|
【案例】 美国FINRA《2018年网络安全实践做法精选报告》全文翻译 译评者按: 华盛顿时间2018年12月20日,美国金融业监管局FINRA发布了《2018年网络安全实践做法精选报告》,精选了行业内证券公司五个方面的有效网络安全实践做法。这五个方面分别是:(1)分支机构的网络安全管理;(2)限制网络钓鱼攻击的方法;(3)识别和减轻内部(安全)威胁;(4)强渗透测试方案的具体内容;(5)建立和维护在移动设备上的(安全)控制。此外,除了证券业,其对银行业、保险业、互联网金融等领域的金融从业机构的网络安全实践亦有某种程度上的指引意义。 相比《FINRA 2015年网络安全报告》,该报告更为深度和细化。例如,在“分支机构网络安全管理”这一部分,罗列了有关书面监管程序、资产清单、技术控制和分支机构审查方案的三十多个具体有效的实践做法。在“网络钓鱼”这一部分,重点介绍了如何侦测此类攻击,包括来自看似可靠群体的网络钓鱼,如首席执行官或其他高管、公司服务台、客户或朋友。 其中《附录:小型公司的核心网络安全控制措施》,将对证券经纪交易商(包括小型证券公司)进一步改进其网络安全方案将起到帮助和指引作用。证券公司应该依据公司具体情况(如规模大小)确定合适的网络安全实践做法。“网络安全管理没有一刀切的方法,因此FINRA优先为企业提供(指引)报告和其他(参考)工具以帮助他们确定适合于其自身业务的一套正确的网络安全实践做法,”FINRA华盛顿办事处监管部高级官员Steven Polansky说。他建议小型证券公司查阅《附录:小型公司的核心网络安全控制措施》,以及FINRA之前发布的《小型公司网络安全清单》(Small Firm Cybersecurity Checklist)。 FINRA《2018年网络安全实践做法精选报告》共包括《报告》引介部分和“分支机构控制、网络钓鱼、内部威胁、渗透测试、移动设备”五个方面的网络安全实践做法以及附录部分。《报告》引介部分以及前两方面“分支机构控制、网络钓鱼”,译评者曾在数字科技研究院工作期间已经翻译完毕,为了报告呈现的完整性,现在又在工作繁忙之余,将后三方面“内部威胁、渗透测试、移动设备”以及《附录:小型公司的核心网络安全控制》进行补足翻译,以期对行业网络安全实践起到帮助作用。 以下为翻译内容: 三、内部威胁 内部威胁也是一个重要的网络安全风险,因为内部人员可以规避许多公司控制,并可能导致客户信息和公司数据的重大数据泄露。无论是由于恶意行为(例如计划在暗网上销售客户帐户数据)或无意中的错误(例如注册代表丢失了他/她的笔记本电脑或其他存储媒体与未加密的客户PII),内部人员在对组织造成重大损害方面的有独特的风险。为响应2017年和2018年FINRA的风险控制评估(RCA),绝大多数(95-99%)的高收入公司和66%的中级收入公司表示他们在其网络安全计划中强调了“内部威胁”这一部分。其中,内部人员包括因其工作职能或职位有权或早先获得授权访问公司系统和数据的个人,包括全职和兼职员工、合同或临时员工、顾问和实习生等个人,也可能包括第三方供应商和分包商的员工或承包商。 FINRA观察到,有效的内部威胁控制计划通常将以下内容整合到一个基于风险的总体内部威胁控制计划中: 01、行政领导和管理支持; 02、对拥有特权访问权限的个人设置的身份和访问管理政策和技术控制,包括加强控制; 03、技术控制,包括适用于公司的规模和技术复杂程度的安全信息和事件管理(SIEM)和数据丢失防护(DLP)工具; 04、针对所有内部人员的培训; 05、用于识别公司网络中潜在的异常用户行为的措施。 