《紐約州金融服務公司網絡安全要求》(23 NYCRR Part 500)于2017年3月1日生效。被涵蓋實體“將必須每年準備并向紐約州金融服務部主管呈交網絡安全法規合規證明。”2019年3月1日,兩年過渡期結束后,被涵蓋實體必須達到23 NYCRR 500.11提出的要求。
法規概要
紐約州金融服務部“金融服務公司網絡安全要求”法規:
旨在促進對客戶信息以及受監管實體的信息技術系統實施保護。該法規要求每家公司對自己的特定風險狀況做出評價,并設計一個可強力應對這些風險的計劃。公司高級管理層必須嚴肅對待這個問題,對本單位的網絡安全計劃負起責任,并每年提交確認落實了這些法規規定的證明。受監管實體的網絡安全方案必須確保機構的安全和穩定運行并將客戶置于保護之下。
至為關鍵的是要讓所有還沒有做到這些的受監管機構必須緊急行動起來,立即執行一項網絡安全計劃,同時還要讓所有受監管實體都使自己的計劃達到最低標準。網絡事件的數量一直高居不下,對我們金融服務行業構成的潛在風險也非常明顯。落實法規規定的網絡安全計劃是紐約州的當務之急。
第500.06節 審計蹤跡
每個被涵蓋實體都應該……保留審計蹤跡,用于檢測并響應有合理可能性會對被覆蓋實體正常運行的任何主要部分造成實質性傷害的網絡安全事件。
第500.07節 訪問權限
作為網絡安全計劃的一部分,每個被涵蓋實體都應該根據自己的風險評價限制會使用戶訪問非公開信息的信息系統訪問權,并應定期重新審查此類訪問權限。
第500.08節 應用程序安全
每個被涵蓋實體的網絡安全計劃都應包含正式成文的規程、指南和標準,確保被涵蓋實體按安全開發實踐規范開發內部自用應用程序,并且按規程評估、評價或測試供被涵蓋實體在被涵蓋實體技術環境下使用的外部開發的應用程序的安全性。
第500.11節 第三方服務供應商安全策略
每個被涵蓋實體都應該執行正式成文的策略和規程,確保信息系統以及會被第三方服務供應商訪問或持有的非公開信息的安全。
第500.14節 培訓和監督
作為網絡安全計劃的一部分,每個被涵蓋實體都應該……執行基于風險的策略、規程和控制,以監控受權用戶的活動并檢測此類受權用戶對非公開信息的未經授權訪問、使用或篡改……。
第500.15節 非公開信息加密
作為網絡安全計劃的一部分,每個被涵蓋實體都應該根據自己的風險評價執行相關控制,其中包括加密,以保護被涵蓋實體持有或通過外部網絡傳輸或靜止的非公開信息。
FISMA(《聯邦信息安全管理法案》)給聯邦機構規定了確保聯邦政府數據安全的責任。它要求對信息安全計劃進行年度審查,以將風險保持在規定的水平以下。
FISMA的要求
根據TechTarget的SearchSecurity網站的說法:
FISMA合規要求計劃官員及每個機構的負責人對信息安全計劃進行年度審查,以通過一種低本高效、及時和有效的方式把風險始終保持在或低于規定的可接受水平。國家標準和技術研究所(NIST)闡述了做到FISMA合規的9項措施:
1.????? 對將受保護的信息進行分類。
2.????? 挑選最低基線控制。
3.????? 依照風險評價規程優化控制。
4.????? 把控制寫進系統安全計劃。
5.????? 在相應信息系統執行安全控制。
6.????? 安全控制執行后評價其有效性。
7.????? 從機構層面確定會對任務或業務造成影響的風險。
8.????? 授權信息系統處理數據。
9.????? 持續監控安全控制。
聯邦信息處理標準(FIPS)出版物200是NIST為響應FISMA而制定的一項強制性聯邦標準。機構若要達到這項聯邦標準,首先要根據FIPS出版物199確定其信息系統的安全類別。
FIPS 199和FIPS 200概要
根據NIST特別出版物800-53第4修訂版的說法:
FIPS出版物200《聯邦信息和信息系統最低安全要求》是NIST為響應FISMA而制定一項強制性聯邦標準。為了達到這項聯邦標準,機構首先要根據FIPS出版物199《聯邦信息和信息系統安全分類標準》確定其信息系統的安全類別,再根據FIPS 200從安全類別推導信息系統的影響級,然后從NIST特別出版物800-53《聯邦信息系統和機構安全和隱私控制》選用一套經過適當裁剪整理的基線安全控制。
