2022年7月29日,纽约金融服务部(“NYDFS”)发布了其第500部分网络安全规则修正案草案.我们对修正案草案提出了初步看法在一篇博文中,然后有了2022年8月5日网络直播,期间我们收到了几十个问题,有些问题我们没有时间回答。在这次更新中,我们回答了一些与我们的网络广播和我们的最初的博客,讨论了NYDFS的六类变化第500部分网络安全规则:较大(A类)公司的义务、治理、风险评估、技术要求、通知义务和处罚。
A类公司和关联公司的范围
正如我们所写的在我们之前的博客文章中《修订草案》规定,“a类”公司是指拥有超过2000名员工(包括附属公司的员工,无论位于何地)或公司及其附属公司过去三年所有业务运营的年平均毛收入超过10亿美元的实体。A类公司还需承担一些额外的网络安全义务,包括:
- 审计:必须至少每年对公司的网络安全计划进行一次独立审计。
- 漏洞评估:必须至少每周对信息系统进行系统扫描或审查,在测试过程中发现的任何重大缺陷都必须记录在案并报告给董事会和高级管理层。
- 密码控件:必须为特权帐户提供密码库解决方案,并提供自动阻止常用密码的方法。
- 监控:必须实现端点检测和响应解决方案,以监控异常活动,包括横向移动,以及集中日志记录和安全事件警报。
我们收到了许多关于银行控股公司和/或外国公司及其附属实体之间关系的问题。修正案草案对这些问题的总体原则没有变化。涉及的实体对其网络安全计划负责。即使他们依赖母公司或关联公司的网络安全计划,合规责任也由所覆盖的实体承担。NYDFS涵盖了这些问题常见问题.见常见问题13(讨论银行控股公司);常见问题5(讨论外国银行的分支机构);常见问题6(讨论子公司计划的使用);和常见问题7(讨论对母公司或附属公司首席信息技术官的依赖)。
问题1:A类要求是否适用于大型海外银行在纽约的小型分行?
是的,前提是小型纽约分行的大型海外附属银行(涵盖实体)单独或与其附属银行合并时符合上述a类公司的定义。A类公司的定义特别包括这方面的语言;例如,在讨论2000名员工时,它表示“包括被覆盖实体及其所有附属机构的员工无论在哪里(强调)。
问题2:在哪些情况下,涵盖实体的附属公司将受修订草案的约束?
正如我们在课堂上讨论的的网络直播在遵守修订草案所需的政策、控制或人员方面,如果所涵盖实体依赖于关联公司,则可能使该关联公司就这些政策、控制或人员受到NYDFS的审查。的确,NYDFS在其报告中阐述了这一点网络安全资源中心,其中包括一个常见问题解答,其中指出“只有支持[涉及实体]分支机构、机构或代表处的信息系统,以及分支机构、机构或代表处的非公开信息,才符合23 NYCRR第500部分的适用要求,无论是通过分支机构、机构或代表处开发和实施自己的网络安全计划。或通过采用联属公司的网络安全计划(强调)。
问题3:一个小型的被覆盖实体,如果它有一个大型的附属公司,有资格获得第500部分要求的豁免(例如,因为它的员工少于20人),如果它有一个符合a类地位的大型附属公司,它仍然可以被视为a类公司吗?
看起来是这样的。首先,根据修订草案,由于新的变化,一些非常小的涵盖实体将不再有资格获得第500.19部分的豁免。例如,如果受保实体有20名或20名以上的员工和独立承包商为受保实体工作,或为受保实体的附属公司工作,且工作地点在纽约州,则这些豁免不再适用。如果有20名或20名以上的员工和独立承包商为受保实体的关联公司工作,并负责受保实体的业务,无论其所在地如何,也不适用豁免。因此,小型保险实体确实需要从较大的附属公司中独立出来,才有资格获得豁免。
其次,即使在小型受保实体符合第500.19部分中的豁免条件的情况下,如果该小型受保实体拥有符合a类公司资格的附属公司,则该小型受保实体仍然是a类公司。尽管第500.19(a)部分免除了第500部分的许多义务,但它仍然需要遵守以下要求:500.7(访问特权,包括a类公司拥有密码金库的要求)、500.9(风险评估,包括a类公司至少每三年使用一次外部专家的要求)、500.11(第三方服务提供商)和500.13(资产清单)。从字面上看,根据第500.19(a)(1)部分有资格获得豁免的非常小的覆盖实体仍然可能受到a类公司的一些新要求的约束。因此,这一问题值得通过评论程序提出,因为这一后果可能并非修正案草案的预期结果。
问题4:增加“包括受其他政府机构监管的实体”是否意味着将“涵盖实体”的定义大幅扩展到目前第500部分未涵盖的金融机构?
不。“适用实体”的定义保持不变:根据[纽约]银行法、保险法或金融服务法的许可、注册、特许、证书、许可证、认证或类似授权经营或被要求根据该等许可经营的任何人,包括受其他政府机构监管的实体。在增加的斜体文本中加入“还”一词表明,本修正案的目的只是为了澄清,满足覆盖实体的现有定义的实体不能仅仅因为它们也受到其他政府机构的监管而免于合规。因此,修正案草案仅适用于纽约州以外的金融公司,前提是这些实体符合“受保实体”的定义,但须遵守上文讨论的有关受保实体附属公司的考虑因素。
问题5:这些新规则将如何影响非保险范围内的实体?
