Last updated at Fri, 01 Dec 2023 19:51:54 GMT
领导金融机构:联邦贸易委员会(FTC) 宣布 这是自2003年以来首次对《pg电子游戏试玩》(GLBA)保障规则进行网络安全更新. 的 新规则 加强对客户信息的必要安全保护. This 包括 formal risk assessments, 访问控制, regular penetration testing 和 vulnerability scanning, 和 incident response capabilities, 除此之外.
Several of these changes go into effect in 2022年11月, to provide organizations time to prepare for compliance. Below, we’ll detail the changes in comparison to the 以前的规则.
Background on the Safeguards Rule
GLBA需要, 除此之外, 广泛的“金融机构”保护客户信息. GLBA的执行由几个不同的联邦机构负责, 联邦贸易委员会的管辖权涵盖保障规则中的非银行金融机构. 以前, 《pg电子》将信息安全计划的几个方面的实施细节留给了金融机构, based on its risk assessment.
的 Safeguards Rule broad 定义 of “financial institutions” 包括 提供金融产品或服务的非银行企业,如零售商, 汽车经销商, 抵押贷款经纪人, 非银行放贷机构, property appraisers, 编制税, 和其他人. 的 定义 of “customer information” is also broad, 包括由金融机构或代表金融机构处理或维护的包含有关客户的非公开个人身份信息的任何记录.
Updates to the Safeguards Rule
许多其他更新涉及加强对金融机构必须如何实施其安全计划方面的要求. Below is a short summary of the changes. 在适用的情况下,我们引用了更新后的规则(从第123页开始)和 以前的规则 (at 《pg电子游戏试玩》第16卷第314条) for easy comparison.
Overall security program
- 当前的规则: Financial institutions must maintain a comprehensive, written information security program with administrative, 技术, 和 physical safeguards to ensure the security, 保密, 和 完整性 of customer information. 《pg电子游戏试玩》第16卷第314条.3(a)-(b).
- 更新规则: 更新后的规则现在要求信息安全计划包括以下列出的流程和保障措施.e., risk assessment, security safeguards, etc.). 《pg电子游戏试玩》第16卷第314条.3(a).
- 约. 有效日期: 2022年11月
风险评估
- 当前的规则: 金融机构必须识别内部和外部的安全风险, 保密, 和 完整性 of customer information. 的 risk assessment must include employee training, risks to information systems, 和 detecting 和 responding to security incidents 和 events. 《pg电子游戏试玩》第16卷第314条.4(b).
- 更新规则: 这次更新包括了风险评估必须包括的更具体的标准. 这包括对安全风险和威胁进行评估和分类的标准, 和 criteria for assessing the adequacy of security safeguards. 风险评估必须描述如何减轻或接受已识别的风险. 的 risk assessment must be in writing. 《pg电子游戏试玩》第16卷第314条.4(b).
- 约. 有效日期: 2022年11月
Security safeguards
- 当前的规则: 金融机构必须实施防范措施,对通过风险评估发现的风险进行控制. 《pg电子游戏试玩》第16卷第314条.4(c). 金融机构必须要求服务提供商维护保护客户信息的保障措施. 《pg电子游戏试玩》第16卷第314条.4(d).
- 更新规则: 的 updated rule requires that the safeguards must include
- Access controls, including providing the least privilege;
- Inventory 和 classification of data, devices, 和 systems;
-对内部网络中静止和传输的客户信息进行加密;
-内部软件和应用程序的安全开发实践;
- Multi-factor authentication;
- Secure data disposal;
- Change management procedures; 和
-监控未经授权用户的活动,检测未经授权的访问或使用客户信息. 《pg电子游戏试玩》第16卷第314条.4(c)(1)-(8). - 约. 有效日期: 2022年11月
Testing 和 evaluation
- 当前的规则: 金融机构必须定期测试或监测安全保障措施的有效性, 和 make adjustments based on the testing. 《pg电子游戏试玩》第16卷第314条.4(c), (e).
- 更新规则: 保障措施的定期测试现在必须包括连续监测或定期渗透测试(每年一次)和脆弱性评估(每半年一次)。. 《pg电子游戏试玩》第16卷第314条.4(d).
- 约. 有效日期: 2022年11月
事件响应
- 当前的规则: 金融机构必须将网络安全事件检测和响应纳入其风险评估, 和 have safeguards to address those risks. 《pg电子游戏试玩》第16卷第314条.4(b)(3)-(c).
- 更新规则: 金融机构必须制定书面计划,以应对任何重大影响保密的安全事件, 完整性, or availability of customer information. 《pg电子游戏试玩》第16卷第314条.4(h).
- 约. 有效日期: 2022年11月
Workforce 和 personnel
- 当前的规则: 金融机构必须指定一名员工来协调信息安全计划. 《pg电子游戏试玩》第16卷第314条.4(a). 金融机构必须选择能够维护安全的服务提供商,并要求服务提供商实施安全措施. 《pg电子游戏试玩》第16卷第314条.4(d).
- 更新规则: 该规定现在要求指定一名“合格个人”负责安全计划. This can be a third-party contractor. 《pg电子游戏试玩》第16卷第314条.4(a). 金融机构现在必须向员工提供安全意识培训和更新. 《pg电子游戏试玩》第16卷第314条.4(e). 该规则现在还要求定期向董事会或管理机构报告与信息安全计划有关的所有重大事项. 《pg电子游戏试玩》第16卷第314条.4(i).
- 约. 有效日期: 2022年11月
保险范围
- 更新规则: 联邦贸易委员会的更新扩大了“金融机构”的定义,要求“发现者”——撮合买卖双方的公司——遵守保障规则. 《pg电子游戏试玩》第16卷第314条.2(h)(1). 然而, 金融机构维护的客户信息不超过5个,000名消费者免于书面风险评估的要求, 持续监控或定期渗透测试和/或漏洞扫描, incident response plan, 和 annual reporting to the Board. 《pg电子游戏试玩》第16卷第314条.6.
- 约. 有效日期: 2021年11月(与许多其他更新不同,该项目不会延迟一年)
Incident reporting next?
In addition to the above, the FTC is also 考虑 要求金融机构向联邦贸易委员会报告网络安全事件. Similar requirements are in place under the Cybersecurity Regulation at the New York Department of 金融服务. 如果联邦贸易委员会推进这些事件报告要求, 金融机构可以预期,这些要求将在2022年晚些时候或2023年初实施.
拥有强大安全程序的金融机构将已经在执行其中的许多实践. 为他们, 修订后的《pg电子游戏试玩》并不代表内部安全行动发生重大变化. 然而, by making these security practices a formal regulatory requirement, 更新后的保障措施将使问责制和遵守更加重要.
