(มีผลบังคับใช้โดยสมบูรณ์: 15 กุมภาพันธ์ 2018) มีผลกับหน่วยงานทุกแห่งในนิวยอร์กที่ประมวลผลข้อมูลองค์กร/ข้อมูลส่วนบุคคล โดยจะบังคับใช้ในเดือนกุมภาพันธ์ 2018 โดยมีกำหนดเวลาเตรียมการปรับใช้ 180 ไว้)
New York State Department of Financial Services 23 NYCRR 500
ธ.ค. 2561
ข้อกำหนดด้านความปลอดภัยทางไซเบอร์จากแผนกบริการด้านการเงินของรัฐนิวยอร์ก 23 NYCRR 500
เงื่อนไขด้านความปลอดภัยของระบบคอมพิวเตอร์สำหรับหน่วยงานให้บริการด้านการเงิน
ได้มาตรฐานของ Kingston
จัดการภัยคุกคามและช่วยลดความเสี่ยงต่าง ๆ
มีหลากหลายรุ่นตามความต้องการทั้งสำรองใช้งานส่วนตัว สำหรับองค์กรหรือภาครัฐ
- สื่อบันทึกข้อมูล USB แบบเข้ารหัสที่ได้มาตรฐาน 100%
- ใช้งานง่าย ไม่ยุ่งยาก ไม่ต้องติดตั้งซอฟต์แวร์หรือไดร์เวอร์
- ออกแบบมาให้ใช้งานได้อย่างรวดเร็วและมีประสิทธิภาพ
NYDFS - 23 NYCRR 500: ข้อสำคัญ 5 ประการที่ควรทราบ:
ประเด็นสำคัญ 5 ประการเพื่อให้แน่ใจว่าคุณผ่านเกณฑ์มาตรฐาน:
- เข้ารหัสข้อมูลที่อ่อนไหวทั้งระหว่างนำส่งและพักเก็บไว้ (มาตรา 500.15 เรื่องการเข้ารหัสข้อมูลที่ไม่เปิดเผยแก่สาธารณะ)
- การแต่งตั้งประธานเจ้าหน้าที่ฝ่ายความปลอดภัยด้านสารสนเทศ (CISO)
- กำหนดแผนงานด้านความปลอดภัยของระบบคอมพิวเตอร์
- ปรับใช้นโยบายความปลอดภัยทางคอมพิวเตอร์
- การกำกับดูแลผู้ให้บริการจากภายนอก
- ครอบคลุม:
- การทดสอบการเจาะระบบประจำปี
- การประเมินความเสี่ยงปีละสองครั้ง
- ครอบคลุม:
มีโทษใดบ้างหากไม่ปฏิบัติตาม
ภายใต้แผนของ DFS ใหม่ ผู้บริหารของบริษัทจะต้องรับรองการควบคุมมาตรฐาน NY DFS เป็นประจำทุกปี
- หากพบว่าการรับรองมาตรฐานเหล่านี้ไม่ถูกต้อง สามารถชี้มูลอ้างอิงเพื่อให้ DFS หรือผู้บริโภคเรียกร้องสิทธิ์กับทางธนาคาร บริษัทประกันและสถาบันการเงินอื่น ๆ กรณีละเมิดการรับรองเหล่านี้ หมายเหตุกำกับข้อเสนอว่าจะมีการปฏิบัติตามเงื่อนไขอย่างเคร่งครัด “ภายใต้เงื่อนไขทางกฎหมายที่เกี่ยวข้อง” ครอบคลุมทั้ง:
- ยกตัวอย่างเช่น New York Banking Law, New York Insurance Law
- มีกำหนดโทษทางแพ่งและทางอาญาสำหรับกรณีจงใจแจ้งข้อมูลอันเป็นเท็จให้แก่ DFS
ฉันต้องทราบอะไรบ้าง
ไฮไลท์
- อ้างอิงจากมาตรฐาน NIST
- ข้อเสนอแบบเหมารวมมีผลกับธนาคาร บริษัทประกันและหน่วยงานด้านการเงินอื่น ๆว่าจะต้องรับผิดชอบด้านการป้องกันข้อมูลที่อยู่ระหว่างนำส่งและพักเก็บไว้
- การติดต่อเสนอให้หน่วยงานต่าง ๆ เข้ารหัสข้อมูลที่อ่อนไหวทั้งระหว่างนำส่งและพักเก็บไว้
