рисков

Encrypted lineup

Компания предлагает продукты для персональных, корпоративных и государственных пользователей.

  • 100% соответствующий требованиям USB-накопитель с шифрованием
  • Простой, удобный в использовании, не требует программного обеспечения или драйверов
  • Может быть быстро и эффективно введен в эксплуатацию
Compliance logos

NYDFS - 23 NYCRR 500: 5 главных областей, о которых следует знать:

5 важнейших позиции для обеспечения соответствия нормам и правилам:

  1. Шифрование уязвимых данных как при передаче, так и при хранении. (Раздел 500.15 Шифрование непубличной информации.)
  2. Назначение главного ответственного за защиту информации (ГОЗИ)
  3. Создание и введение в действие программы обеспечения киберзащиты
  4. Принятие политики кибербезопасности
  5. Управление сторонними провайдерами услуг
    • Включает необходимые мероприятия:
      • Ежегодные испытания на проникновение
      • Оценки уязвимости два раза в год
New York State Seal

Предусмотрены ли какие-либо санкции за несоблюдение норм?

По новой схеме DFS руководители компаний должны ежегодно подтверждать сертификатом соблюдение норм NY DFS.

  • В том случае, если эти сертификаты не будут соответствовать действительности, они могут дать основания для DFS или потребителей выставить претензии банкам, страховым компаниям или другим оказывающим финансовые услуги фирмам за невыполнение обязательств по такому сертификату. В законопроекте отмечается, что его требования будут реализовываться "в соответствии со всеми действующими законами", в частности:
    • например, Закон о банковской деятельности штата Нью-Йорк, Закон о страховании штата Нью-Йорк
    • Которые содержат индивидуальные гражданские и уголовные санкции за намеренную подачу ложных сведений в DFS
Предусмотрены ли какие-либо санкции за несоблюдение норм?

Что мне нужно знать?

Основные моменты

  • Извлечено из стандартов NIST (Национальный институт по стандартам и технологиям, США)
  • Широкомасштабный законопроект будет привлекать банки, страховые компании и другие оказывающие финансовые услуги фирмы к ответственности за защиту как переносимой, так и хранимой информации
  • Законопроект требует от организаций шифрования данных как при пересылке, так и при хранении.
  • Оказывает воздействие на Уолл-Стрит и примерно на 1900 компаний, имеющих в активах 2,9 триллиона американских долларов
  • Определяет, кто отвечает за несанкционированный доступ, должен обладать сведениями и планом действий; доводит до сведения правления
  • Чтобы вести дела с финансовыми учреждениями, компаниям нужно определить критерии, иметь политику реагирования на инциденты и обновить работу с поставщиками с минимумом стандартов

Шифрование данных

  • USB-накопитель с шифрованием IronKey компании Kingston - это одно из решений по стандартизации соблюдения шифрования данных
  • Законопроект требует от организаций шифрования данных как при пересылке, так и при хранении. (Раздел 500.15 Шифрование непубличной информации.)
    • Раздел 500.15 Шифрование непубличной информации.
      • (a) В качестве части своей программы кибербезопасности и на основании оценки рисков каждая подпадающая под действие закона организация должна осуществлять меры контроля, включая шифрование, чтобы защитить непубличную информацию, хранимую или передаваемую этой организацией, как в процессе перемещения по внешним сетям, так и в состоянии покоя.
  • От организаций, которые обрабатывают персонально идентифицируемую информацию или располагают такой информацией, требуется применение адекватных мер обеспечения безопасности для защиты от утери персональных данных.
  • Организациям потребуется включить эти расширенные стандарты шифрования данных в свои контракты со сторонними провайдерами услуг. (Раздел 500.11 Политика безопасности стороннего поставщика услуг.)
    • Организации с большим числом провайдеров услуг, поскольку они должны предпринять шаги для подтверждения соблюдения каждым провайдером услуг требований по шифрованию.
      • Раздел 500.11 Политика безопасности стороннего поставщика услуг.
        • (2) политики и процедуры стороннего поставщика услуг для применения шифрования, как того требует раздел 500.15 данной Части для защиты непубличной информации в процессе передачи и при хранении;

Как это повлияет на мой бизнес?

  • При ведении бизнеса в индустрии банковских услуг, страхования и других финансовых услуг в пределах города Нью-Йорка, или если вы оказываете услугу или находитесь на подряде в качестве поставщика для этих отраслевых фирм, вам также нужно следовать и подчиняться этим правилам.
  • Вам также нужно будет соблюдать нормы и правила в смысле наличия у вас нужных систем обеспечения безопасности и шифрования хранящейся в запоминающих устройствах информации.
  • От организаций, которые обрабатывают персонально идентифицируемую информацию или располагают такой информацией, требуется применение адекватных мер обеспечения безопасности для защиты от утери персональных данных.

Что должно сделать мое предприятие, чтобы соответствовать нормам?

