Titel 23 NYCRR Teil 500
Titel 23 NYCRR Teil 500 Übersicht
Als Reaktion auf die erheblichen und ständig wachsenden Bedrohungen für die Cybersicherheit von Informations- und Finanzsystemen hat das Finanzministerium des Staates New York im Jahr 2017 neue Cybersicherheitsanforderungen für Finanzinstitute erlassen, die eine Lizenz oder Genehmigung zur Geschäftstätigkeit in dem Staat besitzen. Titel 23 New York Codes, Rules and Regulation Teil 500: Cybersicherheitsanforderungen für Finanzdienstleistungsunternehmen sind darauf ausgelegt, Kundendaten und Informationstechnologiesysteme von Finanzinstituten wie staatlichen, privaten und internationalen Banken, Brokern und Versicherungsunternehmen zu schützen.
Microsoft und Titel 23 NYCRR Teil 500
Microsoft bietet einen umfassenden Leitfaden, Microsoft Cloud Services: Unterstützung der Compliance der NYDFS-Cybersicherheitsanforderungen, für Finanzdienstleistungen gemäß Titel 23 NYCRR Teil 500. Es wird ausführlich erläutert, wie Azure-, Office 365- und Power BI-Clouddienste die Compliance der Anforderungen unterstützen. Finanzinstitute, die im globalen Finanzzentrum von New York tätig sein möchten, müssen diese Anforderungen erfüllen. Daher ist die Einhaltung von Vorschriften für viele Institute von entscheidender Bedeutung.
Nach den New Yorker Bestimmungen muss jedes Finanzinstitut:
- Entwicklung und Verwaltung eines soliden Cybersicherheitsprogramms, beginnend mit einer Bewertung des spezifischen Risikoprofils des Instituts und anschließender Entwerfung eines Programms, das diese Risiken berücksichtigt. Informationen zur Interaktion mit Microsoft Cloud for Financial Services finden Sie unter Microsoft Cloud Financial Services. Darüber hinaus enthält die Seite Finanzdienstleistungen unseres Service Trust Portals länderspezifische Ressourcen, mit denen Sie besser verstehen können, wie Sie Ihre globalen gesetzlichen Anforderungen erfüllen können.
- Implementieren Sie eine umfassende Cybersicherheitsrichtlinie, die sich mit Informationssicherheit, Datenverwaltung und -klassifizierung, Zugriffskontrolle, Geschäftskontinuität und dergleichen befasst. Microsoft bietet Anleitungen zur Entwicklung dieser Richtlinie mit ausführlichen Informationen zu unseren Zertifizierungen und Risikobewertungen, Metriken für Geschäftskontinuität und Notfallwiederherstellung, und Diagnosen für die Protokollierung und Überwachung.
- Bestimmen Sie einen Chief Information Security Officer (CISO) für die Verwaltung des Cybersicherheitsprogramms und die Durchsetzung der Richtlinien. Um Ihr CISO zu unterstützen, bietet Microsoft ausführliche Cybersicherheitsinformationen zu Microsoft-Cloudbereitstellungen über Microsoft Defender for Cloud, Office 365 Advanced Threat Analytics und Power BI Security.
- Überwachen und Testen der Wirksamkeit des Cybersicherheitsprogramms: Microsoft stellt Informationen aus Audits seiner Cybersicherheitspraktiken bereit, die kontinuierliche Überwachung, regelmäßige Penetrationstests und Schwachstellenbewertungen umfassen. Kunden können ihre eigenen Tests ohne vorherige Genehmigung von Microsoft durchführen.
- Führen Sie einen Audit-Trail. Die integrierten Überwachungsfunktionen von Azure-, Office 365- und Power BI-Kunden generieren Informationen, die zum Wiederherstellen von Finanztransaktionen und zum Entwickeln von Prüfprotokollinformationen verwendet werden können.
- Beschränken des Zugriffs auf Informationssysteme mit nicht öffentlichen Informationen: Maßnahmen, mit denen Azure, Office 365 und Power BI einen für jeden Dienst einheitlichen rollenbasierten Zugriffskontrollprozess (RBAC), strenge Sicherheits- und Zugriffsanforderungen für jeden Microsoft-Administrator und Prüfungen für jeden bieten Anfrage für erhöhte Zugriffsrechte.
