纽约金融服务部负责人安东尼·奥尔巴内塞(Anthony Albanese)向20多个联邦和州监管机构致信,概述了针对在纽约运营的银行和保险公司的网络安全法规提案。尽管这封信是其他监管机构提出的征求意见的要求,但它代表了金融业可能很快需要采取的几种网络安全措施的预览。这些措施的重点是保证银行和保险公司建立并维持正式的网络安全计划,并要求第三方供应商对遵循类似的网络安全实践负责。具体来说,这封信要求就八项拟议的监管要求发表评论:

  • 网络安全政策和程序:将要求银行和保险公司维持书面的正式网络安全政策和程序。这些政策和程序将解决信息安全,隐私,数据治理,访问控制,事件响应和灾难恢复等问题。
  • 第三方服务提供商管理:银行和保险公司将被要求实施和维护旨在确保卖方和其他服务提供商手中的敏感数据安全的政策。这些将包括要求使用多因素身份验证的首选合同条款,以及在处理敏感数据时进行加密的条款。这些条款还需要通知安全事件,并有权审核第三方服务提供商的网络安全。
  • 多重身份验证:实体将需要使用多因素身份验证来从外部网络访问机密信息。
  • 首席信息安全官(CISO):将要求银行和保险公司任命合格的CISO。 CISO有义务向金融服务部提交年度报告,以评估其实体的网络安全计划。
  • 应用安全:实体将需要建立并每年更新书面程序,指南和标准,以确保它们使用的应用程序的安全性。
  • 网络安全人员和情报:银行和保险公司将需要雇用,管理和充分培训有资格执行核心网络安全职能的人员。
  • 审计:将要求银行和保险公司进行年度渗透测试和季度脆弱性评估。还需要他们维护审核跟踪,以使特权用户可以访问关键系统和系统事件日志。
  • 网络安全事件通知:银行和保险公司必须在有可能严重影响实体正常运营的任何网络安全事件中立即将其通知金融服务部。这包括触发其他通知要求的任何事件,以及告知实体董事会的事件。

这些提议将对金融业提出重大要求。尽管不是正式提出的DFS法规,但主管的来信使我们可以预览正在考虑的要求类型。里德史密斯(Technology and law)的律师将继续监视拟议的网络安全法规,以确保我们的客户在这个瞬息万变的环境中保持领先地位。请随时关注技术法律咨询,以获取更多进展,或立即联系Reed Smith律师。