GettyImages-538899668-600px随着公司数据安全违规事件的增加,纽约州金融服务部(NYDFS)通过了一些规则,要求金融机构采取某些措施来保护其数据,并向州监管机构通报网络安全事件。为了阻止未来的网络攻击并保护消费者,那些“金融服务公司的网络安全要求”(“网络安全规则”或“规则”)最终于2017年3月1日生效。NYDFS已发布有关如何遵循该规则的指南,它以常见问题解答(FAQ)和关键合规日期摘要的形式出现。尽管该指南显然旨在协助涵盖的金融机构,因为距离该规则第一个分阶段的合规性截止日期还不到六个月,但该指南不太可能使许多金融机构面临的实施挑战不再那么艰巨。

《网络安全规则》要求受保护的金融机构除其他外,采用详细的程序,政策和程序来保护信息系统(定义为基本上包括任何计算机或联网的电子系统)以及某些敏感的商业和消费者信息(“非公开信息” )免受网络安全威胁。

该规则比最初的提案更狭窄,说明更少 2016年9月 (与第二个提案基本相同 2016年12月)。尽管如此,受保护的金融机构现在只有不到六个月的时间来确保符合《网络安全规则》第一条要求。这意味着所涵盖的金融机构将迅速需要:(1)评估其信息安全计划的当前状态,以及根据本规则要求的特定政策和控制措施可能需要进行哪些修改; (2)考虑可能需要创建的新流程,以满足规则的报告,记录保存和认证要求。

以下概述了《网络安全规则》下的主要义务和问题。我们还注意到,在适用的情况下,纽约市金融服务监管局的新常见问题解答和其他信息可能如何满足该规则的要求,特别是在2月中旬该规则最终确定时仍然存在的某些歧义和潜在的实施挑战方面。

总览

《网络安全规则》适用于“被覆盖的实体”,通常是受纽约银行,保险和金融服务法管辖的纽约市金融服务局授权的实体,包括例如商业银行,拥有纽约州许可办事处的外国银行,抵押经纪人和服务商,在纽约经商的小额贷款人和汇款人。

如上所述,该规则侧重于保护信息系统和非公共信息。在这方面,《规则》规定的要求可分为三类要求和控制:(1)行政要求,例如书面政策和程序; (2)技术控制,例如加密和多因素身份验证; (3)通知,记录保存和报告要求。我们在下面介绍每个方面的重点。

行政要求

网络安全计划。 《网络安全规则》要求每个涵盖的金融机构维护一个“网络安全计划”,旨在保护其信息系统的机密性,完整性和可用性。该规则的“核心”要求通常与其他标准(例如, 格拉姆-里奇-布莱利法案)和最佳做法,因为它要求设计网络安全计划以执行核心网络安全功能,以识别和评估威胁和风险,保护信息系统和非公开信息免受恶意使用和未经授权的访问,并检测,响应和从“网络安全事件,该规则定义为“成功或不成功的任何行为或尝试,以获取对信息系统或该信息系统上存储的信息的未授权访问,破坏或滥用”。稍作改动的是,该程序还必须设计为履行本规则施加的适用报告义务。

值得注意的是,NYDFS在常见问题解答中确认,涵盖的金融机构可以“全部或部分”采用关联公司的网络安全计划,但涵盖的金融机构的整体网络安全计划必须符合《网络安全规则》的要求。在这方面,涵盖的金融机构本身(而非关联公司)必须证明符合本规则。尽管如此,NYDFS还指出,如果涵盖的金融机构采用联属会员计划,则该子公司的计划必须可供NYDFS审查。这一事实可能会使某些涵盖金融机构的业务决策复杂化,尤其是在该子公司尚未受NYDFS管辖的情况下。

书面网络安全政策。 作为其网络安全计划的一部分,受覆盖的金融机构必须拥有经高级官员或其董事会批准的书面网络安全政策,该政策应涉及各种各样的安全概念,包括数据分类,资产清单和设备管理,访问控制以及身份管理,业务连续性,网络安全,物理安全,第三方服务提供商要求和事件响应程序。因此,对于涵盖的金融机构而言,至关重要的第一步是将其现有的书面信息安全策略映射到《网络安全规则》,以确定是否可能需要任何其他策略和程序。

风险评估。 涵盖金融机构也需要进行定期风险评估,该评估必须告知其网络安全计划的设计。在这方面,涵盖的金融机构必须具有进行风险评估的书面政策和程序,其中必须包括建立评估和分类已识别的网络安全风险或威胁的标准,并根据已识别的这些评估现有控制措施的充分性风险。

正如下文进一步讨论的那样,该规则为涵盖的金融机构提供了一年的时间来符合风险评估要求(即,到2018年3月1日),这距离必须执行所需的网络安全计划和书面政策六个月之后。但是,这些常见问题解答肯定了所涵盖的金融机构“通常不需要遵守法规的规定或将其纳入其网络安全计划,而适用过渡期尚未结束。”关于风险评估,NYDFS表示,它“承认在某些情况下可能会对包含未来风险评估结果的计划和政策进行更新和修订”。

其他政策和程序。 《网络安全规则》确定了涵盖的金融机构必须制定的广泛的特定政策和程序。这些包括:

