ความปลอดภัย ทางไซเบอร์ เมื่อวันที่ 29 กรกฎาคม พ.ศ. 2565 แผนกบริการทางการเงินของนิวยอร์ก (“NYDFS”) ได้โพสต์การแก้ไขที่เสนอ (“การแก้ไขที่เสนอ”) ในข้อกำหนดด้านความปลอดภัยทางไซเบอร์สำหรับบริษัทที่ให้บริการทางการเงิน (“ระเบียบข้อบังคับด้านความปลอดภัยทางไซเบอร์”) การแก้ไขที่เสนอจะขยายออกไปตามข้อกำหนดด้านความปลอดภัยทางไซเบอร์ที่บังคับใช้กับสถาบันการเงินที่ครอบคลุมทั้งหมด ตลอดจนกำหนดข้อกำหนดที่เข้มงวดมากขึ้นสำหรับ “บริษัทในกลุ่ม A” (ตามคำจำกัดความด้านล่าง) จะมีช่วงแสดงความคิดเห็นก่อนข้อเสนอสั้นๆ ตามด้วยการเผยแพร่การแก้ไขที่เสนออย่างเป็นทางการ ซึ่งจะกระตุ้นระยะเวลาแสดงความคิดเห็น 60 วันใหม่ ด้านล่างนี้คือการเปลี่ยนแปลงที่สำคัญที่นำเสนอโดยการแก้ไขที่เสนอ
บริษัทคลาสเอ
การแก้ไขที่เสนอจะแนะนำหมวดหมู่ใหม่ของ “บริษัทในกลุ่ม A” ซึ่งประกอบด้วยสถาบันการเงินขนาดใหญ่ที่ต้องปฏิบัติตามข้อกำหนดที่เพิ่มขึ้น โดยเฉพาะอย่างยิ่ง บริษัทคลาส A ได้รับการคุ้มครองสถาบันการเงินที่มีพนักงานมากกว่า (1) 2,000 คน (รวมถึงพนักงานของทั้งสถาบันที่ได้รับการคุ้มครองและบริษัทในเครือทั่วโลก) หรือ (2) รายได้รวมต่อปี 1 พันล้านดอลลาร์โดยเฉลี่ยในช่วงสามปีบัญชีล่าสุดจากธุรกิจทั้งหมด การดำเนินงานของกิจการและบริษัทในเครือ ภายใต้การแก้ไขที่เสนอ บริษัทคลาส A จะต้องปฏิบัติตามข้อกำหนดใหม่ดังต่อไปนี้ (นอกเหนือจากข้อกำหนดใหม่ที่จะบังคับใช้กับสถาบันการเงินที่ครอบคลุมทั้งหมด ตามที่อธิบายเพิ่มเติมด้านล่าง
ข้อกำหนดเพิ่มเติม
นอกเหนือจากข้อกำหนดที่เพิ่มสูงขึ้นใหม่สำหรับบริษัทในกลุ่ม A แล้ว การแก้ไขที่เสนอจะกำหนดข้อกำหนดใหม่สำหรับสถาบันการเงินที่ครอบคลุมทั้งหมด ซึ่งรวมถึงสิ่งต่อไปนี้:
- นโยบายความปลอดภัยทางไซเบอร์ของนิติบุคคลที่ได้รับการคุ้มครองจะต้อง (1) ได้รับการอนุมัติอย่างน้อยทุกปีโดย “หน่วยงานที่กำกับดูแลอาวุโส” (กล่าวคือ คณะกรรมการบริหารหรือหน่วยงานกำกับดูแลที่เทียบเท่า หรือหากไม่มีหน่วยงานดังกล่าว หน่วยงานอาวุโสที่รับผิดชอบ) แทนที่จะเป็นเพียงหน่วยงานเดียว สำนักงานอาวุโส และ (2) กล่าวถึงหัวข้อเพิ่มเติมบางอย่างที่ปัจจุบันไม่ได้กำหนดโดยข้อบังคับด้านความปลอดภัยทางไซเบอร์ รวมถึงการจัดการเมื่อหมดอายุการใช้งานและช่องโหว่และการจัดการโปรแกรมแก้ไข
- CISO ของหน่วยงานที่ได้รับความคุ้มครองจะต้องมีความเป็นอิสระและมีอำนาจเพียงพอ เพื่อให้แน่ใจว่าความเสี่ยงทางไซเบอร์ได้รับการจัดการอย่างเหมาะสม
