Регулювання з кібербезпеки NYDFS та відповідність вимогам NYDFS

Що таке Регламент кібербезпеки NYDFS?

NYDFS Cybersecurity Regulation

Положення про кібербезпеку NYDFS – це набір правил Департаменту фінансових послуг Нью-Йорка. Цей закон встановлює вимоги кібербезпеки до всіх фінансових установ, які працюють у Нью-Йорку. Він передбачає, що всі компанії, що регулюються DFS, повинні мати плани, політику кібербезпеки та підтримувати детальні системи звітності про події кібербезпеки.

Основною метою цього регламенту є захист конфіденційної приватної інформації, яка може бути використана для ідентифікації осіб. Продовжуйте читати цю сторінку та дізнайтеся про найважливіші аспекти Положення про кібербезпеку NYDFS, фінансові установи та штрафи за їх недотримання.

Хто є юридичними особами, які охоплюються Регламентом кібербезпеки NYDFS?

Коли йдеться про організації, що підпадають під дію NYDFS, це законодавство точно визначає всі суб’єкти, які підпадають під дію цього регламенту. Список NYDFS включає такі типи бізнесу:

  • Державні банки
  • Приватні банкіри
  • Ліцензовані кредитори
  • Страхові компанії
  • Постачальники послуг
  • Іпотечні компанії
  • Іноземні банки з ліцензією на діяльність у Нью-Йорку

Якщо ми зробимо короткий виклад цього списку організацій за NYFDS, ми побачимо, що охоплені фінансові установи включають усіх фізичних осіб, групи чи корпорації, які законно діють відповідно до законодавства Нью-Йорка про фінансові послуги. Цей список охоплює лише широкі категорії компаній, але ви можете знайти повний і детальний список на офіційному веб-сайті DFS. З огляду на це, існують винятки з Регламенту кібербезпеки NYDFS, які включають:

  • Компанії з менш ніж десятьма співробітниками;
  • Компанії з валовим річним доходом 5 мільйонів доларів США або менше від їх діяльності в Нью-Йорку протягом кожного з попередніх трьох років;
  • Компанії з активами менше ніж 10 мільйонів доларів США на кінець року;
  • Благодійні та іноземні групи ризику, які працюють у Нью-Йорку.

Які ключові компоненти регламенту кібербезпеки NYDFS?

Як і широко відомий GDPR, Регламент кібербезпеки NYDFS було впроваджено в кілька етапів, щоб дозволити кожній компанії розробити ефективний план реагування на інциденти для всіх можливих подій кібербезпеки. Всього було чотири етапи впровадження регламенту кібербезпеки NYDFS:

  • Перший етап – перший етап набув чинності 18 лютого 2018 року. Він охоплював такі практики, як планування потужності та продуктивності, безпека інформаційних систем, системних та мережевих безпеки та періодичної оцінки ризику, серед інших положень. Поширені організації повинні повідомляти про будь-які порушення даних, які мають розумну ймовірність заподіяти матеріальну шкоду.
  • Другий етап — Наступний етап набув чинності 1 березня того ж року. Він зосереджений здебільшого на головних спеціалістах із інформаційної безпеки, від яких потрібно готувати щорічні звіти, які містять політику та процедури кібербезпеки компанії, ефективність поточних заходів та можливі ризики кібербезпеки.
  • Третій етап . Третій етап, запроваджений 3 вересня 2018 року, був зосереджений на функціональних можливостях програм кібербезпеки юридичних осіб. До кінця третього етапу кожна компанія повинна вести детальну базу даних своїх аудиторських слідів і записів. Третій етап також вимагає від усіх охоплених організацій продовжувати оцінку вразливостей, інвестувати в безпеку даних та створювати захисну інфраструктуру відповідно до попередньо завершених тестів оцінки ризиків.
  • Четвертий етап – Четвертий і останній етап набув чинності 1 березня 2019 р. До цієї дати охоплені організації повинні відповідати всім вищезгаданим вимогам кібербезпеки та мати встановлені адекватні методи конфіденційності. Вони також повинні розробити письмову політику управління ризиками та включати сторонні рамки оцінки ризиків.

