Департамент регулювання фінансів штату Нью-Йорк 16 лютого 2017 року видав Положення про кібербезпеку (Правила). Зазначені Правила набирають чинності з 1 Марта 2017, але реалізовуватися будуть поетапно протягом 180 днів з моменту вступу в силу.
Правила регулюють важливі моменти операційної діяльності, питання відповідності (комплайенс) і проблеми управління ризиками для фінансових установ, компаній, яки надають фінансові послуги, страхових компаній та інших організацій, які підпадають під контроль Департаменту регулювання фінансових послуг (контрольовані компанії).
Відповідно до Правил, до контрольованих компаній застосовуються вимоги по забезпеченню і підтримці програм кібербезпеки, які створені для виконання наступних функцій:
Визначення зовнішніх і внутрішніх кібер-ризиків;
Використання захищених структур і впровадження політик і процедур для захисту інформаційних систем контрольованих компаній і непублічної інформації, яка зберігається в таких системах від несанкціонованого доступу або використання та інших злочинних діянь;
Виявлення випадків порушення кібербезпеки (як визначено Правилами);
Реагувати на певні або виявлені випадки порушення кібербезпеки з метою звести до мінімуму ризик несприятливих наслідків;
Ліквідувати наслідки випадків порушення кібербезпеки;
Виконувати зобов’язання по подачі регулярної звітності.
Так само, Правила вводять такі вимоги:
Періодичні тестування на ймовірність проникнення і оцінку вразливості;
Вимоги щодо аудиторської перевірки діяльності;
Навчання персоналу;
Щодо шифрування непублічної інформації;
Політика безпеки щодо третіх осіб – постачальників послуг;
Призначення Керівника з інформаційної безпеки, який зобов’язаний здійснювати нагляд, виробляти впровадження та надавати звіти з питань програми кібербезпеки;
Зберігання даних і процедури моніторингу;
Стандарт повідомлення протягом 72 годин, який зобов’язує контрольовані компанії, виробляти повідомлення про широкий спектр обставин, наприклад, таких як спроби несанкціонованого доступу до систем контрольованих компаній;
Розробка плану з реагування на події.
Кожна контрольована компанія зобов’язана надати підтвердження, що її керівний орган (правління або директор) ознайомлений зі звітами та іншою документацією, і що в міру своїх знань вважає програми (політики) кібербезпеки відповідають Правилам.
Кожна контрольована компанія має можливість здійснювати оцінку ризиків на якій базуються багато інших вимог, обмежуючи тим самим певні вимоги. Незалежно від того, чи дотримується контрольована компанія правил кібербезпеки, прийнятих на федеральному або державному рівні, чи ні – Правила будуть застосовуватися, але останні містять винятки з правил, які відносяться до «маленьким» контрольованим компаніям.
Велика частина положень Правил набудуть чинності 1 березня 2017 року з поетапним впровадженням протягом 180 днів, а також декількома перехідними періодами для певних вимог. Наприклад, контрольовані компанії зобов’язані подати підтвердження про відповідність станом на 15 Лютого 2018 року і:
Матимуть один рік часу з дати вступу в силу, щоб привести свої документи у відповідність до вимог щодо подання звітності Керівником з інформаційної безпеки, з тестування на можливість проникнення в систему і вразливість, оцінку ризиків, многофакторную перевірку персоніфікації і тренінги по інформованості про кібербезпеку;
18 місяців щоб привести у відповідність вимоги по аудиторській перевірці діяльності, застосуванні безпеки обмеження по зберіганню даних, процедур моніторингу та шифрування непублічної інформації, і
Два роки для приведення в відповідності вимог по Політикам безпеки щодо третіх осіб – постачальників послуг.
З огляду на короткий проміжок часу до вступу Правил в силу, і відносно короткі перехідні періоди, контрольовані компанії повинні вживати необхідних заходів для дотримання основних вимог Правил.
Юристи нашої компанії уважно стежать за змінами в чинному законодавстві країн світу. Якщо Ви хочете бути в курсі останніх змін в цікавлять Вас сферах, ми завжди готові надати Вам кваліфіковану юридичну консультацію.
Департамент регулювання фінансів штату Нью-Йорк 16 лютого 2017 року видав Положення про кібербезпеку (Правила). Зазначені Правила набирають чинності з 1 Марта 2017, але реалізовуватися будуть поетапно протягом 180 днів з моменту вступу в силу.
Правила регулюють важливі моменти операційної діяльності, питання відповідності (комплайенс) і проблеми управління ризиками для фінансових установ, компаній, яки надають фінансові послуги, страхових компаній та інших організацій, які підпадають під контроль Департаменту регулювання фінансових послуг (контрольовані компанії).
Відповідно до Правил, до контрольованих компаній застосовуються вимоги по забезпеченню і підтримці програм кібербезпеки, які створені для виконання наступних функцій: