Що таке Регламент кібербезпеки NYDFS?

Положення про кібербезпеку NYDFS – це набір нормативних актів Департаменту фінансових послуг Нью-Йорка. Це законодавство встановлює вимоги щодо кібербезпеки для всіх фінансових установ, які працюють у Нью-Йорку. Він передбачає, що всі компанії, які регулюються DFS, повинні мати плани кібербезпеки, політики та підтримувати докладні системи звітності про події кібербезпеки.

Основна мета цього регламенту — захист конфіденційної приватної інформації, яка може бути використана для ідентифікації осіб. Продовжуйте читати цю сторінку та дізнайтеся про найважливіші аспекти Регламенту кібербезпеки NYDFS, охоплені фінансові установи та покарання за невиконання.

Хто є особами, на яких поширюється дія Регламенту про кібербезпеку NYDFS?

Що стосується організацій, які підпадають під дію NYDFS, це законодавство точно визначає всіх суб’єктів, які підпадають під дію цього положення. Список NYDFS включає такі типи підприємств:

• Державні банки
• Приватні банкіри
• Ліцензовані кредитори
• Страхові компанії
• Постачальники послуг
• Іпотечні компанії
• Іноземні банки з ліцензією на діяльність у Нью-Йорку

Якщо ми коротко переглянемо цей список організацій, які підпадають під NYFDS, ми побачимо, що охоплені фінансові установи включають усіх осіб, групи чи корпорації, які законно діють відповідно до законів Нью-Йорка про фінансові послуги. Цей список охоплює лише широкі категорії підприємств, але ви можете знайти повний і детальний список на офіційному веб-сайті ДФС. Зважаючи на це, існують винятки з Регламенту кібербезпеки NYDFS, які включають:

• Компанії з менш ніж десятьма працівниками;
• Компанії з валовим річним доходом 5 мільйонів доларів США або менше від діяльності в Нью-Йорку за кожний із попередніх трьох років;
• Підприємства з активами на кінець року менше 10 мільйонів доларів США;
• Благодійні та іноземні групи ризиків, які працюють у Нью-Йорку.

Які ключові компоненти Регламенту кібербезпеки NYDFS?

Як і широко відомий GDPR, Регламент NYDFS щодо кібербезпеки був запроваджений у кілька етапів, щоб дозволити кожній компанії розробити ефективний план реагування на всі можливі події кібербезпеки. Загалом існувало чотири етапи впровадження регламенту кібербезпеки NYDFS:

• Перша фаза . Перша фаза набула чинності 18 лютого 2018 року. Вона охоплювала такі практики, як планування потужності та ефективності, безпека інформаційних систем, системна та мережева безпеки та періодичної оцінки ризиків, серед інших положень. Організації, на яких поширюється дія, повинні повідомляти про будь-які витоки даних, які мають розумну ймовірність спричинити матеріальну шкоду.
• Друга фаза - наступна фаза набула чинності 1 березня того ж року. Він зосереджується здебільшого на керівниках відділу інформаційної безпеки, від яких вимагається готувати щорічні звіти, що містять політику та процедури кібербезпеки компанії, ефективність поточних заходів та можливі ризики кібербезпеки.
• Третій етап . Третій етап, запроваджений 3 вересня 2018 року, був зосереджений на функціональності програм кібербезпеки охоплених організацій. До кінця третього етапу кожна компанія повинна підтримувати детальну базу даних своїх журналів аудиту та записів. Третя фаза також вимагає, щоб усі охоплені суб’єкти продовжували оцінювати вразливості, інвестувати в безпеку даних і створювати захисну інфраструктуру згідно з раніше завершеними тестами оцінки ризиків.
• Четвертий етап . Четвертий і останній етап набув чинності 1 березня 2019 р. До цієї дати охоплені організації повинні відповідати всім вищезазначеним вимогам щодо кібербезпеки та мати встановлені адекватні практики конфіденційності. Вони також повинні розробити письмову політику управління ризиками та включити систему оцінки ризиків третьої сторони.

