Раздел 23 NYCRR (часть 500)

  • Статья

Обзор раздела 23 NYCRR (часть 500)

В ответ на значительные и постоянно растущие угрозы кибербезопасности информационных и финансовых систем в 2017 г. Департамент финансовых услуг штата Нью-Йорк принял новые требования к кибербезопасности для финансовых учреждений, у которых есть лицензия или разрешение на коммерческую деятельность в этом штате. Раздел 23 кодексов, правил и нормативов штата Нью-Йорк, часть 500: требования к кибербезопасности для поставщиков финансовых услуг призван защитить данные клиентов и системы информационных технологий в финансовых учреждениях, таких как уполномоченные властями штата, частные и международные банки, ипотечные брокеры и страховые компании.

Корпорация Майкрософт и раздел 23 NYCRR (часть 500)

Корпорация Майкрософт предоставляет исчерпывающее руководство, Облачные службы Майкрософт: поддержка соответствия требованиям NYDFS к кибербезопасности, для финансовых услуг, на которые распространяется раздел 23 NYCRR (часть 500). В нем подробно описывается, как облачные службы Azure, Office 365 и Power BI поддерживают соответствие требованиям. Финансовые учреждения, стремящиеся работать в международном финансовом центре Нью-Йорк, должны соответствовать этим требованиям, поэтому их соблюдение критически важно для многих учреждений.

Нормативы Нью-Йорка устанавливают для каждого финансового учреждения перечисленные ниже требования.

  • Разработка и поддержание надежной программы кибербезопасности, в ходе которых оценивается профиль рисков конкретного учреждения, а затем составляется программа для их устранения. Сведения о взаимодействии с Microsoft Cloud for Financial Services см. в разделе Microsoft Cloud Financial Services. Кроме того, на странице "Финансовые услуги " нашего портала service Trust Portal содержатся ресурсы для конкретных стран, которые помогут вам лучше понять, как соответствовать глобальным нормативным требованиям.
  • Реализация полноценной политики кибербезопасности, которая обеспечивает информационную безопасность, управление данными и их классификацию, контроль доступа, непрерывность коммерческой деятельности и т. д. Корпорация Майкрософт предоставляет рекомендации по составлению этой политики, в том числе подробные сведения о наших сертификатах и оценках рисков, метрики непрерывности коммерческой деятельности и аварийного восстановления, а также диагностические данные для ведения журналов и аудита.
  • Назначение руководителя по информационной безопасности (CISO) для управления программой кибербезопасности и применения политики. Чтобы помочь вашему CISO, корпорация Майкрософт предоставляет подробные сведения о кибербезопасности облачных развертываний Майкрософт с помощью Microsoft Defender для облака, Office 365 Advanced Threat Analytics и Power BI Security.
  • Мониторинг и тестирование эффективности программы по обеспечению кибербезопасности. Корпорация Майкрософт предоставляет данные аудита о своих методиках обеспечения кибербезопасности, включая непрерывный мониторинг, периодическое тестирование на возможность проникновения и оценки уязвимостей. Клиенты могут проводить собственные испытания без предварительного разрешения корпорации Майкрософт.
  • Ведение журнала аудита. Встроенные функции Azure, Office 365 и Power BI собирают информацию, с помощью которой можно воссоздавать финансовые транзакции и составлять журнал аудита.
  • Ограничение доступа к информационным системам, содержащим непубличную информацию. Службы Azure, Office 365 и Power BI предусматривают встроенный процесс управления доступом на основе ролей (RBAC), строгие требования к безопасности и доступу для каждого администратора Майкрософт, а также аудит каждого запроса на расширенные права доступа.
  • Внедрение процедур для оценки и тестирования безопасности внешних приложений. Что касается разработчиков, использующих Visual Studio, правила безопасности для управляемого кода помогают обеспечить обнаружение и устранение угроз кибербезопасности перед развертыванием кода.
  • Использование периодической оценки рисков для разработки и улучшения программ кибербезопасности. Для клиентов корпорация Майкрософт собирает сведения об угрозах безопасности, составляет планы управления изменениями и регулярно обновляет информацию о субподрядчиках. Кроме того, Майкрософт регулярно проводит в своих службах оценку рисков, результаты которой доступны клиентам.
  • Использование квалифицированного персонала для управления рисками кибербезопасности и наблюдения за соответствующими функциями. Корпорация Майкрософт применяет строгие процедуры доступа сотрудников к данным клиентов. Нанимая субподрядчиков, мы по-прежнему несем ответственность за предоставление услуг, а также обеспечение полного соблюдения субподрядчиками требований Майкрософт к конфиденциальности и безопасности, включая требования к обработке конфиденциальных данных, проверке сотрудников и соглашениям о неразглашении.
  • Реализация политик и процедур для обеспечения безопасности информации, хранящейся у сторонних поставщиков. Azure, Office 365 и Power BI предоставляют многофакторную проверку подлинности для всех входящих подключений к сетям компании. В этих службах реализованы средства управления (включая шифрование) для защиты непубличной информации, передаваемой по внешним сетям, и неактивных данных. Кроме того, предоставляются условия использования Microsoft Online Services, которые обеспечивают уведомление клиентов, расследование инцидентов и устранение рисков инцидентов безопасности.
  • Реализация политик и процедур хранения и удаления данных. Вы всегда можете получать доступ к своим данных, хранящимся в Azure, Office 365 и Power BI, и извлекать их.
  • Мониторинг активности уполномоченных пользователей, обнаружение несанкционированного доступа и регулярное обучение сотрудников принципам кибербезопасности. Azure, Office 365 и Power BI включают мониторинг извне для создания оповещений об инцидентах, а также широкие возможности диагностики для ведения журнала и аудита. Программа Microsoft Virtual Academy предоставляет интерактивные средства обучения, посвященные кибербезопасности облачных служб (Майкрософт).
  • Разработка планов реагирования на инциденты кибербезопасности и восстановления после них. Корпорация Майкрософт помогает вам готовиться к инцидентам кибербезопасности, используя стратегию защиты для обнаружения, прогнозирования и предотвращения нарушений безопасности. При составлении своих планов вы можете сверяться с нашим планом управления инцидентами для реагирования на нарушения кибербезопасности.

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure
  • Intune
  • Office 365

Office 365 и раздел 500 NYCRR (часть 23)

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Exchange Online Protection, Exchange Online, портал клиентов Office 365, Office Online, инфраструктура служб Office, OneDrive для бизнеса, SharePoint Online, Skype для бизнеса

Вопросы и ответы

На какие учреждения распространяется этот норматив?

Ознакомьтесь с сайтом За кем мы наблюдаем Департамента финансовых услуг Нью-Йорка, чтобы определить, распространяется ли этот норматив на ваше учреждение.

Ресурсы

Другие ресурсы Майкрософт для финансовых услуг