През май 2017 г. Държавният департамент за финансови услуги на Ню Йорк (NYDFS) пусна 23 NYCRR Част 500, ново правило за киберсигурност. Тази наредба вече е в сила, но каква точно е тя може да не е ясно.
След обявяването си този набор от изисквания претърпя няколко промени и правният му език може да е неясен. Какво представлява регламентът за киберсигурност на NYDFS и как ви влияе? Нека да разгледаме по-отблизо.
Какво представлява регламентът за киберсигурност на NYDFS?
Списъците на регламента за киберсигурност на NYDFS изисквания за сигурност на финансовите услуги в Ню Йорк. Подобно на Общия регламент за защита на данните на Европа (GDPR), тези правила имат за цел да защитят данните на гражданите, като придържат компаниите към конкретен стандарт. В този случай тези стандарти идват най-вече от рамката за киберсигурност на NIST.
Съгласно тези разпоредби финансовите компании в Ню Йорк трябва:
- Периодично преглеждайте сигурността и поверителността на данните на техните ИТ системи.
- Записвайте събития в областта на киберсигурността и съхранявайте тези записи в продължение на пет години.
- Имат политики и процедури за безопасно изтриване на лична информация, от която вече не се нуждаят.
- Ограничете достъпа до лична информация (PII) и редовно преглеждайте тези привилегии.
- Имайте подробен писмен план за откриване, реагиране и възстановяване от инциденти в киберсигурността.
- Уведомете NYDFS в рамките на 72 часа след събитие за киберсигурност.
За разлика от някои подобни закони, регламентът за киберсигурност на NYDFS включва подробни указания за това от какво трябва да се състоят тези планове за сигурност и докладване. Той също така изисква компаниите да гарантират, че техните трети страни са защитени, а не само вътрешните им операции.
Тези изисквания правят този регламент един от най-широките и строги от всяка държава. Бизнесите, които ги нарушават, могат да бъдат глобени солидни, но пълният размер на наказанията все още не е ясен.
За кого се прилага регламентът за киберсигурност на NYDFS?
Регламентът за киберсигурност на NYDFS се отнася за всяко физическо или юридическо лице който се нуждае от лиценз от NYDFS. Това обхваща финансови и застрахователни компании в Ню Йорк, включително:
- банки.
- Кредитни съюзи.
- Инвестиционни компании.
- Лицензирани кредитори.
- Ипотечни брокери.
- Доставчици на застраховки.
- Спестовни и кредитни асоциации.
Тези обхванати субекти включват местни фирми и чуждестранни компании, лицензирани за работа в Ню Йорк. Например, въпреки че Deutsche Bank е немска компания, тя трябва да спазва 23 NYCRR Част 500, тъй като работи в Ню Йорк.
Има няколко изключения от този списък. Компании с по-малко от 10 служители, по-малко от 5 милиона долара годишни приходи от Ню Йорк през последните три години или по-малко от 10 милиона долара общи активи в края на годината са освободени. Същото е и с бизнесите, които не съхраняват или обработват лична информация, но това е малко вероятно за компания за финансови услуги.
Какво означава регламентът за киберсигурност за вас?
Ако живеете или банкирате в щата Ню Йорк, вашата институция вероятно попада в обхвата на тези разпоредби. Дори и да не го направите, регламентът за киберсигурност на NYDFS все още може да се прилага за вашата банка. Ако има клон, работещ в държавата и отговаря на финансовите изисквания, ще трябва да се съобрази.
Като клиент на банката не е нужно да предприемате никакви стъпки съгласно тези изисквания. Въпреки това може да видите някои промени в начина, по който функционира вашата финансова институция или застраховател. Може да се наложи да използвате допълнителни стъпки за сигурност като многофакторно удостоверяване (MFA) или да коригирате разрешенията си, тъй като тези компании подобряват своите мерки за киберсигурност.
Рамката за киберсигурност NIST, която вдъхнови тези правила, включва навременно споделяне на информация, което може да ви засегне. Ако има инцидент във вашата банка или застраховател, може да се наложи да ви уведомят. Вероятно няма да ви се налага да правите нищо в отговор, но можете да очаквате да получавате тези типове съобщения.
Дори и да нямате законови задължения по 23 NYCRR, част 500, най-добре е да внимавате с финансовата си информация. Винаги използвайте уникални, силни пароли, активирайте MFA, когато е възможно, и никога не предоставяйте PII на неизвестен източник. Строгостта на тези разпоредби подчертава колко важни са тези въпроси, така че бъдете внимателни.
Правителствата приемат киберсигурността по-сериозно
Регламентът за киберсигурност на NYDFS е един от многото скорошни примери за местните власти, които издават закони за киберсигурност. Тъй като дигиталните инструменти стават все по-често срещани в ежедневието, тези правила само ще растат.
Както потребителите, така и фирмите трябва да бъдат в крак с тези разпоредби, за да се уверят, че са съвместими. Тези промени може да изглеждат, че усложняват нещата в началото, но те са необходима стъпка към по-добра сигурност.
Вашите акаунти в социалните медии и смартфони събират данни за вас и тази информация може да се използва от правителствени агенции. Ето как и защо.
Прочетете Следващото
- Сигурност
- Кибер защита
- Онлайн поверителност
- Сигурност на данните
Шанън е създател на съдържание, намиращ се във Фили, Пенсилвания. Тя пише в областта на технологиите от около 5 години, след като е завършила специалност ИТ. Шанън е управляващ редактор на списание ReHack и обхваща теми като киберсигурност, игри и бизнес технологии.
Абонирайте се за нашия бюлетин
Присъединете се към нашия бюлетин за технически съвети, ревюта, безплатни електронни книги и ексклузивни оферти!
Щракнете тук, за да се абонирате