《纽约州金融服务公司网络安全要求》(23 NYCRR Part 500)于2017年3月1日生效。被涵盖实体“将必须每年准备并向纽约州金融服务部主管呈交网络安全法规合规证明。”2019年3月1日,两年过渡期结束后,被涵盖实体必须达到23 NYCRR 500.11提出的要求。
法规概要
纽约州金融服务部“金融服务公司网络安全要求”法规:
旨在促进对客户信息以及受监管实体的信息技术系统实施保护。该法规要求每家公司对自己的特定风险状况做出评价,并设计一个可强力应对这些风险的计划。公司高级管理层必须严肃对待这个问题,对本单位的网络安全计划负起责任,并每年提交确认落实了这些法规规定的证明。受监管实体的网络安全方案必须确保机构的安全和稳定运行并将客户置于保护之下。
至为关键的是要让所有还没有做到这些的受监管机构必须紧急行动起来,立即执行一项网络安全计划,同时还要让所有受监管实体都使自己的计划达到最低标准。网络事件的数量一直高居不下,对我们金融服务行业构成的潜在风险也非常明显。落实法规规定的网络安全计划是纽约州的当务之急。
第500.06节 审计踪迹
每个被涵盖实体都应该……保留审计踪迹,用于检测并响应有合理可能性会对被覆盖实体正常运行的任何主要部分造成实质性伤害的网络安全事件。
第500.07节 访问权限
作为网络安全计划的一部分,每个被涵盖实体都应该根据自己的风险评价限制会使用户访问非公开信息的信息系统访问权,并应定期重新审查此类访问权限。
第500.08节 应用程序安全
每个被涵盖实体的网络安全计划都应包含正式成文的规程、指南和标准,确保被涵盖实体按安全开发实践规范开发内部自用应用程序,并且按规程评估、评价或测试供被涵盖实体在被涵盖实体技术环境下使用的外部开发的应用程序的安全性。
第500.11节 第三方服务供应商安全策略
每个被涵盖实体都应该执行正式成文的策略和规程,确保信息系统以及会被第三方服务供应商访问或持有的非公开信息的安全。
第500.14节 培训和监督
作为网络安全计划的一部分,每个被涵盖实体都应该……执行基于风险的策略、规程和控制,以监控受权用户的活动并检测此类受权用户对非公开信息的未经授权访问、使用或篡改……。
第500.15节 非公开信息加密
作为网络安全计划的一部分,每个被涵盖实体都应该根据自己的风险评价执行相关控制,其中包括加密,以保护被涵盖实体持有或通过外部网络传输或静止的非公开信息。
FISMA(《联邦信息安全管理法案》)给联邦机构规定了确保联邦政府数据安全的责任。它要求对信息安全计划进行年度审查,以将风险保持在规定的水平以下。
FISMA的要求
根据TechTarget的SearchSecurity网站的说法:
FISMA合规要求计划官员及每个机构的负责人对信息安全计划进行年度审查,以通过一种低本高效、及时和有效的方式把风险始终保持在或低于规定的可接受水平。国家标准和技术研究所(NIST)阐述了做到FISMA合规的9项措施:
1. 对将受保护的信息进行分类。
2. 挑选最低基线控制。
3. 依照风险评价规程优化控制。
4. 把控制写进系统安全计划。
5. 在相应信息系统执行安全控制。
6. 安全控制执行后评价其有效性。
7. 从机构层面确定会对任务或业务造成影响的风险。
8. 授权信息系统处理数据。
9. 持续监控安全控制。
联邦信息处理标准(FIPS)出版物200是NIST为响应FISMA而制定的一项强制性联邦标准。机构若要达到这项联邦标准,首先要根据FIPS出版物199确定其信息系统的安全类别。
FIPS 199和FIPS 200概要
根据NIST特别出版物800-53第4修订版的说法:
FIPS出版物200《联邦信息和信息系统最低安全要求》是NIST为响应FISMA而制定一项强制性联邦标准。为了达到这项联邦标准,机构首先要根据FIPS出版物199《联邦信息和信息系统安全分类标准》确定其信息系统的安全类别,再根据FIPS 200从安全类别推导信息系统的影响级,然后从NIST特别出版物800-53《联邦信息系统和机构安全和隐私控制》选用一套经过适当裁剪整理的基线安全控制。
