Hero Image Solutions Conformité Ny Crr 500

Conformité NYDFS 23 NYCRR 500

23 NYCRR 500 et gestion des risques liés aux tiers

Début 2017, le Département des services financiers de l'État de New York (DFS) a institué 23 NYCRR 500 afin d'établir de nouvelles exigences en matière de cybersécurité pour les sociétés de services financiers. Ce règlement vise à protéger la confidentialité, l'intégrité et la disponibilité des informations relatives aux clients et des systèmes informatiques connexes.

La loi 23 NYCRR 500 a été promulguée en réponse à la croissance alarmante des violations de données et des menaces cyber contre les institutions financières. Un élément clé de la mise en conformité avec la loi est la gestion des contrôles de sécurité informatique des fournisseurs et des politiques de confidentialité des données.

Plusieurs sections du règlement traitent spécifiquement des fournisseurs tiers :

  • La section 500.11 traite directement de la politique de sécurité des fournisseurs de services tiers. Elle exige que les entités couvertes mettent en œuvre des politiques et des procédures écrites qui traitent de la sécurité des systèmes d'information des tiers sur la base d'une évaluation des risques.

  • La section 500.16 exige que les entités couvertes établissent des plans et des mesures pour assurer la résilience opérationnelle, y compris des plans de réponse aux incidents, de continuité des activités et de reprise après sinistre.

  • La section 500.17 exige un rapport spécifique sur les événements de cybersécurité de tiers.

Conditions applicables

  • Maintenir un programme de cybersécurité qui comprend des évaluations des risques, des audits indépendants et des documents justificatifs.

  • Mettre en œuvre et maintenir des politiques de sécurité de l'information fondées sur des évaluations des risques - y compris pour la gestion des fournisseurs et des prestataires de services tiers.

  • Nommer un CISO qui doit être responsable du programme de cybersécurité de l'organisation, l'examiner et en rendre compte.

  • Inclure des technologies et des pratiques spécifiques en matière de cybersécurité

  • Créer un programme de gestion des risques pour les tiers

  • Déposer une certification annuelle confirmant le respect de ces règlements

Quel sera l'impact de 23 NYCRR 500 sur votre programme TPRM ?

Téléchargez ce guide pour découvrir comment se conformer aux mandats d'évaluation des risques et de documentation des tiers, y compris ceux couverts par l'amendement de novembre 2022.

Lire la suite
Feature nydfs 23 nycrr 500 0223

Respecter les exigences de 23 NYCRR 500 TPRM

Voici comment Prevalent peut vous aider à répondre aux exigences du règlement 23 NYCRR 500 sur la gestion des risques liés aux tiers :

23 NYCRR 500 Exigences Quelle aide nous apportons

SECTION 500.11
(a) Chaque entité couverte doit mettre en œuvre des politiques et des procédures écrites conçues pour assurer la sécurité des systèmes d'information et des informations non publiques qui sont accessibles à des prestataires de services tiers ou détenues par eux. Ces politiques et procédures doivent être fondées sur l'évaluation des risques de l'entité couverte et doivent tenir compte, dans la mesure du possible, des éléments suivants

(1) l'identification et l'évaluation des risques des prestataires de services tiers ;

Prevalent vous permet d'évaluer et de surveiller les tiers en fonction de l'ampleur des menaces pesant sur leurs actifs informationnels en capturant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers comprennent :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Lieu(x) et considérations juridiques ou réglementaires connexes
  • Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
  • Exposition aux processus opérationnels ou de contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par catégories, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.
La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série de considérations liées à l'interaction des données, aux finances, à la réglementation et à la réputation.

(2) les pratiques minimales de cybersécurité que doivent respecter ces prestataires de services tiers pour pouvoir faire affaire avec l'entité couverte ;

Prevalent centralise et automatise la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI). Nos solutions fournissent également des informations sur les risques liés à l'activité, à la réputation, aux finances et à la violation des données, afin d'éclairer et de contextualiser les décisions relatives à la sélection des fournisseurs.

Prevalent fait passer chaque fournisseur sélectionné aux phases de diligence raisonnable de contractualisation et/ou d'embarquement, faisant ainsi progresser automatiquement le fournisseur dans le cycle de vie des tiers.

(3) les processus de diligence raisonnable utilisés pour évaluer l'adéquation des pratiques de cybersécurité de ces prestataires de services tiers ; et

Prevalent automatise les évaluations de risques afin d'étendre la visibilité, l'efficacité et l'échelle de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers.

