NYDFS 사이버 보안 규정

규정 개요

금융 서비스 기업이 준수해야 하는 뉴욕주 금융 서비스 당국의 사이버 보안 규정 요건:

규제받는 조직의 정보 기술 시스템뿐만 아니라, 고객 정보의 보호를 촉진하도록 설계되었습니다. 이 규정에 따라 각 기업은 구체적인 위험 프로필을 평가하고, 위험에 강력하게 대응하는 프로그램을 설계해야 합니다. 고위 경영진은 이 문제를 심각하게 받아들여 조직의 사이버 보안 프로그램을 책임져야 하며, 규정 준수를 증명하는 인증을 매년 제출해야 합니다. 규제받는 기관의 사이버 보안 프로그램은 기관의 안전과 건전성을 보장하고 고객을 보호해야 합니다.

아직 이런 조치를 취하지 않은 규제 대상 기관 모두 신속하고 긴급하게 사이버 보안 프로그램을 도입하고, 모든 규제 대상 조직이 자사 프로그램에 최소한의 표준을 적용하도록 하는 것은 무엇보다 중요합니다. 사이버 이벤트의 횟수는 꾸준히 증가하고 있으며 금융 서비스 산업이 마주할 것으로 예상되는 잠재적인 위험은 극명합니다. 이 규정에 서술된 프로그램을 도입하는 것은 뉴욕주의 우선순위입니다.1

아래는 23 NYCRR Part 500의 특정 조항에서 발췌한 내용으로, 탈레스는 조직이 이 규정을 준수하도록 지원할 수 있습니다.

500.06항 감사 이력

각 해당 주체는… 해당 주체의 정상적인 기업 운영의 중대한 부분을 심각하게 해칠 가능성이 있는 사이버 보안 이벤트를 감지하고 이에 대응하도록 설계된 감사 이력을 포함해야 합니다.

500.07항 액세스 권한

사이버 보안 프로그램의 일환으로, 해당 주체의 위험 평가에 따라 각 해당 주체는 비공개 정보에 대한 액세스를 제공하는 정보 시스템의 사용자 액세스 권한을 제한하고, 이러한 액세스 권한을 주기적으로 검토해야 합니다.

500.08항 애플리케이션 보안

각 해당 주체의 사이버 보안 프로그램에는 해당 주체가 사용하는 자체 개발 응용 프로그램을 대상으로 보안 개발 관행을 이용하도록 보장하는 문서화된 절차, 지침 및 표준을 포함해야 하며, 해당 주체의 기술 환경의 맥락에서 해당 주체가 사용하는 외부 개발 응용 프로그램의 보안을 평가, 측정 또는 테스트하는 절차를 포함해야 합니다.

500.11항 제3의 서비스 제공업체 보안 정책

각 해당 주체는 제3의 서비스 제공업체가 액세스하거나 보유하고 있는 정보 시스템·비공개 정보의 보안을 보장하고자 고안한 서면 정책·절차를 구현해야 합니다.

500.14항 교육 및 모니터링

사이버 보안 프로그램의 일환으로 각 해당 주체는… 승인된 사용자의 활동을 모니터링하고 승인된 사용자의 비공개 정보에 대한 무단 액세스 또는 사용, 변조를 감지하도록 설계한 위험 기반 정책, 절차, 통제를 구현해야 합니다.

500.15항 비공개 정보의 암호화

사이버 보안 프로그램의 일환으로, 위험 평가에 따라 각 해당 주체는 외부 네트워크를 통한 전송 상태나 유휴 상태에서 해당 주체가 보유하거나 전송한 비공개 정보를 보호하기 위해 암호화를 포함한 제어 조치를 구현해야 합니다.

¹https://www.governor.ny.gov/sites/governor.ny.gov/files/atoms/files/Cybersecurity_Requirements_Financial_Services
_23NYCRR500.pdf

규정 준수 개요

탈레스는 다음과 같이 23 NYCRR Part 500의 대다수 요건을 충족하도록 지원할 수 있습니다.

500.06항 감사 이력

탈레스의 CipherTrust Manager는 SIEM 시스템과 통합된 강력한 감사·보고 기능을 통해, 정상적인 기업 운영의 중대한 부분을 해칠 가능성이 있는 사이버 보안 이벤트를 감지하고 이에 대응합니다.

500.07항 액세스 권한

CipherTrust Manager를 이용하는 조직은 비공개 정보에 대한 액세스를 제공하는 정보 시스템의 사용자 액세스 권한을 제한할 수 있습니다.

500.08항 애플리케이션 보안

CipherTrust 애플리케이션 데이터 보안을 사용하는 조직은 데이터베이스, 빅데이터 노드, PaaS(Platform-as-a-Service) 환경에서 특정 파일이나 열을 암호화할 수 있습니다. 이 제품은 조직의 기술 생태계에서 암호화 및 키 관리 작업을 수행하는 데 사용할 수 있는 문서화된 표준 기반 API 세트를 포함합니다.

500.11항 제3의 서비스 제공업체 보안 정책

탈레스는 퍼블릭 클라우드 서비스 및 기타 제3자 서비스를 사용하는 기업을 위한 전문 사이버 보안 제품과 서비스를 보유하고 있습니다. 여기에는 다중 클라우드 암호키 관리 및 자체 암호화를 클라우드에 적용하는 기능이 포함됩니다.

500.15항 비공개 정보의 암호화

탈레스의 CipherTrust Transparent Encryption은 애플리케이션, 데이터베이스 또는 인프라를 재설계하지 않고도 파일·볼륨 수준의 저장 데이터 암호화, 액세스 제어, 데이터 액세스 감사 로깅을 통해 데이터를 보호합니다. 투명한 파일 암호화 소프트웨어는 간단하고 확장 가능하며 빠르게 배포할 수 있으며, 서버나 가상 컴퓨터의 파일 시스템 위에 에이전트를 설치하여 데이터 보안 및 규정 준수 정책을 시행합니다. 정책 및 암호키 관리는 CipherTrust Manager 및 링크로 제공합니다.

탈레스 고속 암호 생성기(High Speed Encryptor, HSE)는 네트워크에 의존하지 않는 이동 데이터 암호화(2~4개 계층)를 제공하여, 사이트 간 데이터 이동 시 또는 온프레미스에서 클라우드로 데이터를 이동할 때 데이터를 안전하게 보호합니다. 고객은 성능 저하 없이 합리적인 비용으로 탈레스의 HSE 솔루션을 이용할 수 있으며, 이 솔루션으로 데이터, 동영상, 음성 및 메타데이터를 도청이나 감시, 명백하거나 은밀한 가로채기로부터 효과적으로 보호할 수 있습니다.