New York State Department of Financial Services 23 NYCRR 500

Dez 2022

Blog-Startseite

Netzsicherheitsanforderungen des Finanzministeriums des Staates New York 23 NYCRR 500

VORGABEN ZUR NETZSICHERHEIT FÜR UNTERNEHMEN IM BEREICH FINANZDIENSTLEISTUNG

Mit Kingston bleiben Sie konform! Bedrohungen abfangen und Risiken reduzieren

Optionen für jeden Bedarf – für private Endverbraucher, Unternehmen und Staat.

Datenspeicherung auf 100% gesetzeskonform verschlüsselten USBs.
Ganz einfache Verwendung, ohne erforderliche Software oder Treiber.
Für den schnellen, effizienten Einsatz konzipiert.

NYDFS - 23 NYCRR 500: Die fünf wichtigsten Bereiche, die Sie kennen sollten:

Die 5 wichtigsten Bereiche, mit denen Sie Ihre Gesetzeskonformität sicherstellen:

Verschlüsselung sensibler Daten während der Übertragung und der Archivierung. (Abschnitt 500.15 Verschlüsselung nicht öffentlicher Daten.)
Bestellen eines Verantwortlichen für die Informationssicherheit.
Programm zur Netzsicherheit festlegen.
Richtlinie zur Netzsicherheit einführen.
Überwachen von Dienstleistungsunternehmen.
- Vorgeschriebene Verfahren
  - Jährliche Penetrationsüberprüfung
  - Schwachstellenanalyse zweimal im Jahr

Wird die Nichteinhaltung mit Bußgeldern bestraft?

Nach dem DFS-System müssen die leitenden Mitarbeiter von Unternehmen jährlich bestätigen dass die NY DFS- Richtlinien eingehalten werden.

Sollten sich diese Zertifikate als inkorrekt erweisen, wären sie die Basis für das DFS oder Verbraucher, Banken, Versicherungsunternehmen und andere Finanzdienstleister, aufgrund eines Verstoßes gegen diese Zertifizierung zu verklagen. Im Gesetzesvorschlag ist angemerkt, dass seine Vorgaben unter Anwendung aller geltenden Gesetze durchgesetzt werden, zu denen unter anderem folgende gehören:
- New York Banking Law, New York Insurance Law.
- Dies beinhaltet auch zivil- und strafrechtliche Folgen für Personen, die dem DFS gegenüber vorsätzlich falsche Angaben gemacht haben.

Wird die Nichteinhaltung mit Bußgeldern bestraft?

Was muss ich wissen?

Highlights

Abgeleitet von NIST-Standards (das US-basierte National Institute of Standards and Technology)
Nach dem umfassenden Gesetzesvorschlag werden Banken, Versicherungsunternehmen und andere Finanzdienstleister zur Rechenschaft über die strikte Einhaltung des Datenschutzes während der Übertragung, wie auch bei gespeicherten Daten, gezogen.
Der Gesetzesvorschlag schreibt vor, dass Unternehmen sensible Daten nicht nur verschlüsselt übertragen, sondern auch verschlüsselt speichern müssen.
Dies wirkt sich auf die Wall Street und ca. 1.900 Unternehmen mit Vermögenswerten in Höhe von $ 2,9 Trillionen aus.
Er regelt, wer im Falle eines Verstoßes verantwortlich ist, dafür sensibilisiert ist und einen Maßnahmenplan hat; dies reicht bis auf Vorstands-Ebene.
Um Geschäfte mit Finanzinstitutionen tätigen zu können, müssen Unternehmen definierte Kriterien aufweisen, eine Reaktionspolitik für Zwischenfälle haben und das Lieferantenmanagement auf Mindeststandards aktualisieren.

Datenverschlüsselung

Ein verschlüsseltes Kingston und IronKey USB-Laufwerk ist eine Lösung, um die Einhaltung der Datenverschlüsselungsvorschriften zu standardisieren.
Der Gesetzestext schlägt vor, dass Unternehmen sensible Daten nicht nur verschlüsselt übertragen, sondern auch verschlüsselt speichern. (Abschnitt 500.15 Verschlüsselung nicht öffentlicher Daten.)
- Abschnitt 500.15 Verschlüsselung nicht öffentlicher Daten.
  - (a) Im Rahmen des Programms zur Netzsicherheit basierend auf der Risikobewertung hat jede Organisation entsprechende Kontrollen zu implementieren, darunter Verschlüsselung, um nicht öffentliche Daten zu schützen, die durch die Organisation über externe Netzwerke übertragen werden oder gespeichert werden.
Unternehmen, die personenbezogene Daten erheben, verarbeiten oder nutzen, müssen die adäquate Sicherheit zum Schutz dieser personenbezogenen Daten implementieren.
Von Organisationen wird verlangt, diese erweiterten Normen für die Datenverschlüsselung in ihre Verträge mit Dienstleistungsunternehmen einzubeziehen. (Abschnitt 500.11 Sicherheitsrichtlinien für Dienstleistungsunternehmen.)
- Unternehmen, die mit vielen Dienstleistern zusammenarbeiten, müssen Verfahren nachweisen, nach denen die Einhaltung der Verschlüsselungsvorgaben von jedem einzelnen Dienstleister bestätigt werden muss.
  - Abschnitt 500.11 Sicherheitsrichtlinien für Dienstleistungsunternehmen.
    - (2) Richtlinien und Verfahren für Dienstleistungsunternehmen zur Verschlüsselung gemäß den Anforderungen in Abschnitt 500.15 dieses Teils zum Schutz von übertragenen oder aufbewahrten nicht öffentlichen Daten;

Wie wirkt sich dies auf mein Geschäft aus?

Wenn Ihr Unternehmen im Banken-, Versicherungs- oder einem anderen Finanzdienstleistungssektor in der Stadt New York tätig ist, oder wenn Sie Dienstleistungen oder Vertragsarbeiten für Unternehmen in dieser Branche durchführen, unterliegen Sie diesen Richtlinien und müssen sie befolgen.
Sie müssen auch die Vorschriften der Richtlinie und Regeln befolgen, in denen festgelegt ist, dass Sie über die adäquaten Systeme zur Garantie der Sicherheit und Datenspeicherverschlüsselung verfügen.
Unternehmen, die personenbezogene Daten erheben, verarbeiten oder nutzen, müssen adäquate Sicherheitsmaßnahmen zum Schutz dieser personenbezogenen Daten implementieren.

Welche Maßnahmen muss mein Unternehmen ergreifen, um gesetzeskonform zu sein?

Erheben und listen Sie interne und externe Produkte bzw. Geräte zur Datenspeicherung
Protokollieren Sie die verwendete Betriebsausstattung, die in Ihre Datenschutzrichtlinie einbezogen werden muss und stellen Sie sicher, dass Verfahren zur Datenverschlüsselung eingesetzt und eingehalten werden. Elemten, wie u. a., aber nicht beschränkt auf: Server, Festplatten, SSDs, USB-Flashspeicher, Computer und mobile Geräte.
Bestandsanalyse
Schätzen Sie die Gesamtmenge der persönlichen Daten ab.
Aufräumaktion
Löschen Sie Archive, in denen unnötigerweise personenbezogene Daten gehalten werden.
Datenkontrollen
Überprüfen Sie Datenschutzgefährdungen und Folgenabschätzungen.
Verträge
Sorgen Sie jetzt dafür, dass die Richtlinien in Ihrem Unternehmen zukunftssicher sind und die ab Februar 2018 vorgeschriebenen Kriterien erfüllen.
Datenschutzverletzungen
Gesetzlich ist ihre Meldung innerhalb von 72 Stunden vorgeschrieben.

Lösung - Beschränken Sie das Risiko der Nichteinhaltung, indem Sie die entsprechenden Sicherheitsvorkehrungen, technischen Standards und Richtlinien einführen, wie unter anderem die Verschlüsselung von persönlichen und personenbezogenen Daten. Erfahren Sie mehr

Meldung eines Verstoßes

Im Falle eines Verstoßes gegen den Datenschutz muss dieser, sofern möglich, innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden. Die Datenschutzbehörden müssen jedoch nur unterrichtet werden, wenn dieser Verstoß eine Gefährdung der Rechte oder Freiheiten von Personen zur Folge haben kann.

Verbraucherrechte

Was sind personenbezogene Daten?

Gemäß dem dem US-amerikanischen Datenschutzrecht und Informationsschutz versteht man unter personenbezogenen oder sensiblen persönlichen Daten Informationen, die alleinstehend oder gemeinsam mit anderen Informationen dazu verwendet werden können, eine Einzelperson zu identifizieren, zu kontaktieren oder zu lokalisieren, oder eine Person im Zusammenhang zu identifizieren.

NIST Special Publication 800-122[4] definiert personenbezogene Daten (PII) als „Informationen über eine Person, die durch eine Behörde, gespeichert wird, darunter (1) alle Informationen, mit denen sich die Identität einer Person unterscheiden oder rückverfolgen lässt, z. B. Name, Sozialversicherungsnummer, Geburtsdatum und -ort, Mädchenname der Mutter oder biometrische Daten, und (2) alle Informationen, die mit einer Person verknüpft sind oder verknüpft werden können, wie z. B. Patientendaten, Ausbildungsinformationen, Finanz- und Beschäftigungsdaten.” (Weitere Informationen erhalten Sie unter: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-122.pdf )

Richtlinie zur Netzsicherheit

(Aus dem Dokument „Cybersecurity requirements for financial services companies“: https://www.governor.ny.gov/sites/default/files/atoms/files/Cybersecurity_Requirements_Financial_Services_23NYCRR500.pdf )

Jede Organisation hat die schritliche Richtlinie oder Richtlinien umzusetzen und für deren dauerhafte Einhaltung zu sorgen, die durch eine höhere Führungskraft oder den Vorstand (oder eine entsprechende Versammlung) der Organisation oder eine entsprechende zuständige Instanz genehmigt wurde, sowie die Richtlinien und Verfahren zum Schutz von Informationssystemen und nicht öffentlichen Daten, die in diesen Informationssystemen gespeichert sind, einzuhalten.

(a) Informationssicherheit
(b) Datenvorschriften und -klassifizierung
(c) Bestandserfassung und Geräteverwaltung
(d) Zugangskontrollen und Identitätsverwaltung
(e) Business-Continuity- und Disaster-Recovery-Planung und -Ressourcen
(f) Systembetriebs- und Verfügbarkeitsbedenken
(g) System- und Netzwerksicherheit
(h) System- und Netzwerküberwachung
(i) System- und Anwendungsentwicklung und Qualitätssicherung
(j) physische Sicherheits- und Umweltkontrollen
(k) Kundendatenschutz
(l) Anbieter- und Dienstleisterverwaltung
(m) Risikobewertung
(n) Vorfallreaktion

Schlüsseldaten unter der New Yorker Richtlinie zur Netzsicherheit (23 NYCRR Part 500)

1. März 2017 - 23 NYCRR Part 500 tritt in Kraft.
28. August 2017 - 180-tägige Übergangszeit endet. Organisationen müssen die Anforderungen gemäß 23 NYCRR Part 500 erfüllen, sofern nicht anderweitig angegeben.
15. Februar 2018 - Organisationen müssen ihre erste Zertifizierung gemäß 3 NYCRR 500.17(b) spätestens an diesem Datum vorlegen.
1. März 2018 - Einjährige Übergangszeit endet. Organisationen müssen die Anforderungen in Abschnitt 500.04(b), 500.05, 500.09, 500.12 und 500.14(b) des 23 NYCRR Part 500 erfüllen.

3. September 2018 - Die 18-monatige Übergangszeit endet. Organisationen müssen die Anforderungen in Abschnitt 500.06, 500.08, 500.13, 500.14(a) und 500.15 des 23 NYCRR Part 500 erfüllen.
1. März 2019 - Zweijährige Übergangszeit endet. Organisationen müssen die Anforderungen des 23 NYCRR Part 500.11 erfüllen.

Weitere Informationen

Erfahren Sie mehr über Verschlüsseltes USB-Laufwerk - Kingston Technology

Kingston IronKey D500S Hardwareverschlüsselter USB-Stick
Militärische Sicherheit nach FIPS 140-3 Level 3 (ausstehend)

XTS AES 256-Bit-Hardwareverschlüsselung

Verfügbar in einem Managed-Modell

USB 3.2 Gen 1

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

Bis zu 310MB/s Lesen, 250MB/s Schreiben
Mehr darüber Kaufen
Kingston IronKey Vault Privacy 50 Serie
Sicherheit in Unternehmensqualität

XTS AES 256-Bit-Hardwareverschlüsselung

Erhältlich in USB-A und USB-C

USB 3.2 Gen 1

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

Bis zu 310MB/s Lesen, 250MB/s Schreiben
Mehr darüber Kaufen
DT4000G2DM
Kingston IronKey S1000 verschlüsselter USB-Stick
Integrierter Cryptochip

USB 3.1 Gen 1 (USB 3.0)

4GB, 8GB, 16GB, 32GB, 64GB, 128GB

Bis zu 230MB/s Lesen, 240MB/s Schreiben

Komplexes Passwort oder Passwort-Sicherheit
Mehr darüber Kaufen
Kingston IronKey Keypad 200 Serie USB-Stick
Militärische Sicherheit nach FIPS 140-3 Level 3 (ausstehend)

XTS AES 256-Bit-Hardwareverschlüsselung

Erhältlich in USB-A und USB-C

Geräte-/OS-unabhängig

8GB, 16GB, 32GB, 64GB, 128GB, 256GB, 512GB

Bis zu 280MB/s Lesen, 200MB/s Schreiben
Mehr darüber Kaufen