Крім заходів, описаних у чотирьох етапах вище, є також деякі додаткові вимоги. Це включає багатофакторну автентифікацію для всіх охоплених об’єктів, тестування на проникнення для оцінки ризику, використання принципу найменших привілеїв і використання кваліфікованого персоналу з кібербезпеки, який постійно навчається.

Як працює Регламент кібербезпеки NYDFS?

Чотири етапи, які ми перерахували вище, охоплюють увесь процес, який має виконати кожна компанія. Простіше кажучи, Регламент NYDFS щодо кібербезпеки вимагає від кожної організації проводити оцінку ризиків і розробляти план реагування на інциденти для різних подій у сфері кібербезпеки. Це включає, як мінімум, наступні конкретні аспекти:

• Оцінка ризиків - Періодично проводиться для оцінки цілісності, безпеки, конфіденційності та доступності ІТ-інфраструктури компанії та інформації, що дозволяє ідентифікувати особу.
• Аудиторські дані - Записи необхідно зберігати протягом п’яти років. Їхнє основне призначення — записувати події кібербезпеки та реагувати на них.
• Обмеження щодо збереження даних - Компанії зобов’язані розробити процедури безпечної утилізації особистої інформації, яка більше не потрібна для комерційних цілей.
• План реагування на інциденти . Створіть письмові плани та задокументуйте внутрішні процеси реагування на різні події кібербезпеки. Він включає в себе ролі та обов’язки, плани зв’язку та будь-які інші виправлення за потреби.
• Права доступу - суворо обмежують права доступу до особистої інформації користувача та періодично перевіряють ці права.
• Повідомлення інспектору - Повідомлення Департаменту фінансових послуг протягом 7 годин після виявлення події кібербезпеки.

Нью-йоркські правила кібербезпеки, штрафи за їх недотримання

Хоча невідповідність Регламенту про кібербезпеку NYDFS неминуче може призвести до значних штрафів, пені та судових витрат, точні суми штрафів у регламенті не вказані. Це трохи засмучує, оскільки це змушує компанії відчувати, що Департамент фінансових послуг не зацікавлений у встановленні чіткої комунікації.

Якщо б ви шукали точні штрафи за невиконання Регламенту кібербезпеки NYDFS, ви б просто знайшли заяву про те, що штрафи за невиконання будуть розраховані. Зважаючи на це, відсутність точної інформації щодо штрафів не означає, що ви повинні нехтувати положеннями, встановленими цим законодавством, оскільки Регламент NYDFS щодо кібербезпеки набув чинності.

Контрольний список відповідності нормам кібербезпеки NYDFS

Оскільки Регламент NYDFS щодо кібербезпеки набув чинності, кожна організація, яка відповідає визначеним критеріям, має відповідати вимогам, зазначеним у контрольному списку відповідності.Щоб відповідати положенням NYDFS, організації повинні:

• Оцініть, чи класифікується їхній бізнес як такий, що підпадає під дію цього положення про кібербезпеку
• Створіть команду під керівництвом CISO, відповідальну за щоденне керування дотриманням нормативних документів
• Виконайте оцінку ризику, щоб визначити події кібербезпеки, загрози та зрозуміти їхній профіль ризику
• Інвестуйте в постійне управління ризиками

Не дивлячись на побоювання, що цей нормативний акт може бути надто жорстким і складним для дотримання, він надає надійний механізм, який може тримати бізнес під контролем і захищати конфіденційну інформацію користувачів. Це бажане регулювання, яке, безсумнівно, допоможе покращити глобальну кібер стійкість у майбутньому.

Зважаючи на це, робота над оцінкою ризиків та всіма іншими подіями з кібербезпеки з експертною компанією з кібербезпеки може значно допомогти в забезпеченні дотримання Регламенту NYDFS щодо кібербезпеки. Експерти з кібербезпеки можуть допомогти вам ефективніше захистити ваші дані, а також запобігти й відстежувати будь-які вразливості безпеки.

Якщо ви шукаєте готове рішення з кібербезпеки для посилення відповідності — ознайомтеся з Hideez Enterprise Solution або заплануйте безкоштовну демонстрацію: