1. Главная
  2. Медиацентр
  3. Блог юриста
  4. Департамент регулирования финансовых услуг штата Нью Йорк принял Положение о Кибербезопасности
Размер шрифта:
-
+
Распечатать статью
Отправить:
Поделится:
Finance Business Service

Департамент регулирования финансовых услуг штата Нью Йорк принял Положение о Кибербезопасности

Подписаться

New York CityДепартамент регулирования финансов штата Нью-Йорк 16 февраля 2017 года издал Положение о Кибербезопасности (Правила). Указанные Правила вступают в силу 1 Марта 2017, но реализовываться будут поэтапно в течение 180 дней с момента вступления в силу.

Правила регулируют важные моменты операционной деятельности, вопросы соответствия (комплайенс) и проблемы управления рисками для финансовых учреждений, компаний, который предоставляют финансовые услуги, страховых компаний и других организаций, которые подпадают под контроль Департамента регулирования финансовых услуг (контролируемые компании).

В соответствии с Правилами, к контролируемым компаниям применяются требования по обеспечению и поддержанию программ кибербезопасности, которые созданы для выполнения следующих функций:

  • Определение внешних и внутренних кибер-рисков;
  • Использование защищенных структур и внедрение политик и процедур для защиты информационных систем контролируемых компаний и непубличной информации, которая хранится в таких системах от несанкционированного доступа или использования и иных злоумышленных деяний;
  • Выявление случаев нарушения кибербезопасности (как определено Правилами);
  • Реагировать на определенные или выявленные случаи нарушения кибербезопасности с целью уменьшения возможных неблагоприятных последствий;
  • Ликвидировать последствия случаев нарушения кибербезопасности;
  • Выполнять обязательства по подаче регулярной отчетности.

Так же, Правила вводят следующие требования:

  • Периодические тестирования на вероятность проникновения и оценку уязвимости;
  • Требования по аудиторской проверке деятельности;
  • Обучение персонала;
  • По шифрованию непубличной информации;
  • Политика безопасности в отношении третьих лиц – поставщиков услуг;
  • Назначение Руководителя по информационной безопасности, который обязан осуществлять надзор, производить внедрение и предоставлять отчеты по вопросам программы кибербезопасности;
  • Хранение данных и процедуры мониторинга;
  • Стандарт уведомления в течение 72 часов, который обязует контролируемые компании, производить уведомление о широком спектре обстоятельств, например, таких как попытки несанкционированного доступа к системам контролируемых компаний;
  • Разработка плана по реагированию на происшествия.

Каждая контролируемая компания обязана предоставить подтверждение, что ее руководящий орган (правление или директор) ознакомлен с отчетами и другой документацией, и что в меру своих знаний считает программы (политики) кибербезопасности соответствуют Правилам.

Каждая контролируемая компания имеет возможность производить оценку рисков на которой основаны многие другие требования, ограничивая тем самым определенные требования. Независимо от того, придерживается ли контролируемая компания правил кибербезопасности, принятых на федеральном или государственном уровне, или нет – Правила будут применяться, но последние содержат исключения из правил, которые относятся к «маленьким» контролируемым компаниям.

Большая часть положений Правил вступят в силу 1 марта 2017 года с поэтапным внедрением в течение 180 дней, а так же несколькими переходными периодами для определенных требований. Например, контролируемые компании обязаны подать подтверждения о соответствии по состоянию на 15 Февраля 2018 года и:

  1. Будут иметь один год времени с даты вступления в силу, чтобы привести свои документы в соответствие с требованиями по подаче отчетности Руководителем по информационной безопасности, по тестированию на возможность проникновения в систему и уязвимость, оценку рисков, многофакторную проверку подлинности и тренинги по информированности о кибербезопасности;
  2. 18 месяцев чтобы привести в соответствие требования по аудиторской проверке деятельности, применении безопасности ограничения по хранению данных, процедурам мониторинга и шифрованию непубличной информации, и
  3. Два года для приведения в соответствия требований по Политикам безопасности в отношении третьих лиц – поставщиков услуг.

Учитывая короткий промежуток времени до вступления Правил в силу, и относительно короткие переходные периоды, контролированные компании должны принимать необходимые меры для соблюдения основных требований Правилами.

Юристы нашей компании внимательно следят за изменениями в действующем законодательстве стран мира. Если Вы хотите быть в курсе последних изменений в интересующих Вас сферах, мы всегда готовы предоставить Вам квалифицированную юридическую консультацию.

Алёна Каменецкая
Автор
Старший Юрист
Finance Business Service