miniOrange-Logo

Produkte

Plugins

AnzeigenPreise

Ressourcen

Firma

Wie hilft miniOrange Organisationen dabei, die Cybersicherheitsrichtlinien des NYDFS einzuhalten?

Informieren Sie sich über die neuste NYDS-Cybersicherheitsverordnung und wie diese innerhalb einer Organisation mit Grundsätzen zur Datensicherheit, Sicherheitsrichtlinien und vielem mehr umgesetzt wird.

Aktualisiert am: 31. Oktober 2023

Was ist 23 NYCRR Teil 500?

Die NYDFS-Richtlinien zur Cybersicherheitsregulierung, veröffentlicht am 1. März 2017, ist eine Reihe von Vorschriften des New York Department of Financial Services, die Finanzinstituten neue Anforderungen an die Cybersicherheit auferlegen. Diese neuen Richtlinien unter 23 NYCRR Part 500 betreffen lizenzierte Kreditgeber, staatlich zugelassene Banken, Treuhandgesellschaften, Dienstleistungsvertragsanbieter, Privatbankiers, Hypothekenbanken, Versicherungsunternehmen, die in New York Geschäfte tätigen, nicht-US-amerikanische Banken mit einer Lizenz für den Betrieb in New York und viele andere Organisationen, die nun diese zusätzlichen Anforderungen an die Cybersicherheit erfüllen müssen.

Diese NYDFS-Richtlinien zur Cybersicherheit konzentrieren sich stärker auf eine Risikobewertung des Cybersicherheitsprogramms, die die Best Practices und Richtlinien eines Unternehmens zur Minimierung von Sicherheitsrisiken ermittelt. Identitäts- und Zugriffsverwaltung (IAM) in Form einer Multi-Faktor-Authentifizierung (MFA) oder gleichwertiger Maßnahmen wird nun vom NYDFS gefordert. Abschnitt 500.1 definiert MFA wie folgt:

„Multi-Faktor-Authentifizierung bedeutet Authentifizierung durch Überprüfung von mindestens zwei der folgenden Arten von Authentifizierungsfaktoren: (1) Wissensfaktoren, wie etwa ein Passwort; oder (2) Besitzfaktoren, wie etwa ein Token oder eine Textnachricht auf einem Mobiltelefon; oder (3) Inhärenzfaktoren, wie etwa ein biometrisches Merkmal.“

Weitere Abschnitte, die für die Wirksamkeit relevant sind IAM umfasst:
„Risikobasierte Authentifizierung bezeichnet jedes risikobasierte Authentifizierungssystem, das Anomalien oder Änderungen im normalen Nutzungsmuster einer Person erkennt und bei Erkennung solcher Abweichungen oder Änderungen eine zusätzliche Überprüfung der Identität der Person erfordert, beispielsweise durch die Verwendung von Sicherheitsfragen.“

NYDFS beschreibt auch, wie jede betroffene Einheit Richtlinien zur Cybersicherheit implementieren und einhalten muss. Ein Bereich, der explizit in den Cybersicherheitsrichtlinien behandelt wird, betrifft Zugriffskontrollen und Identitätsmanagement. Die betroffenen Einheiten müssen nachweisen, dass sie über wirksame IAM Maßnahmen zur Verhinderung oder Reduzierung des unbefugten Zugriffs auf vertrauliche Informationen durch Hacker, Phisher, Insider oder Dritte.

Gemäß diesen neuen Cybersicherheitsrichtlinien des NYDFS IAM wird zum wichtigsten Faktor für den Schutz umfangreicher Kunden- und Geschäftsinformationen. Die Implementierung von MFA, Lifecycle Management und anderen Lösungen kann Unternehmen dabei helfen, die Einhaltung dieser neuen Richtlinien sicherzustellen.

Warum wird 23 NYCRR Teil 500 benötigt?

Um Datenlecks, Cybersicherheitsbedrohungen und unbefugten Zugriff zu verhindern. Diese Cybersicherheitsrichtlinien helfen Organisationen, ihre Umgebung vor verschiedenen Cybersicherheitsbedrohungen zu schützen, um alle Arten von Daten zu schützen.

