Back to Blog

NYDFS ตัวแทนความปลอดภัยของนิวยอร์ก

MonsterConnect
2 min read
NYDFS ตัวแทนความปลอดภัยของนิวยอร์ก

NYDFS ตัวแทนความปลอดภัยของนิวยอร์ก

เข้าใจ เข้าถึง รักษา ตามหลักข้อกำหนด 23 NYCRR Part 500

At a Glance:

ข้อกำหนดด้านความปลอดภัยบนระบบเครือข่ายของ NYDFS ซึ่งถูกกำหนดให้บริษัทประกันภัย ธนาคาร และสถาบันการเงินใน New York ประเทศสหรัฐอเมริกา ซึ่งจะรวมไปถึงหน่วยงานที่เกี่ยวข้องกับสถาบันการเงิน สาขาต่างๆ ที่ไม่ใช่หน่วยงานของภาครัฐ ปฏิบัติตามเพื่อประเมินด้านความเสี่ยงบนโลกไซเบอร์ โดยระเบียบการปฏิบัติ “NYDFS Cybersecurity” ได้รับการออกแบบมาเพื่อปกป้องผู้บริโภคและเพื่อ "รักษาความปลอดภัยและความถูกต้องของตัวสถาบันเอง" ด้วยเช่นเดียวกัน ซึ่งระเบียบดังกล่าวได้มีผลบังคับใช้เมื่อวันที่ 1 มีนาคม 2017 และจะต้องมีผลดำเนินงานภายใน 180 วัน (28 สิงหาคม 2017) ภายใต้การควบคุมของ New York Department of Financial Services (NYDFS) องค์กรที่ได้รับรอง ในการวางโปรแกรมระบบรักษาความปลอดภัยในโลกไซเบอร์ที่จะครอบคลุมและสอดคล้องกับระยะเวลาการปฏิบัติตามข้อกำหนดที่มีการเจาะจงเอาไว้

What Is the NYDFS Cybersecurity Regulation?

NYDFS ได้ออกกฎระเบียน NYDFS ได้ออกกฎระเบียบ Cybersecurity (23 NYCRR Part 500) เพื่อตลอดสนองความต้องการที่แสนซับซ้อนด้านความปลอดภัย เนื่องจากเหล่า “อาชญากรไซเบอร์” ในรูปแบบการโจมตีหลากหลาย และมักจะเลือกโจมตี “สถาบันการเงินของสหรัฐฯ” เป็นหลัก ซึ่งระเบียบข้อกำหนดนี้จะต้องให้องค์กรจากภายนอก (องค์กรที่ได้รับการรับรองในการทำหน้าที่ตรวจสอบ) ประเมินระดับความเสี่ยงด้านความปลอดภัย และวางแผนเพื่อให้ครอบคลุมความเสี่ยงจากภัยคุมคามหลากหลายรูปแบบอีกด้วย ซึ่งมาตรฐานด้านกฎระเบียบเหล่านี้จะรวมไปถึง :
  • มาตรฐานขั้นต่ำสำหรับระบบด้านสารสนเทศ ที่สามารถป้องกันข้อมูลและการเจาะรหัสในการเข้าถึง ระบบควมคุม
  • ข้อกำหนดด้านความปลอดภัยจากการใช้ระบบอินเตอร์เน็ต ซึ่งควบคุมความปลอดภัยจากการใช้อินเตอร์เน็ต ที่จะต้องมีประสิทธิภาพสูงด้านความปลอดภัยของระบบ
  • แผนการตอบสนองต่อเหตุการณ์ฉุกเฉิน ด้านภัยคุกคามบนโลกไซเบอร์ขององค์กรอย่างมีประสิทธิภาพ อีกทั้งจะต้องมีการหาจุดบกพร่องและวางแผนการพัฒนาฟื้นฟูตามกฏระเบียบในทุกปีอีกด้วย

Changes to the Final Regulation

  • Audit trails : ข้อกำหนดในการเก็บรักษาของมูลตามกฎระเบียบจะต้องมีข้อมูลจาก 5-3 ปี
  • Notice : ตามนโยบายและขั้นตอนเกี่ยวกับการประกาศแจ้งให้ผู้มีส่วนเกี่ยวข้องทราบ ซึ่งหากจัดทำโดยผู้ให้บริการจากภายนอกซึ่งจะต้องไม่ได้รับการเปิดเผยต่อองค์กรอื่นๆ ถึงแม้ว่าจะอยู่ภายใต้การควบคุมโดยผู้ให้บริการเดียวกันก็ตาม
  • Reporting : องค์กรที่ได้รับความคุ้มครองจะต้องชี้แจ้งถึงเหตุการณ์ด้านความปลอดภัยภายในองค์กรผ่านทางระบบอินเตอร์เน็ตให้กับ “NYDFS”
  • Exemptions : ในเรื่องของรายงานและระเบียบตาม NYDFS จะมีบ้างส่วนที่ได้รับการยกเว้นเช่น “รายได้ของพนักงาน จำนวนของพนักงานในองค์กรและบริษัทในเครือเป็นต้น”
  • Insurance : ระเบียบข้อการยกเว้นการปฏิบัติ “ซึ่งจะต้องมีการชี้แจ้งอย่างชัดเจนของบริษัที่อยู่ภายในกฎหมายประกันภัยของ นิวยอร์ก

Who Is Affected ?