- มีผลกับ Wall Street และบริษัทประมาณ 1,900 แห่งที่มีทรัพย์สินมากถึง 2.9 ล้านล้านเหรียญสหรัฐฯ (USD)
- มีผลกับผู้ที่ต้องรับผิดชอบกรณีละเมิด โดยจะต้องมีมาตรการตรวจติดตามและแผนดำเนินการต่อเนื่องไปจนถึงระดับคณะกรรมการบริหาร
- บริษัทต่าง ๆ จะต้องกำหนดหลักเกณฑ์ นโยบายการจัดการและปรับปรุงมาตรการการกำกับดูแลผู้ให้บริการโดยกำหนดมาตรฐานขั้นต่ำในการติดต่อธุรกิจกับสถาบันการเงิน
การเข้ารหัสข้อมูล
- ไดร์ฟ USB เข้ารหัส Kingston และ IronKey เป็นหนึ่งในผลิตภัณฑ์ที่ใช้เพื่อกำหนดมาตรฐานในการเข้ารหัสข้อมูล
- การติดต่อเสนอให้หน่วยงานต่าง ๆ เข้ารหัสข้อมูลที่อ่อนไหวทั้งระหว่างนำส่งและพักเก็บไว้ (Section 500.15 เรื่องการเข้ารหัสข้อมูลที่ไม่เปิดเผยแก่สาธารณะ)
- Section 500.15 เรื่องการเข้ารหัสข้อมูลที่ไม่เปิดเผยแก่สาธารณะ
- (ก) ภายใต้แผนการดูแลความปลอดภัยทางอินเทอร์เน็ต และตามข้อมูลการประเมินความเสี่ยง หน่วยงานที่อยู่ในหลักเกณฑ์แต่ละแห่งจะต้องกำหนดมาตรการควบคุม รวมทั้งการเข้ารหัส เพื่อปกป้องข้อมูลที่ไม่เปิดเผยแก่สาธารณะที่ถือครองหรือถ่ายโอนโดยหน่วยงานที่อยู่ในหลักเกณฑ์ ทั้งในการส่งไปยังเครือข่ายภายนอกหรือในการจัดเก็บภายใน
- Section 500.15 เรื่องการเข้ารหัสข้อมูลที่ไม่เปิดเผยแก่สาธารณะ
- กำหนดให้หน่วยงานต่าง ๆ ที่ประมวลผลหรือเก็บรักษาข้อมูลระบุตัวบุคคลจะต้องกำหนดมาตรการด้านความปลอดภัยที่เหมาะสมเพื่อป้องกันข้อมูลส่วนบุคคลสูญหาย
- หน่วยงานต่าง ๆ จะต้องกำหนดมาตรฐานการเข้ารหัสที่ดีขึ้นในสัญญาข้อตกลงกับผู้ให้บริการจากภายนอก (Section 500.11 นโยบายการรักษาความปลอดภัยของผู้ให้บริการจากภายนอก)
- หน่วยงานที่มีผู้ให้บริการเป็นจำนวนมาก เนื่องจากจะต้องมีการตรวจสอบว่าผู้ให้บริการแต่ละรายปฏิบัติตามเงื่อนไขในการเข้ารหัสข้อมูลหรือไม่
- Section 500.11 นโยบายการรักษาความปลอดภัยของผู้ให้บริการจากภายนอก
- (2) นโยบายและกระบวนการสำหรับผู้ให้บริการจากภายนอกสำหรับใช้การเข้ารหัสตามที่กำหนดใน Section 500.15 นี้เพื่อปกป้องข้อมูลที่ไม่เปิดเผยแก่สาธารณะระหว่างการนำส่งและเก็บรักษา
- Section 500.11 นโยบายการรักษาความปลอดภัยของผู้ให้บริการจากภายนอก
- หน่วยงานที่มีผู้ให้บริการเป็นจำนวนมาก เนื่องจากจะต้องมีการตรวจสอบว่าผู้ให้บริการแต่ละรายปฏิบัติตามเงื่อนไขในการเข้ารหัสข้อมูลหรือไม่
จะส่งผลต่อธุรกิจของฉันอย่างไรบ้าง
- ธุรกิจในกลุ่มธนาคาร ประกันภัยและสถาบันการเงินอื่น ๆ ในเมืองนิวยอร์ก หรือหากคุณให้บริการหรือมีสัญญาข้อตกลงเป็นผู้ให้บริการกับหน่วยงานเหล่านี้ คุณจะต้องปฏิบัติตามและอยู่ภายใต้หลักเกณฑ์เดียวกันนี้