Wie kann miniOrange Ihnen helfen?

 

Regulierungsanforderung Wie miniOrange helfen kann
500.02- Cybersecurity-Programm, (b)(1)–Die betroffenen Unternehmen müssen interne/externe Cybersicherheitsrisiken identifizieren und bewerten • miniOrange bietet detaillierte Datenberichte zu allen verschiedenen Arten von Authentifizierungen, die in Cloud-, Mobil-, Web- und Vor-Ort-Anwendungen durchgeführt werden.
• Das System von miniOrange erkennt auch verdächtige Anmeldungen/Standorte/Benutzer usw. und erzwingt bei solchen anomalen Ereignissen eine erneute Authentifizierung auf mehreren Wegen, um Bedrohungen der Cybersicherheit vorzubeugen.
500.06 – Prüfpfad, (a)(1) – Protokollierung, (a)(2)–Die Prüfpfade einer abgedeckten Entität müssen so konzipiert sein, dass verdächtige Ereignisse im Bereich der Cybersicherheit erkannt und darauf reagiert werden kann • miniOrange bietet detaillierte Datenberichte zu allen verschiedenen Arten von Authentifizierungen, die in Cloud-, Mobil-, Web- und Vor-Ort-Anwendungen durchgeführt werden.
• Das System von miniOrange erkennt auch verdächtige Anmeldungen/Standorte/Benutzer usw. und erzwingt bei solchen anomalen Ereignissen eine erneute Authentifizierung auf mehreren Wegen.
• Administratoren oder Superadministratoren können bei erkannten verdächtigen Ereignissen Maßnahmen ergreifen, z. B. eine verstärkte Authentifizierung anfordern, den Zugriff beschränken oder widerrufen, die Mitgliedschaft in Benutzergruppen ändern und mehr.
500.07- Zugriffsrechte- Die betroffene Stelle muss den Benutzerzugriff auf nicht öffentliche Informationen beschränken und diese Zugriffsrechte regelmäßig überprüfen. • Ausgefeiltes Lebenszyklusmanagement gewährleistet den zulässigen Zugriff auf die richtigen Anwendungen.
• Abgedeckte Einheiten können problemlos Zugriffs- und Berechtigungsregeln basierend auf Attributen wie der Benutzergruppenmitgliedschaft festlegen.
• miniOrange bietet Einblick darüber, wer Zugriff auf welche Daten hat, und zwar über eine einfache Zugriffsverwaltung, die es ermöglicht, alle Benutzer anzuzeigen, die Zugriff auf bestimmte Anwendungen haben.
500.09- Risikobewertung durch abgedeckte Einheiten • miniOrange bietet detaillierte Datenberichte zu allen verschiedenen Arten von Authentifizierungen, die in Cloud-, Mobil-, Web- und Vor-Ort-Anwendungen durchgeführt werden.
• Das System von miniOrange erkennt auch verdächtige Anmeldungen/Standorte/Benutzer usw. und erzwingt bei solchen anomalen Ereignissen eine erneute Authentifizierung auf mehreren Wegen.
500.12 – Multi-Faktor-Authentifizierung • miniOrange bietet mehr als 15 MFA-Methoden, darunter adaptive MFA für intelligenten, kontextbezogenen Zugriff basierend auf Benutzerstandort und Geräteattributen.
• Das flexible Richtlinien-Framework von miniOrange ermöglicht eine verstärkte Authentifizierung auf der Grundlage eines risikobasierten Benutzer- oder Gerätekontexts, wie etwa anormaler Standort, Brute-Force-Versuche usw.
• Das flexible und granulare Richtlinien-Framework von miniOrange ermöglicht unterschiedliche MFA-Richtlinien für verschiedene Benutzertypen, darunter Administratoren, Benutzer und Drittparteien (Auftragnehmer und Partner usw.).
• Durch die Unterstützung mehrerer Netzwerkzonen von miniOrange können Richtlinien für den Zugriff von außerhalb des Netzwerks Ihres Unternehmens definiert werden.
500.14 – Schulung und Überwachung – Die betroffene Einheit muss risikobasierte Richtlinien, Verfahren und Kontrollen implementieren, die der Überwachung der Aktivität dienen und regelmäßige Schulungen zum Thema Cybersicherheit anbieten. • Detaillierte Datenberichterstattung von miniOrange zu allen verschiedenen Authentifizierungsarten, die über Cloud-, Mobil-, Web- und Vor-Ort-Anwendungen hinweg durchgeführt werden. Dabei werden auch verdächtige Anmeldungen/Standorte/Benutzer usw. erkannt und bei solchen anomalen Ereignissen eine erneute Authentifizierung auf mehreren Wegen erzwungen.
• Anomale Ereignisse werden im Syslog angezeigt und umfassen die Erkennung von Brute-Force-Angriffen, die Erkennung anomaler Anmeldungen/Standorte/Clients, die Erkennung von Netzwerkanmeldungen mit geringer Reputation und mehr.

