ºÚÁÏÉç

23 NYCRR Part 500 auf einen Blick

Die Absicht des Department of Financial Services des US-Bundesstaates New York (23 NYCRR 500) besteht darin, aufsichtsrechtliche Mindeststandards festzulegen, um den Schutz von Kundeninformationen zu f?rdern und die Informationstechnologiesysteme regulierter Stellen zu sch¨¹tzen.

Alabama Data Breach Notification Act of 2018 (S.B. 318) auf einen Blick

Schreibt vor, dass Entit?ten bestimmte Personen ¨¹ber eine Sicherheitsverletzung informieren m¨¹ssen, die zur unbefugten Erlangung vertraulicher personenbezogener Daten f¨¹hrt.

Basel III auf einen Blick

Der Basler Ausschuss f¨¹r Bankenaufsicht (BCBS) ist eine internationale Aufsichtsbeh?rde, die mehrere Standards und freiwillige Rahmenregelungen f¨¹r Finanzinstitute unterh?lt. Basel III (und Standard 239) wirkt sich insbesondere auf die IT-Infrastruktur und den IT-Betrieb aus, da es Grunds?tze f¨¹r die Datenarchitektur und die IT-Infrastruktur sowie die Genauigkeit und Integrit?t von Risikodaten regelt.

CCPA auf einen Blick

Der California Consumer Privacy Act (CCPA) vom 1.?Januar 2020 ist das erste Gesetz zum Schutz der Privatsph?re von Verbrauchern in den Vereinigten Staaten. Er gibt Verbrauchern die M?glichkeit, kostenlos Auskunft dar¨¹ber anzufordern, welche Informationen Unternehmen ¨¹ber sie sammeln. Dazu geh?rt auch, aus welchen Quellen und zu welchem Zweck Informationen gesammelt werden. Sie k?nnen auch verlangen, dass ihre Daten nicht verkauft werden und/oder dass ihre Daten gel?scht werden. Der kalifornische Generalstaatsanwalt sorgt f¨¹r die Durchsetzung des Gesetzes, das auch Bestimmungen f¨¹r zivilrechtliche Streitigkeiten und Strafen enth?lt.

CERT RMM auf einen Blick

CERT RMM ist ein Reifegradmodell, das die Konvergenz von Sicherheits-, Business-Continuity- und IT-Betriebsaktivit?ten f?rdert, um Organisationen bei der aktiven Steuerung, Kontrolle und Verwaltung der betrieblichen Resilienz und des betrieblichen Risikos zu unterst¨¹tzen.

CIS auf einen Blick

Die CIS-Kontrollen erg?nzen fast jedes andere Sicherheits-Framework, einschlie?lich NIST, ISO?27001, PCI und HIPAA, und sind eine n¨¹tzliche Grundlage f¨¹r die Entwicklung oder Bewertung eines Sicherheitsprogramms.

In der neuesten Version werden die CIS-Kontrollen nach Aktivit?ten und nicht mehr danach, wer die Ger?te verwaltet, zusammengefasst und konsolidiert, wodurch die Kontrollen von 20 auf 18 reduziert wurden. Die CIS-Kontrollen sind jetzt auch aufgabenbezogen und enthalten 153?"Schutzma?nahmen"?¨C fr¨¹her als "Unterkontrollen" bekannt.

Hier erfahren Sie mehr ¨¹ber die neuesten Updates.

CJIS auf einen Blick

Die Criminal Justice Information Services (CJIS) haben eine Sicherheitsrichtlinie ver?ffentlicht, in der 13?Bereiche aufgef¨¹hrt sind, die alle Beh?rden befolgen sollten, um die Vorschriften einzuhalten und vor b?swilligen Hackern gesch¨¹tzt zu sein.

Beh?rden, die auf vertrauliche Informationen des US-Justizministeriums zugreifen oder diese verwalten, m¨¹ssen sicherstellen, dass ihre Prozesse und Systeme den CJIS-Richtlinien f¨¹r drahtlose Netzwerke, Datenverschl¨¹sselung und Fernzugriff entsprechen?¨C ganz besonders, weil Phishing, Malware und gehackte VPNs oder Anmeldedaten die h?ufigsten Angriffsvektoren sind, um in Regierungsnetzwerke einzudringen. Die CJIS-Anforderungen tragen dazu bei, diese Angriffsmethoden proaktiv abzuwehren und die nationale Sicherheit (und die B¨¹rger) vor Cyberbedrohungen zu sch¨¹tzen.

CMMC auf einen Blick

Die Cybersecurity Maturity Model Certification (CMMC) wurde entwickelt, um die Sicherheit von Controlled Unclassified Information (CUI) zu gew?hrleisten, die in Netzwerken von DoD-Vertragspartnern gespeichert sind.

Cyber Essentials-Zertifizierung auf einen Blick

Die Cyber Essentials-Zertifizierung ist ein von der britischen Regierung gef?rdertes Framework, das vom NCSC (National Cyber Security Centre) unterst¨¹tzt wird. Darin werden f¨¹nf grundlegende Sicherheitskontrollen beschrieben, die Unternehmen vor 80?% der ¨¹blichen Cyberangriffe sch¨¹tzen k?nnen.

Die Zertifizierung soll Unternehmen jeder Gr??e dabei helfen, ihr Engagement f¨¹r Cybersecurity zu demonstrieren, wobei der Ansatz einfach und die Kosten niedrig gehalten werden.

Der Cyber Essentials-Zertifizierungsprozess wird vom IASME-Konsortium verwaltet, das Zertifizierungsstellen f¨¹r die Durchf¨¹hrung von Cyber Essentials- und Cyber Essentials Plus-Zertifizierungen lizenziert.

DFARS auf einen Blick

Das Defense Federal Acquisition Regulation Supplement (DFARS), eine Erg?nzung zur Federal Acquisition Regulation (FAR), verpflichtet seit dem 31.?Dezember?2017 alle Auftragnehmer und Unterauftragnehmer des US-Amerikanischen Verteidigungsministeriums (Department of Defense, DoD), die kontrollierte, nicht klassifizierte Informationen (Controlled Unclassified Information, CUI) speichern oder verarbeiten, dazu, die in den DFARS genannten Mindestsicherheitsstandards einzuhalten. Die Nichteinhaltung der DFARS-Anforderungen kann zur K¨¹ndigung bestehender DoD-Vertr?ge f¨¹hren.

FAR auf einen Blick

Die Federal Acquisition Regulation (FAR) ist ein Regelwerk, das die Regeln festlegt, welche die Regierung beim Erwerb von Waren und Dienstleistungen im Rahmen von Beschaffungsvertr?gen zu befolgen hat.

Insbesondere FAR 52.204-21?¨C eine Klausel innerhalb der FAR und ihrer Erg?nzung, DFARS?¨C enth?lt spezifische Cybersecurity-Vorschriften f¨¹r Auftragnehmer des Staates.

FAR 52.204-21 auf einen Blick

Die Federal Acquisition Regulation (FAR) ist ein Regelwerk, das die Regeln festlegt, welche die Regierung beim Erwerb von Waren und Dienstleistungen im Rahmen von Beschaffungsvertr?gen zu befolgen hat.

FAR 52.204-21, "Basic Safeguarding of Covered Contractor Information Systems", ist eine Vertragsklausel der Federal Acquisition Regulation (FAR), die f¨¹r alle Bundesvertr?ge gilt, nicht nur f¨¹r die des Verteidigungsministeriums. Sie enth?lt eine Reihe von 15?Cybersecurity-Kontrollen zum Schutz von Informationssystemen von Auftragnehmern, die Informationen aus Bundesvertr?gen speichern, verarbeiten oder ¨¹bertragen.

Diese Klausel entspricht auch der Cybersecurity Maturity Model Certification (CMMC) Stufe 1.

FERPA auf einen Blick

FERPA r?umt den Eltern von Sch¨¹lern unter 18 Jahren bestimmte Rechte in Bezug auf die Sch¨¹lerdaten ein, die mit Erreichen des 18.?Geburtstags auf die Sch¨¹ler ¨¹bergehen.