机构可以依照特别出版物800-53提供的指南灵活应用基线安全控制。这让机构可以根据自己的具体情况裁剪相关安全控制基线,使其更符合机构的任务和业务要求以及运行环境。
FIPS 200和NIST特别出版物800-53二者的结合,可确保机构把相关安全要求和安全控制应用于所有联邦信息和信息系统。机构的风险评价将验证最初的安全控制选择并确定是否需要添加其他控制来保护机构运行(包括任务、职能、形象或声誉)、机构资产、人员、其他机构或国家。由此产生的一套安全控制可使机构达到一定安全尽职水平。
联邦信息处理标准(FIPS)出版物140-2——简称为FIPS 140-2——是用于验证密码模块的一项美国政府计算机安全标准。FIPS 140-2由NIST创建,根据FISMA,对于美国和加拿大政府的采购是强制性的。世界各国的许多机构也被要求满足这一标准。
FIPS 140-2概要
根据FIPS出版物140-2:
[它]提出一个标准,可供规定必须采用基于密码的安全系统来保护敏感或珍贵信息的联邦机构使用。安全系统内密码模块提供的安全保护,是保持受模块保护信息的保密性和完整性之不可或缺。标准规定了密码模块必须满足的安全要求。
……安全要求涉及与密码模块的安全设计和执行相关的各个领域。这些领域包括密码模块规格,密码模块端口和接口,角色、服务和鉴别,有限状态模型,物理安全,运行环境,密码密钥管理,电磁干扰/电磁兼容性(EMI/EMC),自测试,设计保障,以及抑制其他攻击的手段。
认证机构
美国的NIST(国家标准和技术研究所)和加拿大的CSE(通信安全组织)以认证机构的身份共同执行密码模块验证体系(CMVP),负责验证密码模块是否达到FIPS 140-2标准。
国家信贷联盟管理局(NCUA)根据联邦金融机构审查委员会(FFIEC)规定的原则和标准对信贷联盟进行审计。FFIEC标准要求采用多种安全控制,其中包括数据访问控制、加密和密钥管理以及安全监控。
规定
访问权限管理
根据FFIEC:
金融机构应该建立一个有效的流程来管理访问权限。这个流程应该包括:
l 只给用户和设备分配执行其被要求的功能所需要的访问权限;
l 根据人员或系统的变化更新访问权限;
l 根据应用程序或系统面临的风险以适当的频率定期审查用户的访问权限……
加密和密钥管理
FFIEC还指出:
l 加密
金融机构应该采用足以保护信息免遭泄露的加密强度,直到信息的泄露不会造成实质性威胁……有关加密哪些数据以及在哪些点加密数据的决定通常要根据数据泄露的风险做出……加密也可用于保护存储中的数据。具体可以加密文件、目录、卷或硬盘。
l 加密密钥管理
由于安全性主要靠加密密钥,因此有效的密钥管理至关重要。有效的密钥管理系统基于一套商定的标准、规程和安全方法,它们来自ISO 17799, 10.3.5.2。
安全监控
此外,FFIEC还提供了安全监控指南。
金融机构应该通过以下方式确保自己的风险抑制策略及其落实可以充分发挥作用:
l 监控网络和主机活动以识别策略违规和异常行为;
l 监控主机和网络状况,以识别未经授权的配置和其他会增加入侵或其他安全事件风险的情况;
l 分析监控结果,准确、快速识别、分类、升级、报告和指导对安全事件的响应;
l 响应入侵和其他安全事件及弱点,以适当降低机构及其客户面对的风险并恢复机构系统的正常运行。
《萨班斯-奥克斯利(SOX)法案》第302和304节确定了与数据保护相关的标准,适用于美国上市公司和会计师事务所。
规定
《萨班斯-奥克斯利法案》第404节
《萨班斯-奥克斯利法案》第404节提出了两项主要合规要求:
l 管理层负责建立和维护内部控制和规程,以在内部控制报告中从财务角度对每个财政年度的安全态势做出准确报告和评价。
l 准备或发布年度审计的公共会计师事务所必须证明并报告管理层做出的年度评价。
