美國時間3月1日，紐約州的新金融條例將生效，要求所有受監(jiān)管的金融服務(wù)機構(gòu)將網(wǎng)絡(luò)安全計劃部署到位，任命首席信息安全官，并監(jiān)控商業(yè)伙伴的網(wǎng)絡(luò)安全政策。

這似乎顯得有點倉促，因為新條例一個月以前才完成。Prevalent的第三方戰(zhàn)略高級總監(jiān)布拉德·凱勒表示，“新條例有一個過渡期。每個人有六個月的時間履行合規(guī)。”

布拉德·凱勒補充道，之后每年的2月15日會進行實際認證。也就是說，每年的2月15日，每家銀行、保險公司或其它受監(jiān)管的金融服務(wù)公司必須提交聲明，證明已經(jīng)審核了所有必需的文件和報告，包括外部廠商的文件和報告，也就是證明其網(wǎng)絡(luò)安全計劃符合新條例要求。

企業(yè)首先要做的就是進行綜合風險評估，因為這是決定如何應(yīng)對先前許多條例的起點。

布拉德·凱勒表示，例如，企業(yè)必須決定將如何根據(jù)風險評估中的結(jié)果部署加密。企業(yè)需要有力的文件證明當前的做法。企業(yè)還必須證明經(jīng)歷的過程。

擁有成熟網(wǎng)絡(luò)安全程序的大型企業(yè)也許已經(jīng)具有滿足新條例的部署，只需要進行審查，并進行融合。其它公司可能要有所準備。

布拉德·凱勒表示，“遠程訪問攻擊可能是攻擊者使用手段跨過界限，橫向活動，并竊取數(shù)據(jù)，正如Target遭遇的黑客事件。”

Lastline的產(chǎn)品和業(yè)務(wù)開發(fā)副總裁Brian Laing表示，聯(lián)邦金融機構(gòu)審查委員會(Federal Financial Institutions Examination Council)2011年更新了防止銀行欺詐的指南，其中一個章節(jié)明確提到風險評估。

Laing表示，大多數(shù)金融機構(gòu)已經(jīng)部署了該條例規(guī)定的許多保障措施和政策。

紐約只是開始個別州造成的影響巨大，其影響遠遠超出本州，例如加利福利亞州制定了汽車排放和數(shù)據(jù)泄露通知標準。

首先，州和國家會看其它州和國家的行動，如果某些方式在其它地方奏效，他們可能會如法炮制。

安全廠商CipherCloud的營銷副總裁Willy Leichter表示，我們看到其它許多法規(guī)。加利福利亞州實施了第一個數(shù)據(jù)泄露通知法，之后其它州迅速復(fù)制。

安全廠商InfoArmor的首席技術(shù)官和首席戰(zhàn)略官Christian Lees指出，紐約提議的規(guī)則很可能成為新的行業(yè)標準。

當然，許多企業(yè)的業(yè)務(wù)跨多個管轄范圍。作為全球的金融中心，紐約吸引了全美、全世界的企業(yè)。

Reed Smith LLP隱私與網(wǎng)絡(luò)法的合作伙伴Gerry Stegmaier表示，為了讓自己更加輕松，企業(yè)不會試圖在不同的管轄范圍部署不同的流程。他指出，企業(yè)將根據(jù)最嚴格的要求衡量其合規(guī)性。

例如，某些州要求發(fā)生數(shù)據(jù)泄露事件時通知州司法部長，而有些州沒有這樣做。企業(yè)也許只是決定通知到每個人。Stegmaier指出，要求最嚴格的州將掌握方向。但是，如果某管轄范圍與另一管轄范圍的規(guī)則沖突，那么可能會產(chǎn)生問題。例如，美國證監(jiān)會(SEC)要求保留記錄，以此保護消費者，與此同時，歐盟居民有“被遺忘權(quán)。”這類事件將需要通過外交渠道解決。在執(zhí)行之前，企業(yè)將需要制定明智的決策。從字面上講，企業(yè)被迫進行所羅門式的審判，因為不能同時遵守兩個法律。

《一般數(shù)據(jù)保護條例》(General Data Protection Regulation)明年將在歐洲生效，這也可能帶來一些挑戰(zhàn)。

Stegmaier表示，到時候可能會需要時間解決另外的問題。我們所看到的就是，法律要求和最佳做法之間存在沖突。如果最佳做法就是法律要求，那么最佳做法到底是什么。只是因為Bruce Schneier或紐約司法部長辦公室有人說是最佳做法，果真如此嗎?