Titel 23 NYCRR Teil 500Title 23 NYCRR Part 500

Titel 23 NYCRR Teil 500 ÜbersichtTitle 23 NYCRR Part 500 overview

Als Reaktion auf die erheblichen und ständig wachsenden Bedrohungen für die Cybersicherheit von Informations- und Finanzsystemen hat das Finanzministerium des Staates New York im Jahr 2017 neue Cybersicherheitsanforderungen für Finanzinstitute erlassen, die eine Lizenz oder Genehmigung zur Geschäftstätigkeit in dem Staat besitzen.In response to the significant and ever-increasing threats to the cybersecurity of information and financial systems, in 2017, the State of New York Department of Financial Services imposed a new set of cybersecurity requirements on financial institutions that are licensed or authorized to do business in the state. Diese Vorschrift – Titel 23 New York Codes, Regeln und Regulation Teil 500: Cybersicherheitsanforderungen für Finanzdienstleistungsunternehmen – dient dem Schutz von Kundendaten und Informationstechnologiesystemen von Finanzinstituten wie staatlich gecharterten, privaten und internationalen Banken, sowie Hypothekenmakler und Versicherungsunternehmen.This regulation — Title 23 New York Codes, Rules, and Regulation Part 500: Cybersecurity Requirements for Financial Services Companies — is designed to protect customer data and the information technology systems of financial institutions such as state-chartered, private, and international banks, mortgage brokers, and insurance companies.

Microsoft und Titel 23 NYCRR Teil 500Microsoft and Title 23 NYCRR Part 500

Microsoft bietet einen umfassenden Leitfaden, Microsoft Cloud Services: Unterstützung der Compliance der NYDFS-Cybersicherheitsanforderungen, für Finanzdienstleistungen gemäß Titel 23 NYCRR Teil 500.Microsoft provides a comprehensive guide, Microsoft Cloud Services: Supporting Compliance with NYDFS Cybersecurity Requirements, for financial services regulated under Title 23 NYCRR Part 500. Es wird ausführlich erläutert, wie Azure-, Office 365- und Power BI-Clouddienste die Compliance der Anforderungen unterstützen.It explains in depth how Azure, Office 365, and Power BI cloud services support compliance with the requirements. Finanzinstitute, die im globalen Finanzzentrum von New York tätig sein möchten, müssen diese Anforderungen erfüllen. Daher ist die Einhaltung von Vorschriften für viele Institute von entscheidender Bedeutung.Financial institutions that seek to operate in the global financial center of New York must meet them, so compliance is critical for many institutions.

Befolgen Sie diese Anleitung, um die Einhaltung von Titel 23 NYCRR Teil 500 zu beschleunigen: Microsoft Cloud Services: Unterstützung der Compliance der Cybersicherheitsanforderungen von NYDFSFollow this guidance to accelerate your compliance with Title 23 NYCRR Part 500: Microsoft Cloud Services: Supporting Compliance with NYDFS Cybersecurity Requirements

Nach den New Yorker Bestimmungen muss jedes Finanzinstitut:The New York regulations require each financial institution to:

  • Entwicklung und Aufrechterhaltung eines soliden Cybersicherheitsprogramms, beginnend mit einer Bewertung des spezifischen Risikoprofils des Instituts und anschließender Ausarbeitung eines Programms, das diese Probleme angeht.Develop and maintain a robust cybersecurity program starting with an assessment of the institution’s specific risk profile and then designing a program that addresses them. Das Microsoft Cloud Financial Services Compliance Program wurde entwickelt, um Finanzdienstleistungen bei der Einschätzung der Risiken bei der Verwendung von Microsoft Cloud Services zu unterstützen.The Microsoft Cloud Financial Services Compliance Program was created to help financial services assess the risks of using Microsoft cloud services. Dies beinhaltet die direkte Zusammenarbeit mit unseren Ingenieuren und Risikobeauftragten, sowie den Zugang zu unseren Compliance- und Sicherheitsexperten.It includes direct engagement with our engineers and corporate risk officers and access to our compliance and security experts.
  • Implementieren Sie eine umfassende Cybersicherheitsrichtlinie, die sich mit Informationssicherheit, Datenverwaltung und -klassifizierung, Zugriffskontrolle, Geschäftskontinuität und dergleichen befasst.Implement a comprehensive cybersecurity policy that addresses information security, data governance and classification, access controls, business continuity, and the like. Microsoft bietet Anleitungen zur Entwicklung dieser Richtlinie mit ausführlichen Informationen zu unseren Zertifizierungen und Risikobewertungen, Metriken für Geschäftskontinuität und Notfallwiederherstellung, und Diagnosen für die Protokollierung und Überwachung.Microsoft offers guidance for developing this policy with in-depth information about our certifications and risk assessments; business continuity and disaster recovery metrics; and diagnostics for logging and auditing.
  • **Bestimmen Sie einen Chief Information Security Officer **(CISO) für die Verwaltung des Cybersicherheitsprogramms und die Durchsetzung der Richtlinien.Designate a chief information security officer (CISO) to manage the cybersecurity program and enforce policy. Zur Unterstützung Ihres CISO stellt Microsoft ausführliche Informationen zur Cybersicherheit über Azure Security Center, Office 365 Advanced Threat Analyticsund Power BI-Security bereit.To help your CISO, Microsoft provides in-depth cybersecurity information about Microsoft cloud deployments through Azure Security Center, Office 365 Advanced Threat Analytics, and Power BI Security.
  • Überwachen und Testen der Wirksamkeit des Cybersicherheitsprogramms: Microsoft stellt Informationen aus Audits seiner Cybersicherheitspraktiken bereit, die kontinuierliche Überwachung, regelmäßige Penetrationstests und Schwachstellenbewertungen umfassen.Monitor and test the effectiveness of its cybersecurity program: Microsoft provides information from audits of its cybersecurity practices that include continuous monitoring, periodic penetration testing, and vulnerability assessments. Kunden können ihre eigenen Tests ohne vorherige Genehmigung von Microsoft durchführen.Customers can conduct their own tests without advance permission from Microsoft.
  • Führen Sie einen Audit-Trail.Maintain an audit trail. Die integrierten Überwachungsfunktionen von Azure-, Office 365- und Power BI-Kunden generieren Informationen, die zum Wiederherstellen von Finanztransaktionen und zum Entwickeln von Prüfprotokollinformationen verwendet werden können.Built-in audit functionalities of Azure, Office 365, and Power BI customers generate information that can be used to reconstruct financial transactions and develop audit trail information.
  • Beschränken des Zugriffs auf Informationssysteme mit nicht öffentlichen Informationen: Maßnahmen, mit denen Azure, Office 365 und Power BI einen für jeden Dienst einheitlichen rollenbasierten Zugriffskontrollprozess (RBAC), strenge Sicherheits- und Zugriffsanforderungen für jeden Microsoft-Administrator und Prüfungen für jeden bieten Anfrage für erhöhte Zugriffsrechte.Limit access to information systems that contain nonpublic information: Measures that Azure, Office 365, and Power BI offer a role-based access control (RBAC) process native to each service, strict security and access requirements for every Microsoft administrator, and audits of every request for elevated access privileges.
  • Institutsverfahren zum Bewerten und Testen der Sicherheit von extern entwickelten Anwendungen: Für Entwickler, die Visual Studio verwenden, können Sicherheitsregeln für verwalteten Code sicherstellen, dass Bedrohungen für die Cybersicherheit von Anwendungen erkannt und verringert werden, bevor der Code bereitgestellt wird.Institute procedures to assess and test the security of externally developed applications: For developers using Visual Studio, Security Rules for managed code can help ensure that application cybersecurity threats are detected and mitigated before the code is deployed.
  • Verwenden Sie regelmäßige Risikobewertungen, um Cybersicherheitsprogramme zu entwerfen und zu verbessern: Für Kunden fügt Microsoft Informationen zu Sicherheitsbedrohungen hinzu, stellt Roadmaps für das Änderungsmanagement bereit und aktualisiert regelmäßig Informationen zu Subunternehmern.Use periodic risk assessments to design and enhance cybersecurity programs: For customers, Microsoft aggregates information about security threats, provides roadmaps of change management, and regularly updates information about subcontractors. Microsoft führt auch regelmäßig Risikobewertungen für seine eigenen Dienste durch, deren Ergebnisse den Kunden zur Verfügung stehen.Microsoft also regularly conducts risk assessments of its own services, the results of which are available to customers.