Окрім заходів, які розглядаються на чотирьох етапах вище, існують також деякі додаткові вимоги. Вони включають багатофакторну автентифікацію для всіх охоплених організацій, тестування на проникнення для оцінки ризику, використання принципу найменших привілеїв та використання кваліфікованого персоналу з кібербезпеки, який постійно навчається.

Як працює Регламент кібербезпеки NYDFS?

Чотири етапи, які ми перерахували вище, охоплюють весь процес, який повинен здійснити кожен бізнес. Простіше кажучи, Регламент кібербезпеки NYDFS вимагає від кожної організації оцінити ризики та розробити план реагування на інциденти для різних подій кібербезпеки. Це включає, як мінімум, такі конкретні аспекти:

  • Оцінка ризиків – періодично проводиться для оцінки цілісності, безпеки, конфіденційності та доступності ІТ-інфраструктури компанії та персональної інформації.
  • Аудиторські сліди - Записи потрібно зберігати протягом п’яти років. Їх основна мета – записувати події кібербезпеки та реагувати на них.
  • Обмеження щодо збереження даних - Компанії зобов’язані розробити процедури безпечного видалення персональної інформації, яка більше не потрібна для комерційних цілей.
  • План реагування на інциденти — створюйте письмові плани та документуйте внутрішні процеси для реагування на різні події кібербезпеки. Він включає ролі та відповідальність, плани комунікації та будь-які інші виправлення, якщо потрібно.
  • Права доступу - суворо обмежте права доступу до персональної інформації користувача та періодично перевіряйте ці привілеї.
  • Повідомлення для суперінтенданта - Повідомлення до Департаменту фінансових послуг протягом 7 годин після виявлення події кібербезпеки.

Нью-Йоркські правила кібербезпеки Штрафи за їх невиконання

Хоча недотримання Положення про кібербезпеку NYDFS може неминуче призвести до значних штрафів, пені та судових витрат, точні суми штрафу не вказано в положенні. Це трохи засмучує, оскільки компаніям здається, що Департамент фінансових послуг не зацікавлений у встановленні чіткої комунікації.

Якщо б ви шукали точні штрафи за невідповідність Регламенту кібербезпеки NYDFS, ви просто знайшли б заяву про те, що штрафи за недотримання будуть розраховані. З огляду на це, відсутність точної інформації щодо покарань не означає, що ви повинні нехтувати правилами, накладеними цим законодавством, оскільки Регламент кібербезпеки NYDFS тепер діє повною мірою.

Контрольний перелік відповідності нормативам кібербезпеки NYDFS

Оскільки Регламент кібербезпеки NYDFS діє повністю, кожна організація, яка підпадає під визначені критерії, повинна відповідати вимогам, зазначеним у контрольному списку відповідності.Щоб відповідати положенням NYDFS, організації повинні:

  • Оцініть, чи на їхній бізнес поширюється дія цього регламенту про кібербезпеку
  • Зберіть команду під керівництвом CISO, відповідальну за повсякденне управління дотриманням правил
  • Виконайте оцінку ризику, щоб визначити події кібербезпеки, загрози та зрозуміти їхній профіль ризику
  • Інвестуйте в постійне управління ризиками

Незважаючи на занепокоєння, що це регулювання може бути занадто надійним і складним для дотримання, воно надає надійний механізм, який може контролювати бізнес і захищати конфіденційну інформацію користувачів. Це бажане регулювання, яке, безсумнівно, допоможе покращити глобальну кібернетику стійкість у майбутньому.

З огляду на це, робота над оцінкою ризиків та всіма іншими подіями з кібербезпеки разом із експертною компанією з кібербезпеки може значно допомогти у забезпеченні відповідності Регламенту кібербезпеки NYDFS. Фахівці з кібербезпеки можуть допомогти вам ефективніше захищати ваші дані, запобігати й відстежувати будь-які вразливості безпеки.

Якщо ви шукаєте готове рішення з кібербезпеки для посилення відповідності, перегляньте Hideez Enterprise Solution або заплануйте безкоштовну демонстрацію:

.