在纽约运营的主要金融机构必须遵守更加严厉的网络安全规定。该法规在本周施行。
纽约州金融服务局 (DFS) 发布的法规囊括书面政策的维护、测试、管治和审计、检测、防御和事件响应措施。获得在纽约许可经营的银行、保险或金融服务机构必须遵守这些法规。这些法规在3月1日施行不过有180天的执法宽限期。
安全工具公司Tripwire的主管兼风险战略师Tim Erlin评论称,新的纽约DFS法规面临的挑战跟所有网络安全法规面临的都一样:如何提供在技术方面不可知的规范要求。DFS法规通过将细节跟描述性风险评估绑定的方式解决了改变威胁境况的挑战。
DFS法规有意避免了要求很多具体的控制措施,不过确实包含了年度渗透测试和两年一次漏洞评估的要求。
Erlin指出,应该开展频度更高的风险评估。人们都知道频度不高的漏洞评估是不够的,而且两年一次的漏洞评估对于保护一家企业的安全来说是不够的。