Avec une bibliothèque de plus de 750 évaluations standardisées, des capacités de personnalisation, un flux de travail intégré et des mesures correctives, la solution automatise tout, de la collecte et de l'analyse des enquêtes à l'évaluation des risques et à l'établissement de rapports.

Avec Prevalent, vous pouvez facilement rassembler et corréler les renseignements sur un large éventail de contrôles des fournisseurs afin de déterminer les menaces pour la gestion de l'information, en fonction de la criticité du tiers, telle que déterminée par l'évaluation du risque inhérent.

Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre unique des risques avec des cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à cet aperçu, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.

(4) l'évaluation périodique de ces prestataires de services tiers en fonction du risque qu'ils présentent et de l'adéquation continue de leurs pratiques en matière de cybersécurité.

Les évaluations peuvent être effectuées avant le contrat, au moment du renouvellement du contrat ou à toute fréquence requise (par exemple, tous les trimestres ou tous les ans).

Les capacités intégrées et natives de surveillance des risques commerciaux, financiers et de réputation (cyber) signalent les changements importants entre les évaluations périodiques et peuvent déclencher des notifications, des évaluations de suivi ou d'autres actions.

Prevalent fournit des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques. Ces recommandations sont étayées par des fonctionnalités de gestion des flux de travail et des tâches afin de garantir que les tiers traitent les risques en temps voulu et de manière satisfaisante.

SECTION 500.16
(a) Dans le cadre de son programme de cybersécurité, chaque entité couverte doit établir des plans écrits contenant des mesures proactives pour étudier et atténuer les événements perturbateurs et assurer la résilience opérationnelle, y compris, mais sans s'y limiter, des plans de réponse aux incidents, de continuité des activités et de reprise après sinistre.

(2) Plan de continuité des activités et de reprise après sinistre (aux fins de la présente partie, plan BCDR). Les plans de continuité des activités et de reprise après sinistre doivent être raisonnablement conçus pour assurer la disponibilité et la fonctionnalité des services de l'entité couverte et protéger le personnel, les actifs et les informations non publiques de l'entité couverte en cas d'urgence ou d'autres perturbations de ses activités normales. Ces plans doivent, au minimum

(iii) inclure un plan de communication avec les personnes essentielles en cas d'urgence ou d'autre perturbation des opérations de l'entité couverte, y compris les employés, les contreparties, les autorités réglementaires, les prestataires de services tiers, les spécialistes de la reprise après sinistre, l'organe directeur supérieur et toute autre personne essentielle à la récupération de la documentation et des données et à la reprise des opérations ;

(vi) identifier les tiers qui sont nécessaires à la poursuite des activités de l'entité couverte.

Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités de tiers, tout en mettant automatiquement les résultats en correspondance avec les cadres de contrôle NIST, ISO et autres.

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité.

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301, qui permet aux organisations de :

  • Catégoriser les fournisseurs en fonction de leur profil de risque et de leur criticité pour l'entreprise.
  • Définir des objectifs de points de reprise (RPO) et des objectifs de délais de reprise (RTO).
  • Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
  • Assurer une communication cohérente avec les fournisseurs pendant les perturbations de l'activité.

Lorsqu'une résiliation ou une sortie est nécessaire pour des services essentiels, Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, la conformité aux lois pertinentes, les paiements finaux, etc. La solution suggère également des actions basées sur les réponses aux évaluations d'offboarding et achemine les tâches aux réviseurs si nécessaire.

SECTION 500.17
(a) Avis d'événement de cybersécurité.

(3) Chaque entité couverte qui est affectée par un événement de cybersécurité chez un fournisseur de services tiers doit en informer le surintendant par voie électronique, sous la forme indiquée sur le site Web du ministère, le plus rapidement possible, mais en aucun cas plus de 72 heures après que l'entité couverte a pris connaissance de cet événement de cybersécurité.

Prevalent permet à votre équipe d'identifier rapidement les incidents impliquant des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact en centralisant la gestion des fournisseurs, en procédant à des évaluations d'événements, en notant les risques identifiés, en établissant une corrélation avec la surveillance continue de cyber et en accédant à des conseils de remédiation. Les principales fonctionnalités comprennent :

  • Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables
  • Suivi en temps réel de la progression du remplissage du questionnaire
  • Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
  • Rapports proactifs des fournisseurs
  • Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
  • Règles de flux de travail permettant de déclencher des scénarios automatisés pour agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Modèles de rapports intégrés
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et les tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

Aligner votre programme de TPRM sur les 14 normes de l'industrie

Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.

Lire la suite
Ressources présentées manuel de conformité normes industrielles
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo