3月1日,新规定在纽约州生效,要求所有受监管的金融服务机构实施网络安全计划,任命一名首席信息安全官,并监督其业务伙伴的网络安全政策。
这似乎有点突然,因为这些规定一个月前才敲定。但实际上并不像听起来那么糟糕。
“这是一个过渡期,”微软第三方战略高级总监布拉德·凯勒(Brad Keller)说普遍。“每个人都有6个月的时间来遵守规定。”
他还说,在那之后,每年的2月15日都要进行实际的认证。
届时,每家银行、保险公司或其他受监管的金融服务公司都必须提交一份声明,声明其已审阅了所有必要的文件和报告,包括来自外部供应商的文件和报告,并声明其网络安全项目符合监管要求。
公司需要做的第一件事是进行全面的风险评估,因为这是决定如何处理许多以前的法规的起点。
“例如,你必须根据你在风险评估中的发现来决定如何部署加密,”他说。你需要有文件支持你为什么要做你正在做的事情。你必须展示你经历过的过程。”
拥有成熟网络安全流程的大型企业可能已经拥有了符合新规定所需的全部或大部分设备,它们只需要对所有内容进行审查,然后将其整合在一起。
其他公司可能需要做一些工作。
例如,CTO和联合创始人Balazs Scheidler说,银行现在被要求审查他们的供应商BalaBit IT安全。
他说:“那些远程访问可能是攻击者可以利用的杠杆,通过周界,横向移动,并采取他们的目标,就像发生在目标突破,”他说。
这应该已经是所有公司都遵循的最佳实践。
美国联邦金融机构审查委员会(Federal Financial Institutions Examination Council)负责产品和业务发展的副总裁布莱恩莱恩(Brian Laing)说,联邦金融机构审查委员会在2011年更新了防止银行欺诈的指南,其中有一个明确的章节是关于风险评估的Lastline。
他说:“大多数金融机构已经实施了纽约州监管规定中列出的许多保障措施和政策。”
纽约只是一个开始
个别州可能会产生巨大的影响,影响范围远远超出其国界,就像加州的汽车排放和违规通知标准一样。
它有两种工作方式。首先,各州和各国会看看他们的同行在做什么,如果有什么东西在其他地方运行得很好,他们就会效仿。
安全供应商营销副总裁威利·雷切特(Willy Leichter)说:“我们看到了很多其他规定。CipherCloud。“加州实施了第一部违反通知法,很快就被复制了。”
“纽约提出的规则很有可能成为新的行业标准,”security vendor的CTO和CSO克里斯蒂安•李斯(Christian Lees)表示InfoArmor。
当然,许多公司在多个司法管辖区做生意。特别是纽约,作为一个全球金融中心,它接触到来自美国和世界各地的公司。
谷歌隐私和网络法律合伙人格里•斯特格迈尔(Gerry Stegmaier)表示,为了方便自己,公司不会试图在不同的司法管辖区采用不同的程序里德史密斯LLP)。
他说:“人们将按照最严格的要求来衡量自己的遵守程度。”
例如,一些州要求在出现违规时通知司法部长,而另一些州则不这样做——公司可能只是决定通知所有人,而不是试图跟踪哪个是哪个。
“最严厉的政府将是司机,”他说。
然而,如果一个司法管辖区的规则与另一个司法管辖区的规则相矛盾,就会出现问题。
他举例说,SEC要求保留记录是出于保护消费者的目的。与此同时,欧盟居民有“被遗忘的权利”。
他说:“这类问题需要通过外交渠道解决,在解决之前,企业需要做出所罗门式的决定。”“实际上,企业正被迫把孩子分开,因为你不能同时遵守两条法律。”
明年,《通用数据保护条例》(General Data Protection Regulation)也将在欧洲生效,这也可能带来一些挑战。
他说,还有另一个问题可能需要一些时间来解决。
他说:“我们看到的一件事是,在什么是法律要求和什么是最佳做法之间存在巨大的紧张关系。”“如果最佳实践是一种法律要求——那么什么是最佳实践呢?”就因为布鲁斯·施奈尔(Bruce Schneier)说这是最好的做法,或者纽约总检察长办公室的人说这是最好的做法,真的吗?”
这篇文章,“新金融法规在纽约生效”最初是由方案 。