Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

23 NYCRR Part 500: Navigeren door de cyberbeveiligingsregelgeving van de staat New York

Startpagina Woordenlijst 23 NYCRR 500: Navigeren door de cyberbeveiligingsregelgeving van de staat New York

In maart 2017 introduceerde het New York State Department of Financial Services (DFS) de 23 NYCRR 500, een reeks regels die zijn ontworpen om de enorme financiële sector te beschermen tegen cyberdreigingen. Deze uitgebreide cybersecurity-regelgeving verplicht bedrijven in de financiële sector om cybersecurityprogramma’s op te zetten en te onderhouden die de vertrouwelijkheid, integriteit en beschikbaarheid van hun informatiesystemen waarborgen.

23 NYCRR 500: Navigeren door de cyberbeveiligingsregelgeving van de staat New York

De 23 NYCRR 500 is van toepassing op alle bedrijven in de financiële sector die actief zijn in de staat New York, waaronder banken, kredietunies, verzekeringsmaatschappijen en andere financiële instellingen. De regelgeving is bedoeld om ervoor te zorgen dat bedrijven in de financiële sector voldoende cybersecuritymaatregelen nemen om gevoelige klantinformatie te beschermen tegen cyberdreigingen. Om aan de vereisten te voldoen, moeten financiële organisaties uitgebreide strategieën voor risicobeheer op het gebied van cybersecurity implementeren.

Alleen bedrijven die aan de volgende criteria voldoen, zijn vrijgesteld van deze regelgeving:

  • Minder dan 10 medewerkers
  • Minder dan $10 miljoen aan totale activa aan het einde van het jaar
  • Minder dan $5 miljoen aan bruto-omzet over de afgelopen drie jaar

De reikwijdte van 23 NYCRR 500

De 23 NYCRR 500 geldt voor alle bedrijven in de financiële sector die onder toezicht staan van het New York State Department of Financial Services (DFS). De regelgeving vereist dat bedrijven een cybersecurityprogramma opzetten en onderhouden dat hun informatiesystemen adequaat beschermt tegen ongeautoriseerde toegang, openbaarmaking of misbruik.

De regelgeving vereist ook dat bedrijven schriftelijke beleidslijnen en procedures ontwikkelen die de volgende gebieden behandelen:

  • Informatiebeveiliging
  • Gegevensbeheer en classificatie
  • Toegangscontroles en Identity & Access Management (IAM)
  • Cybersecuritypersoneel en Threat Intelligence
  • Incidentresponsplanning en implementatie
  • Beheer van leveranciers en derde partijen
  • Jaarlijkse penetratietests en kwetsbaarheidsbeoordelingen
  • Risicobeoordeling

Hoe verhoudt 23 NYCRR 500 zich tot andere regelgevingen?

De 23 NYCRR 500-regelgeving is een uitgebreide, op de staat gerichte cybersecurityvereiste voor financiële instellingen in de staat New York, waarbij veel bepalingen overlappen met die van het National Institute of Standards and Technology Cybersecurity Framework (NIST CSF), de General Data Protection Regulation (GDPR) van de Europese Unie (EU) en ISO 27001. Door te voldoen aan de normen die door deze regelgeving worden opgelegd, kunnen financiële instellingen in New York de privacy- en beveiligingsrisico’s die gepaard gaan met het verwerken van gevoelige gegevens verkleinen en zich beschermen tegen cyberdreigingen op hun digitale infrastructuur.

Bepalingen van 23 NYCRR 500

De 23 NYCRR 500-regelgeving vereist dat entiteiten een cybersecurityprogramma hebben, een beveiligingsbeleid voor derde partijen, multi-factor authentication, encryptie van niet-openbare informatie en een incidentresponsplan.