全面的资产清单也是有效的内部威胁控制计划(以及公司更广泛的网络安全计划)的关键要素,我们在本报告的分支部分以及FINRA的网络安全实践报告(FINRA’s Report on Cybersecurity Practices)中更详细地讨论这一点。 行政领导和管理支持 FINRA观察到,行业内证券公司高级管理人员和管理层有以下有效(网络安全实践)做法: 01、通过个人对要求的遵守,证明其对公司网络安全政策的承诺; 02、指定负责公司内部威胁控制的高级管理人员或经理; 03、对违反政策的所有员工施加影响,无论他们在组织中的职位或地位如何; 04、当访问或权限被更改或员工辞职、调职到其他部门或被终止雇佣时,及时通知; 05、识别潜在恶意内部人员,并创建一个中级管理人员可以解决此类问题的流程,包括将问题升级到高级领导层、调整或取消员工权限、终止对员工雇佣(请参阅以下本报告“识别潜在恶意内部人员”部分)。 身份访问管理和用户权利 有效的身份访问管理(IAM)和用户权利流程可以作为第一道防线,以确保为所有内部用户(包括承包商、顾问、实习生和供应商)分配对系统、应用程序、文件和数据库的适当访问权限。“适当访问权限”要求系统授权与特定的工作职能相匹配,并且仅在“有必要知道(need-to-know)”的基础上进行分配访问权限。IAM需要涵盖访问权限的整个生命周期:用户入职(例如,对特定职能和客户账户的访问权限),调岗和晋升到新部门/职能以及及时为离职员工办理离职程序。IAM还应支持前台和后台用户之间适当的职能隔离(例如,分配到交易柜台的个人不应有访问“电汇或转移资产”的权限,而被指派执行对账的个人不应有更新交易系统的权限) FINRA观察到,行业内证券公司有以下有效网络安全实践做法: 01、建立和维护WSPs,用以管理系统用户访问的全生命周期(包括员工入职及部门和职位调岗、晋升,以及及时终止和员工、承包商和供应商的合同关系),公司通常根据规定的程序批准访问,并使用可审计的工单系统来记录这些批准决定; 02、对用户权利进行定期审查和认证(例如对所有员工的年度审查,对可获得特别敏感信息或系统权限以及具有特殊访问权限的个人的半年度或季度审查)进行适当的职责分离; 03、实施全面的密码策略和控制措施,包括:使用复杂的密码,在指定的时间段后定期更改密码(旧密码不能重复使用)和一定次数的登录尝试失败后锁定密码; 04、通用ID的禁用和更改(例如供应商提供的“默认用户”和“管理员”ID,以及首次系统安装时使用的密码),要求为每个用户提供单独的ID和强密码; 05、实施自动和快速撤销网络和系统访问权限的策略和流程(例如,一些公司从其人力资源系统到其身份访问管理系统建立自动数据反馈机制,以根据访问角色推动创建和删除基本帐户<(例如活动目录和电子邮件帐户)>)。 用户权限控制 拥有特殊访问权限的用户,意味着潜在的内部威胁加剧。通常,这些用户是服务器、网络和数据库管理员,他们可以访问功能强大的系统命令和实用程序,这使得他们能够复制、删除或更改任何数据文件或系统选项和参数(例如,创建具有广泛系统访问权限的新用户,或升级其他用户或其他系统访问公司信息的权限)。这些用户还可以关闭业务应用程序、网络和进程。此外,参与软件开发、测试、部署和维护的个人可能拥有升级的系统权限。例如,作为其工作职能的一部分,开发人员可能需要能够在其工作台上安装软件和驱动程序。虽然这些人支撑起公司的信息技术基础设施,但他们的职位和特权要求公司建立适当的控制措施,以确保他们只拥有工作职能所必要的特殊权限,而不会滥用他们的特殊权限。 FINRA观察到,行业内证券公司有以下有效(网络安全实践)做法: 01、建立WSPs以对监控特权用户的系统访问活动提出要求; 02、建立一致的结构和流程,以识别特权用户; 03、将特权用户分配给特殊管理组并由其检查活动,以确定特权用户是否参与未经批准活动; 04、根据特权用户的角色对其访问权限做出环节细分,包括但不限于开发、部署、维护、变更管理流程等; 05、部署密码管理工具以对为进入管理会话而使用的一次性密码进行核查,以防止密码“泄漏”; 06、使用SIEM和其他工具收集和监控特权用户的活动日志(下面会进一步讨论); 07、始终要求特权用户登录时进行多重身份验证。 用于安全信息和事件管理(SIEM)以及用户和机构行为分析(UEBA)的工具 SIEM工具收集、汇总、关联来自众多来源的日志信息,包括但不限于:防火墙,入侵检测和防御系统,服务器和网络设备。公司使用聚合日志来监视各种用户活动和事件。一个SIEM系统可以识别并生成关于风险活动和潜在攻击的警报,以便公司可以对之做出响应并防止敏感信息泄露出公司网络之外。在一些先进的网络安全计划中,公司将机器学习与SIEM工具结合使用,以对基准和不规则行为进行学习和建模,从而提高系统识别潜在恶意行为的能力,包括识别有风险的内部活动。 UEBA工具还可以增强公司检测异常行为的能力。这些工具专注于分析个人用户和机构用户的行为,并且通常包括机器学习功能,该机器学习功能使得工具能够随着时间的推移识别正常和异常行为并且标记后者以供进一步审查。 FINRA观察到,行业内证券公司有以下有效(网络安全实践)做法: 01、建立WSPs以要求从源头捕获系统日志并聚合到SIEM工具中; 02、建立基于风险的方法,识别高风险事件,及时提供警报,并根据约定程序来对事件进行升级; 03、建立当日志源停止向SIEM工具发送数据时的及时通知程序; 04、使用行为分析和其他人工智能系统,及时识别新出现的可疑活动; 05、为SIEM相关规则变更建立正式的变更管理程序; 06、维护SIEM日志以执行历史分析和取证 数据丢失的预防(DLP) 强大的DLP计划可创建预防性控制,有助于检测和缓解内部(和其他)威胁。DLP控制可以防止敏感客户或公司信息被无意或恶意传输给未经授权的收件人。DLP控件通常可以根据规则识别敏感客户信息和公司数据,然后通过电子邮件、数据上载或下载、文件传输或其他方法以阻断或隔离数据传输。有些公司在内部运用DLP软件,而其他一些公司则是通过供应商来支持数据丢失的预防工作。 FINRA观察到,行业内证券公司有以下有效(网络安全实践)做法: 01、建立正式的DLP计划和相配套的WSPs,以监控和防止数据泄露; 02、在允许发送出站电子邮件前要求进行用户验证; 03、建立一致的结构和流程来捕获DLP事件,并在发布之前将其置于隔离状态以便进行合规性审查,例如出站电子邮件和附件或包含敏感信息的文件传输; 04、建立健全DLP规则,以便识别、阻止、加密数据传输,例如对客户帐号、社会保险号、交易记录信息和源代码等(如果违反规则,则通过通知警报提醒进行合规性审查); 05、制定对敏感数据和文件进行印刷的控制规则; 06、限制数据下载到USB、CD驱动器、SD端口和其他移动设备,阻止对个人网业电子邮件程序、云端文件共享服务提供商、社交媒体网站的访问; 07、对使用个人计算机在家工作的员工和承包商实施强有力的控制,例如要求个人使用多重身份验证和安全的虚拟专用网络(VPN)通道进行登录,以及阻止将公司数据打印、复制、粘贴或保存到个人拥有的计算机、智能手机或平板电脑; 08、安装筛选和识别传入客户呼叫的呼叫验证系统,以确保这些号码不属于已知的欺诈者。 培训 如上所述,FINRA发现的许多数据泄露都是因为善意员工或其他用户犯了可预防性错误。建立一个专注网络安全意识、并提供定期网络安全培训的企业文化可以帮助解决这个问题。 FINRA观察到的行业内有效实践做法包括证券公司在以下方面对员工提供持续而非一次性的培训: 01、对客户的用户名和密码更改、汇款和身份验证请求(特别是涉及转移到海外或第三方的大量资金的请求)进行适当处理; 02、打开电子邮件附件和链接的良好实践做法,包括使用模拟网络钓鱼活动,对未通过练习测试的员工由公司进行记录和重新测试; 03、识别黑客的社交工程陷阱活动。 许多公司观察到,使用本公司或同行公司所发生的实际案例进行培训,可以使得培训对参与者来说更有趣和有效。 识别潜在的恶意内部人员 恶意的内部威胁的处理对于企业来说尤其具有挑战性。企业可能过于自信,他们的招聘实践只能确保“只招聘优秀人才”,心怀不满的员工需要管理层通过日常互动识别。此外,恶意内部人员了解公司的组织形式和薄弱环节,并可以尝试规避公司安全控制。识别恶意内部人员的有效程序通常结合了基于人员、基于流程和基于技术的控制措施。特别是,公司可以监控非技术行为指标,包括但不限于以下内容 雇佣状况 工作状态 个性和个人情况 非法活动 只有在收到警告的时候才认真工作,否则不符合“工作所需要的良好资格”和处于终止雇佣的审查当中 工作状态的变化 个性或行为的急剧变化 犯罪活动的通知或证据迹象 担忧没有职位晋升机会 未经批准或未经授权的缺席 报复的威胁 暴力行为或威胁 对离职的进行讨论或发出离职通知 表现的下降 骚扰 破坏财产 寻找新工作 工作时发生冲突 重大债务负担或经常性财务偿还不能 试图绕过/攻击安全系统 在工作时间和出勤方面存在欺诈 伪造报告或记录 盗窃 除了实施上述部分所列的政策和技术措施外,FINRA还观察到,行业内证券公司有以下有效实践做法: 01、培养强有力的合规文化,鼓励对潜在可疑活动进行秘密报告的行为(例如,“如果你看到什么,就说什么”这样的要求); 02、对拥有具有较高风险的组合性特殊权限的个人进行定期审查,尤其是在难以维持职责分离的环境中。 四、渗透测试 渗透测试是许多公司网络安全计划中的一个重要方面。该测试模拟公司面临的内部或外部计算机网络攻击,以确定恶意行为者可以利用网络漏洞的程度,并评估公司保护措施的有效性。例如,一个特定的渗透测试类型侧重于公司的网页应用程序,以评估其安全设计和相关数据库的安全性(例如,员工、代表或客户可以登录的公司公共网站,进而可以访问帐户和留存痕迹数据,包括PII或其他机密信息)。渗透测试过程需要对公司的网络、应用程序或其他目标进行主动分析,以了解任何系统弱点和技术缺陷、差距或漏洞。此类测试通常涉及自动扫描工具和手动技术,并且可能包括社交工程。任何已识别的安全问题都将和对其影响的评估结果、风险分类、缓解影响的建议以及技术解决方案一起提交给业务所归者和信息技术管理者。 渗透测试可能会对外部攻击者试图渗透公司系统的行为或内部攻击者试图访问他们不应该访问的资产的行为进行针对性测试。两种类型的测试都可以以不同的模式执行:(1)在测试团队了解系统的某些信息(例如一系列IP地址、正在使用的软件包、用户ID)时使用的“白盒”模式; (2)在测试团队对系统一无所知时使用的“黑盒”模式;或(3)在测试团队获得了关于系统的一些有限信息时使用的“灰盒”模式。 根据2018年美国金融业监管局的《风险控制审查报告》(RCA),所有的高收入公司都将渗透测试作为其整体网络安全计划的一个组成部分。然而,渗透测试的使用与公司规模无关,渗透测试更多的是公司商业模式和技术基础设施的一个功能。例如,渗透测试与提供在线访问客户帐户的公司高度相关。FINRA还对实施渗透测试的高收入、中等收入和低收入公司分别进行了观察。这些公司在评估渗透测试的相关性时考虑的其他因素包括他们管理和存储机密、关键数据的程度,例如交易策略、客户PII、有关合并和收购的信息或来自其他机构的机密信息等(例如,清算公司的情况)。 