2017 m. gegužės mėn. Niujorko valstijos finansinių paslaugų departamentas (NYDFS) išleido 23 NYCRR 500 dalį – naują kibernetinio saugumo taisyklę. Šis reglamentas dabar visiškai galioja, bet kas tiksliai jis yra, gali būti neaišku.

Po paskelbimo šis reikalavimų rinkinys buvo šiek tiek pakeistas, o jo teisinė kalba gali būti neaiški. Kas yra NYDFS kibernetinio saugumo reglamentas ir kaip jis jus veikia? Pažiūrėkime atidžiau.

Kas yra NYDFS kibernetinio saugumo reglamentas?

NYDFS kibernetinio saugumo taisyklių sąrašai finansinių paslaugų saugumo reikalavimus Niujorke. Kaip ir Europos bendruoju duomenų apsaugos reglamentu (BDAR), šiomis taisyklėmis siekiama apsaugoti piliečių duomenis kontroliuojant bendroves pagal konkretų standartą. Šiuo atveju šie standartai dažniausiai kyla iš NIST kibernetinio saugumo sistema.

Pagal šias taisykles Niujorko finansų bendrovės turi:

  • Periodiškai peržiūrėkite jų IT sistemų saugumą ir duomenų privatumą.
  • Įrašykite kibernetinio saugumo įvykius ir saugokite šiuos įrašus penkerius metus.
  • instagram viewer
  • Turėkite politiką ir procedūras, kaip saugiai ištrinti asmeninę informaciją, kurios jiems nebereikia.
  • Apribokite prieigą prie asmens identifikavimo informacijos (PII) ir reguliariai peržiūrėkite šias privilegijas.
  • Turėkite išsamų rašytinį planą apie kibernetinio saugumo incidentų atradimą, reagavimą į juos ir atsigavimą po jų.
  • Praneškite NYDFS per 72 valandas po kibernetinio saugumo įvykio.

Skirtingai nuo kai kurių panašių įstatymų, NYDFS kibernetinio saugumo reglamente pateikiamos išsamios instrukcijos apie tai, ką turėtų sudaryti šie saugumo ir ataskaitų teikimo planai. Taip pat reikalaujama, kad įmonės užtikrintų savo trečiųjų šalių saugumą, o ne tik savo vidines operacijas.

Dėl šių reikalavimų šis reglamentas yra vienas plačiausių ir griežčiausių iš visų valstybių. Juos pažeidusioms įmonėms gali būti skirtos nemažos baudos, tačiau visas nuobaudų mastas vis dar neaiškus.

Kam taikomas NYDFS kibernetinio saugumo reglamentas?

NYDFS kibernetinio saugumo reglamentas taikoma bet kuriam asmeniui ar subjektui tam reikia NYDFS licencijos. Tai apima finansines ir draudimo bendroves Niujorke, įskaitant:

  • Bankai.
  • Kredito unijos.
  • Investicinės bendrovės.
  • Licencijuoti skolintojai.
  • Hipotekos brokeriai.
  • Draudimo teikėjai.
  • Taupymo ir paskolų bendrijos.

Šie subjektai apima vietines įmones ir užsienio bendroves, turinčias licenciją dirbti Niujorke. Pavyzdžiui, nors Deutsche Bank yra Vokietijos įmonė, jis turi atitikti 23 NYCRR 500 dalį, nes ji veikia Niujorke.

Šiame sąraše yra keletas išimčių. Įmonės, kuriose dirba mažiau nei 10 darbuotojų, kurių metinės pajamos iš Niujorko per pastaruosius trejus metus yra mažesnės nei 5 mln. USD arba bendras turtas metų pabaigoje yra mažesnis nei 10 mln. USD, yra neapmokestinamos. Taip pat ir įmonės, kurios nesaugo ir neapdoroja privačios informacijos, tačiau tai mažai tikėtina finansinių paslaugų įmonei.

Ką jums reiškia kibernetinio saugumo reglamentas?

Jei gyvenate ar bankuojate Niujorko valstijoje, jūsų įstaigai tikriausiai taikomos šios taisyklės. Net jei to nepadarysite, NYDFS kibernetinio saugumo reglamentas vis tiek gali būti taikomas jūsų bankui. Jei jis turi filialą, veikiantį valstybėje ir atitinka finansinius reikalavimus, jis turės atitikti.

Jums, kaip banko klientui, nereikia imtis jokių veiksmų pagal šiuos reikalavimus. Tačiau galite pastebėti tam tikrų jūsų finansų įstaigos ar draudiko veiklos pokyčių. Gali tekti naudoti papildomus saugos veiksmus, pvz., daugiafaktorinį autentifikavimą (MFA) arba koreguoti savo leidimus kaip šios įmonės tobulinti savo kibernetinio saugumo priemones.

NIST kibernetinio saugumo sistema, kuri įkvėpė šias taisykles, apima savalaikį dalijimąsi informacija, kuris gali turėti įtakos jums. Jei jūsų banke ar draudikoje įvyko incidentas, jie gali jums apie tai pranešti. Tikėtina, kad atsakydami nereikės nieko daryti, bet galite tikėtis gauti tokio tipo pranešimus.

Net jei neturite jokių teisinių įsipareigojimų pagal 23 NYCRR 500 dalį, geriausia būti atsargiems su savo finansine informacija. Visada naudokite unikalius, stiprius slaptažodžius, įgalinkite MFA, kai įmanoma, ir niekada neperduokite AII į nežinomą šaltinį. Šių taisyklių griežtumas pabrėžia šių klausimų svarbą, todėl būkite atsargūs.

Vyriausybės rimčiau žiūri į kibernetinį saugumą

NYDFS kibernetinio saugumo reglamentas yra vienas iš daugelio naujausių pavyzdžių, kai vietos valdžios institucijos leidžia kibernetinio saugumo įstatymus. Skaitmeniniams įrankiams kasdieniame gyvenime vis labiau paplitus, šios taisyklės tik augs.

Vartotojai ir įmonės turėtų nuolat žinoti apie šias taisykles, kad įsitikintų, jog jos atitinka. Iš pradžių gali atrodyti, kad šie pakeitimai viską apsunkina, tačiau tai būtinas žingsnis siekiant didesnio saugumo.

Kaip vyriausybė šnipinėja jus naudodama surinktus duomenis

Jūsų socialinės žiniasklaidos paskyros ir išmanieji telefonai renka duomenis apie jus ir ta informacija gali naudotis vyriausybinės agentūros. Štai kaip ir kodėl.

Skaitykite toliau

DalintisTviteryjeEl. paštas
Susijusios temos
  • Saugumas
  • Kibernetinė sauga
  • Privatumas internete
  • Duomenų saugumas
Apie autorių
Shannon Flynn (Paskelbta 34 straipsniai)

Shannon yra turinio kūrėjas, įsikūręs Philly, PA. Ji rašo technologijų srityje apie 5 metus po to, kai baigė IT studijas. Shannon yra žurnalo „ReHack“ vadovaujanti redaktorė ir nagrinėja tokias temas kaip kibernetinis saugumas, žaidimai ir verslo technologijos.

Daugiau iš Shannon Flynn

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. knygų ir išskirtinių pasiūlymų!

Spauskite čia norėdami užsiprenumeruoti