ระเบียบข้อบังคับด้านความปลอดภัยของ NYDFS จะครอบคลุมในองค์กรเกี่ยวกับบริการด้านการเงินเป็นหลัก รวมไปถึงหน่วยงานอื่นๆ ดังนี้
  • บริษัทปล่อยสินเชื่อที่รับอนุญาตถูกต้องตามกฎหมาย
  • ธนาคารที่ได้รับใบอนุญาตจากภาครัฐ
  • บริษัทที่น่าเชื่อถือ
  • บริษัทผู้ให้บริการด้านสัญญาต่างๆ
  • ธนาคารเอกชน
  • บริษัทสินเชื่อสำหรับที่อยู่อาศัย
  • บริษัทประกันภัยที่ประกอบกิจการอยู่ภายใน นิวยอร์ก
  • ธนาคารนอกประเทศสหรัฐอเมริกา แต่มีการดำเนินธุรกิจอยู่ภายใน นิวยอร์ก
ซึ่งระเบียบนี้มีข้อยกเว้นสำหรับองค์กรดังนี้
  • องค์กรที่มีพนักงานน้อยกว่า 10 คน
  • องค์กรที่มีรายรับน้อยกว่า 5 ล้านดอลลาร์ต่อปี (ภายในระยะเวลา 3 ปี)
  • องค์กรที่มีสินทรัพย์รวมไม่ถึง 10 ล้านดอลลาร์

How Do Businesses Become Compliant? องค์กรจะต้องปฏิบัติอย่างไรถึงจะเป็นไปตามข้อกำหนด

ข้อกำหนด NYDFS Cybersecurity Regulation 23 NYCRR Part 500 จะมีผลตั้งแต่ “วันที่ 1 มีนาคม 2017” ซึ่งองค์กรแต่ละแห่งจะต้องใส่ใจและปรับเปลี่ยนให้สอดคล้องกับข้อกำหนดด้านความปลอดภัยนี้อย่างเคร่งครัด ซึ่งไม่ใช่เพียงแต่ในปีแรกเพียงอย่างเดียวเท่านั้น แต่หมายถึงจะต้องปฏิบัติติดต่อกันตามข้อกำหนดออย่างสม่ำเสมอ ซึ่งนับจากวันเริ่มต้นเป็นเวลา 180 วันหรือ ภายในวันที่ 28 สิงหาคม 2017 ทุกองค์กรต้องมีการปฏิบัติตามข้อบังคับเหล่านี้แล้วถึงแม้จะได้เป็นเพียงบางส่วนก็ตาม และแต่ละองค์กรจะต้องยื่นหนังสือรับรองการปฏิบัติตามข้อกำหนดของ NYDFS ครั้งแรกภายในวันที่ 15 กุมภาพันธ์ 2018 โดยขั้นตอนที่ระบุไว้นี้เป็นเพียงข้อมูลเบื้องต้นเท่านั้น รายละเอียดเชิงลึกของข้อบังคับและปฏิทินสามารถอ่านได้จาก “ที่นี่”

Important Dates

วันที่ 1 มีนาคม 2017 ไปจนถึง 28 สิงหาคม 2017 นับตั้งแต่วันที่เริ่มต้นบังคับใช้วันที่ “วันที่ 1 มีนาคม 2017” ไปจนถึง “28 สิงหาคม 2017” แต่ละองค์กรที่อยู่ภายใต้การควบคุมจะต้องปฏิบัติตามข้อกำหนด 23 ฉบับตามกฎของ NYCRR 500 เพื่อให้บรรลุตามข้อกำหนดแต่ละองค์กรจะต้อง
  • จัดติดตั้งโปรแกรม Cybersecurity ที่มีประสิทธิภายสูง และใช้งานได้จริง (มาตราที่ 02)
  • สร้างและรักษานโยบายด้าน Cybersecurity ที่เขียนขึ้นตาม (มาตราที่ 03)
  • มีการแต่งตั้ง Chief Information Security Officer (CISO) เพื่อรับผิดชอบดูแล (มาตราที่ 04)
  • มีการจัดจ้างบุคลากรด้านความปลอดภัยอย่างจริงจัง จะเป็นหน่วยงานภายในเองหรือเป็นการจ้างบุคคลที่สามก็ได้เช่นเดียวกัน (มาตราที่ 10)
  • มีการวางแผนในการรับมือเหตุการณ์ฉุกเฉินได้อย่างเป็นรูปธรรม (มาตราที่ 16)
15 กุมภาพันธ์ 2018 องค์กรที่ได้รับการคุ้มครองจะต้องส่งหนังสือรับรองการปฏิบัติตามข้อแรกภายใต้ 23 NYCRR 500.17 ในวันที่ 15 กุมภาพันธ์ 2018 หรือก่อนวันที่ 1 มีนาคม 2018 3 กันยายน 2018 ภายในวันนี้องค์กรที่ได้รับการคุ้มครองจะต้องพิสูจน์ว่า
  • สามารถรักษามาตรฐานและความสม่ำเสมอด้านความปลอดภัยตามมาตราที่ 06
  • มีการใช้ข้อกำหนดด้านความปลอดภัยกับแอปพลิเคชั่นได้อย่างมีประสิทธิภาพ ตามมาตราที่ 08
ถึงแม้ว่าการสร้างความปลอดภัยให้เกิดขึ้นบนโลกไซเบอร์จะมีกระบวนการที่ซับซ้อน แต่ก็ไม่ใช่เรื่องที่ต้องกังวลและเครียดกันมากเกินไป เพราะพวกเรามีเครื่องมือและแผนการที่พร้อมจะสร้างความปลอดภัยบนโลกไซเบอร์ได้อย่างมีประสิทธิภาพตามข้อบังคับต่างๆ ไม่เพียงแต่ NYDFS เท่านั้น แน่นอนว่าพวกเราจะสามารถช่วยปกป้องข้อมูลที่สำคัญของลูกค้าและมีค่าต่อธุรกิจของคุณได้เป็นอย่างดี
Reference : https://www.rapid7.com/fundamentals/gdpr/