V květnu 2017 vydalo ministerstvo finančních služeb státu New York (NYDFS) 23 NYCRR Part 500, nové pravidlo kybernetické bezpečnosti. Toto nařízení je nyní v plné platnosti, ale o co přesně se jedná, nemusí být jasné.
Od svého oznámení prošel tento soubor požadavků několika změnami a jeho právní jazyk může být nejasný. Co je nařízení o kybernetické bezpečnosti NYDFS a jak vás ovlivňuje? Pojďme se na to podívat blíže.
Co je nařízení NYDFS o kybernetické bezpečnosti?
Seznamy nařízení o kybernetické bezpečnosti NYDFS bezpečnostní požadavky na finanční služby v New Yorku. Stejně jako evropské obecné nařízení o ochraně osobních údajů (GDPR) i tato pravidla mají za cíl chránit data občanů tím, že společnosti drží konkrétní standard. V tomto případě tyto normy pocházejí většinou z rámec kybernetické bezpečnosti NIST.
Podle těchto předpisů musí finanční společnosti v New Yorku:
- Pravidelně kontrolujte zabezpečení svých IT systémů a soukromí dat.
- Zaznamenávejte události kybernetické bezpečnosti a uchovávejte tyto záznamy po dobu pěti let.
- Mějte zásady a postupy pro bezpečné smazání osobních údajů, které již nepotřebují.
- Omezte přístup k osobním údajům (PII) a pravidelně tato oprávnění kontrolujte.
- Mějte podrobný písemný plán o zjišťování, reakci a zotavení se z kybernetických bezpečnostních incidentů.
- Informujte NYDFS do 72 hodin o události kybernetické bezpečnosti.
Na rozdíl od některých podobných zákonů obsahuje nařízení o kybernetické bezpečnosti NYDFS podrobné pokyny o tom, z čeho by tyto plány zabezpečení a hlášení měly obsahovat. Vyžaduje také, aby společnosti zajistily bezpečnost svých třetích stran, nikoli pouze jejich interní operace.
Tyto požadavky činí toto nařízení jedním z nejširších a nejpřísnějších ze všech států. Podnikům, které je poruší, mohou hrozit vysoké pokuty, ale plný rozsah trestů je stále nejasný.
Na koho se vztahuje nařízení o kybernetické bezpečnosti NYDFS?
Nařízení o kybernetické bezpečnosti NYDFS se vztahuje na jakoukoli osobu nebo subjekt který potřebuje licenci od NYDFS. To zahrnuje finanční a pojišťovací společnosti v New Yorku, včetně:
- Banky.
- Družstevní záložny.
- Investiční společnosti.
- Licencovaní věřitelé.
- Hypoteční makléři.
- Poskytovatelé pojištění.
- Spořitelní a úvěrová družstva.
Tyto zahrnuté subjekty zahrnují místní podniky a zahraniční společnosti s licencí k práci v New Yorku. Například, i když je Deutsche Bank německá společnost, musí dodržovat 23 NYCRR část 500 od r. působí v New Yorku.
V tomto seznamu existuje několik výjimek. Společnosti s méně než 10 zaměstnanci, s ročními příjmy z New Yorku nižšími než 5 milionů USD za poslední tři roky nebo s celkovými aktivy nižšími než 10 milionů USD na konci roku jsou osvobozeny. Stejně tak podniky, které neukládají ani nezpracovávají soukromé informace, ale to je u společnosti poskytující finanční služby nepravděpodobné.
Co pro vás znamená nařízení o kybernetické bezpečnosti?
Pokud žijete nebo bankujete ve státě New York, vaše instituce pravděpodobně spadá pod tyto předpisy. I když tak neučiníte, nařízení NYDFS o kybernetické bezpečnosti by se na vaši banku stále mohlo vztahovat. Pokud má pobočku působící ve státě a splňuje finanční požadavky, bude muset vyhovět.
Jako zákazník banky nemusíte podle těchto požadavků podnikat žádné kroky. Můžete však zaznamenat určité změny ve způsobu fungování vaší finanční instituce nebo pojišťovny. Možná budete muset použít další bezpečnostní kroky, jako je vícefaktorové ověřování (MFA), nebo upravit svá oprávnění jako tyto společnosti zlepšit svá opatření v oblasti kybernetické bezpečnosti.
NIST Cybersecurity Framework, který inspiroval tato pravidla, zahrnuje včasné sdílení informací, která vás může ovlivnit. Pokud ve vaší bance nebo pojišťovně dojde k incidentu, možná vás budou muset upozornit. Pravděpodobně nebudete muset v reakci nic dělat, ale můžete očekávat, že budete dostávat tyto typy zpráv.
I když nemáte žádnou zákonnou povinnost podle 23 NYCRR Part 500, je nejlepší dávat si pozor na své finanční informace. Vždy používejte jedinečná, silná hesla, povolte MFA, pokud je to možné, a nikdy neposkytujte PII neznámému zdroji. Přísnost těchto předpisů zdůrazňuje, jak důležité tyto otázky jsou, takže buďte opatrní.
Vlády berou kybernetickou bezpečnost vážněji
Nařízení o kybernetické bezpečnosti NYDFS je jedním z mnoha nedávných příkladů, kdy místní samosprávy vydávají zákony o kybernetické bezpečnosti. Jak se digitální nástroje stávají stále běžnějšími v každodenním životě, tato pravidla budou jen růst.
Spotřebitelé i firmy by měli mít aktuální informace o těchto předpisech, aby se ujistili, že jsou v souladu. Zpočátku se může zdát, že tyto změny věci komplikují, ale jsou nezbytným krokem k lepšímu zabezpečení.
Vaše účty na sociálních sítích a chytré telefony o vás shromažďují údaje a tyto informace mohou být použity vládními úřady. Zde je návod jak a proč.
Přečtěte si další
- Bezpečnostní
- Kybernetická bezpečnost
- Soukromí online
- Bezpečnost dat
Shannon je tvůrce obsahu se sídlem ve Philly, PA. Po absolvování oboru IT se věnuje psaní v technické oblasti asi 5 let. Shannon je hlavní redaktorkou časopisu ReHack Magazine a zabývá se tématy jako kybernetická bezpečnost, hry a obchodní technologie.
Přihlaste se k odběru našeho newsletteru
Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné e-knihy a exkluzivní nabídky!
Chcete-li se přihlásit k odběru, klikněte sem
