Нью-Йорк притормозил внедрение детальных программ кибербезопасности

Нью-йоркский департамент финансовых услуг (NYDFS) решил отложить внедрение новых, очень детальных и, по мнению многих, несколько неоднозначных правил кибербезопасности для банков, страховых компаний и других финансовых институтов под его надзором. 28 декабря он анонсирует обновленную их версию, а само внедрение перенесено на 1 марта следующего года.

Правила против киберугроз были впервые предложены в сентябре. После вступления в силу они потребуют от банков, страховых компаний и прочих финансовых институтов разработать и внедрить программы кибербезопасности, ввести должность руководителя по информационной безопасности (CISO), который будет отвечать за внедрение, надзор и контроль исполнения этих программ, а также иметь у себя политику и процедуры для обеспечение безопасности информационных систем и конфиденциальной информации во владении третьих лиц.

Пересматривать такие программы кибербезопасности придется, по меньшей мере, раз в год, каждый раз одобряя итоговый вариант в совете директоров. Руководители по информационной безопасности (CISO) должны будут как минимум два раза в год подготавливать отчеты на представление директорам компании и регуляторам из NYDFS по первому требованию. Отчет должен охватывать темы конфиденциальности, целостности и доступности информационных систем компании, оговаривать в деталях исключения в программах и политиках информационной безопасности, идентифицировать киберриски, анализировать эффективность программ противодействия кибератакам, предлагать возможные способы нейтрализации найденных уязвимостей, а также содержать полный отчет всех существенных событий из области информационной безопасности, что имели место за истекший период.

К 15 января каждого года каждая компания обязана будет предъявлять надзирателям из NYDFS письменное удостоверение о том, что она выполняет все оговоренные выше требования. Если вдруг обнаруживается существенный риск, способный нанести вред программам кибербезопасности, то руководителей из Нью-йоркского департамента финансовых услуг необходимо уведомить об этом в течение 72 часов.

Есть ограниченные исключения в правилах для компаний менее чем с 1000 клиентами на протяжении трех последних годовых периодов, менее чем $5 миллионами общей прибыли за год тот же трехлетний период, и менее чем $10 млн. активов на конец отчетного периода. Расчет должен производиться по стандартам US GAAP.

По материалам: Compliance Week