  • Установить и зафиксировать все внутренние и внешние программные продукты/устройства, которые хранят данные
    Зарегистрировать используемое оборудование компании и потребовать, чтобы на него распространялась ваша политика защиты данных, и обеспечить применение шифрования данных. В частности, такие устройства, как: серверы, жесткие диски, SSD-накопители, USB-накопители, компьютеры и мобильные устройства.
  • Анализ хранящихся материалов
    Оцените общий объем персональных данных.
  • Очистка
    Ликвидируйте архивы ненужной персонально идентифицируемой информации (ПИИ).
  • Контролеры информации
    Проверьте оценки риска нарушения конфиденциальности и последствий этого нарушения.
  • Контракты
    Заранее обезопасьте свой бизнес, немедленно введя в действие политики, которые станут обязательными после фактической даты вступления в силу новых норм в феврале 2018 г.
  • Случаи несанкционированного доступа к данным
    Нормы требуют уведомления в течение 72 часов.

Решение -Применять соответствующие меры защиты, технические стандарты и политики, такие как шифрование персональных данных/персонально идентифицируемой информации (ПИИ), для снижения риска несоблюдения норм. Подробнее

Уведомление о несанкционированном доступе

Уведомления о несанкционированном доступе к данным должны выдаваться в течение 72 часов после установления факта несанкционированного доступа, когда это выполнимо, хотя уведомлять DPA не нужно, если маловероятно, что несанкционированный доступ повлечет за собой риск нарушения прав и свобод отдельных лиц.

Права потребителя

Что такое персонально идентифицируемая информация (ПИИ)?

Персонально идентифицируемая информация (ПИИ) или уязвимая персональная информация (УПИ), в том смысле, в каком это употребляется в нормах права, охраняющих прайвеси, США и информационной безопасности - это информация, которая может использоваться сама по себе или вместе с другой информацией для идентификации одного лица, контактирования с одним лицом или нахождения одного лица, либо для идентификации отдельного человека в контексте.

  • Специальная публикация NIST за номером 800-122[4] определяет PII как “любую информацию о физическом лице, сохраняемую агентством, включая (1) любую информацию, которая может быть использована для распознавания или отслеживания идентификационных данных физического лица, таких как имя, личный номер по системе социального страхования, дата и место рождения, девичья фамилия матери или биометрические записи; и (2) любую другую информацию, связанную или которая может быть связана с физическим лицом, такую как медицинская, образовательная, финансовая информация и информация о трудоустройстве.” (Для получения более подробной информации: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )
Права потребителя

Политика кибербезопасности

(из документа “Требования по кибербезопасности для оказывающих финансовые услуги компаний”: https://www.governor.ny.gov/sites/default/files/atoms/files/Cybersecurity_Requirements_Financial_Services_23NYCRR500.pdf )

Каждая подпадающая под действие закона организация должна осуществлять и соблюдать письменно оформленную политику (или политики), утвержденную (утвержденные) старшим должностным лицом или правлением директоров такой организации (или соответствующим комитетом оной), либо равнозначным руководящим органом, формулирующим политики и процедуры подпадающей под действие закона организации, предназначенные для защиты ее информационных систем и непубличной информации, хранящейся в этих информационных системах.

CyberSecurity

(a) информационная безопасность
(b) управление данными и их классификация
(c) таризация основных средств и управление устройствами
(d) средства контроля доступа и управление идентификационными данными
(e) планирование и ресурсы для обеспечения непрерывности бизнеса и его восстановления после чрезвычайных ситуаций
(f) проблемы функционирования и готовности систем
(g) безопасность систем и сети
(h) мониторинг систем и сети
(i) разработка и обеспечение качества систем и прикладных решений
(j) физическая безопасность и меры по охране окружающей среды
(k) конфиденциальность данных клиента
(l) управление поставщиком и сторонним поставщиком услуг
(m) оценка рисков
(n) реакция на событие

Контрольные даты по Нормативам по кибербезопасности штата Нью-Йорк (23 NYCRR, Часть 500)

  • 1 марта 2017 г. - 23 NYCRR, Часть 500 вступает в силу.
  • 28 августа 2017 г. - окончание 180-дневного переходного периода. Требуется, чтобы подпадающие под действие закона организации соблюдали требования 23 NYCRR, Часть 500, если не указано иное.
  • 15 февраля 2018 г. - Требуется, чтобы подпадающие под действие закона организации представили первую сертификацию по 23 NYCRR 500.17(b) не позднее этой даты.
  • 1 марта 2018 г. - Окончание однолетнего переходного периода. Требуется, чтобы подпадающие под действие закона организации соблюдали требования разделов 500.04(b), 500.05, 500.09, 500.12 и 500.14(b) документа 23 NYCRR, Часть 500.
  • 3 сентября 2018 г. - Окончание восемнадцатимесячного переходного периода. Требуется, чтобы подпадающие под действие закона организации соблюдали требования разделов 500.06, 500.08, 500.13, 500.14(а) и 500.15 документа 23 NYCRR, Часть 500.
  • 1 марта 2019 г. - Окончание двухлетнего переходного периода. Требуется, чтобы подпадающие под действие закона организации соблюдали требования 23 NYCRR 500.11.