- นอกจากนี้คุณจะต้องปฏิบัติตามระเบียบข้อบังคับและกฎเกณฑ์ในการกำหนดระบบการทำงานที่เหมาะสมเพื่อรักษาความปลอดภัยและเข้ารหัสส่วนการจัดเก็บข้อมูลต่าง ๆ
- กำหนดให้หน่วยงานต่าง ๆ ที่ประมวลผลหรือเก็บรักษาข้อมูลระบุตัวบุคคลจะต้องกำหนดมาตรการด้านความปลอดภัยที่เหมาะสมเพื่อป้องกันข้อมูลส่วนบุคคลสูญหาย
ธุรกิจของฉันจะต้องทำอย่างไรเพื่อให้เป็นไปตามเงื่อนไข
- จัดทำแผนผังโครงสร้างผลิตภัณฑ์/อุปกรณ์ทั้งภายในและภายนอกที่ใช้เพื่อจัดเก็บข้อมูล
บันทึกประวัติและกำหนดให้มีการใช้อุปกรณ์ของบริษัทภายใต้นโยบายดูแลความปลอดภัยข้อมูลของคุณ รวมทั้งใช้การเข้ารหัสข้อมูลร่วมด้วย ส่วนประกอบต่าง ๆ เช่น ฮาร์ดไดร์ฟ SSD แฟลชไดร์ฟ USB คอมพิวเตอร์และอุปกรณ์พกพา - การวิเคราะห์รายการคงคลัง
ประเมินปริมาณข้อมูลส่วนบุคคลโดยรวม - ล้างข้อมูล
ทำลายข้อมูลจัดเก็บแยกที่ไม่จำเป็นที่สามารถระบุตัวบุคคล (PII) - ผู้กำกับดูแลข้อมูล
พิจารณาทบทวนปัจจัยเสี่ยงด้านความเป็นส่วนตัวและประเมินผลกระทบ - สัญญาข้อตกลง
ปกป้องธุรกิจของคุณในอนาคตโดยการปรับใช้นโยบายภาคบังคับต่าง ๆ หลังวันบังคับใช้เดือนกุมภาพันธ์ 2018 - การละเมิดข้อมูล
ข้อบังคับกำหนดให้มีการแจ้งเหตุภายใน 72 ชั่วโมง
แนวทางแก้ไข - กำหนดมาตรการป้องกันที่เหมาะสม มาตรฐานด้านเทคนิคและนโยบายต่าง ๆ เช่น การเข้ารหัสข้อมูลส่วนบุคคล/ข้อมูลระบุตัวบุคคล (PII) เพื่อลดโอกาสเสี่ยงในการละเมิดมาตรฐาน เพิ่มเติม
การแจ้งกรณีละเมิด
การแจ้งกรณีละเมิดข้อมูลจะต้องมีขึ้นภายใน 72 ชั่วโมงหลังจากทราบเหตุละเมิดหากสามารถทำได้ ทั้งนี้ไม่ได้กำหนดว่าจะต้องแจ้งกับ DPA หากไม่คาดว่าอาจกระทบสิทธิ์หรือเสรีภาพของบุคคลใด ๆ
สิทธิ์ของผู้บริโภค
ข้อมูลระบุตัวบุคคล (PII) คืออะไร
ข้อมูลระบุตัวบุคคล (PII) หรือข้อมูลส่วนบุคคลที่อ่อนไหว (SPI) ตามที่ระบุในกฎหมายความเป็นส่วนตัวและความปลอดภัยของข้อมูลของสหรัฐฯ คือข้อมูลที่หากใช้โดยตัวมันเองหรือร่วมกับข้อมูลอื่่นแล้วสามารถระบุตัวตน ข้อมูลติดต่อหรือระบุสถานที่ของบุคคลหรือใช้ระบุตัวบุคคลได้ผ่านเนื้อหาในภาพรวม
- ข้อมูลระบุตัวบุคคล (PII) หรือข้อมูลส่วนบุคคลที่อ่อนไหว (SPI) ตามที่ระบุในกฎหมายความเป็นส่วนตัวและความปลอดภัยของข้อมูลของสหรัฐฯ คือข้อมูลที่หากใช้โดยตัวมันเองหรือร่วมกับข้อมูลอื่่นแล้วสามารถระบุตัวตน ข้อมูลติดต่อหรือระบุสถานที่ของบุคคลหรือใช้ระบุตัวบุคคลได้ผ่านเนื้อหาในภาพรวม https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )
นโยบายความปลอดภัยของระบบคอมพิวเตอร์
(จาก “Cybersecurity requirements for financial services companies”: https://www.dfs.ny.gov/legal/regulations/adoptions/dfsrf500txt.pdf )
หน่วยงานที่เข้าหลักเกณฑ์แต่ละแห่งจะต้องปรับใช้และกำกับดูแลเอกสารระบุนโยบายที่ผ่านการรับรองโดยผู้บริหารระดับสูงหรือคณะกรรมการบริหารของหน่วยงานของตน (หรือคณะกรรมการที่เกี่ยวข้อง) หรือหน่วยงานกำกับดูแลเทียบเท่า โดยกำหนดนโยบายและกระบวนการของหน่วยงานที่เข้าหลักเกณฑ์ในการปกป้องระบบสารสนเทศและข้อมูลที่ไม่เปิดเผยแก่สาธารณะที่จัดเก็บในระบบสารสนเทศเหล่านี้
(ก) การดูแลความปลอดภัยของข้อมูล
(ข) การกำกับดูแลและแยกประเภทข้อมูล
(ค) คลังข้อมูลและการจัดการอุปกรณ์ต่าง ๆ
(ง) การควบคุมการใช้งานและการจัดการส่วนการแสดงตัวตน
(จ) การวางแผนและจัดสรรทรัพยากรด้านความต่อเนื่องทางธุรกิจและการกู้ระบบจากภัยพิบัติ
(ฉ) การทำงานของระบบการทำงานต่าง ๆ และข้อกังวลด้านความพร้อมใช้งาน
(ช) การรักษาความปลอดภัยของระบบการทำงานและเครือข่าย
(ซ) การตรวจติดตามระบบการทำงานและเครือข่าย
(ฌ) การพัฒนาและรับรองคุณภาพของระบบการทำงานและแอพพลิเคชั่นต่าง ๆ
(ญ) การรักษาความปลอดภัยทางกายภาพและระบบควบคุมแวดล้อมต่าง ๆ
(ฎ) การรักษาความเป็นส่วนตัวของข้อมูลของลูกค้า
(ฏ) การจัดการผู้ให้บริการและผู้ให้บริการจากภายนอก
(ฐ) การประเมินความเสี่ยง
(ฑ) การจัดการเมื่อเกิดสถานการณ์ที่ไม่คาดคิด
กำหนดเวลาที่สำคัญภายใต้แผนงานควบคุมความปลอดภัยของระบบคอมพิวเตอร์รัฐนิวยอร์ก (23 NYCRR Part 500)
- 1 มีนาคม 2017 - 23 NYCRR Part 500 จะเริ่มมีผลบังคับใช้
- 28 สิงหาคม 2017 - สิ้นสุดระยะเวลาเตรียมความพร้อม 180 วัน หน่วยงานที่เข้าหลักเกณฑ์จะต้องปฏิบัติตามเงื่อนไขใ 23 NYCRR Part 500 ยกเว้นมีระบุไว้เป็นอย่างอื่น
- 15 กุมภาพันธ์ 2018 - หน่วยงานที่เข้าหลักเกณฑ์จะต้องส่งหนังสือยืนยันการรับรองครั้งแรกภายใต้ 23 NYCRR 500.17(b) ณ หรือก่อนกำหนดวันที่นี้
- 1 มีนาคม 2018 - สิ้นสุดระยะเวลาเตรียมความพร้อมหนึ่งปี หน่วยงานที่เข้าหลักเกณฑ์จะต้องปฏิบัติตามเงื่อนไขใน sections 500.04(b), 500.05, 500.09, 500.12 และ 500.14(b) ของ 23 NYCRR Part 500
- 3 กันยายน 2018 - สิ้นสุดระยะเวลาเตรียมความพร้อมสิบแปดเดือน หน่วยงานที่เข้าหลักเกณฑ์จะต้องปฏิบัติตามเงื่อนไขใน sections 500.06, 500.08, 500.13, 500.14(a) and 500.15 ของ 23 NYCRR Part 500
- 1 มีนาคม 2019 - สิ้นสุดระยะเวลาเตรียมความพร้อมสองปี หน่วยงานที่เข้าหลักเกณฑ์จะต้องปฏิบัติตามเงื่อนไขใน 23 NYCRR 500.11