  • 与应用程序安全性相关的书面程序,指南和标准,以确保内部开发的应用程序使用安全的开发实践,并评估,评估和测试第三方应用程序的安全性;
  • 基于风险的政策,程序和控制措施,以监视用户活动并检测此类用户对非公开信息的未经授权的访问或使用;
  • 安全处置非公开信息的政策和程序,符合现行法律和法规的保留要求;和
  • 与第三方服务提供商有关的书面政策和程序,例如,针对这些第三方的风险评估和最低网络安全标准。

涵盖的金融机构还必须具有解决与服务提供商有关的“尽职调查和/或合同保护”的政策和程序,包括服务提供商对多因素身份验证的使用,以及在发生某些网络安全事件时对金融机构进行加密和通知。在常见问题中,NYDFS确认与涵盖金融机构打交道时,并非所有服务提供商都需要实施多因素身份验证和加密。相反,NYDFS指出,网络安全规则没有创建“千篇一律的解决方案”,每个涵盖的金融机构都必须“根据所呈现的个别事实和情况,对适当的控制措施进行风险评估。”

事件响应计划。 涵盖的金融机构还必须具有针对重大网络安全事件的书面事件响应计划。该计划必须处理事件响应的多个方面,例如,角色,职责和决策权以及记录和报告网络安全事件的流程。

首席信息安全官/负责人。 《网络安全规则》要求涵盖的金融机构必须有合格的个人(在规则中定义为“ CISO”),负责监督和实施其网络安全计划并执行其网络安全政策。 (该规则并不要求个人实际拥有CISO头衔,而是指定一名已识别的个人负责该计划。)常见问题解答阐明CISO可以是关联公司的雇员,但是涵盖的金融机构仍然负责满足规则的所有要求,包括确保CISO履行其在规则下的义务。例如,CISO必须至少每年向网络安全计划董事会报告一次。

所涵盖的金融机构还必须配备足够的网络安全人员,以监督网络安全计划的核心功能(即,识别风险并在适用的情况下预防,检测,响应网络安全威胁并从中恢复)。涵盖的金融机构必须为这些人员提供适当的培训,并确认他们采取了措施,以保持对不断变化的网络安全威胁和对策的最新知识。更广泛地讲,涵盖的金融机构必须为所有人员提供定期的网络安全意识培训。

技术控制

尽管《网络安全规则》明确地侧重于行政控制和流程,并且该规则所要求的技术控制很少,但该规则的技术控制实际上可能更具规定性。如前所述,在网络安全规则的最终修订版中,NYDFS并未就某些要求(例如加密和多因素身份验证要求)的性质和范围提供更多的清晰度。 NYDFS也未在常见问题解答中提供任何进一步的指导。

渗透测试和漏洞评估。 涵盖金融机构的网络安全计划必须包括监视和测试,以评估该计划的有效性。监视和测试可以是:(1)连续监视,或使用其他系统持续检测可能造成或指示漏洞的信息系统的更改; (2)年度渗透测试,基于根据风险评估确定的相关风险,以及半年一次的脆弱性评估。

NYDFS在常见问题解答中阐述了“持续监控”意味着“能够持续不断地发现变更或活动的能力。 。 。可能会造成或表明存在网络安全漏洞或恶意活动。”常见问题解答还通过对比说明了这些要求。例如,常见问题解答表明,手动查看日志和防火墙配置不会被视为“有效的连续监视”。但是,似乎NYDFS认为“连续系统监视”是定期渗透测试和漏洞评估的适当替代方法。

多因素认证。尽管实际的要求表面上应该基于所涵盖机构的风险评估,但网络安全规则似乎超出了使用多因素身份验证的某些行业标准期望。具体而言,要求涵盖的金融机构使用“有效”控制措施,其中包括多因素身份验证或基于风险的身份验证,以防止他人擅自访问非公共信息或信息系统。但是,从外部网络访问所覆盖的金融机构的内部网络特别需要多因素身份验证,除非CISO“已书面批准使用合理等效或更安全的访问控制”。

最终规则中未明确此规定,常见问题解答中也没有对此进行讨论。结果,目前尚不清楚NYDFS是否期望多因素身份验证的要求适用于员工远程访问,客户对在线帐户的访问或两者。

非公开信息的加密。 《网络安全规则》最重要的要求之一是,受保护实体必须实施控制措施,包括加密,以保护受保护金融机构在通过外部网络传输和处于静止状态时持有或传输的非公开信息。根据该规则,如果涵盖金融机构确定加密不可行,则允许涵盖金融机构使用由CISO审核和批准的补偿性控制来保护此类信息。如前所述,对于加密是否是强制性的以及是否仅在“不可行”加密时才可以采用补偿控件作为替代方案,该规则尚不清楚。

尽管NYDFS确实在其国家注册通知书中声明了最终规则,但FAQ并未对此提供进一步的见解,该规则并未进一步修改加密要求,因为它相信“加密作为关键网络安全控制的重要性”。 NYDFS还指出,但是,它认为最终规则还提供了“涵盖实体根据其风险评估来评估可行实施加密控制的范围和手段的灵活性。”值得注意的是,NYDFS还指出,出于此要求的目的,它认为租用线路(即,承保金融机构与某些其他方之间的专用连接)构成“外部网络”。

审计跟踪。 涵盖金融机构还需要根据其风险评估安全地维护系统,以重建足以支持正常运营和义务的重大金融交易(并保持此类记录五年)。所涵盖的实体还必须保持“审计追踪”,以检测和响应网络安全事件,这些事件很可能会严重损害所涵盖金融机构正常运营的任何实质性部分(并保持此类记录三年)。

访问权限。 涵盖的金融机构必须将用户访问权限限制为提供对非公开信息访问权限的系统,并定期检查这些访问权限。

通知和报告

涵盖的金融机构在《规则》下承担重大报告义务,包括:(1)涵盖的金融机构的CISO向其董事会或同等理事机构就该金融机构的网络安全计划和“重大”网络安全风险提交年度报告(带有此类报告)以及与网络安全计划有关的其他文件,应要求可提供给NYDFS); (2)在“确定”发生以下网络安全事件后,不迟于72个小时通知NYDFS:(A)影响受保护的金融机构,并需要通知“政府机构,自我监管机构或任何其他机构”监督机构”;或(B)具有“严重损害金融机构正常运作的任何实质性部分的可能性”。

常见问题解答在很大程度上没有重复评论就重复了这些要求,尽管NYDFS指出“即使攻击未成功”,也可能构成可报告的事件。该声明似乎大大拓宽了通知要求的范围,因为NYDFS显然认为,未成功的攻击可能有合理的可能性实质性损害受保护的金融机构。结果,涵盖的金融机构将必须确定哪些类型的事件需要通知NYDFS,并将这些考虑因素纳入其事件响应计划中。

NYDFS在常见问题解答中还指出,它将“稍后”为要求提供给NYDFS的网络安全事件通知提供安全的报告工具,但对于现在涵盖的实体,则必须将此类通知发送给监督人员。涵盖的金融机构通常会进行报告。

补救措施的证明和文件。 对年度合规证明的要求可能会给许多受保金融机构带来重大挑战。具体来说,每个涵盖的金融机构必须证明其遵守《网络安全规则》(例如,与证明所涵盖的金融机构已实施旨在满足该规则要求的政策和程序相反)。涵盖的金融机构还必须保持“所有记录,明细表和支持数据的证书”长达五年。 《网络安全规则》可能使该认证要求进一步复杂化,它要求受保护的金融机构记录下针对“需要实质性改进的区域,系统或流程”的补救措施。

NYDFS在常见问题解答中表示,它“完全遵守”该规则,同时指出受保护的金融机构“可能不会提交证明。 。 。除非在认证时[它]符合《网络安全规则》的所有适用要求(强调)。通过要求涵盖的金融机构证明其完全合规性并记录需要改进的领域,NYDFS冒着给被涵盖实体做出霍布森选择的风险:要么由NYDFS进行检查的文件被视为不合规标志,要么放弃为持续改善和更新企业信息而做出的努力安全程序。

其他注意事项和时间

如前所述,《网络安全规则》分阶段生效,首套要求于2017年8月28日生效,然后于2017年3月1日生效日期的一年,18个月和两年后生效。 NYDFS总结了这些过渡期 这里。常见问题解答有助于确认在首次年度认证(2018年2月15日到期)时,所涵盖的金融机构仅需认证过渡期在该日期之前终止的要求即可。这是分阶段合规期的更详细的摘要。

关键合规日期

通过 2017年8月28日,涵盖的金融机构必须遵守以下规定:

  • 拥有网络安全计划以及网络安全政策和程序的要求;
  • CISO的名称;
  • 访问权限要求;
  • 与网络安全人员和网络安全情报有关的要求;
  • 事故响应计划的要求;和
  • 向NYDFS提供某些网络安全事件的通知并记录补救工作的要求。要求在2018年2月15日之前完成对本规则的首次认证。

通过 2018年3月1日,涵盖的金融机构必须遵守以下规定:

  • CISO向董事会报告网络安全计划的要求;
  • 渗透测试和漏洞评估要求;
  • 风险评估要求(即,涵盖的金融机构必须根据网络安全规则完成其首次风险评估);
  • 多因素认证要求;和
  • 网络安全意识培训要求。

通过 九月3,2018,涵盖的金融机构必须遵守以下规定:

  • 审核跟踪要求;
  • 应用程序安全性要求;
  • 数据保留要求;
  • 监控要求;和
  • 加密要求。

最后,通过 2019年3月1日,涵盖的金融机构必须符合第三方服务提供商的规定。

既然NYDFS已以常见问题解答的形式提供了指导,则涵盖的金融机构不应指望NYDFS在短期内根据网络安全规则对它的确切期望做出更多的澄清。正如我们之前提到的,实施可能会继续面临挑战,包括因为这是由州金融监管机构发布的“国际一流的网络安全法规”。

* * * *

有关网络安全问题的其他最近的社交意识博客帖子,请参阅以下内容: 新兴网络安全问题概述;和 帮助准备勒索软件的5个问题 攻击.