機構可以依照特別出版物800-53提供的指南靈活應用基線安全控制。這讓機構可以根據自己的具體情況裁剪相關安全控制基線,使其更符合機構的任務和業務要求以及運行環境。
FIPS 200和NIST特別出版物800-53二者的結合,可確保機構把相關安全要求和安全控制應用于所有聯邦信息和信息系統。機構的風險評價將驗證最初的安全控制選擇并確定是否需要添加其他控制來保護機構運行(包括任務、職能、形象或聲譽)、機構資產、人員、其他機構或國家。由此產生的一套安全控制可使機構達到一定安全盡職水平。
聯邦信息處理標準(FIPS)出版物140-2——簡稱為FIPS 140-2——是用于驗證密碼模塊的一項美國政府計算機安全標準。FIPS 140-2由NIST創建,根據FISMA,對于美國和加拿大政府的采購是強制性的。世界各國的許多機構也被要求滿足這一標準。
FIPS 140-2概要
根據FIPS出版物140-2:
[它]提出一個標準,可供規定必須采用基于密碼的安全系統來保護敏感或珍貴信息的聯邦機構使用。安全系統內密碼模塊提供的安全保護,是保持受模塊保護信息的保密性和完整性之不可或缺。標準規定了密碼模塊必須滿足的安全要求。
……安全要求涉及與密碼模塊的安全設計和執行相關的各個領域。這些領域包括密碼模塊規格,密碼模塊端口和接口,角色、服務和鑒別,有限狀態模型,物理安全,運行環境,密碼密鑰管理,電磁干擾/電磁兼容性(EMI/EMC),自測試,設計保障,以及抑制其他攻擊的手段。
認證機構
美國的NIST(國家標準和技術研究所)和加拿大的CSE(通信安全組織)以認證機構的身份共同執行密碼模塊驗證體系(CMVP),負責驗證密碼模塊是否達到FIPS 140-2標準。
國家信貸聯盟管理局(NCUA)根據聯邦金融機構審查委員會(FFIEC)規定的原則和標準對信貸聯盟進行審計。FFIEC標準要求采用多種安全控制,其中包括數據訪問控制、加密和密鑰管理以及安全監控。
規定
訪問權限管理
根據FFIEC:
金融機構應該建立一個有效的流程來管理訪問權限。這個流程應該包括:
l? 只給用戶和設備分配執行其被要求的功能所需要的訪問權限;
l? 根據人員或系統的變化更新訪問權限;
l? 根據應用程序或系統面臨的風險以適當的頻率定期審查用戶的訪問權限……
加密和密鑰管理
FFIEC還指出:
l? 加密
金融機構應該采用足以保護信息免遭泄露的加密強度,直到信息的泄露不會造成實質性威脅……有關加密哪些數據以及在哪些點加密數據的決定通常要根據數據泄露的風險做出……加密也可用于保護存儲中的數據。具體可以加密文件、目錄、卷或硬盤。
l? 加密密鑰管理
由于安全性主要靠加密密鑰,因此有效的密鑰管理至關重要。有效的密鑰管理系統基于一套商定的標準、規程和安全方法,它們來自ISO 17799, 10.3.5.2。
安全監控
此外,FFIEC還提供了安全監控指南。
金融機構應該通過以下方式確保自己的風險抑制策略及其落實可以充分發揮作用:
l? 監控網絡和主機活動以識別策略違規和異常行為;
l? 監控主機和網絡狀況,以識別未經授權的配置和其他會增加入侵或其他安全事件風險的情況;
l? 分析監控結果,準確、快速識別、分類、升級、報告和指導對安全事件的響應;
l? 響應入侵和其他安全事件及弱點,以適當降低機構及其客戶面對的風險并恢復機構系統的正常運行。
《薩班斯-奧克斯利(SOX)法案》第302和304節確定了與數據保護相關的標準,適用于美國上市公司和會計師事務所。
規定
《薩班斯-奧克斯利法案》第404節
《薩班斯-奧克斯利法案》第404節提出了兩項主要合規要求:
l? 管理層負責建立和維護內部控制和規程,以在內部控制報告中從財務角度對每個財政年度的安全態勢做出準確報告和評價。
l? 準備或發布年度審計的公共會計師事務所必須證明并報告管理層做出的年度評價。