FFIEC auf einen Blick

Der Federal Financial Institutions Examination Council (FFIEC) ist das beh?rden¨¹bergreifende Gremium der US-Regierung. Es ist befugt, einheitliche Grunds?tze, Standards und Berichtsformulare f¨¹r die bundesweite Pr¨¹fung von Finanzinstituten festzulegen. Die FFIEC-Richtlinien gelten f¨¹r bundesstaatlich beaufsichtigte Finanzinstitute.

FISMA 2014 auf einen Blick

Der Federal Information Security Modernization Act von 2014 (FISMA 2014) regelt die Rolle des Department of Homeland Security bei der Verwaltung der Umsetzung von Informationssicherheitsrichtlinien f¨¹r zivile Bundesbeh?rden der Exekutive, bei der ?berwachung der Einhaltung dieser Richtlinien durch die Beh?rden und bei der Unterst¨¹tzung des Office of Management and Budget (OMB) bei der Entwicklung dieser Richtlinien.

FTC Safeguards Rule auf einen Blick

Die FTC Safeguards Rule gilt f¨¹r eine Vielzahl von Unternehmen, die Finanzdienstleistungen jeglicher Art f¨¹r Kunden erbringen und nicht von anderen Beh?rden im Rahmen des GLBA reguliert werden?¨C darunter Autoh?user, Einzelh?ndler, die Kreditkarten anbieten, und andere.

Die Safeguards Rule verpflichtet diese Unternehmen, ein Informationssicherheitsprogramm zum Schutz von Kundendaten zu entwickeln, umzusetzen und aufrechtzuerhalten.

DSGVO auf einen Blick

Die von der Europ?ischen Kommission aufgestellte Datenschutz-Grundverordnung (DSGVO) regelt den Datenschutz f¨¹r Unternehmen, die personenbezogene Daten von EU-B¨¹rgern speichern oder verarbeiten. Neben dem Schutz personenbezogener Daten r?umt die Datenschutz-Grundverordnung Verbrauchern weitreichende Rechte in Bezug auf ihre Daten ein und sieht hohe Strafen f¨¹r die Nichteinhaltung vor. Sie m¨¹ssen keine Gesch?ftsniederlassung in der Europ?ischen Union haben, um der DSGVO zu unterliegen.

GLBA auf einen Blick

Gem?? Gramm-Leach-Bliley Act (GLBA) m¨¹ssen Organisationen, die als "Finanzinstitute" definiert sind, Kundendaten sicher und vertraulich behandeln. Die Safeguards Rule, einer der drei Abschnitte des GLBA, wurde am 9.?Dezember 2021 aktualisiert. Mit dieser Aktualisierung stellt die Federal Trade Commission (FTC) fest, dass eine Organisation, die "eine T?tigkeit aus¨¹bt, die finanzieller Natur ist oder mit solchen finanziellen T?tigkeiten zusammenh?ngt", als "Finanzinstitut" gilt und die Vorschriften einhalten muss.

Die wichtigsten ?nderungen der Safeguards Rule treten am 6.?Dezember 2022 in Kraft. Wer muss die Safeguards Rule einhalten?

Betrachten Sie die folgenden Beispiele von Organisationen, die gem?? der Safeguards Rule als "Finanzinstitute" gelten:

• Einzelh?ndler, die Kreditkarten ausgeben
• Autoh?user, die Autos langfristig?¨C l?nger als 90?Tage?¨C leasen
• Organisationen, die Immobilien oder pers?nliches Eigentum begutachten
• Berater, die Personen unterst¨¹tzen, die mit einem Finanzinstitut verbunden sind
• Unternehmen, die im Auftrag von Kunden Schecks drucken und verkaufen oder Geld ¨¹berweisen
• Unternehmen, die Bargelddienste anbieten
• Ersteller von Einkommensteuererkl?rungen
• ¸é±ð¾±²õ±ð²ú¨¹°ù´Ç²õ
• Abrechnungsdienstleistungen f¨¹r Immobilien
• Hypothekenmakler
• Hochschulen und Universit?ten, die Mittel aus Title?IV annehmen