当NYDFS在2017年发布第500部分网络安全规则时,这些规则是先例。国家保险专员协会(NAIC)后来创建了一个主要遵循第500部分的示范法案;其他监管机构也采用了类似的网络安全监管框架。与以往做法一致,《修正案草案》可能会影响其他监管机构,并提高其网络监管的标准。
修正案草案的另一个可能的影响是,一旦数百个涵盖实体能够证明他们遵守了新要求,那么对于金融机构来说,什么是“行业最佳实践”或“合理安全”的标准就会提高。虽然并非修正案草案中的每一项新措施都将成为其他监管机构(或法官)所期望的标准的一部分,但总体效果可能是进一步提高对网络安全的期望。
此外,覆盖实体的一些附属机构可能会采取修正案草案对其覆盖实体要求的相同增强措施,以维持单一的企业范围网络安全方法。
问题6:如果涉及的实体不是A类实体,它们是否应该努力遵守A类要求?
修订草案中的A类要求明确旨在降低网络风险。因此,如果不受A类要求约束的覆盖实体可以轻松地进行年度独立审计和每周漏洞扫描,实现密码库解决方案,并部署端点检测和响应解决方案,这些增强可能会降低其整体网络安全风险。但每个覆盖实体必须进行风险评估,并决定哪些非强制性措施最有可能有效,以及根据风险和其他现有控制措施,实施这些增强措施所花费的时间、金钱和精力是否值得。许多企业会合理地决定等待对A类公司的要求,直到法规要求他们这样做,或者这些要求被认为是他们所在行业中规模相同的公司的“合理的网络安全”措施。
技术修改
问题7:A类公司的年度审计和风险评估的标准是什么?FFIEC网络评估工具、CRI概要和NIST网络安全框架下的评估是否足够?
修订草案除要求审计独立及A类公司每年进行审计外,并没有为审计规定任何特定的标准。但是,NYDFS确实规定了审计可以由内部审计机构进行,而不需要由外部审计人员进行。
修订草案为风险评估提供了新的规范。在公开演讲中,NYDFS评论说,他们看到的风险评估似乎是千篇一律的审查,只有覆盖实体的特定名称从一个风险评估到下一个风险评估发生了变化。新的规范似乎旨在确保风险评估是根据“受保实体的具体情况”量身定制的。事实上,提议的第5001 (n)条列出了风险评估必须考虑的要素,包括规模、人员配备、治理、服务、产品、供应商和地点等。风险评估还必须包括威胁和脆弱性分析。
在此之前,在常见问题解答中, NYDFS解释说,它不知道在风险评估中使用哪种框架。可以推测,这种情况将继续存在,尽管它引用了FFIEC、CRI和NIST框架作为“广泛使用的框架”的例子。
NYDFS的通知
问题8:涉及的实体将被要求在未经授权的用户获得特权帐户的访问权限时通知NYDFS。这是否只适用于恶意行为者,还是也适用于超出其权限的员工或承包商或存在配置错误的情况?
有关未经授权访问特权帐户的新建议通知要求是由“网络安全事件”触发的,这些事件被定义为涵盖恶意行为(即。行为或企图未经授权访问、破坏或滥用任何信息系统或存储在该信息系统中的信息)。因此,对未发生网络安全事件的特权帐户的未经授权访问本身不应触发通知要求。虽然内部人员可以通过故意获得对特权帐户的未经授权访问来触发网络安全事件,但无辜的未经授权访问(如.,由于配置错误),不应该作为通知触发器,但这个问题是另一个可能需要通过评论过程进行澄清的点。
问题9:如果勒索付款与网络安全事件有关,所涉实体必须在30天内向NYDFS提供一份书面说明,说明需要付款的原因、考虑的付款替代方案、为寻找付款替代方案而进行的努力,以及为确保遵守适用法规而进行的努力。受保实体如何在不放弃特权的情况下遵守这一要求?
正如我们在课堂上讨论的的网络直播在这种情况下,受保护实体必须与NYDFS共享足以履行这一义务的非特权事实。例如,备份被加密,威胁行为者不在任何OFAC制裁名单上,FBI被咨询,被盗数据的敏感性,等等,这些事实都不是特权。在这些情况下,可能需要准备一份非特权的书面报告,以及涵盖实体主张特权的任何书面报告。
问题10:如果在上一个日历年没有完全遵守第500部分,那么所涵盖的实体必须确定它没有完全遵守的所有条款,并描述这种不遵守的性质和程度,并确定需要进行重大改进、更新或重新设计的所有领域、系统和流程。出于安全原因,我们通常不会在组织外部以书面形式分享这些信息。
这是另一个在评论期提出的好问题。过去,业界一直在与监管机构合作,寻找共享此类信息的安全方式,包括在必要时进行安全传输。监管机构了解在其系统中存储此类信息的风险,行业协会也熟悉这些问题,可能已经在考虑向NYDFS推荐最佳做法。
评议期
在最初的第500部分通过之前,NYDFS对行业反馈持非常开放的态度,并可能在最终确定修正案草案时非常认真地对待意见。
提案前短暂的评议期已延长至2022年8月18日。我们预计NYDFS将在未来几周内发布基本类似的修订草案版本,并将开始60天的征求意见期。修正案草案如获通过,大部分内容自通过之日起180天生效。不过,扩大的通知要求和对认证年度通知的更改将在通过后30天生效。此外,许多与科技有关的修订(如,对密码、访问控制和端点检测解决方案的新要求)将在采纳一年后生效。
我们正在收集更多的问题和关注,预计将提交意见。如果您对修订草案有任何想法,请发送电子邮件给任何作者。
如欲订阅数据博客,请按在这里.