  • Verwenden Sie qualifiziertes Personal, um Cybersicherheitsrisiken zu verwalten und Cybersicherheitsfunktionen zu überwachen: Microsoft wendet strenge Verfahren für den Zugriff unserer Mitarbeiter auf Ihre Kundendaten an.Use qualified personnel to manage cybersecurity risks and oversee cybersecurity functions: Microsoft employs stringent procedures for our employee access to your customer data. Wenn wir Subunternehmer beauftragen, bleiben wir für die Erbringung der Dienstleistungen verantwortlich und stellen sicher, dass Subunternehmer die Datenschutz- und Sicherheitsverpflichtungen von Microsoft vollständig einhalten, einschließlich der Anforderungen für den Umgang mit vertraulichen Daten, Hintergrundprüfungen und Geheimhaltungsvereinbarungen.If we hire subcontractors, we remain responsible for service delivery, and ensure that subcontractors fully comply with Microsoft privacy and security commitments, including requirements for handling sensitive data, background checks, and non-disclosure agreements.
  • Implementieren Sie Richtlinien und Verfahren, um die Sicherheit von Informationen zu gewährleisten, die von Drittanbietern bereitgestellt werden: Azure, Office 365 und Power BI stellen die Multifaktorauthentifizierung für alle eingehenden Verbindungen zu Unternehmensnetzwerken zur Verfügung. Implementierung von Kontrollen, einschließlich Verschlüsselung, zum Schutz nicht öffentlicher Informationen bei der Übertragung über externe Netze und im Ruhezustand; und bietet Microsoft Online Services-Bedingungen an, die Kundenbenachrichtigungen, Untersuchung von Vorfällen und Risikominderung bei Sicherheitsvorfällen vorsehen.Implement policies and procedures to ensure the security of information held by third-party service providers: Azure, Office 365, and Power BI make multi-factor authentication available for all inbound connections to company networks; implement controls, including encryption, to protect nonpublic information in transit over external networks and at rest; and offer Microsoft Online Services Terms that provide for customer notification, incident investigation, and risk mitigation for security incidents.
  • Implementieren von Richtlinien und Verfahren zum Aufbewahren und Löschen von Daten: Sie können jederzeit auf Ihre in Azure, Office 365 und Power BI gespeicherten Kundendaten zugreifen und diese extrahieren.Implement data retention and deletion policies and procedures: You can always access and extract your customer data stored in Azure, Office 365, and Power BI.
  • Überwachen Sie die Aktivitäten autorisierter Nutzer, entdecken Sie nicht autorisierte Zugriffe und bieten Sie Mitarbeitern regelmäßige Schulungen zum Thema Cybersicherheit an: Azure, Office 365 und Power BI umfassen eine Überwachung von außen, um Warnungen zu Vorfällen auszulösen, und umfassende Diagnosen für die Protokollierung und Überwachung.Monitor the activity of authorized users, detect unauthorized access, and offer regular cybersecurity awareness training to employees: Azure, Office 365, and Power BI include outside-in monitoring to raise alerts about incidents, and extensive diagnostics for logging and auditing. Die Microsoft Virtual Academy bietet Online-Schulungen zum Thema Cybersicherheit von Microsoft Cloud Services an.Microsoft Virtual Academy offers online training that covers the cybersecurity of Microsoft cloud services.
  • Entwickeln Sie Pläne, um auf Cybersicherheitsvorfälle zu reagieren und diese zu beheben: Microsoft hilft Ihnen, sich auf Cybersicherheitsvorfälle vorzubereiten, indem es eine Verteidigungsstrategie einsetzt, um Sicherheitslücken zu erkennen, vorherzusagen und zu verhindern, bevor sie auftreten.Develop plans to respond to and recover from cybersecurity incidents: Microsoft helps you prepare for cybersecurity incidents using a defensive strategy to detect, predict, and prevent security breaches before they occur. Wenn Sie Ihre eigenen Pläne entwickeln, können Sie auf unseren Incident-Management-Plan zurückgreifen, um auf Cybersicherheitslücken zu reagieren.When developing your own plans, you can draw on our incident management plan for responding to cybersecurity breaches.

In-Scope-Cloud-Dienste von MicrosoftMicrosoft in-scope cloud services

  • AzureAzure
  • IntuneIntune
  • Office 365Office 365
  • Power BI-Clouddienst entweder als eigenständiger Dienst oder als Bestandteil eines Office 365 Markenplans oder einer Office 365 SuitePower BI cloud service either as a standalone service or as included in an Office 365 branded plan or suite

Häufig gestellte FragenFrequently asked questions

Welche Institute fallen unter diese Verordnung?What institutions are covered under this regulation?

Wenden Sie sich an das New Yorker Finanzdienstleistungsministerium, Wen Wir Überwachen, um festzustellen, ob Ihr Institut unter diese Verordnung fällt.Consult the New York Department of Financial Services Who We Supervise to determine whether your institution is governed by this regulation.

RessourcenResources

Weitere Microsoft-Ressourcen für FinanzdiensteOther Microsoft resources for financial services