HIPAA auf einen Blick

Das US-Gesundheitsministerium schuf 1996 den Health Insurance Portability and Accountability Act (HIPAA), um die Vertraulichkeit und Integrit?t elektronischer gesch¨¹tzter Gesundheitsdaten (ePHI) zu sch¨¹tzen. Mit dem Health Information Technology for Economic and Clinical Health Act (HITECH) von 2009 wurden verpflichtende Pr¨¹fungen und Geldstrafen bei Nichteinhaltung der Vorschriften eingef¨¹hrt.

HITRUST auf einen Blick

Die Healthcare Information Trust Alliance (HITRUST) entwickelte das Common Security Framework (CSF) auf der Grundlage einer Vielzahl von bundes- und landesweiten Vorschriften, Frameworks und Standards. Das HITRUST CSF bietet ¨¹berwachten Organisationen im Gesundheitswesen eine Reihe gemeinsamer Standards, die sie ¨¹bernehmen und zur Bewertung ihrer Anbieter verwenden k?nnen.

IRS Pub 1075 auf einen Blick

Internal Revenue Service Publication 1075 (IRS 1075) ist eine Anleitung f¨¹r US-Beh?rden und deren Beauftragte, die Zugang zu Bundessteuerinformationen (Federal Tax Information, FTI) haben, um sicherzustellen, dass sie Richtlinien, Praktiken und Kontrollen zum Schutz der Vertraulichkeit anwenden. IRS 1075 zielt darauf ab, das Risiko des Verlusts, der Verletzung oder des Missbrauchs von FTI im Besitz von externen Beh?rden zu minimieren.

ISO 27002 auf einen Blick

Dieses Dokument, "Internationale Organisation f¨¹r Normung: IT-Sicherheitsverfahren 2022", bietet eine Reihe von allgemeinen Informationssicherheitskontrollen sowie Leitlinien f¨¹r deren Umsetzung. Dieses Dokument ist f¨¹r die Verwendung durch Organisationen bestimmt:

A) Im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) auf Basis von ISO/IEC 27001

B) Zur Durchf¨¹hrung von Informationssicherheitskontrollen auf Basis international anerkannter Best Practices

C) Zur Entwicklung organisationsspezifischer Richtlinien f¨¹r das Management der Informationssicherheit.

ITAR auf einen Blick

Die International Traffic in Arms Regulations (ITAR) der Vereinigten Staaten regeln die Herstellung, den Verkauf und den Vertrieb von Verteidigungs- und Raumfahrtprodukten und -dienstleistungen.

KRITIS auf einen Blick

In Deutschland gelten f¨¹r Betreiber kritischer Infrastrukturen besondere Vorschriften nach dem Gesetz ¨¹ber das Bundesamt f¨¹r Sicherheit in der Informationstechnik (BSI).

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung f¨¹r das staatliche Gemeinwesen, deren Ausfall oder Beeintr?chtigung zu dauerhaften Versorgungsengp?ssen, erheblichen Beeintr?chtigungen der ?ffentlichen Sicherheit oder anderen dramatischen Folgen f¨¹hren w¨¹rde. Welche davon als kritische Infrastrukturen zu betrachten sind, regelt die KRITIS-Verordnung im BSI-Gesetz.

Mit dem IT-Sicherheitsgesetz 2.0 wurde im Mai 2021 neben den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ern?hrung sowie Finanzen und Versicherungen auch die Abfallwirtschaft in den Kreis der potenziellen Betreiber kritischer Infrastrukturen aufgenommen.