 

miniOrange bietet Identitäts- und Zugriffsmanagement Services zur Verwaltung von Informationen wie Benutzern, Organisationen, Geräten, Services usw. schnell und auf sehr kostengünstige Weise für seine Kunden bereitstellen.

Mit miniOrange IAM Systeme, Sie müssen sich keine Sorgen um den Verwaltungsaufwand machen. Wir bieten IAM Dienste, die sich um Ihre Sicherheit, Verwaltung und Zugriffsverwaltung kümmern und Ihnen helfen, sich auf Ihr Kerngeschäft zu konzentrieren.

 

  • Die Identitäts- und Zugriffsverwaltungsrichtlinie einschließlich der Zuständigkeiten und Verantwortlichkeiten sollte definiert, genehmigt und implementiert werden.
    • Eine Identitäts- und Zugriffsverwaltungslösung, die äußerst flexibel ist und sich entsprechend den Kundenanforderungen und der vorhandenen Konfiguration in die Richtlinien oder Arbeitsabläufe jeder Organisation einfügt.
    • Zentralisierte, einfache Verwaltung und Synchronisierung von Identitäten für Benutzer, Geräte und Dinge. Kann in jedes System integriert werden und verbessert die Authentifizierungs- und Autorisierungsfunktionen mit mehreren Protokollen und Konnektoren für Web-Apps, mobile Apps, Thick-Client-Anwendungen usw. Sehr flexibel und daher für fast jeden Anwendungsfall geeignet.

 

  • Die Einhaltung der Identitäts- und Zugriffsrichtlinien sollte überwacht werden.
    • miniOrange generiert Echtzeitberichte für eine allgemeine Nutzungszusammenfassung, eine Zusammenfassung pro Benutzer, eine Benutzerauthentifizierung, einen aktiven Nutzungsbericht usw., um die Benutzeraktivitäten über alle Anwendungen hinweg zu überwachen.
    • Protokolle werden zur Überwachung, Fehlerbehebung, Wiederherstellung usw. gespeichert. miniOrange kann in Ihre SIEM-Tools integriert werden, um die Informationssicherheitssysteme des Unternehmens in Echtzeit zu überwachen.

 

  • Die Wirksamkeit der Cybersicherheitskontrollen im Rahmen der Identitäts- und Zugriffsverwaltungsrichtlinie sollte gemessen und regelmäßig bewertet werden.
    • Mithilfe der Multi-Faktor-Authentifizierung während der einmaligen Anmeldung erhalten alle Benutzer kontrollierten Zugriff auf die Anwendungen. miniOrange bietet mehrere Parameter für die adaptive Authentifizierung, z. B. Einschränkungen basierend auf IP, Gerät, Standort und Zeit, um eine ordnungsgemäße Bewertung des Benutzers vor der Gewährung des Zugriffs zu ermöglichen.
    • Der Administrator kann Updates/Benachrichtigungen bei Verhaltensänderungen des Benutzers erhalten.
    • Sie können mehrere Gruppen für verschiedene Benutzerebenen erstellen und Zugriffsrichtlinien abhängig von den Gruppen festlegen. Jeder neue Benutzer kann den entsprechenden Gruppen hinzugefügt werden und erhält Zugriff auf die zulässige Anwendung dieser bestimmten Gruppe.
    • Jeder unberechtigte Zugriff kann jederzeit problemlos widerrufen werden.

