V máji 2017 vydalo ministerstvo financií štátu New York (NYDFS) 23 NYCRR Part 500, nové pravidlo kybernetickej bezpečnosti. Toto nariadenie je teraz v plnej miere účinné, ale o čo presne ide, nemusí byť jasné.

Od svojho oznámenia prešiel tento súbor požiadaviek niekoľkými zmenami a jeho právny jazyk môže byť nejasný. Čo je nariadenie NYDFS o kybernetickej bezpečnosti a ako vás ovplyvňuje? Poďme sa na to pozrieť bližšie.

Čo je nariadenie NYDFS o kybernetickej bezpečnosti?

Nariadenie NYDFS o kybernetickej bezpečnosti uvádza zoznam bezpečnostné požiadavky na finančné služby v New Yorku. Rovnako ako všeobecné nariadenie o ochrane údajov v Európe (GDPR), aj tieto pravidlá sa zameriavajú na ochranu údajov občanov tým, že spoločnosti drží špecifické normy. V tomto prípade tieto normy pochádzajú väčšinou z rámec kybernetickej bezpečnosti NIST.

Podľa týchto nariadení musia finančné spoločnosti v New Yorku:

  • Pravidelne kontrolujte bezpečnosť svojich IT systémov a ochranu osobných údajov.
  • Zaznamenávajte udalosti kybernetickej bezpečnosti a uchovávajte tieto záznamy päť rokov.
    • instagram viewer
  • Majte zásady a postupy na bezpečné vymazanie osobných údajov, ktoré už nepotrebujú.
  • Obmedzte prístup k osobným údajom (PII) a pravidelne kontrolujte tieto privilégiá.
  • Majte podrobný písomný plán o objavovaní incidentov v oblasti kybernetickej bezpečnosti, reagovaní na ne a zotavovaní sa z nich.
  • Informujte NYDFS do 72 hodín o udalosti kybernetickej bezpečnosti.

Na rozdiel od niektorých podobných zákonov obsahuje nariadenie o kybernetickej bezpečnosti NYDFS podrobné pokyny o tom, z čoho by tieto plány zabezpečenia a výkazníctva mali pozostávať. Vyžaduje tiež, aby spoločnosti zabezpečili bezpečnosť svojich tretích strán, nielen ich interné operácie.

Tieto požiadavky robia toto nariadenie jedným z najširších a najprísnejších v akomkoľvek štáte. Podnikom, ktoré ich porušia, môžu hroziť vysoké pokuty, no celý rozsah pokút je stále nejasný.

Na koho sa vzťahuje nariadenie o kybernetickej bezpečnosti NYDFS?

Nariadenie NYDFS o kybernetickej bezpečnosti sa vzťahuje na akúkoľvek osobu alebo subjekt ktorý potrebuje licenciu od NYDFS. To zahŕňa finančné a poisťovacie spoločnosti v New Yorku vrátane:

  • banky.
  • Družstevné záložne.
  • Investičné spoločnosti.
  • Licencovaní veritelia.
  • Hypotekárny makléri.
  • Poskytovatelia poistenia.
  • Sporiteľné a úverové združenia.

Tieto zahrnuté subjekty zahŕňajú miestne podniky a zahraničné spoločnosti s licenciou na prácu v New Yorku. Napríklad, aj keď je Deutsche Bank nemecká spoločnosť, musí dodržiavať 23 NYCRR časť 500 od r. pôsobí v New Yorku.

V tomto zozname existuje niekoľko výnimiek. Spoločnosti s menej ako 10 zamestnancami, s ročným príjmom z New Yorku menším ako 5 miliónov USD za posledné tri roky alebo s celkovým majetkom na konci roka menším ako 10 miliónov USD. Rovnako aj podniky, ktoré neuchovávajú ani nespracúvajú súkromné ​​informácie, ale to je pre spoločnosť poskytujúcu finančné služby nepravdepodobné.

Čo pre vás znamená nariadenie o kybernetickej bezpečnosti?

Ak žijete alebo bankujete v štáte New York, vaša inštitúcia pravdepodobne spadá pod tieto nariadenia. Aj keď to neurobíte, na vašu banku sa môže vzťahovať nariadenie o kybernetickej bezpečnosti NYDFS. Ak má pobočku pôsobiacu v štáte a spĺňa finančné požiadavky, bude musieť vyhovieť.

Ako klient banky nemusíte podľa týchto požiadaviek podnikať žiadne kroky. Môžete však zaznamenať určité zmeny v tom, ako vaša finančná inštitúcia alebo poisťovateľ funguje. Možno budete musieť použiť ďalšie bezpečnostné kroky, ako je viacfaktorové overenie (MFA) alebo upraviť svoje povolenia ako tieto spoločnosti zlepšiť svoje opatrenia v oblasti kybernetickej bezpečnosti.

NIST Cybersecurity Framework, ktorý inšpiroval tieto pravidlá, zahŕňa včasné zdieľanie informácií, čo sa vás môže týkať. Ak vo vašej banke alebo poisťovni dôjde k incidentu, možno vás budú musieť upozorniť. Pravdepodobne nebudete musieť urobiť nič ako odpoveď, ale môžete očakávať, že budete dostávať tieto typy správ.

Aj keď nemáte žiadnu zákonnú povinnosť podľa 23 NYCRR časť 500, je najlepšie byť opatrný so svojimi finančnými informáciami. Vždy používajte jedinečné, silné heslá, povoľte MFA, ak je to možné, a nikdy neprezrádzajte PII neznámemu zdroju. Prísnosť týchto nariadení zdôrazňuje, aké dôležité sú tieto otázky, preto buďte opatrní.

Vlády berú kybernetickú bezpečnosť vážnejšie

Nariadenie NYDFS o kybernetickej bezpečnosti je jedným z mnohých nedávnych príkladov miestnych vlád, ktoré vydávajú zákony o kybernetickej bezpečnosti. Ako sa digitálne nástroje stávajú čoraz bežnejšími v každodennom živote, tieto pravidlá budú len rásť.

Spotrebitelia aj firmy by mali mať aktuálne informácie o týchto nariadeniach, aby sa uistili, že sú v súlade. Tieto zmeny sa na prvý pohľad môžu zdať komplikované, no sú nevyhnutným krokom k lepšej bezpečnosti.

Ako vás vláda špehuje nazbieranými údajmi

Vaše účty sociálnych médií a smartfóny o vás zhromažďujú údaje a tieto informácie môžu použiť vládne agentúry. Tu je návod ako a prečo.

Prečítajte si ďalej

zdieľamTweetujteEmail
Súvisiace témy
  • Bezpečnosť
  • Kyber ochrana
  • Súkromie online
  • Bezpečnosť údajov
O autorovi
Shannon Flynn (34 publikovaných článkov)

Shannon je tvorca obsahu so sídlom vo Philly, PA. Píše v oblasti techniky asi 5 rokov po ukončení štúdia v odbore IT. Shannon je šéfredaktorkou časopisu ReHack Magazine a zaoberá sa témami ako kybernetická bezpečnosť, hranie hier a obchodné technológie.

Viac od Shannona Flynna

prihlásiť sa ku odberu noviniek

Pripojte sa k nášmu bulletinu a získajte technické tipy, recenzie, bezplatné e-knihy a exkluzívne ponuky!

Ak sa chcete prihlásiť na odber, kliknite sem