《薩班斯-奧克斯利法案》第302節
《薩班斯-奧克斯利法案》第302節將合規要求擴展到:
l? 列出內部控制和信息的所有缺陷,并報告涉及內部員工的任何欺詐行為。
l? 詳細說明內部控制的重大變化,或可能對內部控制產生負面影響的因素。
影響
SOX合規要求對上市公司保護數據的影響是:
l? 任何財務信息都需要得到保護并確保其完整性。
l? 需要識別保護數據的具體安全控制,必須進行審計,并且每年都要對安全態勢進行重新評價——其中包括由于條件改變而導致的任何變化或缺陷。
全美保險監督官協會(NAIC)《數據安全示范法案》(示范法)于2017年第4季度通過,要求保險公司和其他獲得州保險部門許可的實體制定、實施和保持信息安全計劃,調查任何網絡安全事件,并將此類事件通知州保險監督官。
各州目前正在努力引入和通過這項立法,我們的理解是,如果各州在5年內沒有通過這項立法,美國財政部將強制執行示范法。
法規概要
根據該法案第2節:
本法案的目的和意圖是建立數據安全標準,以及適用于第3節定義之被許可人的調查網絡安全事件并將事件通知保險監督官的標準。
第3節對“被許可人”的定義如下:
“被許可人”是指根據本州保險法獲得許可和授權可以經營或注冊,或者被要求獲得許可和授權或注冊的任何人……
第3節還指出:
“網絡安全事件”是指導致未經授權訪問、中斷或濫用信息系統或存儲在此類信息系統上的信息的事件。
“網絡安全事件”一詞不包括加密、進程或密鑰并沒有被同時未經授權獲得、發布或使用情況下的對被加密非公開信息的未經授權獲取。
第4節 信息安全計劃
D. 風險管理
被許可人應該根據自己的風險評價:
(2)??? 確定以下哪些安全措施適用并將適用安全措施落實。
(a)???? 對信息系統實施訪問控制,其中包括驗證訪問者身份和只允許得到授權的人員訪問以防未經授權者獲取非公開信息的控制;
(d)??? 通過加密或其他適當手段保護通過外部網絡傳輸的所有非公開信息以及存儲在手提電腦或其他便攜式計算或存儲設備或介質上的所有非公開信息;
(e)???? 采用安全開發實踐規范內部開發應用程序供被許可人使用……;
(g)???? 使用有效的控制,其中包括針對訪問非公開信息的任何個人的多因子身份驗證規程;
(i)?? 在信息安全計劃中收入旨在檢測和響應網絡安全事件的審計蹤跡……;
(k)???? 建立、執行和保持安全銷毀任何格式非公開信息的規程。
第5節 網絡安全事件調查
如果被許可人獲悉網絡安全事件已經或可能已經發生,被許可人或被指定代表被許可人行事的外部供應商和/或服務供應商應立即開展調查。
FedRAMP即《聯邦風險和授權管理計劃》,是一項在政府范圍內實施的計劃,為云產品和服務的安全評價、授權和持續監控提供了標準化方法。
FedRAMP的目標
根據FedRamp.Gov的說法,該計劃的目標是:
l? 通過反復進行評價和授權,加快安全云解決方案的采用。
l? 增強對云解決方案安全性的信心。
l? 根據一組得到共同認可的基線標準實現一致的安全授權,用于審批FedRAMP內外的云產品。
l? 確保一致采用現行安全實踐規范。
l? 增強對安全評價的信心。
l? 提高持續監控的自動化和近實時數據水平。
關鍵流程
根據FedRamp.Gov的說法,FedRAMP以一種三步驟流程對云系統進行授權:
l? 安全評價:安全評價過程采用了FISMA提出的一套標準化要求,并以NIST 800-53的一組基線控制為基準給予安全授權。
l? 對照和授權:聯邦機構可以查看FedRAMP存儲庫里的安全授權包,對照安全授權包的內容在本機構內給予安全授權。
l? 持續評價和授權:給予授權后,機構還必須持續開展評價和授權活動,以保持安全授權的有效性。
GLBA是《格雷姆-里奇-比利雷法案》,也叫《金融服務現代化法案》,適用于美國金融機構,管治著非公開個人信息(包括財務記錄和其他個人信息)的安全處理。
要求