 

  • Die Identitäts- und Zugriffsverwaltungsrichtlinie sollte Folgendes umfassen
    • geschäftliche Anforderungen an die Zugriffskontrolle (d. h. „Need-to-have“ und „Need-to-know“);
      • Sie können Benutzer-/Gruppenzugriffsrichtlinien für Ihre Anwendungen basierend auf der Rolle und den Anforderungen jedes Benutzers/jeder Gruppe erstellen.
      • Benutzer können mit einem Klick vom miniOrange-Dashboard aus auf ihre jeweiligen Anwendungen zugreifen, ohne sich jedes Mal anmelden zu müssen.
    • Verwaltung des Benutzerzugriffs (z. B. Neuzugänge, Umzüge, Austritte):
      • Benutzer können mit einer der folgenden Methoden zum System hinzugefügt werden:
        • Manuelles Hinzufügen von Benutzern/Anbietern.
        • Massenupload von Benutzern und Gruppen mit der CSV-Uploadmethode.
        • Stellen Sie eine Verbindung zu Ihrem vorhandenen Identitätsanbieter her (z. B. Okta, OneLogin, Keycloak, ADFS usw.).
        • Mit AD/LDAP verbinden
        • Verwenden Sie Ihre vorhandene Datenbank als Identitätsspeicher (My-SQL, MS-SQL usw.).
        • Stellen Sie Ihre Benutzer über Ihr Personalverwaltungssystem bereit.

 

  • Um den Prozess der Zuweisung und Verwaltung der Benutzerzugriffsrechte zu optimieren, bietet miniOrange ein automatisiertes Benutzerzugriffsverwaltungssystem. Dies erleichtert das Zeitmanagement und ermöglicht Administratoren, schneller und schneller gegen Sicherheitsverletzungen vorzugehen und unangemessene Benutzeraktivitäten zu verhindern. Zentralisierung der Identitäts- und Zugriffsverwaltungsfunktion;

 

  • Provisionierung und Deprovisionierung werden zentral über ein zentrales Identitäts- und Zugriffsmanagementsystem abgewickelt. Die IT-Ressourcen werden zentral mit miniOrange gesteuert. IAM Dienste und Benutzer können bequem per Single Sign-On über ein einziges Dashboard auf alle Apps und Tools zugreifen. Klicken Sie hier, um mehr über die Multi-Faktor-Authentifizierung für sensible und kritische Systeme und Profile zu erfahren.

 

  • miniOrange bietet mehr als 15 Authentifizierungsmethoden und -lösungen für verschiedene Anwendungsfälle. Diese zusätzliche Ebene verhindert, dass unbefugte Personen auf die Ressourcen zugreifen, selbst wenn sie Ihren Benutzernamen und Ihr Passwort kennen, und schützt so vertrauliche und kritische Informationen. Klicken Sie hier, um mehr zu erfahren. Privilegien- und Remote-Zugriffsverwaltung, die Folgendes berücksichtigen sollte:
    • die Zuweisung und eingeschränkte Nutzung von privilegiertem Zugriff und Fernzugriff unter Angabe von:
      • Für alle Fernzugriffe sollte eine Multi-Faktor-Authentifizierung verwendet werden.
        • MFA bietet eine zusätzliche Sicherheitsebene für den Fernzugriff. MFA für den Fernzugriff verhindert, dass unbefugte Personen auf kritische Daten zugreifen, und verbessert gleichzeitig die allgemeine Sicherheitsstrategie des Unternehmens. Für den privilegierten Zugriff auf kritische Systeme sollte auf der Grundlage einer Risikobewertung eine Multi-Faktor-Authentifizierung verwendet werden.

 

miniOrange bietet die Möglichkeit einer Multi-Faktor-Authentifizierung für privilegierten Zugriff. Dadurch werden Ihre Repositories, Protokolle und Ihr Administratorkonto geschützt, indem sichergestellt wird, dass nur autorisierte Mitarbeiter Zugriff auf die Passwörter Ihrer privilegierten Konten haben.

Profilbild des Autors

miniOrange

Autorin

Hinterlasse einen Kommentar

    Klicken Sie auf die Schaltfläche „Kontakt“.