- ภาระหน้าที่ของ CISO ในการรายงานไปยังหน่วยงานกำกับดูแลระดับสูง ( เช่นคณะกรรมการบริหาร) ได้ขยายให้ครอบคลุมแผนสำหรับการแก้ไขความไม่เพียงพอและการรายงานอย่างทันท่วงทีเกี่ยวกับประเด็นด้านความปลอดภัยทางไซเบอร์ที่เป็นสาระสำคัญหรือเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่สำคัญ
- หากนิติบุคคลที่ได้รับความคุ้มครองมีคณะกรรมการบริหาร คณะกรรมการจะต้อง (1) กำหนดให้ผู้บริหารระดับสูงของนิติบุคคลที่ได้รับความคุ้มครองหรือผู้แทนของนิติบุคคลนั้นดำเนินการและบำรุงรักษาโปรแกรมไซเบอร์ของนิติบุคคลที่ได้รับความคุ้มครอง และ (2) มีความเชี่ยวชาญและความรู้เพียงพอ (หรือได้รับคำแนะนำจากบุคคลที่มีความเชี่ยวชาญหรือความรู้ดังกล่าว) เพื่อดำเนินการกำกับดูแลความเสี่ยงทางไซเบอร์อย่างมีประสิทธิภาพและคณะกรรมการหรือคณะอนุกรรมการที่ได้รับมอบหมายให้รับผิดชอบด้านความปลอดภัยทางไซเบอร์
- หน่วยงานที่ได้รับความคุ้มครองต้องได้รับการทดสอบการเจาะระบบประจำปีโดยฝ่ายอิสระที่มีคุณสมบัติ เช่นเดียวกับการประเมินช่องโหว่ตามปกติ และต้องมีการจัดทำเอกสารและรายงานช่องว่างที่มีสาระสำคัญระหว่างการทดสอบกับหน่วยงานกำกับดูแลระดับสูง
- ในส่วนที่เกี่ยวกับการควบคุมการเข้าถึง หน่วยงานที่ได้รับการคุ้มครองต้อง (1) จำกัดการใช้บัญชีที่มีสิทธิพิเศษเฉพาะเมื่อทำหน้าที่ที่ต้องใช้การเข้าถึงดังกล่าวเท่านั้น (2) ตรวจสอบสิทธิ์การเข้าถึงของผู้ใช้ทั้งหมดเป็นระยะ และลบบัญชีและการเข้าถึงที่ไม่จำเป็นอีกต่อไป และ (3) ปิดการใช้งานหรือกำหนดค่าโปรโตคอลทั้งหมดอย่างปลอดภัยซึ่งอนุญาตให้ควบคุมอุปกรณ์จากระยะไกล
- การประเมินความเสี่ยงที่กำหนดโดยมาตรา 500.9 ของการแก้ไขที่เสนอจะต้อง (1) ดำเนินการอย่างน้อยทุกปี (2) ปรับให้เข้ากับสถานการณ์เฉพาะของนิติบุคคลที่ได้รับการคุ้มครอง ซึ่งรวมถึงขนาด พนักงาน การกำกับดูแล ธุรกิจ บริการ ผลิตภัณฑ์ การดำเนินงาน ลูกค้า คู่ค้า ผู้ให้บริการ ผู้ขาย ความสัมพันธ์อื่นๆ และสถานที่ตั้ง ตลอดจนภูมิศาสตร์ และที่ตั้งของการดำเนินงานและความสัมพันธ์ทางธุรกิจ (3) รวมถึงการวิเคราะห์ภัยคุกคามและความเปราะบาง และ (4) พิจารณาการบรรเทาผลกระทบจากการควบคุมความปลอดภัยที่มีอยู่ หน่วยงานที่ได้รับความคุ้มครองจะต้องดำเนินการ “การประเมินผลกระทบเมื่อใดก็ตามที่การเปลี่ยนแปลงในธุรกิจหรือเทคโนโลยีทำให้เกิดการเปลี่ยนแปลงที่สำคัญในความเสี่ยงทางไซเบอร์ของหน่วยงานที่ได้รับการคุ้มครอง”
