Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор раздела 23 NYCRR (часть 500)
В ответ на значительные и постоянно растущие угрозы кибербезопасности информационных и финансовых систем в 2017 г. Департамент финансовых услуг штата Нью-Йорк принял новые требования к кибербезопасности для финансовых учреждений, у которых есть лицензия или разрешение на коммерческую деятельность в этом штате. Раздел 23 кодексов, правил и нормативов штата Нью-Йорк, часть 500: требования к кибербезопасности для поставщиков финансовых услуг призван защитить данные клиентов и системы информационных технологий в финансовых учреждениях, таких как уполномоченные властями штата, частные и международные банки, ипотечные брокеры и страховые компании.
Корпорация Майкрософт и раздел 23 NYCRR (часть 500)
Корпорация Майкрософт предоставляет исчерпывающее руководство, Облачные службы Майкрософт: поддержка соответствия требованиям NYDFS к кибербезопасности, для финансовых услуг, на которые распространяется раздел 23 NYCRR (часть 500). В ней подробно объясняется, как Azure, Microsoft 365 и облачные службы Power BI поддерживают соответствие требованиям. Финансовые учреждения, стремящиеся работать в международном финансовом центре Нью-Йорк, должны соответствовать этим требованиям, поэтому их соблюдение критически важно для многих учреждений.
Нормативы Нью-Йорка устанавливают для каждого финансового учреждения перечисленные ниже требования.
- Разработка и поддержание надежной программы кибербезопасности, в ходе которых оценивается профиль рисков конкретного учреждения, а затем составляется программа для их устранения. Сведения о взаимодействии с Microsoft Cloud for Financial Services см. в разделе Microsoft Cloud Financial Services. Кроме того, на странице "Финансовые услуги " на портале Service Trust Portal содержатся ресурсы для конкретных стран или регионов, которые помогут вам лучше понять, как соответствовать глобальным нормативным требованиям.
- Реализация полноценной политики кибербезопасности, которая обеспечивает информационную безопасность, управление данными и их классификацию, контроль доступа, непрерывность коммерческой деятельности и т. д. Корпорация Майкрософт предоставляет рекомендации по составлению этой политики, в том числе подробные сведения о наших сертификатах и оценках рисков, метрики непрерывности коммерческой деятельности и аварийного восстановления, а также диагностические данные для ведения журналов и аудита.
- Назначение руководителя по информационной безопасности (CISO) для управления программой кибербезопасности и применения политики. Чтобы помочь вашему CISO, корпорация Майкрософт предоставляет подробные сведения о кибербезопасности облачных развертываний Майкрософт с помощью Microsoft Defender для облака, Microsoft 365 Advanced Threat Analytics и Power BI Security.
- Мониторинг и тестирование эффективности программы по обеспечению кибербезопасности. Корпорация Майкрософт предоставляет данные аудита о своих методиках обеспечения кибербезопасности, включая непрерывный мониторинг, периодическое тестирование на возможность проникновения и оценки уязвимостей. Клиенты могут проводить собственные испытания без предварительного разрешения корпорации Майкрософт.
- Ведение журнала аудита. Встроенные функции аудита azure, Microsoft 365 и Power BI создают сведения, которые можно использовать для восстановления финансовых транзакций и разработки сведений о журнале аудита.
- Ограничение доступа к информационным системам, содержащим непубличной информации. Меры, которые Azure, Microsoft 365 и Power BI предлагают процесс управления доступом на основе ролей (RBAC), собственный для каждой службы, строгие требования к безопасности и доступу для каждого администратора Майкрософт, а также аудит каждого запроса на повышенные права доступа.
- Внедрение процедур для оценки и тестирования безопасности внешних приложений. Что касается разработчиков, использующих Visual Studio, правила безопасности для управляемого кода помогают обеспечить обнаружение и устранение угроз кибербезопасности перед развертыванием кода.
- Использование периодической оценки рисков для разработки и улучшения программ кибербезопасности. Для клиентов корпорация Майкрософт собирает сведения об угрозах безопасности, составляет планы управления изменениями и регулярно обновляет информацию о субподрядчиках. Кроме того, Майкрософт регулярно проводит в своих службах оценку рисков, результаты которой доступны клиентам.
- Использование квалифицированного персонала для управления рисками кибербезопасности и наблюдения за соответствующими функциями. Корпорация Майкрософт применяет строгие процедуры доступа сотрудников к данным клиентов. Нанимая субподрядчиков, мы по-прежнему несем ответственность за предоставление услуг, а также обеспечение полного соблюдения субподрядчиками требований Майкрософт к конфиденциальности и безопасности, включая требования к обработке конфиденциальных данных, проверке сотрудников и соглашениям о неразглашении.
- Реализуйте политики и процедуры для обеспечения безопасности информации, хранящейся у сторонних поставщиков услуг: Azure, Microsoft 365 и Power BI обеспечивают доступность многофакторной проверки подлинности для всех входящих подключений к корпоративным сетям; реализовать средства управления, включая шифрование, для защиты непубличной информации при передаче по внешним сетям и неактивным данным; и предлагают Условия веб-служб Майкрософт , которые предусматривают уведомление клиентов, расследование инцидентов и устранение рисков для инцидентов безопасности.
- Реализуйте политики и процедуры хранения и удаления данных. Вы всегда можете получить доступ к данным клиентов, хранящимся в Azure, Microsoft 365 и Power BI, и извлечь их.
- Мониторинг активности авторизованных пользователей, обнаружение несанкционированного доступа и регулярное обучение повышению осведомленности о кибербезопасности для сотрудников: Azure, Microsoft 365 и Power BI включают внешний мониторинг для создания оповещений об инцидентах, а также обширные диагностика для ведения журнала и аудита. Программа Microsoft Virtual Academy предоставляет интерактивные средства обучения, посвященные кибербезопасности облачных служб (Майкрософт).
- Разработка планов реагирования на инциденты кибербезопасности и восстановления после них. Корпорация Майкрософт помогает вам готовиться к инцидентам кибербезопасности, используя стратегию защиты для обнаружения, прогнозирования и предотвращения нарушений безопасности. При составлении своих планов вы можете сверяться с нашим планом управления инцидентами для реагирования на нарушения кибербезопасности.
Затрагиваемые облачные платформы и службы Майкрософт
- Azure
- Intune
- Microsoft 365
Microsoft 365 и название 23 NYCRR, часть 500
Среды Microsoft 365
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость и область службы Microsoft 365
Используйте следующую таблицу, чтобы определить применимость для служб и подписки Microsoft 365:
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Exchange Online Protection, Exchange Online, Клиентский портал Microsoft 365, Microsoft Teams, Office Online, Инфраструктура служб Office, OneDrive для бизнеса, SharePoint Online |
Вопросы и ответы
На какие учреждения распространяется этот норматив?
Ознакомьтесь с сайтом За кем мы наблюдаем Департамента финансовых услуг Нью-Йорка, чтобы определить, распространяется ли этот норматив на ваше учреждение.
Ресурсы
- Раздел 23 NYCRR (часть 500) Департамента финансовых услуг Нью-Йорка: требования к кибербезопасности для финансовых учреждений
- Облачные службы Майкрософт: поддержка соответствия требованиям NYDFS к кибербезопасности
- Соответствие требованиям в центре управления безопасностью Майкрософт