FINRA观察到,行业内证券公司有以下有效实践做法: 01、采用基于风险的渗透测试方法; 02、彻底审查他们的测试服务提供商; 03、制定仔细规定供应商责任的合同条款; 04、严格管理和相应测试结果; 05、定期轮换测试服务提供商,以便从各种技能和专业知识中受益。 基于风险的方法 许多公司根据风险评估确定了要测试的系统范围以及测试的频率,其中更高风险的系统会被更频繁地测试。企业在识别高风险系统时考虑的因素包括该系统所包含或访问的数据的敏感性、系统的操作重要性、以及是否存在任何已知漏洞。 此外,拥有强大网络安全计划的公司至少每年进行一次渗透测试,针对任务关键型或高风险系统(如在线交易系统)的渗透测试将会更加频繁。除了按年定期的测试方法之外,一些公司还在关键事件之后执行基于风险的渗透测试,例如任何对公司应用程序和系统基础架构的重要部分进行重大更改的时候都要进行渗透测试。 供应商选择和尽职调查 公司通常雇佣第三方(供应商)进行渗透测试(即使是那些采用“内部人”视角进行测试的公司)。公司需要进行彻底的尽职调查,以选择对网络风险、当前攻击技术、模仿攻击者行为的适当工具有充分了解的供应商。 此外,一些公司要求供应商在参与之前提供道德性黑客认证,例如经过道德认证的黑客(CEH)、进攻性安全认证专家(OSCP)或GIAC渗透测试(GPEN)的认证证明。公司可以在多个测试服务提供商之间轮换使用,或使用多个提供商,以最大化识别问题的可能性。在某些情况下,拥有足够资源来开发这种专业技能的公司,使用其自己的员工进行渗透测试。 合同安排 公司通常与执行渗透测试的供应商建立书面合同。该合同规定了供应商在测试期间应该和不应该做的事情,例如,供应商应该测试哪些应用程序、系统、网络、IP地址;如果网络安全控制被破坏,供应商应尝试利用系统到何种程度(例如,防火墙或用户权利);或一天内应该进行渗透测试的具体时间(例如,避免在高峰使用期间模拟攻击)。合同还通常对供应商不披露机密信息或测试结果的义务进行约定,同时还约定了供应商应当向公司报告的详细信息。渗透测试在公布和未公布的基础上都可能进行,但在后一种情况下,至少有部分公司员工知道计划的测试时间。 渗透测试的结果 公司建立了治理结构和程序来评估风险水平,并决定公司如何快速地减轻在渗透测试中确定问题。通常,公司或渗透测试供应商会对风险等级(例如,关键、高、中、低),并依据相应的风险等级系统性跟踪发现的问题,以及更快地处理更高水平的风险。该过程是根据预先规定的政策完成的,其中包括针对特别严重风险的升级要求以及对减少网络安全漏洞而采取的措施的记录归档要求。在某些情况下,公司进行了后续渗透测试,以评估为解决先前确定的网络安全控制权限而采取的减轻措施的有效性。 五、移动设备 移动设备的广泛使用和扩展使用为对敏感的客户和公司数据的网络攻击创造了新的机会。员工、客户、顾问和承包商会定期使用智能手机、平板电脑、笔记本电脑和其他设备进行各种活动,包括通信、交易、接收投资警报、汇款和账户监控。随着行业越来越依赖移动设备,与此技术相关的风险也在继续增加。公司和个人移动设备面临的风险,包括但不限于恶意广告和垃圾邮件通信、受感染和克隆以及盗版的移动应用程序、移动操作系统中的漏洞、网络钓鱼、电子欺诈或路由电话、电子邮件、短信(请参阅以上报告的网络钓鱼部分)。虽然所有通过移动设备提供系统访问权限的公司都面临着这样的风险,但拥有大量零售客户的公司可能会受到更大的风险影响,因此应考虑特别严格地实施网络安全控制来保护公司和客户信息。 FINRA观察到,行业内证券公司针对员工、顾问、承包商有以下有效实践做法: 01、制定政策和程序,对员工保护客户和公司信息的义务做出规定,并对个人设备用于公司业务设定了“自带设备”标准; 02、禁止将个人设备用于公司业务(包括电子邮件、短信、消息或任何其他通信),除非设备已获得公司批准,并且员工已签署同意遵守公司政策和程序的证明; 03、包括对分支机构审计和检查中移动设备安全控制的审查,包括对远程员工和分支机构工作人员的审查(参见以上报告的数据丢失预防和分支控制部分); 04、确保公司合规和技术支持人员在移动网络安全问题方面拥有足够的专业知识; 05、为所有公司员工、顾问、承包商提供有关公司移动设备要求和保护移动设备的有效实践做法的定期培训; 06、维护用于访问公司系统和数据的所有个人和公司设备的清单; 07、要求所有个人设备为所有公司活动(包括电子邮件通信,日历和其他活动)维护单独、安全、加密的移动设备管理(MDM)应用程序; 08、强制使用密码,并对设置密码的长度和复杂性标准做出规定; 09、在一段时间不使用后设置暂停(time-outs); 10、安装安全软件和防病毒软件,以保护所有用于参与公司业务的移动设备,并监控公司安全标准的遵守情况; 11、在“离线”模式下实施授权和身份验证控制; 12、删除所有违反公司安全政策的软件、服务和应用程序; 13、实现传输控制,以便在移动设备和公司服务器之间安全地传输数据; 14、强调在任何时候都要对所有个人和固定设备进行物理保护的重要性,以防止被盗或丢失的风险; 15、实施个人或固定设备的丢失报告程序; 16、维护一份所有丢失的个人和固定设备的清单,包括为减少或消除公司或客户信息的暴露风险而采取的补救措施类型; 17、确保公司能够从前员工所有的设备或员工丢失的设备上远程擦除公司数据; 18、通过追究违规行为的责任后果来执行移动设备的政策和程序,包括但不限于额外培训、书面通知、罚款、暂停或终止雇佣关系。 FINRA还观察到,行业内公司为其客户实施以下有效实践做法: 01、监控暗网上的移动应用程序市场,以查找冒充公司移动应用程序的恶意应用程序; 02、告知客户在其移动设备上访问和存储个人和财务数据的风险; 03、向客户提供有关对其移动设备进行“破解”或“刷机”的风险,“破解”和“刷机”使得移动设备对未经授权的应用程序、游戏、网络工具“开放”,从而增加病毒、恶意代码和未经授权的操作系统修改的风险; 04、在访问客户帐户、交易应用程序、其他数据丢失防护控制时要求多重身份验证(请参阅以上报告的“内部威胁”部分的数据丢失防护(DLP)小节); 05、限制通过移动设备对帐户设置、财务信息或联系信息的某些更改,并要求客户有此类请求时联系其顾问; 06、通过在一段时间不活动后设定自动终止访问来维护帐户和交易会话的安全性; 07、在发布或更改移动帐户或交易应用程序时确保安全的开发和测试程序(例如,在发布之前扫描安全漏洞并为移动平台执行渗透测试)。 附录:小型公司的核心网络安全控制措施 以下附录列表列出了可能与许多小型证券公司的网络安全计划相关的核心控制措施。然而,要建立有效的网络安全计划,证券公司需要在其业务模式和技术基础设施的背景下考虑这些措施,同时还需要考虑为证券公司的网络安全计划提供信息的其他因素。除本报告外,FINRA还为小型证券公司提供了大量网络安全实践参考资源,例如《2015年FINRA网络安全实践报告》(“2015年报告”)和《FINRA小型公司网络安全清单》(“清单”)。使用此附录列表不意味着对FINRA规则、联邦或州证券法或其他适用的联邦或州监管要求创建了“安全港”。 01、补丁维护。启用操作系统和其他软件的自动修补和更新功能,以帮助公司维护最新的安全控制(请参阅清单的第4节和第5节) 02、安全系统配置。配置系统和软件时,请使用供应商指南或行业标准,例如Internet安全中心(“CIS”)发布的标准(请参阅清单的“概述和参考资源”部分) 03、身份和访问管理。根据业务需求限制对客户和公司的机密信息的访问。严格限制使用“admin”或高特殊权限权利,并定期查看用户帐户和权限,以修改或删除对实现业务目标不再必要的权限(请参阅本报告的“内部威胁”部分,2015年报告的“技术控制”部分和清单第8节) 04、漏洞扫描。使用商业现货(“COTS”)软件或雇佣第三方供应商对漏洞持续扫描并快速处理检测到的异常(请参阅本报告的网络钓鱼部分,2015年的“网络安全风险评估”以及“技术控制”部分,和清单第10节) 05、端点的恶意软件防护。在公司的计算机、服务器和防火墙上安装COTS软件,以检测和阻止病毒和其他恶意软件的入侵(请参阅2015年报告的“技术控制”部分和清单的第4和第5部分) 06、电子邮件和浏览器保护。安装软件或使用服务来阻止基于Web的电子邮件程序和通过电子邮件接收的不安全内容(例如,网络钓鱼攻击)或通过Web浏览器访问的不安全内容(请参阅本报告的“网络钓鱼”部分和清单的第4和第5节) 07、边界安全。使用网络访问控制(如防火墙)来阻止公司系统与外部系统之间不必要的连接。在可行的情况下引入入侵检测和防御功能(请参阅本报告的“内部威胁”部分,2015年报告的“技术控制”部分以及清单的第4,5和10节) 08、安全意识培训。在所有员工入职时提供网络安全培训,之后至少每年一次(最好更多次),以确保所有用户都了解到他们保护公司系统和信息的责任。培训应该针对“如何对常见攻击情况进行处理,如何避免成为受害者以及如何在发现可疑情况时进行应对”进行。针对网络钓鱼活动,应该进行防范意识持续培训(请参阅本报告的“内部威胁”部分,2015年报告的“员工培训”部分和清单的第8部分)。 09、风险评估。对公司网络安全控制进行年度风险评估和测试,以验证公司安全控制措施的有效性和充分性。可以雇佣第三方或公司的安全专家来完成此评估(请参阅2015年报告的“网络安全风险评估”部分和清单的第1和第2部分) 10、数据保护。对关键数据进行加密,对其进行经常性备份并离线存储备份副本。定期测试公司恢复数据的能力。考虑阻止USB端口并阻止使用所有可移动数据存储设备,包括CD和闪存驱动器(请参阅清单的第4、5、6和12节)。 11、第三方风险管理。对可以访问机密的公司和客户数据的第三方供应商和其他合作伙伴设置审查系统、组织控制(SOC)或SSAE 18报告,以确保他们拥有与公司相称或更好的安全控制。所有合同都应有执行保护数据的控制措施的条款,包括对这些控制措施的任何变更以及可能影响公司的安全漏洞或数据泄露的及时通知义务(参见2015年报告的“供应商管理”部分和清单的第3部分)。 12、分支控制。确保分支机构应用并执行相关的公司网络安全控制措施,其中可能包括此列表中确定的许多控制措施,以及其他相关控制措施,例如本报告中或小型公司网络安全清单中的其他控制措施(参见本报告的“分支控制”部分)。 13、政策和程序。制定涉及适用于公司的各类控制措施的政策和程序,例如本清单中列出的控制措施(参见2015年报告中的“网络安全治理和风险管理”部分) 翻译:王好好,对外经贸大学法学院民商法学研究生 审校:刘元兴,中国通信学会网络空间安全战略与法律委员会委员; 北京市网络法学研究会理事; 对外经济贸易大学数字经济与法律创新研究中心高级研究员 来源:美国金融业监管局官网www.finra.org 报告原文获取地址为: https://www.finra.org/sites/default/files/Cybersecurity_Report_2018.pdf。 《报告》引介部分以及“分支机构控制、网络钓鱼”,请参见京东数字科技研究院公众号《数据法编译2019年第6期》。译评者将会在“金融数据治理与合规”系列培训之“证券业网络安全实践”一节中做分析点评! 编辑:陈茗
| 
楼主: 刘海明
楼主