- เอนทิตีที่ได้รับการคุ้มครองต้องใช้การรับรองความถูกต้องแบบหลายปัจจัยสำหรับ (1) การเข้าถึงระยะไกลไปยังเครือข่ายและแอปพลิเคชันของเอนทิตีที่ครอบคลุมซึ่งสามารถเข้าถึงข้อมูลที่ไม่เปิดเผยต่อสาธารณะได้ และ (2) บัญชีสิทธิ์ทั้งหมด ยกเว้นบัญชีบริการที่ห้ามการเข้าสู่ระบบแบบโต้ตอบ และ CISO ได้อนุมัติการควบคุมการชดเชยที่เทียบเท่าอย่างสมเหตุสมผล
- หน่วยงานที่ครอบคลุมต้องใช้นโยบายและขั้นตอนที่เป็นลายลักษณ์อักษรที่ออกแบบมาเพื่อให้แน่ใจว่ามีรายการทรัพย์สินที่สมบูรณ์และถูกต้อง รวมถึงนโยบายและขั้นตอนที่ (1) ติดตามข้อมูลสำคัญสำหรับทรัพย์สินแต่ละรายการ ( เช่นเจ้าของ สถานที่ การจัดประเภทหรือความอ่อนไหว วันที่หมดอายุการสนับสนุน เวลากู้คืน ความต้องการ); และ (2) ความถี่ที่จำเป็นในการปรับปรุงและตรวจสอบสินค้าคงคลังของสินทรัพย์
- โปรแกรมไซเบอร์ของนิติบุคคลที่อยู่ภายใต้การคุ้มครองต้องมีการฝึกอบรมและการฝึกฟิชชิ่ง ตลอดจนการตรวจสอบและการกรองอีเมลเพื่อบล็อกเนื้อหาที่เป็นอันตราย
- หน่วยงานที่ได้รับความคุ้มครองต้องใช้นโยบายเป็นลายลักษณ์อักษรที่กำหนดให้มีการเข้ารหัสตามมาตรฐานอุตสาหกรรม เพื่อปกป้องข้อมูลที่ไม่เปิดเผยต่อสาธารณะที่ถือหรือส่งโดยหน่วยงานที่ได้รับความคุ้มครองทั้งในการส่งผ่านเครือข่ายภายนอกและเมื่อไม่ได้ใช้งาน
- แผนการตอบสนองต่อเหตุการณ์ของนิติบุคคลที่ครอบคลุม ตามที่กำหนดไว้ในมาตรา 500.16 ของการแก้ไขที่เสนอ ต้องมีมาตรการเชิงรุกเพื่อลดเหตุการณ์ที่ก่อกวน ( เช่นเหตุการณ์แรนซัมแวร์) และรับประกันความยืดหยุ่นในการปฏิบัติงาน
- นิติบุคคลที่ได้รับการคุ้มครองต้องใช้แผนความต่อเนื่องทางธุรกิจและการกู้คืนจากภัยพิบัติ (“BCDR”) ที่ (1) ได้รับการออกแบบมาเพื่อให้แน่ใจว่ามีความพร้อมใช้งานและฟังก์ชันการทำงานของบริการของหน่วยงานที่ได้รับความคุ้มครอง และปกป้องบุคลากร ทรัพย์สิน และข้อมูลที่ไม่เปิดเผยต่อสาธารณะของหน่วยงานที่ได้รับการคุ้มครองในกรณีที่ เหตุฉุกเฉินหรือการหยุดชะงักอื่น ๆ ในการดำเนินธุรกิจตามปกติ และ (2) รวมถึงเนื้อหาที่กำหนดบางอย่าง เช่น การระบุข้อมูล บุคลากร และโครงสร้างพื้นฐานที่จำเป็นต่อการดำเนินงานอย่างต่อเนื่อง แผนการสื่อสารสำหรับบุคคลสำคัญในกรณีที่เกิดการหยุดชะงัก และขั้นตอนการบำรุงรักษาโครงสร้างพื้นฐานสำรอง
