Début 2017, le Département des services financiers de l'État de New York (DFS) a institué 23 NYCRR 500 afin d'établir de nouvelles exigences en matière de cybersécurité pour les sociétés de services financiers. Ce règlement vise à protéger la confidentialité, l'intégrité et la disponibilité des informations relatives aux clients et des systèmes informatiques connexes.
La loi 23 NYCRR 500 a été promulguée en réponse à la croissance alarmante des violations de données et des menaces cyber contre les institutions financières. Un élément clé de la mise en conformité avec la loi est la gestion des contrôles de sécurité informatique des fournisseurs et des politiques de confidentialité des données.
Plusieurs sections du règlement traitent spécifiquement des fournisseurs tiers :
La section 500.11 traite directement de la politique de sécurité des fournisseurs de services tiers. Elle exige que les entités couvertes mettent en œuvre des politiques et des procédures écrites qui traitent de la sécurité des systèmes d'information des tiers sur la base d'une évaluation des risques.
La section 500.16 exige que les entités couvertes établissent des plans et des mesures pour assurer la résilience opérationnelle, y compris des plans de réponse aux incidents, de continuité des activités et de reprise après sinistre.
La section 500.17 exige un rapport spécifique sur les événements de cybersécurité de tiers.
Maintenir un programme de cybersécurité qui comprend des évaluations des risques, des audits indépendants et des documents justificatifs.
Mettre en œuvre et maintenir des politiques de sécurité de l'information fondées sur des évaluations des risques - y compris pour la gestion des fournisseurs et des prestataires de services tiers.
Nommer un CISO qui doit être responsable du programme de cybersécurité de l'organisation, l'examiner et en rendre compte.
Inclure des technologies et des pratiques spécifiques en matière de cybersécurité
Créer un programme de gestion des risques pour les tiers
Déposer une certification annuelle confirmant le respect de ces règlements
Quel sera l'impact de 23 NYCRR 500 sur votre programme TPRM ?
Téléchargez ce guide pour découvrir comment se conformer aux mandats d'évaluation des risques et de documentation des tiers, y compris ceux couverts par l'amendement de novembre 2022.
Respecter les exigences de 23 NYCRR 500 TPRM
Voici comment Prevalent peut vous aider à répondre aux exigences du règlement 23 NYCRR 500 sur la gestion des risques liés aux tiers :
23 NYCRR 500 Exigences | Quelle aide nous apportons |
---|---|
SECTION 500.11 |
|
(1) l'identification et l'évaluation des risques des prestataires de services tiers ; |
Prevalent vous permet d'évaluer et de surveiller les tiers en fonction de l'ampleur des menaces pesant sur leurs actifs informationnels en capturant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers comprennent :
À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par catégories, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. |
(2) les pratiques minimales de cybersécurité que doivent respecter ces prestataires de services tiers pour pouvoir faire affaire avec l'entité couverte ; |
Prevalent centralise et automatise la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI). Nos solutions fournissent également des informations sur les risques liés à l'activité, à la réputation, aux finances et à la violation des données, afin d'éclairer et de contextualiser les décisions relatives à la sélection des fournisseurs. Prevalent fait passer chaque fournisseur sélectionné aux phases de diligence raisonnable de contractualisation et/ou d'embarquement, faisant ainsi progresser automatiquement le fournisseur dans le cycle de vie des tiers. |
(3) les processus de diligence raisonnable utilisés pour évaluer l'adéquation des pratiques de cybersécurité de ces prestataires de services tiers ; et |
Prevalent automatise les évaluations de risques afin d'étendre la visibilité, l'efficacité et l'échelle de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers. Avec une bibliothèque de plus de 750 évaluations standardisées, des capacités de personnalisation, un flux de travail intégré et des mesures correctives, la solution automatise tout, de la collecte et de l'analyse des enquêtes à l'évaluation des risques et à l'établissement de rapports. Avec Prevalent, vous pouvez facilement rassembler et corréler les renseignements sur un large éventail de contrôles des fournisseurs afin de déterminer les menaces pour la gestion de l'information, en fonction de la criticité du tiers, telle que déterminée par l'évaluation du risque inhérent. Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre unique des risques avec des cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à cet aperçu, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques. |
(4) l'évaluation périodique de ces prestataires de services tiers en fonction du risque qu'ils présentent et de l'adéquation continue de leurs pratiques en matière de cybersécurité. |
Les évaluations peuvent être effectuées avant le contrat, au moment du renouvellement du contrat ou à toute fréquence requise (par exemple, tous les trimestres ou tous les ans). Les capacités intégrées et natives de surveillance des risques commerciaux, financiers et de réputation (cyber) signalent les changements importants entre les évaluations périodiques et peuvent déclencher des notifications, des évaluations de suivi ou d'autres actions. Prevalent fournit des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques. Ces recommandations sont étayées par des fonctionnalités de gestion des flux de travail et des tâches afin de garantir que les tiers traitent les risques en temps voulu et de manière satisfaisante. |
SECTION 500.16 |
|
(2) Plan de continuité des activités et de reprise après sinistre (aux fins de la présente partie, plan BCDR). Les plans de continuité des activités et de reprise après sinistre doivent être raisonnablement conçus pour assurer la disponibilité et la fonctionnalité des services de l'entité couverte et protéger le personnel, les actifs et les informations non publiques de l'entité couverte en cas d'urgence ou d'autres perturbations de ses activités normales. Ces plans doivent, au minimum (iii) inclure un plan de communication avec les personnes essentielles en cas d'urgence ou d'autre perturbation des opérations de l'entité couverte, y compris les employés, les contreparties, les autorités réglementaires, les prestataires de services tiers, les spécialistes de la reprise après sinistre, l'organe directeur supérieur et toute autre personne essentielle à la récupération de la documentation et des données et à la reprise des opérations ; (vi) identifier les tiers qui sont nécessaires à la poursuite des activités de l'entité couverte. |
Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités de tiers, tout en mettant automatiquement les résultats en correspondance avec les cadres de contrôle NIST, ISO et autres. Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité. La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301, qui permet aux organisations de :
Lorsqu'une résiliation ou une sortie est nécessaire pour des services essentiels, Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, la conformité aux lois pertinentes, les paiements finaux, etc. La solution suggère également des actions basées sur les réponses aux évaluations d'offboarding et achemine les tâches aux réviseurs si nécessaire. |
SECTION 500.17 |
|
(3) Chaque entité couverte qui est affectée par un événement de cybersécurité chez un fournisseur de services tiers doit en informer le surintendant par voie électronique, sous la forme indiquée sur le site Web du ministère, le plus rapidement possible, mais en aucun cas plus de 72 heures après que l'entité couverte a pris connaissance de cet événement de cybersécurité. |
Prevalent permet à votre équipe d'identifier rapidement les incidents impliquant des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact en centralisant la gestion des fournisseurs, en procédant à des évaluations d'événements, en notant les risques identifiés, en établissant une corrélation avec la surveillance continue de cyber et en accédant à des conseils de remédiation. Les principales fonctionnalités comprennent :
|
Aligner votre programme de TPRM sur 13 normes industrielles
Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.
NYDFS 23 NYCRR 500 est conçu pour protéger la confidentialité, l'intégrité et la disponibilité des services financiers...
Les exigences en matière de politique de sécurité des fournisseurs de services tiers énoncées dans la partie 500 du NYDFS sont...
La loi SHIELD de New York entrera en vigueur en mars 2020, avec plusieurs implications pour...