Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Titel 23 NYCRR Teil 500 Übersicht
Als Reaktion auf die erheblichen und ständig wachsenden Bedrohungen für die Cybersicherheit von Informations- und Finanzsystemen hat das Finanzministerium des Staates New York im Jahr 2017 neue Cybersicherheitsanforderungen für Finanzinstitute erlassen, die eine Lizenz oder Genehmigung zur Geschäftstätigkeit in dem Staat besitzen. Titel 23 New York Codes, Rules and Regulation Teil 500: Cybersicherheitsanforderungen für Finanzdienstleistungsunternehmen sind darauf ausgelegt, Kundendaten und Informationstechnologiesysteme von Finanzinstituten wie staatlichen, privaten und internationalen Banken, Brokern und Versicherungsunternehmen zu schützen.
Microsoft und Titel 23 NYCRR Teil 500
Microsoft bietet einen umfassenden Leitfaden, Microsoft Cloud Services: Unterstützung der Compliance der NYDFS-Cybersicherheitsanforderungen, für Finanzdienstleistungen gemäß Titel 23 NYCRR Teil 500. Es wird ausführlich erläutert, wie Azure-, Microsoft 365- und Power BI-Clouddienste die Einhaltung der Anforderungen unterstützen. Finanzinstitute, die im globalen Finanzzentrum von New York tätig sein möchten, müssen diese Anforderungen erfüllen. Daher ist die Einhaltung von Vorschriften für viele Institute von entscheidender Bedeutung.
Nach den New Yorker Bestimmungen muss jedes Finanzinstitut:
- Entwicklung und Verwaltung eines soliden Cybersicherheitsprogramms, beginnend mit einer Bewertung des spezifischen Risikoprofils des Instituts und anschließender Entwerfung eines Programms, das diese Risiken berücksichtigt. Informationen zur Interaktion mit Microsoft Cloud for Financial Services finden Sie unter Microsoft Cloud Financial Services. Darüber hinaus enthält die Seite Finanzdienstleistungen unseres Service Trust Portals länder-/regionsspezifische Ressourcen, mit denen Sie besser verstehen können, wie Sie Ihre globalen gesetzlichen Anforderungen erfüllen können.
- Implementieren Sie eine umfassende Cybersicherheitsrichtlinie, die sich mit Informationssicherheit, Datenverwaltung und -klassifizierung, Zugriffskontrolle, Geschäftskontinuität und dergleichen befasst. Microsoft bietet Anleitungen zur Entwicklung dieser Richtlinie mit ausführlichen Informationen zu unseren Zertifizierungen und Risikobewertungen, Metriken für Geschäftskontinuität und Notfallwiederherstellung, und Diagnosen für die Protokollierung und Überwachung.
- Bestimmen Sie einen Chief Information Security Officer (CISO) für die Verwaltung des Cybersicherheitsprogramms und die Durchsetzung der Richtlinien. Um Ihr CISO zu unterstützen, stellt Microsoft ausführliche Cybersicherheitsinformationen zu Microsoft-Cloudbereitstellungen über Microsoft Defender for Cloud, Microsoft 365 Advanced Threat Analytics und Power BI Security bereit.
- Überwachen und Testen der Wirksamkeit des Cybersicherheitsprogramms: Microsoft stellt Informationen aus Audits seiner Cybersicherheitspraktiken bereit, die kontinuierliche Überwachung, regelmäßige Penetrationstests und Schwachstellenbewertungen umfassen. Kunden können ihre eigenen Tests ohne vorherige Genehmigung von Microsoft durchführen.
- Führen Sie einen Audit-Trail. Integrierte Überwachungsfunktionen von Azure-, Microsoft 365- und Power BI-Kunden generieren Informationen, die verwendet werden können, um Finanztransaktionen zu rekonstruieren und Informationen zu Überwachungspfaden zu entwickeln.
- Beschränken des Zugriffs auf Informationssysteme, die nicht öffentliche Informationen enthalten: Misst, dass Azure, Microsoft 365 und Power BI einen rollenbasierten Zugriffskontrollesprozess (Role-Based Access Control, RBAC) anbieten, der für jeden Dienst nativ ist, strenge Sicherheits- und Zugriffsanforderungen für jeden Microsoft-Administrator und Überwachungen jeder Anforderung auf erhöhte Zugriffsrechte.
- Institutsverfahren zum Bewerten und Testen der Sicherheit von extern entwickelten Anwendungen: Für Entwickler, die Visual Studio verwenden, können Sicherheitsregeln für verwalteten Code sicherstellen, dass Bedrohungen für die Cybersicherheit von Anwendungen erkannt und verringert werden, bevor der Code bereitgestellt wird.
