紐約州金融服務廳 23 NYCRR 500

十二月 2022

博客首頁

紐約州金融服務署 23 NYCRR 500 的網路安全要求

金融服務公司的網路安全性需求

遵循 Kingston

管理威脅及降低風險

可用選項涵蓋個人、企業或政府的所有需求。

100% 相容的加密 USB 資料儲存設備
簡單，使用方便，無須安裝任何軟體或驅動程式
專為快速且高效率的部署而設計

NYDFS - 23 NYCRR 500：要留意的前 5 大主要區域：

確定您遵循法規的前 5 大主要領域：

對傳輸中和靜止狀態的敏感性資料加密。(第 500.15 節：加密非公開的資訊。)
任命主要資訊安全長 (CISO)
建立網路安全性方案
採用網路安全性政策
管理第三方服務提供者
- 包含必要項目：
  - 年度滲透測試
  - 一年兩次的弱點評估

未遵循法規是否會被處以任何罰款？

根據新的 DFS 架構，公司高階主管必須每年證明一次他們確實遵循 NY DFS 法規。

若那些證明經證實為不正確，則可做為 DFS 的基礎或是讓消費者對銀行、保險業者及其他金融服務公司提出索賠。提案註明其需求將「依據任何適當法律」而強制執行，其中包含下列法律：
- 例如，紐約州銀行法、紐約州保險法
- 其中包含個人因為蓄意對 DFS 進行不實陳述而導致的刑事和民事罰款

我需要知道哪些事情？

重點

從 NIST 標準衍生而來
清除包含嚴格負責遮蔽傳輸中及靜止狀態資料之銀行、保險業者及其他金融服務公司的提案。
提案要求組織加密傳輸中及靜止狀態的敏感性資料。
影響華爾街以及資產總額達 2.9 兆美元的大約 1,900 家公司
規範負責洩漏者必須得知且規劃行動計畫並公告周知
公司必須定義準則、制定事件回覆政策和更新廠商管理，以及大幅減少與金融機構進行業務往來的標準

資料加密

Kingston 及 IronKey Encrypted USB 隨身碟是標準化資料加密合規性的解決方案之一
提案要求組織加密傳輸中及靜止狀態的敏感性資料。(第 500.15 節：加密非公開的資訊。)
- (第 500.15 節：加密非公開的資訊。)
  - (a) 作為其網路安全性計畫的一部分，依據其風險評估，每個受規範實體均應該實施控制 (包含加密) 以保護受規範實體所持有或傳輸的非公開資訊 (轉換至外部網路及靜止狀態)。
要求處理或持有個人可識別資訊的組織實施適切的安全性方法，以防止個人資料遺失。
組織必須將這些增強型資料加密標準納入與第三方服務提供者簽訂的合約。(第 500.11 節第三方服務提供者安全性政策。)
- 擁有眾多服務提供者的組織，必須採取步驟以確認每個服務提供者遵循加密需求。
  - 第 500.11 節第三方服務提供者安全性政策。
    - (2) 第三方服務提供者使用加密之政策及程序係依據此部分第 500.15 條之要求，以保護轉換和靜止狀態的非公開資訊；

這會對我的企業造成何種影響？

紐約市內屬於銀行、保險和其他金融服務產品領域的企業，或是您以廠商身分為這些企業提供服務或簽訂合約，則您必須遵循這些規定並確實執行。
您也必須遵循法規及規定，設立適當系統以實現安全性和資訊的資料儲存設備加密。
要求處理或持有個人可識別資訊的組織實施適切的安全性措施，以防止個人資料遺失。

我的企業應該遵循哪些規定？

對應儲存資料的內部及外部產品/裝置
記錄並要求所使用的公司設備屬於資料安全性政策的涵蓋範圍，並確保已經使用資料加密。項目包含但不限於：伺服器、硬碟機、SSD、USB 隨身碟、電腦及行動裝置。
存貨分析
評估個人資料總數。
清除
消除不必要個人可識別資訊 (PII) 的封存檔。
資訊控制者
審查隱私權風險和影響評估
合作契約
自 2018 年 2 月生效開始日之後，現在執行政策是強制行為，確保您的企業永不過時
資料洩漏
法規要求必須在 72 小時內發出通知

解決方案 - 實施適當的保護、技術標準及政策，例如：個人資料/個人可識別資訊 (PII) 的資料加密，以緩解未遵循法規的風險。更多資訊

洩漏通知

在可行情況下，必須在得知資料洩漏的 72 小時內完成通知作業，但如果部會導致個人權利或自由的風險，則不一定要向 DPA 發出通知。

消費者權利

何謂個人可識別資訊 (PII)？

用於美國隱私權法律及資訊安全性的個人可識別資訊 (PII) 或敏感性個人資訊 (SPI)，是可單獨使用或是與其他資訊搭配使用以識別、聯繫或找到單一人員或識別特定背景下個人的資訊。

NIST 特殊出版物 800-122[4] 將 PII 定義為「與機構維持之個人相關的任何資訊，包含 (1) 可用於辨別或追蹤個人身份識別之任何資訊，例如姓名、社會安全碼、出生日期及地點、母親娘家姓名或生物特徵記錄；以及 (2) 已連結或可連結至個人 (例如醫療、教育、財務及聘僱資訊) 的任何其他資訊。」(如需相關資訊： https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )

網路安全性政策

(節錄自「金融服務公司的網路安全性需求」文件： https://www.governor.ny.gov/sites/default/files/atoms/files/Cybersecurity_Requirements_Financial_Services_23NYCRR500.pdf )

每個受規範實體均應該實施及保存資深高階職員或受規範實體的董事會 (或適當委員會) 或同等治理團體核准之書面政策，其中說明受規範實體保護其資訊系統以及儲存於那些資訊系統上之非公開資訊的政策及程序。

(a) 資訊安全性
(b) 資料治理及分類
(c) 資產存貨及裝置管理
(d) 存取控制及身份識別管理
(e) 業務持續性及災害復原規劃及資源
(f) 系統作業及可用性考量
(g) 系統及網路安全性
(h) 系統及網路監控
(i) 系統及應用程式開發與品質保證
(j) 實體安全性及環境控制
(k) 客戶資料隱私權
(l) 廠商及第三方服務提供者管理
(m) 風險評估
(n) 資安事件回應

紐約州網路安全性法規的主要日期 (23 NYCRR Part 500)

2017 年 3 月 1 日 - 23 NYCRR Part 500 已生效。
2017 年 8 月 28 日 - 180 天轉換期已結束。除非另有註明，否則受規範實體必須遵循 23 NYCRR Part 500 之規範。
2018 年 2 月 15 日 - 依據 23 NYCRR 500.17(b)，受規範實體必須在此日期當天或之前提交第一份證書。
2018 年 3 月 1 日 - 一年轉換期已結束。受規範實體必須遵循 23NYCRR Part 500 第 500.04(b)、500.05、500.09、500.12 及 500.14(b) 等節之要求。
2018 年 9 月 3 日 - 18 個月轉換期已結束。受規範實體必須遵循 23 NYCRR Part 500 第 500.06、500.08、500.13、500.14(a) 及 500.15 等節之要求。
2019 年 3 月 1 日 - 兩年轉換期已結束。受規範實體必須遵循 23 NYCRR 500.11 之要求。