Cybersecurityprogramma

De 23 NYCRR 500 schrijft een cybersecurityprogramma voor dat administratieve en technische waarborgen bevat om de vertrouwelijkheid, integriteit en beschikbaarheid van informatiesystemen en niet-openbare informatie te beschermen. Het moet ook risicobeoordelingen omvatten, beleidslijnen en procedures voor de bescherming van informatiesystemen, monitoring en auditing van het systeem, en incidentresponsplannen.

Beveiligingsbeleid voor derde partijen

Het beveiligingsbeleid voor derde partijen beschrijft de stappen die moeten worden genomen om ervoor te zorgen dat dienstverleners passende beveiligingsmaatregelen en -processen hebben om niet-openbare informatie te beschermen. Het moet ook vereisten bevatten voor derde partijen om informatie adequaat te beschermen, beveiligingsincidenten te identificeren en erop te reageren, en het bedrijf tijdig op de hoogte te stellen van incidenten.

Multi-factor authentication

Multi-factor authentication is een methode om de identiteit van een individu te verifiëren door gebruik te maken van twee of meer onafhankelijke verificatie-elementen. Dit kan onder meer wachtwoorden, PIN-codes, biometrie of andere authenticatiemethoden omvatten.

Encryptie van niet-openbare informatie

Niet-openbare informatie moet gedurende de gehele levenscyclus worden versleuteld, inclusief wanneer deze wordt opgeslagen, verzonden of geraadpleegd.

Incidentresponsplan

Het incidentresponsplan beschrijft de stappen die moeten worden genomen bij een datalek of ongeautoriseerde toegang tot niet-openbare informatie. Het moet procedures bevatten voor het reageren op en indammen van het incident, het informeren van de juiste autoriteiten en het nemen van corrigerende maatregelen om soortgelijke incidenten in de toekomst te voorkomen.

Belangrijkste vereisten van 23 NYCRR 500

Zoals de naam al aangeeft, bestaat de 23 NYCRR 500 uit 23 vereisten die organisaties als geheel helpen potentiële dreigingen te herkennen en zich hiertegen te verdedigen voordat er een aanval plaatsvindt. Van de 23 vereisten zijn de volgende het meest opvallend:

  1. Stel een cybersecurityprogramma op en onderhoud dit, gericht op het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van hun informatiesystemen.
  2. Ontwikkel schriftelijke beleidslijnen en procedures die de in de vorige sectie genoemde gebieden behandelen.
  3. Wijs een Chief Information Security Officer (CISO) aan die verantwoordelijk is voor de implementatie en het toezicht op het cybersecurityprogramma.
  4. Voer regelmatig risicobeoordelingen uit om potentiële risico’s voor de informatiesystemen van het bedrijf te identificeren en te beoordelen.
  5. Ontwikkel en implementeer een incidentresponsplan om snel te kunnen reageren op en het beperken van cybersecurity-incidenten.
  6. Bied regelmatig cybersecurity-awareness trainingen aan alle medewerkers.
  7. Gebruik encryptie om gevoelige gegevens tijdens verzending en opslag te beschermen.

Sancties bij niet-naleving

Het New York State Department of Financial Services (DFS) kan civielrechtelijke boetes opleggen tot maximaal $5.000 per overtreding en tot maximaal $5.000 voor elke dag dat de overtreder in gebreke blijft. Daarnaast kan de DFS bevelen tot staking en gestaakte activiteiten uitvaardigen, vergunningen en certificaten intrekken of schorsen, de overtreder opdragen corrigerende maatregelen te nemen en/of andere onderzoeken of procedures uitvoeren zoals bij wet bepaald. Tot slot kan iedereen die opzettelijk en willens en wetens een bepaling van de 23 NYCRR 500 overtreedt, strafrechtelijk worden vervolgd en mogelijk gevangenisstraf krijgen.