- Verwenden Sie regelmäßige Risikobewertungen, um Cybersicherheitsprogramme zu entwerfen und zu verbessern: Für Kunden fügt Microsoft Informationen zu Sicherheitsbedrohungen hinzu, stellt Roadmaps für das Änderungsmanagement bereit und aktualisiert regelmäßig Informationen zu Subunternehmern. Microsoft führt auch regelmäßig Risikobewertungen für seine eigenen Dienste durch, deren Ergebnisse den Kunden zur Verfügung stehen.
- Verwenden Sie qualifiziertes Personal, um Cybersicherheitsrisiken zu verwalten und Cybersicherheitsfunktionen zu überwachen: Microsoft wendet strenge Verfahren für den Zugriff unserer Mitarbeiter auf Ihre Kundendaten an. Wenn wir Subunternehmer beauftragen, bleiben wir für die Erbringung der Dienstleistungen verantwortlich und stellen sicher, dass Subunternehmer die Datenschutz- und Sicherheitsverpflichtungen von Microsoft vollständig einhalten, einschließlich der Anforderungen für den Umgang mit vertraulichen Daten, Hintergrundprüfungen und Geheimhaltungsvereinbarungen.
- Implementieren von Richtlinien und Verfahren, um die Sicherheit von Informationen zu gewährleisten, die von Drittanbietern gespeichert sind: Azure, Microsoft 365 und Power BI stellen die mehrstufige Authentifizierung für alle eingehenden Verbindungen mit Unternehmensnetzwerken zur Verfügung; Implementieren von Kontrollen, einschließlich Verschlüsselung, um nicht öffentliche Informationen bei der Übertragung über externe Netzwerke und im Ruhezustand zu schützen; und bieten Microsoft Online Services-Bedingungen an, die Kundenbenachrichtigungen, Incidentuntersuchungen und Risikominderungen für Sicherheitsvorfälle vorsehen.
- Implementieren von Datenaufbewahrungs- und Löschrichtlinien und -verfahren: Sie können jederzeit auf Ihre kundendaten zugreifen und diese extrahieren, die in Azure, Microsoft 365 und Power BI gespeichert sind.
- Überwachen Sie die Aktivität autorisierter Benutzer, erkennen Sie nicht autorisierten Zugriff und bieten Mitarbeitern regelmäßige Schulungen zur Cybersicherheit an: Azure, Microsoft 365 und Power BI umfassen externe Überwachung, um Warnungen zu Vorfällen auszulösen, und umfangreiche Diagnose für die Protokollierung und Überwachung. Die Microsoft Virtual Academy bietet Online-Schulungen zum Thema Cybersicherheit von Microsoft Cloud Services an.
- Entwickeln Sie Pläne, um auf Cybersicherheitsvorfälle zu reagieren und diese zu beheben: Microsoft hilft Ihnen, sich auf Cybersicherheitsvorfälle vorzubereiten, indem es eine Verteidigungsstrategie einsetzt, um Sicherheitslücken zu erkennen, vorherzusagen und zu verhindern, bevor sie auftreten. Wenn Sie Ihre eigenen Pläne entwickeln, können Sie auf unseren Incident-Management-Plan zurückgreifen, um auf Cybersicherheitslücken zu reagieren.
In Microsoft eingeschlossene Cloudplattformen und -Dienste
- Azure
- Intune
- Microsoft 365
Microsoft 365 und Title 23 NYCRR Part 500
Microsoft 365-Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Anwendbarkeits- und Bereichsbezogene Dienste von Microsoft 365
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Microsoft 365-Dienste und Ihr Abonnement zu bestimmen:
| Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
|---|---|
| Kommerziell | Exchange Online Protection, Exchange Online, Microsoft 365-Kundenportal, Microsoft Teams, Office Online, Office Services-Infrastruktur, OneDrive for Business, SharePoint Online |
Häufig gestellte Fragen
Welche Institute fallen unter diese Verordnung?
Informieren Sie sich auf der Website des New York Department of Financial Services Who We Supervise, um festzustellen, ob Ihre Institution dieser Verordnung unterliegt.
Ressourcen
- New York State Department of Financial Services 23 NYCRR 500: Cybersecurity Requirements For Financial Services Companies
- Microsoft Cloud Services: Unterstützung der Compliance der NYDFS-Cybersicherheitsanforderungen
- Compliance im Microsoft Trust Center