REGULACJA DEPARTAMENTU OBSŁUGI FINANSOWEJ STANU NOWY JORK (23 NYCRR 500)

gru 2022

Strona główna bloga

Wymagania dotyczące cyberbezpieczeństwa wynikające z regulacji departamentu obsługi finansowej stanu Nowy Jork 23 NYCRR 500

WYMAGANIA CYBERBEZPIECZEŃSTWA DLA PRZEDSIĘBIORSTW ŚWIADCZĄCYCH USŁUGI FINANSOWE

Przestrzegaj przepisów z firmą Kingston

Zarządzanie zagrożeniami i redukcja ryzyka

Dostępne modele dopasowane do każdych potrzeb: od użytkowników indywidualnych przez korporacyjnych po rządowych.

Szyfrowane pamięci USB w pełni zgodne z nowymi przepisami
Prostota i łatwość użycia, niewymagane żadne sterowniki ani oprogramowanie
Gwarancja szybkiego i skutecznego wdrożenia

NYDFS - 23 NYCRR 500: Pięć najważniejszych punktów, o których należy pamiętać:

Pięć najważniejsze obszary nowych wymagań:

Szyfrowanie danych wrażliwych – w trakcie tranzytu i przechowywania. (Sekcja 500.15, Szyfrowanie danych niepublicznych)
Wyznaczenie głównego inspektora bezpieczeństwa informacji
Wdrożenie programu cyberbezpieczeństwa
Przyjęcie polityki cyberbezpieczeństwa
Zarządzanie usługodawcami zewnętrznymi
- Obejmuje następujące wymagania:
  - Coroczne testy penetracyjne
  - Wykonywane co pół roku oceny narażenia

Czy za niezapewnienie zgodności grożą kary?

Zgodnie z nową regulacją Departamentu Obsługi Finansowej dyrektorzy przedsiębiorstw mają obowiązek poświadczać zgodność z tymi przepisami co rok.

Jeśli poświadczenie takie okaże się błędne, Departament lub konsumenci muszą otrzymać dostęp do materiałów umożliwiającym im wnoszenie roszczeń przeciwko bankom, ubezpieczycielom i innym firmom świadczącym usługi finansowe w związku z naruszeniem wymagań dotyczących poświadczeń. W propozycji zaznaczono, że jej wymagania będą egzekwowane na mocy dowolnych obowiązujących przepisów ustawowych, takich jak
- np. Prawo bankowe stanu Nowy Jork lub Prawo ubezpieczeniowe stanu Nowy Jork.
- Określają one indywidulane sankcje cywilne i prawne za celowe składanie fałszywych oświadczeń w Departamencie Obsługi Finansowej.

Czy za niezapewnienie zgodności grożą kary?

Co należy wiedzieć?

Najważniejsze informacje

Opracowane na podstawie standardów NIST
Ta radykalna propozycja oznacza, że banki, ubezpieczyciele i inne firmy świadczące usługi finansowe będą ponosiły szeroką odpowiedzialność za zapewnienie ochrony danych w trakcie tranzytu i przechowywania.
W propozycji wzywa się organizacje do szyfrowania danych wrażliwych – w trakcie tranzytu i ich przechowywania.
Dotyczy spółek notowanych na Wall Street i około 1.900 przedsiębiorstw o aktywach wartych 2,9 bilionów dolarów.
Reguluje odpowiedzialność za naruszenia ochrony danych, nakłada obowiązek posiadania wiedzy i opracowania planu działań; przenosi ją na poziom zarządu.
Aby współpracować z instytucjami finansowymi, przedsiębiorstwa są zobowiązane określić kryteria, opracować politykę reakcji na incydenty oraz zaktualizować procedury zarządzania dostawcami z zachowaniem minimalnych standardów.

Szyfrowanie danych

Szyfrowana pamięć USB marki Kingston i IronKey to jedno z rozwiązań pozwalających wprowadzić jednolite standardy szyfrowania danych.
W propozycji wzywa się organizacje do szyfrowania danych wrażliwych – w trakcie tranzytu i ich przechowywania. (Sekcja 500.15, Szyfrowanie danych niepublicznych)
- (Sekcja 500.15, Szyfrowanie danych niepublicznych)
  - (a) W ramach bazującego na ocenie ryzyka programu cyberbezpieczeństwa każdy podmiot objęty tymi przepisami ma obowiązek wdrożyć środki kontroli, a w tym szyfrowanie pozwalające chronić informacje niepubliczne posiadane lub przekazywane przez taki podmiot, zarówno podczas tranzytu przez sieci zewnętrzne, jak i w trakcie ich przechowywania.
Organizacje przetwarzające lub przechowujące informacje identyfikowalne osobowo są zobowiązane do wdrożenia odpowiednich środków zabezpieczających, zapobiegających utracie danych osobowych.
Organizacje mają obowiązek uwzględniać te poprawione standardy szyfrowania danych w umowach zawieranych z zewnętrznymi usługodawcami. (Sekcja 500.11, Polityka bezpieczeństwa zewnętrznych usługodawców)
- Organizacje współpracujące z wieloma usługodawcami są zobowiązane do podejmowania działań w celu potwierdzenia, że każdy z usługodawców spełnia wymagania z zakresu szyfrowania danych.
  - Sekcja 500.11, Polityka bezpieczeństwa zewnętrznych usługodawców
    - (2) Polityki i procedury usługodawców zewnętrznych dotyczące wykorzystania szyfrowania zgodnie z wymogami Sekcji 500.15 tej Części w celu zapewnienia ochrony danych niepublicznych w trakcie tranzytu i przechowywania.

Jak to wpływa na moją firmę?

Firmy prowadzące działalność w branży bankowej, ubezpieczeniowej lub usług finansowych w Nowym Jorku lub świadczące usługi na mocy umowy z firmami z tych branż także mają obowiązek przestrzegać tych zasad.
Zapewnienie zgodności z regulacją i zasadami wymaga wdrożenia odpowiednich systemów zabezpieczeń i szyfrowania magazynów danych.
Organizacje przetwarzające lub przechowujące informacje identyfikowalne osobowo są zobowiązane do wdrożenia odpowiednich środków zabezpieczających, zapobiegających utracie danych osobowych.

Jak można zapewnić zgodność?

Sporządzenie mapy wewnętrznych i zewnętrznych produktów / urządzeń przechowujących dane
Należy prowadzić rejestr urządzeń wykorzystywanych w przedsiębiorstwie do przechowywania danych, szyfrować te dane oraz objąć wspomniane urządzenia polityką bezpieczeństwa danych. Dotyczy to między innymi: serwerów, dysków twardych, dysków SSD, pamięci flash USB, komputerów i urządzeń mobilnych.
Inwentaryzacja
Należy ocenić ilość wszystkich przetwarzanych danych osobowych.
Likwidacja danych
Należy usunąć archiwa niepotrzebnych informacji identyfikowalnych osobowo.
Administratorzy informacji
Należy przeanalizować zagrożenia dla prywatności i wykonać oceny skutków.
Umowy
Już teraz można zapewnić sobie zgodność z przepisami wchodzącymi w życie w lutym 2018 – wystarczy wdrożyć odpowiednie polityki.
Naruszenie ochrony danych
Regulacja wymaga poinformowania o naruszeniu w ciągu 72 godzin.

Rozwiązanie - wdrożenie odpowiednich zabezpieczeń, standardów technicznych i polityk, takich jak szyfrowanie danych osobowych / informacji identyfikowalnych osobowo w celu ograniczenia ryzyka wystąpienia braku zgodności. Więcej

Powiadomienie o naruszeniu ochrony danych

Jeśli to możliwe, powiadomienia o naruszeniu ochrony danych należy przedstawiać w ciągu 72 godzin od stwierdzenia naruszania. Nie ma obowiązku powiadamiania organów ochrony danych, jeśli prawdopodobieństwo, że naruszenie spowoduje zagrożenie praw lub wolności osób, jest niskie.

Prawa konsumentów

Czym są informacje identyfikowalne osobowo?

Terminy „informacje identyfikowalne osobowo” lub „sensytywne dane osobowe” stosowane w amerykańskim prawodawstwie z zakresu ochrony danych osobowych i bezpieczeństwa informacji dotyczą informacji, które mogą samodzielnie lub w połączeniu z innymi informacjami posłużyć do zidentyfikowania, nawiązania kontaktu lub zlokalizowania pojedynczej osoby lub zidentyfikowania osoby w pewnym kontekście.

Specjalna publikacja NIST 800-122[4] definiuje informacje identyfikowalne osobowo jako „dowolne informacje o osobie przechowywane przez organ, a w tym między innymi (1) dowolne informacje, które można wykorzystać do rozpoznania bądź odnalezienia tożsamości osoby, np. imię i nazwisko, numer ubezpieczenia społecznego, data i miejsce urodzenia, nazwisko panieńskie matki lub dane biometryczne oraz (2) dowolne inne informacje, które są powiązane lub które można powiązać z osobą, np. medyczne, finansowe, dotyczące wykształcenia lub zatrudnienia”. (Więcej informacji: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )

Polityka cyberbezpieczeństwa

(z dokumentu „Cybersecurity requirements for financial services companies”: https://www.governor.ny.gov/sites/default/files/atoms/files/Cybersecurity_Requirements_Financial_Services_23NYCRR500.pdf

Każdy podmiot objęty tymi przepisami ma obowiązek wdrożyć i utrzymać pisemną politykę lub polityki zatwierdzone przez członka kierownictwa wyższego szczebla lub radę dyrektorów podmiotu (lub jego właściwą komisję) bądź inny odpowiedni organ zarządzający. Polityki takie muszą określać zasady i procedury stosowane przez podmiot objęty tymi przepisami dotyczące ochrony jego systemów informacyjnych i informacji niepublicznych przechowywanych w takich systemach informacyjnych.