Massachusetts General Law Chapter 93H: Security Breach auf einen Blick

Chapter 93H schreibt vor, dass eine Person oder Beh?rde, die Daten besitzt oder lizenziert, die personenbezogene Informationen ¨¹ber einen Einwohner des Commonwealth enthalten, so schnell wie m?glich und ohne unangemessene Verz?gerung den Generalstaatsanwalt, das Office of Consumer Affairs and Business Regulation (OCABR) und die betroffenen Einwohner benachrichtigen muss, wenn eine solche Person oder Beh?rde (1) von einer Sicherheitsverletzung wei? oder Grund zu der Annahme hat oder (2) wei? oder Grund zu der Annahme hat, dass die personenbezogenen Informationen eines solchen Einwohners von einer unbefugten Person erworben oder verwendet oder f¨¹r einen unerlaubten Zweck genutzt wurden.

NCUA auf einen Blick

Die National Credit Union Administration (NCUA) verfolgt bei der Pr¨¹fung und Beaufsichtigung von Kreditgenossenschaften einen risikobasierten Ansatz.

Alle bundesweit versicherten Kreditgenossenschaften werden regelm??ig von der NCUA gepr¨¹ft. Um sowohl die Einhaltung der geltenden Gesetze und Vorschriften als auch die Sicherheit und Solidit?t zu gew?hrleisten, wird bei jeder Pr¨¹fung das Informationssicherheitsprogramm der Kreditgenossenschaft ¨¹berpr¨¹ft.

NERC CIP auf einen Blick

North American Electric Reliability Corporation Critical Infrastructure Protection (NERC CIP) zum Schutz kritischer Infrastrukturen umfasst eine Reihe von Standards zur Regulierung, Durchsetzung, ?berwachung und Verwaltung der Sicherheit des Bulk Electric System (BES) in Nordamerika. Diese Normen gelten speziell f¨¹r die Cybersecurity-Aspekte des BES. Die NERC CIP-Standards bieten ein Cybersecurity-Framework, um kritische Anlagen zu identifizieren und zu sch¨¹tzen, die die effiziente und zuverl?ssige Stromversorgung des nordamerikanischen BES beeinflussen k?nnen.

NIST 800-171B auf einen Blick

NIST SP 800-171B ist eine v?llig neue Ver?ffentlichung, die 33 erweiterte Sicherheitsanforderungen einf¨¹hrt, welche dazu beitragen sollen, DoD-Vertragspartner (insbesondere ihre hochwertigen Assets und kritischen Programme einschlie?lich CUI) vor modernen Angriffstaktiken und -techniken im Zusammenhang mit Advanced Persistent Threats (APTs) zu sch¨¹tzen.

Die erh?hten Sicherheitsanforderungen gelten nur dann f¨¹r ein nicht-bundesstaatliches System oder eine nicht-bundesstaatliche Organisation, wenn sie von einer Bundesbeh?rde in einem Vertrag, einem Zuschuss oder einer anderen Vereinbarung vorgeschrieben werden.

NIST 800-53 auf einen Blick

Der Hauptunterschied zwischen NIST 800-171 und 800-53 besteht darin, dass 800-171 sich auf nicht-bundesstaatliche Netzwerke bezieht, w?hrend NIST 800-53 direkt f¨¹r alle Bundesorganisationen gilt.

NIST CSF auf einen Blick

Das NIST Cybersecurity Framework (NIST CSF) nutzt und integriert branchenf¨¹hrende Cybersecurity-Praktiken, die von Organisationen wie NIST und ISO entwickelt wurden. Das NIST CSF umfasst eine risikobasierte Zusammenstellung von Richtlinien, die Organisationen bei der Identifizierung, Umsetzung und Verbesserung von Cybersecurity-Praktiken helfen k?nnen, und schafft eine gemeinsame Sprache f¨¹r die interne und externe Kommunikation rund um Cybersecurity-Fragen.

Das NIST CSF hat den geringsten Abdeckungsgrad der gro?en Cybersecurity-Frameworks und eignet sich daher am besten f¨¹r kleinere oder nicht ¨¹berwachte Unternehmen. Das NIST CSF wird h?ufig als Berichtsinstrument f¨¹r die Sicherheitsberichterstattung an die Gesch?ftsleitung verwendet, da die f¨¹nf ¨¹bergeordneten Kategorien Identifizieren, Erkennen, ³§³¦³ó¨¹³Ù³ú±ð²Ô, Reagieren und Wiederherstellen es einfacher machen, komplexe Themen aus dieser Perspektive zu berichten.