《格雷姆-里奇-比利雷法案》第501(b)節要求金融機構通過“管理、技術和物理防護措施”保護非公開客戶信息的安全性、保密性和完整性。《格雷姆-里奇-比利雷法案》還要求每個金融機構執行一項正式成文的全面信息安全計劃,其中包括適合機構規模、復雜性和活動范圍的管理、技術和物理防護措施。這些防護措施包括:
l? 確保客戶記錄和信息的安全性和保密性;
l? 抵御對此類記錄安全性或完整性構成的任何預期威脅或危害;
l? 阻止對此類記錄或信息的可能會對任何客戶造成嚴重傷害或不便的未經授權訪問或使用。
影響
對于受該標準影響的機構,《格雷姆-里奇-比利雷法案》的這些隱私保護法規與《聯邦存款保險法案》(第36節)提出的參考要求結合到一起,會導致需要:
l? 保護和監控客戶記錄和信息;
l? 創建和保持有效的風險評價;
l? 識別、執行和審計保護這些數據的具體內部安全控制。
《美國健康保險流通與責任法案》(HIPAA)
HIPAA安全規則要求被涵蓋實體通過技術防護措施保護所有電子保護的醫療保健信息(ePHI),其中特別提到對ePHI信息的加密、訪問控制、加密密鑰管理、風險管理、審計和監控。HIPAA安全規則列舉了可供被涵蓋實體使用的加密方法,同時還提出了執行HIPAA加密策略時需要考慮的因素。
《經濟和臨床健康信息技術法案》(HITECH)
作為2009年《美國復蘇和再投資法案》(ARRA)的一部分頒布的HITECH法案擴展了HIPAA的加密合規要求,要求披露“未受保護”(未經加密)個人健康記錄的數據泄露情況,其中包括商業伙伴、供應商和相關實體的數據泄露。
2013年HIPAA綜合規則
2013年“HIPAA綜合規則”正式規定商業伙伴也有責任遵守HIPAA安全規則。
“受控藥物電子處方(EPCS)條例”修訂了食品及藥物管理局(DEA)的規定,為從業者提供了以電子方式編寫受控藥物處方以及接收、分配和存檔電子處方的選項。電子處方應用程序必須具有對從業者進行身份驗證的安全進程。
食品及藥物管理局的EPCS條例
“受控藥品電子處方條例”修訂了食品及藥物管理局的規定,為從業者提供了以電子方式編寫受控藥物處方的選項。該條例還將允許藥店接收、分發和存檔電子處方。
食品及藥物管理局對受控藥品電子處方的要求包括:
(16)? 數字簽名功能必須達到以下要求:
(i)????? 用于給本章第1306部分要求的數據元素加數字簽名的密碼模塊必須至少通過FIPS 140-2安全1級認證。
……
(i)??????? 電子處方應用程序的私鑰必須經FIPS批準的加密算法加密后保存在通過了FIPS 140-2安全1級或更高級別認證的密碼模塊里。
此外,食品及藥物管理局的同一條例第1311.205節“藥房應用程序要求”還規定:
(b)??? 藥房的應用程序必須達到以下要求:
(4)??? 就收到處方時給處方記錄加數字簽名的藥房應用程序而言,數字簽名功能必須達到以下要求:
(i)????? 用于給本章第1306部分要求的數據元素加數字簽名的密碼模塊必須至少通過FIPS 140-2安全1級認證。
……
(iii)??? 藥房應用程序的私鑰必須經FIPS批準的加密算法加密后保存在通過了FIPS 140-2安全1級或更高級別認證的密碼模塊里。
根據NIST特別出版物800-53第4修訂版:
[它]為聯邦信息系統和機構提供了一個安全和隱私控制目錄,同時還提供了一個挑選控制的流程;這些控制旨在保護機構運行……機構資產、人員、其他機構和國家免受各種威脅侵擾。
這些控制可以定制,將被納入機構信息安全和隱私風險管理總流程。它們產生于立法、行政令、政策、指令、法規、標準和/或任務/業務需要,涉及了針對聯邦政府和關鍵基礎設施提出的涵蓋面極廣的一整套安全和隱私要求。
[NIST 800-53第4修訂版]還描述了如何根據任務/業務功能、技術或運行環境的具體類型,量體裁衣地開發專業化控制或疊加控制集。
最后,安全控制目錄從性能角度(所提供的安全功能和機制的強度)和保障角度(所執行的安全能力的可信度)強調安全。同時強調安全功能和安全保障這兩點可以保證,信息技術產品以及依照完備系統和安全工程原則用這些產品建成的系統可以讓人充分信任。