(a) bezpieczeństwo informacji
(b) opieka nad danymi i ich klasyfikacja
(c) inwentaryzacja środków i zarządzanie urządzeniami
(d) środki kontroli dostępu i zarządzanie tożsamościami
(e) plany i zasoby pozwalające zachować ciągłość działalności i przywrócić sprawność systemów po awarii
(f) kwestie związane z działaniem i dostępnością systemów
(g) bezpieczeństwo systemów i sieci
(h) monitorowanie systemów i sieci
(i) rozwój i zapewnianie jakości systemów i aplikacji
(j) środki kontroli bezpieczeństwa fizycznego i otoczenia
(k) poufność danych klientów
(l) zarządzanie dostawcami i zewnętrznymi usługodawcami
(m) ocena ryzyka
(n) reagowanie na incydenty

Najważniejsze daty związane z Regulacją dotyczącą cyberbezpieczeństwa w stanie Nowy Jork (23 NYCRR Part 500)

1 marca 2017 r. - wchodzi w życie 23 NYCRR Część 500
28 sierpnia 2017 r. - koniec 180-dniowego okresu przejściowego. Jeśli przepisy nie stanowią inaczej, podmioty objęte tymi przepisami mają obowiązek zapewnić zgodność z wymaganiami regulacji 23 NYCRR Część 500.
15 lutego 2018 r. - nie później niż tego dnia podmioty objęte tymi przepisami są zobowiązane przedłożyć pierwszą certyfikację zgodnie z sekcją 23 NYCRR 500.17(b).
1 marca 2018 r. - koniec jednorocznego okresu przejściowego. Podmioty objęte tymi przepisami mają obowiązek zapewnić zgodność z wymaganiami sekcji 500.04(b), 500.05, 500.09, 500.12 i 500.14(b) regulacji 23 NYCRR Część 500.

3 września 2018 r. - koniec półtorarocznego okresu przejściowego. Podmioty objęte tymi przepisami mają obowiązek zapewnić zgodność z wymaganiami sekcji 500.06, 500.08, 500.13, 500.14(a) i 500.15 regulacji 23 NYCRR Część 500.
1 marca 2019 r. - koniec dwuletniego okresu przejściowego. Podmioty objęte tymi przepisami mają obowiązek zapewnić zgodność z wymaganiami regulacji 23 NYCRR 500.11.

Więcej informacji

Dowiedz się więcej o Szyfrowana pamięć USB – Kingston Technology

Szyfrowana sprzętowo pamięć flash USB Kingston IronKey D500S
Zgodność z wojskowymi normami bezpieczeństwa potwierdzona certyfikatem FIPS 140-3 Level 3 (w toku)

256-bitowe szyfrowanie XTS-AES

Dostępna wersja przystosowana do zarządzania

USB 3.2 Gen 1

8 GB, 16 GB, 32 GB, 64 GB, 128 GB, 256 GB, 512 GB

Odczyt do 310MB/s, zapis do 250MB/s
Dowiedz się więcej Kup
Seria IronKey Vault Privacy 50
Bezpieczeństwo klasy korporacyjnej

256-bitowe szyfrowanie XTS-AES

Dostępność wersji ze złączami USB Type-A i Type-C

USB 3.2 Gen 1

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

Odczyt do 310MB/s, zapis do 250MB/s
Dowiedz się więcej Kup
DT4000G2DM
Szyfrowana pamięć flash USB Kingston IronKey S1000
Wbudowany chip szyfrujący

USB 3.1 Gen 1 (USB 3.0)

4GB, 8GB, 16GB, 32GB, 64GB, 128GB

Odczyt do 230MB/s, zapis 240MB/s

Zabezpieczenie złożonym hasłem lub wyrażeniem hasłowym
Dowiedz się więcej Kup
Pamięć flash Kingston IronKey Keypad 200
Zgodność z wojskowymi normami bezpieczeństwa potwierdzona certyfikatem FIPS 140-3 Level 3 (w toku)

256-bitowe szyfrowanie XTS-AES

Dostępność wersji ze złączami USB Type-A i Type-C

Niezależność od urządzenia/systemu operacyjnego

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

Odczyt do 280MB/s, zapis do 200MB/s
Dowiedz się więcej Kup