NIST SP 800-171 auf einen Blick

Mit der Executive Order 13556 wurde das Controlled Unclassified Information-Programm (CUI) ins Leben gerufen, um die Art und Weise zu standardisieren, wie Auftragnehmer des Staates mit nicht klassifizierten Informationen umgehen, die gesch¨¹tzt werden m¨¹ssen, wie z.?B. pers?nlich identifizierbaren Informationen oder sensiblen Regierungs-Assets.

PCI-DSS auf einen Blick

Obwohl PCI-DSS in den Vereinigten Staaten nicht staatlich angeordnet ist, handelt es sich doch um einen Branchenstandard, der vom Payment Card Industry Security Standard Council (PCI-SSC) zum Schutz von Karteninhaberdaten vorgeschrieben ist.

Im M?rz 2022 ver?ffentlichte der PCI SSC den PCI Data Security Standard?v4.0, der die Version 3.2.1 ersetzt, um auf neue Bedrohungen und Technologien einzugehen und innovative Methoden zur Bek?mpfung neuer Bedrohungen zu erm?glichen.

PHIPA auf einen Blick

Der Personal Health Information Protection Act, auch bekannt als PHIPA, wurde im November 2004 in Ontario erlassen. PHIPA ist eine von zwei Komponenten des Health Information Protection Act 2004

SCF auf einen Blick

Das Secure Controls Framework (SCF) ist ein umfassender Katalog von Kontrollen, der es Unternehmen erm?glichen soll, sichere Prozesse, Systeme und Anwendungen zu entwickeln, aufzubauen und zu pflegen. Das SCF befasst sich sowohl mit der Cybersecurity als auch mit dem Schutz der Privatsph?re, sodass diese Grunds?tze auf strategischer, operativer und taktischer Ebene "eingebaut" werden sollen.

SHIELD Act auf einen Blick

Der Stop Hacks and Improve Electronic Data Security (SHIELD) Act trat am 21.?M?rz 2020 in Kraft. Das Gesetz verpflichtet Unternehmen, die private Informationen ¨¹ber Einwohner sammeln, angemessene Cybersecurity-Vorkehrungen zu treffen, um diese zu sch¨¹tzen.

SOC 2 Type 2 auf einen Blick

Ein SOC-2-Type-2-Bericht ist ein SOC-Audit (Service Organization Control) dar¨¹ber, wie ein Anbieter von Cloud-basierten Diensten mit vertraulichen Daten umgeht. Er deckt sowohl die Eignung der Kontrollen eines Unternehmens als auch deren operative Wirksamkeit ab.

SOC 2 ist ein beliebtes Sicherheits- und Risiko-Framework zur Bewertung der Sicherheit, aber Unternehmen k?nnten stattdessen auch ISO/IEC 27001 oder HITRUST verwenden.

SOPIPA auf einen Blick

Der im Januar 2016 in Kraft getretene SOPIPA gilt f¨¹r Einrichtungen, die Websites, Online-Dienste sowie Online- und mobile Apps betreiben, welche in erster Linie f¨¹r schulische Bildungszwecke konzipiert und vermarktet werden. Sie verpflichtet diese Betreiber, angemessene Sicherheitsma?nahmen zum Schutz von Sch¨¹lerdaten zu ergreifen, und verbietet ihnen, die Daten weiterzugeben oder sie f¨¹r Werbung zu anderen als Bildungszwecken zu verwenden.

SOX auf einen Blick

Mit SOX wurden regulatorische Anforderungen f¨¹r alle US-amerikanischen Aktiengesellschaften, ausl?ndischen Unternehmen mit bei der Securities and Exchange Commission registrierten Wertpapieren sowie Wirtschaftspr¨¹fungsgesellschaften geschaffen und erweitert. Das vorrangige Ziel dabei ist es, betr¨¹gerische Finanzberichterstattung zu verhindern und Anleger zu sch¨¹tzen.