注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 3498|回复: 0

[网络安全] 纽约网络安全法规23 NYCRR PART 500的要点

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
47826
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   705 小时
   最后登录
   2021-4-6
发表于 2021-3-29 20:52:44 | 显示全部楼层 |阅读模式
2018年9月4日-十八个月的过渡期结束。涵盖实体必须符合23 NYCRR Part 500的第500.06、500.08、500.13、500.14(a)和500.15节的要求。

自2017年3月1日起,纽约州金融服务部(NYDFS)颁布了23 NYCRR Part 500,该法规确立了金融服务公司的网络安全要求。

从今天(2018年9月4日)开始,《纽约州立法院条例》第23篇第500部分第500.06、500.08、500.13、500.14(a)和500.15节将强制执行。

该法规中的三个特定部分与我们的许多读者相关:500.05、500.06和500.08。看到下面复制的内容,并附有我们每个人对黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防可以如何提供帮助的一些简短评论。

500.05节渗透测试和漏洞评估。

每个涵盖实体的网络安全计划应包括根据涵盖实体的风险评估进行的监视和测试,旨在评估涵盖实体的网络安全计划的有效性。监视和测试应包括连续监视或定期的渗透测试和漏洞评估。如果缺少有效的连续监视或其他系统,无法持续检测可能造成或表明存在漏洞的信息系统的变化,则受保护实体应进行以下操作:(a)对每年根据以下条件确定的受保护实体的信息系统进行渗透测试根据风险评估确定的相关风险;(b)两年一次的漏洞评估,

许多人采用了由黑客支持的渗透测试来增强渗透测试的时间表。

根据2018年黑客驱动的安全报告,金融服务和保险继续采用黑客驱动的安全性。在所有新计划的8%中,该行业在采用率方面一直排名前四,并且远远超过其他行业,例如政府,零售与电子商务和运输。


第500.06条审计追踪

(a)每个被涵盖实体均应在适用范围内并基于其风险评估,安全地维护以下系统:(1)旨在重建足以支持被涵盖实体的正常运营和义务的重大财务交易;(2)包括旨在检测和响应网络安全事件的审核跟踪,这些事件很可能会严重损害被涵盖实体正常运营的任何实质性部分。(b)每个涵盖实体应将本部分第500.06(a)(1)条要求的记录保存不少于五年,并且应将本部分第500.06(a)(2)条要求的记录保存不少于3年。年。

为外部研究者社区维护一个可靠的安全Web表单,以与他们联系以发现他们可能发现的漏洞,这是本节的一部分。黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防 Response是高盛,通用汽车和美国国防部使用的行业标准。当与外部网络向您的组织提交漏洞信息的所有与网络安全事件有关的所有通信都放在一个安全的地方时,它将使所有审核工作变得无缝。阅读我们的漏洞披露政策(VDP):《金融服务指南》以了解更多信息。


第500.08节“应用程序安全性”。

(a)每个受保护实体的网络安全计划应包括书面程序,指南和标准,旨在确保对受保护实体使用的内部开发应用程序使用安全开发做法,以及评估,评估或测试外部开发者的安全性的程序受保护实体在受保护实体的技术环境范围内使用的应用程序。


有思想的组织正在利用针对第三方资产的由黑客提供的笔式测试来利用更多功能,甚至要求供应商建立漏洞披露政策和流程(Google向其所有供应商询问此情况)。

Dropbox与范围内的特定第三方供应商应用程序一起举行了实时黑客活动。在进行实时黑客攻击的一小时内,报告了该供应商资产之一的RCE。该供应商立即收到通知,并对黑客社区的效率和专业精神表示感谢。

Auto-ISAC小组在VDP方面也处于领导地位,与黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防合作为其成员举办了漏洞披露政策研讨会。


学到更多

有关23 NYCRR Part 500的更多信息,请查看此Threatstack帖子,其中对它进行了更广泛的评论。请继续关注我们的博客和资源页面,以获取有关金融服务行业采用情况的更多分析和数据,并在由黑客提供支持的安全生态系统中工作,并立即下载《 VDP金融服务组织指南》。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表