- นิติบุคคลที่ได้รับการคุ้มครองต้อง (1) ฝึกอบรมพนักงานที่เกี่ยวข้องเกี่ยวกับการตอบสนองต่อเหตุการณ์และแผน BCDR (2) ทดสอบ ( เช่นผ่านการฝึกซ้อมบนโต๊ะ) การตอบสนองต่อเหตุการณ์และแผน BCDR กับเจ้าหน้าที่ทุกคนที่มีความสำคัญต่อการตอบสนอง และ (3) ทดสอบความสามารถในการกู้คืนระบบจากการสำรองข้อมูล
- เอนทิตีที่ครอบคลุมต้องรักษาข้อมูลสำรองที่แยกออกจากการเชื่อมต่อเครือข่าย
- นอกเหนือจากการแจ้ง NYDFS ภายใน 72 ชั่วโมงหลังจากพบเหตุการณ์ความปลอดภัยทางไซเบอร์ที่ต้องแจ้งให้หน่วยงานกำกับดูแลอื่น ๆ ทราบหรือมีความเป็นไปได้ที่สมเหตุสมผลที่จะทำร้ายส่วนสำคัญของการดำเนินงานขององค์กรที่ได้รับความคุ้มครองอย่างมีสาระสำคัญ หน่วยงานที่ได้รับความคุ้มครองจะต้องจัดให้มีการแจ้งดังกล่าวสำหรับประเภทเพิ่มเติมดังต่อไปนี้ ของเหตุการณ์ความปลอดภัยทางไซเบอร์: (1) ที่ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงบัญชีที่มีสิทธิพิเศษ หรือ (2) แรนซัมแวร์ถูกปรับใช้ภายในส่วนสำคัญของระบบข้อมูลของเอนทิตีที่ครอบคลุม
- ในกรณีของการชำระเงินด้วยการขู่กรรโชกที่เกี่ยวข้องกับเหตุการณ์ความปลอดภัยทางไซเบอร์ หน่วยงานที่ได้รับความคุ้มครองจะต้องแจ้ง NYDFS ภายใน 24 ชั่วโมงของการชำระเงิน และให้คำอธิบายเหตุผลในการชำระเงินที่จำเป็นภายใน 30 วันของการชำระเงิน ทางเลือกสำหรับการชำระเงินที่ได้รับการพิจารณา ความขยันทั้งหมดที่ทำกับทางเลือกในการชำระเงิน และความขยันทั้งหมดที่ทำเพื่อให้แน่ใจว่าสอดคล้องกับกฎที่บังคับใช้ ( เช่นกฎการคว่ำบาตรของ OFAC)
นอกจากนี้ ภายใต้การแก้ไขที่เสนอ การรับรองประจำปีของนิติบุคคลที่ได้รับความคุ้มครองในการปฏิบัติตามระเบียบข้อบังคับด้านความปลอดภัยทางไซเบอร์จะต้องลงนามโดย CEO และ CISO (หรือบุคคลอื่นที่รับผิดชอบโปรแกรมไซเบอร์ของนิติบุคคล) แทนที่จะเป็นเพียงเจ้าหน้าที่อาวุโส . การแก้ไขที่เสนอยังจะอนุญาตให้หน่วยงานที่ครอบคลุมยื่น “การรับทราบ” ว่าหน่วยงานที่ครอบคลุมไม่ปฏิบัติตามอย่างเต็มที่ พร้อมกับคำอธิบายของการไม่ปฏิบัติตามดังกล่าว และการระบุพื้นที่ ระบบ และกระบวนการทั้งหมดที่ ต้องมีการปรับปรุง ปรับปรุง หรือออกแบบวัสดุใหม่
สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์ EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9
หรือ E m a i l : d c s @ k o . i n . t h สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุด คุ้มที่สุด
ส า ม า ร ถ รั บ ช ม วี ดี โ อ ส า ธิ ต วิ ธี ก า ร ใช้ ง า น จ ริ ง ไ ด้ ที่ นี่
หากท่านมีความสนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699