《萨班斯-奥克斯利法案》第302节
《萨班斯-奥克斯利法案》第302节将合规要求扩展到:
l 列出内部控制和信息的所有缺陷,并报告涉及内部员工的任何欺诈行为。
l 详细说明内部控制的重大变化,或可能对内部控制产生负面影响的因素。
影响
SOX合规要求对上市公司保护数据的影响是:
l 任何财务信息都需要得到保护并确保其完整性。
l 需要识别保护数据的具体安全控制,必须进行审计,并且每年都要对安全态势进行重新评价——其中包括由于条件改变而导致的任何变化或缺陷。
全美保险监督官协会(NAIC)《数据安全示范法案》(示范法)于2017年第4季度通过,要求保险公司和其他获得州保险部门许可的实体制定、实施和保持信息安全计划,调查任何网络安全事件,并将此类事件通知州保险监督官。
各州目前正在努力引入和通过这项立法,我们的理解是,如果各州在5年内没有通过这项立法,美国财政部将强制执行示范法。
法规概要
根据该法案第2节:
本法案的目的和意图是建立数据安全标准,以及适用于第3节定义之被许可人的调查网络安全事件并将事件通知保险监督官的标准。
第3节对“被许可人”的定义如下:
“被许可人”是指根据本州保险法获得许可和授权可以经营或注册,或者被要求获得许可和授权或注册的任何人……
第3节还指出:
“网络安全事件”是指导致未经授权访问、中断或滥用信息系统或存储在此类信息系统上的信息的事件。
“网络安全事件”一词不包括加密、进程或密钥并没有被同时未经授权获得、发布或使用情况下的对被加密非公开信息的未经授权获取。
第4节 信息安全计划
D. 风险管理
被许可人应该根据自己的风险评价:
(2) 确定以下哪些安全措施适用并将适用安全措施落实。
(a) 对信息系统实施访问控制,其中包括验证访问者身份和只允许得到授权的人员访问以防未经授权者获取非公开信息的控制;
(d) 通过加密或其他适当手段保护通过外部网络传输的所有非公开信息以及存储在手提电脑或其他便携式计算或存储设备或介质上的所有非公开信息;
(e) 采用安全开发实践规范内部开发应用程序供被许可人使用……;
(g) 使用有效的控制,其中包括针对访问非公开信息的任何个人的多因子身份验证规程;
(i) 在信息安全计划中收入旨在检测和响应网络安全事件的审计踪迹……;
(k) 建立、执行和保持安全销毁任何格式非公开信息的规程。
第5节 网络安全事件调查
如果被许可人获悉网络安全事件已经或可能已经发生,被许可人或被指定代表被许可人行事的外部供应商和/或服务供应商应立即开展调查。
FedRAMP即《联邦风险和授权管理计划》,是一项在政府范围内实施的计划,为云产品和服务的安全评价、授权和持续监控提供了标准化方法。
FedRAMP的目标
根据FedRamp.Gov的说法,该计划的目标是:
l 通过反复进行评价和授权,加快安全云解决方案的采用。
l 增强对云解决方案安全性的信心。
l 根据一组得到共同认可的基线标准实现一致的安全授权,用于审批FedRAMP内外的云产品。
l 确保一致采用现行安全实践规范。
l 增强对安全评价的信心。
l 提高持续监控的自动化和近实时数据水平。
关键流程
根据FedRamp.Gov的说法,FedRAMP以一种三步骤流程对云系统进行授权:
l 安全评价:安全评价过程采用了FISMA提出的一套标准化要求,并以NIST 800-53的一组基线控制为基准给予安全授权。
l 对照和授权:联邦机构可以查看FedRAMP存储库里的安全授权包,对照安全授权包的内容在本机构内给予安全授权。
l 持续评价和授权:给予授权后,机构还必须持续开展评价和授权活动,以保持安全授权的有效性。
GLBA是《格雷姆-里奇-比利雷法案》,也叫《金融服务现代化法案》,适用于美国金融机构,管治着非公开个人信息(包括财务记录和其他个人信息)的安全处理。
要求
