NYDFS发布其网络安全法规的正式修正案- Debevoise数据博客

2022年11月9日，纽约金融服务部(“NYDFS”)宣布《官方建议的修订对其2017网络安全条例23 NYCRR 500(“拟议修正案”)。这一声明是在高度活跃的提案前评议期之后发布的，在此期间，行业利益相关者与NYDFS分享了他们对正在考虑的变化的想法，我们在这里报道了这些变化概述,在这里进行问答，而在网络直播．《建议修正案》的60天公众评议期将于2023年1月9日结束。在这篇博文中，我们将讨论我们对重大的改变在新版本和的预案．

我们从修订中学到的重点:

NYDFS花时间吸收评论并澄清解释，所以下一轮评论非常重要。
修订建议软化A类公司的定义。
修订后的提案软化了围绕关键控制的规定性要求，恢复了现有第500部分中一些基于风险的元素。
NYDFS了解到一些技术元素的实施周期过于激进，并已软化了这些要求。

A类公司及其他关键术语的修订定义

在预先提案中，NYDFS创建了一个名为“a类”公司的新类别。A类公司的定义是，作为受保实体及其附属公司的一部分，拥有超过2000名员工的公司，或受保实体及其附属公司过去三年平均毛收入超过10亿美元的公司。《建议修订》修订了A类公司的定义。新的提法似乎旨在缩小A类公司的范围。

作为阈值，覆盖实体必须具有州内(纽约州)年总收入至少有两千万美元每个人过去两个财政年度受保护实体及其附属公司的业务运作。”这可能会将一些在纽约拥有小型分支机构的国际银行排除在A类定义之外。
如果纽约的收入达到了2000万美元的门槛，那么:
- 《修订建议》现澄清，公司如符合下列条件，即属a类公司拥有2000名员工作为一个平均在过去的两个财政年度，仍然包括所涵盖的实体和关联公司;
- 或者，公司可以是a类，如果全球年总收入门槛为10亿美元是在每个人过去两个财政年度，而不是两者的平均值。

修订后的定义问题1通过澄清大型海外公司在纽约的小型分支机构何时可能被视为a类公司。此外，建议修订:

明确规定审计必须由外部审计师进行，从而消除内部审计满足“独立审计”要求的可能性;
从“第三方服务提供者”的定义中剥离出“政府实体”;
将要求(如合规认证)中对首席执行官的提及改为“受保实体的最高级别高管”，这澄清了提案草案中的模糊性，即这些要求可能适用于受保实体的母公司的首席执行官，而这些母公司本身并没有首席执行官。

重点关注某些关键网络安全领域

整个拟议修正案中的某些修订反映了NYDFS加强了对关键网络安全领域和行业最佳实践的关注。例如:

网络安全政策和程序-[500.3]将数据“保留”、系统和网络“监控”、“安全意识和培训”以及事件“通知”添加到覆盖实体的网络安全政策必须根据其风险评估解决(在适用范围内)的领域列表中;
事件调查-[500.16]增加了对事件响应计划的调查方面的明确引用。
事件应变计划年度训练及测试-[500.14 & 500.16(d)(1)]在(1)培训要求中增加最低年度节奏，明确提及社会工程练习(从仅“网络钓鱼”扩展);(2)事件响应计划的测试要求(首席执行官参与的要求被覆盖实体的“最高级别高管”所取代)。
备份,[500.16(e)]将备份需求从面向行动(网络隔离)转变为面向目标(充分保护免受未经授权的更改或破坏)。
补救措施-[500.17(b)(1)(ii)(d)]增加“补救计划及其实施时间表”，作为被覆盖实体书面年度认证的必要组成部分。

软化某些说明性治理需求

建议修订删除了建议草案中CISO独立性的要求，并调整了附加董事会报告要求的强制性。

修正案草案要求CISO拥有权力和“指挥足够资源实施和维护网络安全计划的能力”，但取消了对CISO独立性的要求。这对于有效的项目实施和监督的目的来说似乎更实际，而不需要进入组织结构图上的位置。
建议修订进一步修订资讯科技总监向董事会提交的年度报告或同等文件。CISO在编写报告时仍然需要考虑一些因素，但报告不再需要包括对每一个因素的讨论，也不需要包括弥补不足的计划。
最后，拟议修正案似乎澄清了委员会的角色是“在……网络安全风险管理方面对管理层进行监督并提供指导”。覆盖实体仍然需要向“高级管理机构”报告漏洞管理计划中发现的重大问题。

渗透测试、漏洞管理和访问控制说明

建议修订:

明确要求渗透测试(1)包括外部网络渗透测试(从信息系统边界外)和内部网络渗透测试(从信息系统边界内);但是(2)可以由一个合格的独立党派进行，而不考虑隶属关系(可以是内部的和外部的)。[500.5 (a) (1)]
为添加显式需求漏洞扫描覆盖整个环境，无论是通过自动或手动的方式。虽然并未强制规定此类扫描的具体频率，但修订建议反映了基于风险的节奏预期，以及在任何重大系统更改后将进行此类扫描的假设。[500.5 (a) (2))
要求用户访问权限至少每年进行一次考核，员工离职时被解雇。[500.7(a)(4) & (6)]
将提案前对“强大的、唯一的密码”的要求替换为实施符合“行业标准”的“书面密码策略”．”[500.7 (b)]
明确的范围访问控制要求，并指定必须为“所有“500.7 (b) (2)

拟议修正案还更改了一些针对漏洞管理和访问控制程序的提案前要求，包括:

取消提案前每周扫描的要求，而是要求承保实体拥有“监控过程以确保它们是正确的及时通知新的安全漏洞的出现。“[500.5 (b))
为添加需求及时补救根据风险进行优先排序。[500.5 (c))
取代提案前要求A类公司为特权账户提供“密码金库”的义务，要求A类公司拥有特权访问管理解决方案及一种自动阻止常用密码的方法，或经资讯科技总监认可的合理等效方法[500.7(b)(1)]

多因素认证(“MFA”)要求的适用性说明

预先提案似乎创造了一个广泛的和说明性的新的MFA要求。拟议修正案修订了第500.12条的提案前变更，规定在以下情况下需要MFA:

远程访问所覆盖实体的信息系统;
远程访问第三方应用程序，包括可以访问非公开信息的云应用程序;和
所有特权帐户(取消服务帐户的提案前的分割)。

重要的是，拟议修正案恢复了CISO批准MFA补偿控制的能力，使这一要求不那么规定性。

事件通知的附加要求

建议修订亦增加以下有关事故报告的条文:

调查结果的回应期为90天-每个涵盖实体现在都必须以标准电子形式向NYDFS提供有关调查已通知的网络安全事件的所需信息。[500.17 (a) (2))
第三方事故72小时-覆盖实体现在必须在72小时内报告第三方网络安全事件，从覆盖实体意识到该事件开始。[500.17 (a) (3)]

遵守规定的期限

拟议修订亦延长了建议草案中规定的遵守规定的最后期限。

除非下文另有规定，受保护实体必须在建议修正案生效之日起180天内遵守这些新要求(将在2023年1月9日征求意见期结束后的某个时间，因此不早于2023年7月8日)。

事件通知-生效日期起计30天内。[500.17]
备份-自生效日期起计一年。[500.16 (e)]
●各种技术控制生效日期起计18个月，包括:
- 漏洞扫描[500.5 (a) (2))
- 密码策略[500.07 (b)]
- MFA[500.12 (b)]
- 网页及电邮过滤[500.14 (a) (2))
- 端点检测和日志记录[500.14 (b)]
资产清单-生效日期起计两年。[500.13 (a)]