|
E安全3月2日讯 美国时间3月1日,纽约州的新金融条例将生效,要求所有受监管的金融服务机构将网络安全计划部署到位,任命首席信息安全官,并监控商业伙伴的网络安全政策。 这似乎显得有点仓促,因为新条例一个月以前才完成。Prevalent的第三方战略高级总监布拉德·凯勒表示,“新条例有一个过渡期。每个人有六个月的时间履行合规。” 布拉德·凯勒补充道,之后每年的2月15日会进行实际认证。也就是说,每年的2月15日,每家银行、保险公司或其它受监管的金融服务公司必须提交声明,证明已经审核了所有必需的文件和报告,包括外部厂商的文件和报告,也就是证明其网络安全计划符合新条例要求。 企业首先要做的就是进行综合风险评估,因为这是决定如何应对先前许多条例的起点。 布拉德·凯勒表示,例如,企业必须决定将如何根据风险评估中的结果部署加密。企业需要有力的文件证明当前的做法。企业还必须证明经历的过程。 拥有成熟网络安全程序的大型企业也许已经具有满足新条例的部署,只需要进行审查,并进行融合。其它公司可能要有所准备。 布拉德·凯勒表示,“远程访问攻击可能是攻击者使用手段跨过界限,横向活动,并窃取数据,正如Target遭遇的黑客事件。” Lastline的产品和业务开发副总裁Brian Laing表示,联邦金融机构审查委员会(Federal Financial Institutions Examination Council)2011年更新了防止银行欺诈的指南,其中一个章节明确提到风险评估。 Laing表示,大多数金融机构已经部署了该条例规定的许多保障措施和政策。 纽约只是开始个别州造成的影响巨大,其影响远远超出本州,例如加利福利亚州制定了汽车排放和数据泄露通知标准。 首先,州和国家会看其它州和国家的行动,如果某些方式在其它地方奏效,他们可能会如法炮制。 安全厂商CipherCloud的营销副总裁Willy Leichter表示,我们看到其它许多法规。加利福利亚州实施了第一个数据泄露通知法,之后其它州迅速复制。 安全厂商InfoArmor的首席技术官和首席战略官Christian Lees指出,纽约提议的规则很可能成为新的行业标准。 当然,许多企业的业务跨多个管辖范围。作为全球的金融中心,纽约吸引了全美、全世界的企业。 Reed Smith LLP隐私与网络法的合作伙伴Gerry Stegmaier表示,为了让自己更加轻松,企业不会试图在不同的管辖范围部署不同的流程。他指出,企业将根据最严格的要求衡量其合规性。 例如,某些州要求发生数据泄露事件时通知州司法部长,而有些州没有这样做。企业也许只是决定通知到每个人。Stegmaier指出,要求最严格的州将掌握方向。但是,如果某管辖范围与另一管辖范围的规则冲突,那么可能会产生问题。例如,美国证监会(SEC)要求保留记录,以此保护消费者,与此同时,欧盟居民有“被遗忘权。”这类事件将需要通过外交渠道解决。在执行之前,企业将需要制定明智的决策。从字面上讲,企业被迫进行所罗门式的审判,因为不能同时遵守两个法律。 《一般数据保护条例》(General Data Protection Regulation)明年将在欧洲生效,这也可能带来一些挑战。 Stegmaier表示,到时候可能会需要时间解决另外的问题。我们所看到的就是,法律要求和最佳做法之间存在冲突。如果最佳做法就是法律要求,那么最佳做法到底是什么。只是因为Bruce Schneier或纽约司法部长办公室有人说是最佳做法,果真如此吗? E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com |
|
|
