Компании могут столкнуться с тем, что для обеспечения соответствия новым правилам потребуется провести доработку существующих систем.
Недавние изменения, внесённые Департаментом финансовых услуг Нью-Йорка (New York Department of Financial Services) в часть 500 «Требования по кибербезопасности для компаний, оказывающих финансовые услуги» (Cybersecurity Requirements for Financial Services Companies) раздела 23 «Финансовые услуги» Свода кодексов, правила и положений Нью-Йорка (New York Codes, Rules and Regulations, NYCRR, см. https://govt.westlaw.com/nycrr/ ), которая пять лет назад коренным образом изменила требования к кибербезопасности для тысяч страховых компаний, финансовых и медицинских организаций, - грозят новыми потрясениями, связанными с добавлением новых требований. Джозеф Шепли из фирмы «Alvarez & Marsal» даёт свои рекомендации директорам по информационной безопасности в подпадающих под эти требования организациях.
«Требования по кибербезопасности для компаний, оказывающих финансовые услуги» Департамента финансовых услуг Нью-Йорка (23 NYCRR Part 500, см. https://www.dfs.ny.gov/system/files/documents/2023/12/rf23_nycrr_part_500_amend02_20231101.pdf ) с 2017 года являются частью ландшафта обязательных требований для страховых компаний, финансовых и медицинских организаций. Эти требования изменили отношение к кибербезопасности подпадающих под них организаций, от чего выиграли потребители, сотрудники и другие субъекты данных, чьи персональные данные обрабатываются организациями.
Хотя все недавние поправки в «часть 500» были предметом активного обсуждения, изменения в подразделе 500.13 «Ограничения на сроки хранения данных» (Limitations on data retention, см. https://govt.westlaw.com/nycrr/Document/I60c6444d0d5f11e79781d30ba488e782 ), вероятно, окажутся наиболее существенными, регламентируя, каким образом подпадающие под эти требования организации должны управлять (и проводить уничтожение) своей «непубличной информации» (non-public information, NPI), чтобы соответствовать нормативным требованиям.
Мой комментарий: Понятие «непубличная информация» охватывает как чувствительные данные о деловой деятельности, так и определённые персональные данные физических лиц.
Что нового в подразделе 500.13 «Ограничения на сроки хранения данных»?
До 1 ноября 2023 года положения подраздела 500.13 требовали периодического проведения защищённого уничтожения непубличной информации, когда она переставала быть нужной для деловых операций. Недавно внесённая поправка добавляет новое направление регулирования, обязывающее подпадающие под требования организации документировать и вести реестр активов для информационных систем, в которых хранятся их непубличная информация. Сюда входит отслеживание ключевой информации о каждом активе, включая сведения о владельце, местоположении, классификации, даты истечения срока поддержки и целевое время восстановления.
Таким образом, теперь, в дополнение к уничтожению непубличной информации после исполнения обязанности по её сохранению в течение установленных сроков, подпадающие под требования организации должны документировать системы, в которых хранится их непубличная информация. Для исполнения этого требования организации теперь должны знать, какие данные у них есть и где они хранятся.
Проблемы соответствия требованиям подраздела 500.13
Очевидны три существенные проблемы соблюдения этих требований:
- Знание того, какие системы хранят и управляют непубличной информацией,
- Установление законодательно-нормативных требований в отношении сроков хранения непубличной информации,
- Систематическое, последовательное и защитимое уничтожение непубличной информации, охватывающее все активы, где такая информация хранится и управляется.
Знание того, какие системы хранят и управляют непубличной информацией
До 2016 года наиболее распространенным способом узнать, какие системы имеются у подпадающей под требования организации, было использование базы данных управления конфигурациями (configuration management database, CMDB), своего рода реестра ИТ-систем, документировавшего их ключевые свойства, такие как назначение, операционная система, оборудование, сетевое расположение и владелец приложения. Обычно владеет базой данных CMDB и обслуживает её ИТ-служба, обеспечивая надлежащее управление и поддержку этих активов.
После 2016 года, с введением в Евросоюзе «Общих правил защиты персональных данных» (General Data Protection Regulation, GDPR, https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504 – европейский закон о защите персональных данных – Н.Х.), от организаций потребовались разработка и ведение документации об обработки данных (records of processing activity, ROPA), которая документировала действия по обработке и системы, которые обрабатывали персональные данные субъектов данных. В отличие от баз данных CMDB, которые были ориентированы на поддержку деятельности ИТ, ROPA-документация ориентирована на исполнение законодательно-нормативных требований по защите персональных данных и содержат более полную информацию об активах и поддерживаемых ими деловых процессах.
Несмотря на использование баз данных CMDB и ROPA-документации, большинство организаций в лучшем случае имеют частичное представление о системах, которые управляют их непубличной информацией. В первую очередь такая ситуация связана с тем, что, хотя базы данных CMDB были важной частью хорошей практики оперативного использования ИТ - особенно при получении отраслевых сертификатов, таких как NIST-CSF, ISO 27001, HITRUST или SOC, - они не связаны напрямую с законодательно-нормативными требованиями. И наоборот, ориентация ROPA-документации на защиту персональных данных означала, что в неё были включены только системы, которые обрабатывали персональные данные. Это привело к тому, что в этой документации не были отражены большие объемы непубличной информации, не содержащие персональных данных, которые теперь, однако, подпадают под действие положений подраздела 500.13.
Директора по информационной безопасности (CISO), стремящиеся использовать существующие механизмы, такие как CMDB или ROPA, должны будут чем-то дополнить эти инструменты, чтобы обеспечить соответствие новым стандартам, установленным измененным подразделом 500.13.
(Окончание следует, см. http://rusrim.blogspot.com/2024/04/2_01145651150.html )
Джозеф Шепли (Joseph Shepley)
Источник: Издание CCI (Corporate Compliance Insights)
https://www.corporatecomplianceinsights.com/ciso-data-retention-disposal-nycrr/
Комментариев нет:
Отправить комментарий