企業(yè)將遵守新的網(wǎng)絡安全立法

責任編輯:editor005

作者:Harris編譯

2017-06-23 14:16:08

摘自:機房360

新規(guī)則適用于在紐約州內經(jīng)營的“銀行法”,“保險法”或“金融服務法”(有限豁免),包括非美國實體在內的任何金融服務公司。”

如今,數(shù)據(jù)中心的失敗比十年前具有更廣泛的影響。在減輕網(wǎng)絡攻擊風險的責任方面,企業(yè)必須了解這些風險以及它們的全部影響。

雖然IT網(wǎng)絡安全具有監(jiān)測與評估系統(tǒng)人,但仍然可能遭遇攻擊。盡管一些企業(yè)具有ICS(工業(yè)控制系統(tǒng))的經(jīng)驗,但仍然缺乏對監(jiān)測與評估數(shù)據(jù)中心漏洞的認識。其部分歸因于數(shù)據(jù)中心監(jiān)測與評估系統(tǒng)的不足,這些問題存在是因為它涉及到監(jiān)測和評估固件,因此IT技術和工程技術之間完全相反。

行業(yè)專家建議每個企業(yè)和政府數(shù)據(jù)中心都必須進行網(wǎng)絡安全監(jiān)督評估審計。并介紹了影響物理安全和環(huán)境控制的新的網(wǎng)絡安全法規(guī)。

金融服務立法將影響行業(yè)廠商

紐約州金融服務局(NYDFS)通過的網(wǎng)絡安全立法23NYCRR500于2017年3月1日生效。

新規(guī)則適用于在紐約州內經(jīng)營的“銀行法”,“保險法”或“金融服務法”(有限豁免),包括非美國實體在內的任何金融服務公司。

這些公司將在2017年8月28日之間有實施網(wǎng)絡安全計劃和政策。特別是第500.03條,(j)項是物理安全和環(huán)境控制。環(huán)境控制系統(tǒng)使用固件有三個原因:

1.系統(tǒng)屬于監(jiān)控與評估領域,而不是IT網(wǎng)絡安全。因為影響這些系統(tǒng)保護的這種治理與網(wǎng)絡安全的其他方面沒有得到同等程度的關注。

2.訪問固件進行修補或其他修改由第三方供應商進行。

3.控制和監(jiān)視系統(tǒng)協(xié)議,例如MODBUS,BACnet和SNMPv3由于其防護較弱或通常不存在的加密和認證而容易受到惡意攻擊,因為它們將網(wǎng)絡安全本身作為一個問題。

防御性基礎設施

該法規(guī)規(guī)定,網(wǎng)絡安全政策(涉及物質安全和環(huán)境控制的條款)是基于風險評估。不正當之處在于,盡管這些公司自生效之日起一年內進行風險評估,但其所依據(jù)的網(wǎng)絡安全政策即將到期。

至少,承辦金融服務的數(shù)據(jù)中心必須緊急采取行動,對影響其監(jiān)測和監(jiān)測系統(tǒng)的漏洞進行審計。

2017年各國政府部門制定的新立法

英國政府于2016年12月發(fā)布了“網(wǎng)絡安全法規(guī)和激勵措施審查報告”,該報告指出,它正在考慮對關鍵部門另行監(jiān)管。在網(wǎng)絡和信息安全(NIS)下,關鍵數(shù)字服務(如云服務提供商)的指令運營商可能需要額外的風險管理和報告要求。

另外,新加坡政府將在今年推出新的網(wǎng)絡安全法案,要求“關鍵信息基礎設施(CII)業(yè)主和運營商負責保護其系統(tǒng)和網(wǎng)絡。這包括遵守政策和標準,進行審計和風險評估,以及報告網(wǎng)絡安全事件。”(新加坡網(wǎng)絡安全戰(zhàn)略2016,新加坡網(wǎng)絡安全局)

確定監(jiān)測和評估系統(tǒng)中的漏洞是組織需要采取的第一步,以遵守新立法的初步階段。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號