Beste practices voor naleving van 23 NYCRR 500

Het is essentieel voor organisaties om de 23 NYCRR 500-regelgeving te begrijpen en beste practices toe te passen om compliant te blijven. Met de volgende beste practices moet rekening worden gehouden:

Begrijp de wettelijke verplichtingen van uw bedrijf

Als bedrijf is het essentieel om alle wettelijke vereisten te begrijpen die op uw organisatie van toepassing zijn. Bewustzijn van de wettelijke vereisten helpt om naleving van de 23 NYCRR 500 te waarborgen.

Implementeer een uitgebreid cybersecurityprogramma

Een uitgebreid cybersecurityprogramma is essentieel voor het beschermen van gegevens, systemen en netwerken tegen cyberdreigingen. Dit programma moet beleidslijnen, procedures en technologieën bevatten die zijn ontworpen om te beschermen en te monitoren tegen dreigingen.

Personeel opleiden

Als onderdeel van het cybersecurityprogramma is het belangrijk om medewerkers te trainen in de beleidslijnen en procedures. Deze training moet onderwerpen behandelen zoals het herkennen van phishing-e-mails en beste practices voor het beveiligen van gegevens.

Stel een risicobeheerproces op

Het opzetten van een proces voor risicobeheer op het gebied van cybersecurity dat de potentiële risico’s voor de organisatie evalueert, de risico’s documenteert en manieren identificeert om deze risico’s te beperken, is essentieel voor naleving van de 23 NYCRR 500.

Beveiligingssystemen monitoren en onderhouden

Beveiligingssystemen zoals firewalls en antivirussoftware moeten worden gemonitord en onderhouden om te waarborgen dat ze goed functioneren en up-to-date zijn. Regelmatige beveiligingsscans moeten worden uitgevoerd om kwetsbaarheden te identificeren.

Ontwikkel een incidentresponsplan

Het hebben van een incidentresponsplan is essentieel voor het reageren op beveiligingsincidenten. Dit plan moet de processen beschrijven voor het reageren op en beperken van incidenten.

Beheer van leveranciers en derde partijen opzetten

Het opzetten en beheren van relaties met leveranciers en derde partijen is belangrijk om ervoor te zorgen dat alle leveranciers voldoen aan de 23 NYCRR 500. Het is essentieel om leveranciers te beoordelen om te waarborgen dat hun beveiligingsmaatregelen voldoen aan de vereisten van de organisatie.

Waarborg gegevensprivacy met het Kiteworks Private Content Network

Een van de beste benaderingen om te helpen bij naleving van de 23 NYCRR 500 is het gebruik van technologie die gegevensprivacy ondersteunt. Encryptie, data management en zichtbaarheid, geautomatiseerde controles en technische implementaties van governance-, risico- en compliancebeleid kunnen aanzienlijk bijdragen aan dergelijke inspanningen. Bedrijven moeten zowel hun wettelijke verplichtingen als hun ethische positie begrijpen als het gaat om het beschermen van de privacy van gebruikersgegevens.

Het Kiteworks Private Content Network verenigt, volgt, controleert en beveiligt gevoelige communicatie van content op één platform. Gecentraliseerd beheer stelt organisaties in de financiële sector in staat om naleving aan te tonen van regelgeving op het gebied van gegevensprivacy en cybersecurity, zoals de 23 NYCRR 500, Federal Information Security Management Act (FISMA), Financial Industry Regulatory Authority (FINRA), FTC Safeguards Rule, Gramm-Leach-Bliley Act (GLBA) en andere.

Bestands- en e-mailgegevens die via het Kiteworks Private Content Network worden verzonden en gedeeld, worden beschermd door de Kiteworks hardened virtual appliance, die gebruikmaakt van een ingebouwde netwerkfirewall en WAF en zero-trust least-privilege access en het aanvalsoppervlak minimaliseert. Ontdek hoe het Kiteworks Private Content Network financiële organisaties in staat stelt om naleving aan te tonen van de 23 NYCRR 500 en diverse andere normen voor gegevensprivacy en cybersecurity door vandaag nog een aangepaste demo te plannen.

 

Terug naar Risk & Compliance Woordenlijst

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks