3月1日,新规定在纽约州生效,要求所有受监管的金融服务机构设立网络安全计划,任命首席信息安全官,并监督其业务合作伙伴的网络安全政策。
这似乎有点突然,因为这些规定是在一个月前才敲定的。但实际上并没有听起来那么糟糕。
普华永道第三方战略高级主管布拉德•凯勒(Brad Keller)表示:“现在是一个过渡期。普遍。“每个人都有六个月的时间遵守规定。”
然后,在那之后,实际的认证每年进行一次,在每年2月15日,他补充说。
届时,每家银行、保险公司或其他受监管的金融服务公司都必须提交声明,说明其已审查了所有必要的文件和报告,包括来自外部供应商的文件和报告,其网络安全计划符合监管要求。
公司需要做的第一件事是进行全面的风险评估,因为这是决定如何应对之前许多监管规定的起点。
“例如,你必须根据风险评估的结果来决定如何部署加密,”他说。“你需要有文件证明你为什么要做你正在做的事情。你必须展示你经历的过程。”
拥有成熟网络安全流程的大型企业可能已经具备了满足新规定所需的全部或大部分内容,只需要审查所有内容,然后将其整合在一起。
其他公司可能不得不做一些工作。
例如,公司的首席技术官和联合创始人Balázs Scheidler说,银行现在被要求审查他们的供应商BalaBit IT安全.
他说:“那些拥有远程访问权限的人可能是攻击者的杠杆,攻击者可以利用这些权限越过边界,横向移动,拿走他们想要的东西,就像塔吉特黑客入侵时发生的那样。”
这应该是所有公司都应遵循的最佳做法。
美国联邦金融机构检查委员会(Federal Financial Institutions Examination Council)负责产品和业务发展的副总裁莱恩(Brian Laing)说,该委员会在2011年更新了防范银行欺诈的指导意见,其中有一节明确提到了风险评估Lastline。
“大多数金融机构已经实施了纽约州法规中列出的许多保障措施和政策,”他说。
纽约只是一个开始
单个州可以产生巨大的影响,远远超出他们的边界,就像加州的汽车排放和违反通知标准。
它有两种工作方式。首先,各州和国家都在观察他们的同行们在做什么,如果其他地方的某些东西运行良好,他们就会复制它。
安全供应商营销副总裁威利·莱希特(Willy Leichter)表示:“我们在许多其他法规中也看到了这种情况。CipherCloud.“加州实施了第一部违反通知法,很快就被复制了。”
“纽约提出的规则很有可能成为新的行业标准,”安全供应商的首席技术官和首席技术官克里斯蒂安·李斯(Christian Lees)表示InfoArmor。
当然,许多公司在多个司法管辖区开展业务。特别是纽约,作为一个全球金融中心,接触到来自全国各地和世界各地的公司。
为方便自己,公司不会尝试针对不同的司法管辖区采用不同的程序,美国国家安全局隐私与网络法律合伙人格里·斯特格迈尔(Gerry Stegmaier)说里德史密斯LLP).
“人们将按照最严格的要求来衡量自己的合规程度,”他表示。
例如,一些州要求在出现黑客入侵时通知司法部长,而另一些州则不这样做——公司可能会决定通知所有人,而不是试图跟踪哪个是哪个。
“最严格的州将是司机,”他说。
然而,如果一个司法管辖区的规则与另一个管辖区的规则相抵触,就会出现问题。
他举例说,SEC出于保护消费者的目的要求保留记录。与此同时,欧盟居民有“被遗忘的权利”。
他说,这类问题需要通过外交渠道解决,在这之前,企业需要做出所罗门式的决定。“企业正被迫将孩子一分为二,因为你不能同时遵守两条法律。”
明年,《通用数据保护条例》(General Data Protection Regulation)也将在欧洲生效,这也可能带来一些挑战。
他说,还有一个问题可能需要一些时间来解决。
他说:“我们看到的一件事是,什么是法律要求,什么是最佳做法,两者之间存在巨大的矛盾。”如果最佳实践是一项法律要求,那么什么才是最佳实践呢?仅仅因为布鲁斯·施奈尔(Bruce Schneier)说这是最好的做法,或者纽约总检察长办公室(New York Attorney General office)有人说这是最好的做法,这是真的吗?”
"新金融法规在纽约生效"这篇文章最初是由方案 .