《格雷姆-里奇-比利雷法案》第501(b)节要求金融机构通过“管理、技术和物理防护措施”保护非公开客户信息的安全性、保密性和完整性。《格雷姆-里奇-比利雷法案》还要求每个金融机构执行一项正式成文的全面信息安全计划,其中包括适合机构规模、复杂性和活动范围的管理、技术和物理防护措施。这些防护措施包括:
l 确保客户记录和信息的安全性和保密性;
l 抵御对此类记录安全性或完整性构成的任何预期威胁或危害;
l 阻止对此类记录或信息的可能会对任何客户造成严重伤害或不便的未经授权访问或使用。
影响
对于受该标准影响的机构,《格雷姆-里奇-比利雷法案》的这些隐私保护法规与《联邦存款保险法案》(第36节)提出的参考要求结合到一起,会导致需要:
l 保护和监控客户记录和信息;
l 创建和保持有效的风险评价;
l 识别、执行和审计保护这些数据的具体内部安全控制。
《美国健康保险流通与责任法案》(HIPAA)
HIPAA安全规则要求被涵盖实体通过技术防护措施保护所有电子保护的医疗保健信息(ePHI),其中特别提到对ePHI信息的加密、访问控制、加密密钥管理、风险管理、审计和监控。HIPAA安全规则列举了可供被涵盖实体使用的加密方法,同时还提出了执行HIPAA加密策略时需要考虑的因素。
《经济和临床健康信息技术法案》(HITECH)
作为2009年《美国复苏和再投资法案》(ARRA)的一部分颁布的HITECH法案扩展了HIPAA的加密合规要求,要求披露“未受保护”(未经加密)个人健康记录的数据泄露情况,其中包括商业伙伴、供应商和相关实体的数据泄露。
2013年HIPAA综合规则
2013年“HIPAA综合规则”正式规定商业伙伴也有责任遵守HIPAA安全规则。
“受控药物电子处方(EPCS)条例”修订了食品及药物管理局(DEA)的规定,为从业者提供了以电子方式编写受控药物处方以及接收、分配和存档电子处方的选项。电子处方应用程序必须具有对从业者进行身份验证的安全进程。
食品及药物管理局的EPCS条例
“受控药品电子处方条例”修订了食品及药物管理局的规定,为从业者提供了以电子方式编写受控药物处方的选项。该条例还将允许药店接收、分发和存档电子处方。
食品及药物管理局对受控药品电子处方的要求包括:
(16) 数字签名功能必须达到以下要求:
(i) 用于给本章第1306部分要求的数据元素加数字签名的密码模块必须至少通过FIPS 140-2安全1级认证。
……
(i) 电子处方应用程序的私钥必须经FIPS批准的加密算法加密后保存在通过了FIPS 140-2安全1级或更高级别认证的密码模块里。
此外,食品及药物管理局的同一条例第1311.205节“药房应用程序要求”还规定:
(b) 药房的应用程序必须达到以下要求:
(4) 就收到处方时给处方记录加数字签名的药房应用程序而言,数字签名功能必须达到以下要求:
(i) 用于给本章第1306部分要求的数据元素加数字签名的密码模块必须至少通过FIPS 140-2安全1级认证。
……
(iii) 药房应用程序的私钥必须经FIPS批准的加密算法加密后保存在通过了FIPS 140-2安全1级或更高级别认证的密码模块里。
根据NIST特别出版物800-53第4修订版:
[它]为联邦信息系统和机构提供了一个安全和隐私控制目录,同时还提供了一个挑选控制的流程;这些控制旨在保护机构运行……机构资产、人员、其他机构和国家免受各种威胁侵扰。
这些控制可以定制,将被纳入机构信息安全和隐私风险管理总流程。它们产生于立法、行政令、政策、指令、法规、标准和/或任务/业务需要,涉及了针对联邦政府和关键基础设施提出的涵盖面极广的一整套安全和隐私要求。
[NIST 800-53第4修订版]还描述了如何根据任务/业务功能、技术或运行环境的具体类型,量体裁衣地开发专业化控制或叠加控制集。
最后,安全控制目录从性能角度(所提供的安全功能和机制的强度)和保障角度(所执行的安全能力的可信度)强调安全。同时强调安全功能和安全保障这两点可以保证,信息技术产品以及依照完备系统和安全工程原则用这些产品建成的系统可以让人充分信任。