- Institutsverfahren zum Bewerten und Testen der Sicherheit von extern entwickelten Anwendungen: Für Entwickler, die Visual Studio verwenden, können Sicherheitsregeln für verwalteten Code sicherstellen, dass Bedrohungen für die Cybersicherheit von Anwendungen erkannt und verringert werden, bevor der Code bereitgestellt wird.
- Verwenden Sie regelmäßige Risikobewertungen, um Cybersicherheitsprogramme zu entwerfen und zu verbessern: Für Kunden fügt Microsoft Informationen zu Sicherheitsbedrohungen hinzu, stellt Roadmaps für das Änderungsmanagement bereit und aktualisiert regelmäßig Informationen zu Subunternehmern. Microsoft führt auch regelmäßig Risikobewertungen für seine eigenen Dienste durch, deren Ergebnisse den Kunden zur Verfügung stehen.
- Verwenden Sie qualifiziertes Personal, um Cybersicherheitsrisiken zu verwalten und Cybersicherheitsfunktionen zu überwachen: Microsoft wendet strenge Verfahren für den Zugriff unserer Mitarbeiter auf Ihre Kundendaten an. Wenn wir Subunternehmer beauftragen, bleiben wir für die Erbringung der Dienstleistungen verantwortlich und stellen sicher, dass Subunternehmer die Datenschutz- und Sicherheitsverpflichtungen von Microsoft vollständig einhalten, einschließlich der Anforderungen für den Umgang mit vertraulichen Daten, Hintergrundprüfungen und Geheimhaltungsvereinbarungen.
- Implementieren Sie Richtlinien und Verfahren, um die Sicherheit von Informationen zu gewährleisten, die von Drittanbietern bereitgestellt werden: Azure, Office 365 und Power BI stellen die Multifaktorauthentifizierung für alle eingehenden Verbindungen zu Unternehmensnetzwerken zur Verfügung. Implementierung von Kontrollen, einschließlich Verschlüsselung, zum Schutz nicht öffentlicher Informationen bei der Übertragung über externe Netze und im Ruhezustand; und bietet Microsoft Online Services-Bedingungen an, die Kundenbenachrichtigungen, Untersuchung von Vorfällen und Risikominderung bei Sicherheitsvorfällen vorsehen.
- Implementieren von Richtlinien und Verfahren zum Aufbewahren und Löschen von Daten: Sie können jederzeit auf Ihre in Azure, Office 365 und Power BI gespeicherten Kundendaten zugreifen und diese extrahieren.
- Überwachen Sie die Aktivitäten autorisierter Nutzer, entdecken Sie nicht autorisierte Zugriffe und bieten Sie Mitarbeitern regelmäßige Schulungen zum Thema Cybersicherheit an: Azure, Office 365 und Power BI umfassen eine Überwachung von außen, um Warnungen zu Vorfällen auszulösen, und umfassende Diagnosen für die Protokollierung und Überwachung. Die Microsoft Virtual Academy bietet Online-Schulungen zum Thema Cybersicherheit von Microsoft Cloud Services an.
- Entwickeln Sie Pläne, um auf Cybersicherheitsvorfälle zu reagieren und diese zu beheben: Microsoft hilft Ihnen, sich auf Cybersicherheitsvorfälle vorzubereiten, indem es eine Verteidigungsstrategie einsetzt, um Sicherheitslücken zu erkennen, vorherzusagen und zu verhindern, bevor sie auftreten. Wenn Sie Ihre eigenen Pläne entwickeln, können Sie auf unseren Incident-Management-Plan zurückgreifen, um auf Cybersicherheitslücken zu reagieren.
In Microsoft eingeschlossene Cloudplattformen und -Dienste
- Azure
- Intune
- Office 365
Office 365 und Titel 23 NYCRR Teil 500
Office 365 Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:
Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
---|---|
Kommerziell | Exchange Online Protection, Exchange Online, Office 365-Kundenportal, Office Online, Office Services-Infrastruktur, OneDrive for Business, SharePoint Online, Skype for Business |
Häufig gestellte Fragen
Welche Institute fallen unter diese Verordnung?
Informieren Sie sich auf der Website des New York Department of Financial Services Who We Supervise, um festzustellen, ob Ihre Institution dieser Verordnung unterliegt.
Ressourcen
- Unterstützte Ressourcen
- New York State Department of Financial Services 23 NYCRR 500: Cybersecurity Requirements For Financial Services Companies
- Microsoft Cloud Services: Unterstützung der Compliance der NYDFS-Cybersicherheitsanforderungen
- Compliance im Microsoft Trust Center