Раздел 23 NYCRR (часть 500)
Обзор раздела 23 NYCRR (часть 500)
В ответ на значительные и постоянно растущие угрозы кибербезопасности информационных и финансовых систем в 2017 г. Департамент финансовых услуг штата Нью-Йорк принял новые требования к кибербезопасности для финансовых учреждений, у которых есть лицензия или разрешение на коммерческую деятельность в этом штате. Раздел 23 кодексов, правил и нормативов штата Нью-Йорк, часть 500: требования к кибербезопасности для поставщиков финансовых услуг призван защитить данные клиентов и системы информационных технологий в финансовых учреждениях, таких как уполномоченные властями штата, частные и международные банки, ипотечные брокеры и страховые компании.
Корпорация Майкрософт и раздел 23 NYCRR (часть 500)
Корпорация Майкрософт предоставляет исчерпывающее руководство, Облачные службы Майкрософт: поддержка соответствия требованиям NYDFS к кибербезопасности, для финансовых услуг, на которые распространяется раздел 23 NYCRR (часть 500). В нем подробно описывается, как облачные службы Azure, Office 365 и Power BI поддерживают соответствие требованиям. Финансовые учреждения, стремящиеся работать в международном финансовом центре Нью-Йорк, должны соответствовать этим требованиям, поэтому их соблюдение критически важно для многих учреждений.
Нормативы Нью-Йорка устанавливают для каждого финансового учреждения перечисленные ниже требования.
- Разработка и поддержание надежной программы кибербезопасности, в ходе которых оценивается профиль рисков конкретного учреждения, а затем составляется программа для их устранения. Сведения о взаимодействии с Microsoft Cloud for Financial Services см. в разделе Microsoft Cloud Financial Services. Кроме того, на странице "Финансовые услуги " нашего портала service Trust Portal содержатся ресурсы для конкретных стран, которые помогут вам лучше понять, как соответствовать глобальным нормативным требованиям.
- Реализация полноценной политики кибербезопасности, которая обеспечивает информационную безопасность, управление данными и их классификацию, контроль доступа, непрерывность коммерческой деятельности и т. д. Корпорация Майкрософт предоставляет рекомендации по составлению этой политики, в том числе подробные сведения о наших сертификатах и оценках рисков, метрики непрерывности коммерческой деятельности и аварийного восстановления, а также диагностические данные для ведения журналов и аудита.
- Назначение руководителя по информационной безопасности (CISO) для управления программой кибербезопасности и применения политики. Чтобы помочь вашему CISO, корпорация Майкрософт предоставляет подробные сведения о кибербезопасности облачных развертываний Майкрософт с помощью Microsoft Defender для облака, Office 365 Advanced Threat Analytics и Power BI Security.
- Мониторинг и тестирование эффективности программы по обеспечению кибербезопасности. Корпорация Майкрософт предоставляет данные аудита о своих методиках обеспечения кибербезопасности, включая непрерывный мониторинг, периодическое тестирование на возможность проникновения и оценки уязвимостей. Клиенты могут проводить собственные испытания без предварительного разрешения корпорации Майкрософт.
- Ведение журнала аудита. Встроенные функции Azure, Office 365 и Power BI собирают информацию, с помощью которой можно воссоздавать финансовые транзакции и составлять журнал аудита.
- Ограничение доступа к информационным системам, содержащим непубличную информацию. Службы Azure, Office 365 и Power BI предусматривают встроенный процесс управления доступом на основе ролей (RBAC), строгие требования к безопасности и доступу для каждого администратора Майкрософт, а также аудит каждого запроса на расширенные права доступа.
- Внедрение процедур для оценки и тестирования безопасности внешних приложений. Что касается разработчиков, использующих Visual Studio, правила безопасности для управляемого кода помогают обеспечить обнаружение и устранение угроз кибербезопасности перед развертыванием кода.
- Использование периодической оценки рисков для разработки и улучшения программ кибербезопасности. Для клиентов корпорация Майкрософт собирает сведения об угрозах безопасности, составляет планы управления изменениями и регулярно обновляет информацию о субподрядчиках. Кроме того, Майкрософт регулярно проводит в своих службах оценку рисков, результаты которой доступны клиентам.
- Использование квалифицированного персонала для управления рисками кибербезопасности и наблюдения за соответствующими функциями. Корпорация Майкрософт применяет строгие процедуры доступа сотрудников к данным клиентов. Нанимая субподрядчиков, мы по-прежнему несем ответственность за предоставление услуг, а также обеспечение полного соблюдения субподрядчиками требований Майкрософт к конфиденциальности и безопасности, включая требования к обработке конфиденциальных данных, проверке сотрудников и соглашениям о неразглашении.
- Реализация политик и процедур для обеспечения безопасности информации, хранящейся у сторонних поставщиков. Azure, Office 365 и Power BI предоставляют многофакторную проверку подлинности для всех входящих подключений к сетям компании. В этих службах реализованы средства управления (включая шифрование) для защиты непубличной информации, передаваемой по внешним сетям, и неактивных данных. Кроме того, предоставляются условия использования Microsoft Online Services, которые обеспечивают уведомление клиентов, расследование инцидентов и устранение рисков инцидентов безопасности.
- Реализация политик и процедур хранения и удаления данных. Вы всегда можете получать доступ к своим данных, хранящимся в Azure, Office 365 и Power BI, и извлекать их.
- Мониторинг активности уполномоченных пользователей, обнаружение несанкционированного доступа и регулярное обучение сотрудников принципам кибербезопасности. Azure, Office 365 и Power BI включают мониторинг извне для создания оповещений об инцидентах, а также широкие возможности диагностики для ведения журнала и аудита. Программа Microsoft Virtual Academy предоставляет интерактивные средства обучения, посвященные кибербезопасности облачных служб (Майкрософт).
- Разработка планов реагирования на инциденты кибербезопасности и восстановления после них. Корпорация Майкрософт помогает вам готовиться к инцидентам кибербезопасности, используя стратегию защиты для обнаружения, прогнозирования и предотвращения нарушений безопасности. При составлении своих планов вы можете сверяться с нашим планом управления инцидентами для реагирования на нарушения кибербезопасности.
Затрагиваемые облачные платформы и службы Майкрософт
- Azure
- Intune
- Office 365
Office 365 и раздел 500 NYCRR (часть 23)
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Exchange Online Protection, Exchange Online, портал клиентов Office 365, Office Online, инфраструктура служб Office, OneDrive для бизнеса, SharePoint Online, Skype для бизнеса |
Вопросы и ответы
На какие учреждения распространяется этот норматив?
Ознакомьтесь с сайтом За кем мы наблюдаем Департамента финансовых услуг Нью-Йорка, чтобы определить, распространяется ли этот норматив на ваше учреждение.
Ресурсы
- Рекомендованные ресурсы
- Раздел 23 NYCRR (часть 500) Департамента финансовых услуг Нью-Йорка: требования к кибербезопасности для финансовых учреждений
- Облачные службы Майкрософт: поддержка соответствия требованиям NYDFS к кибербезопасности
- Соответствие требованиям в центре управления безопасностью Майкрософт