­­­­

«ЕЙ-БІ-СІ ГРУП» ТОВ

“A-B-C GROUP” LLS
  • +38 (050) 550-65-83
  • ТОВ ЕЙ-БІ-СІ ГРУП"Українам Київвул Вишгородська34/1 - 5604114
Назад к списку

Правило FDIC для банков сообщать о нарушениях

(19 ноября 2021 г.) 

 Управление валютного контролера Министерства финансов США, Федеральная резервная система и Федеральная корпорация по страхованию депозитов (FDIC) завершили разработку требований к уведомлению банков об инцидентах, связанных с кибербезопасностью. Новое правило требует, чтобы банки сообщали об инцидентах безопасности в FDIC в течение 36 часов после обнаружения. Правило определяет квалифицируемый инцидент кибербезопасности как событие, которое «приводит к фактическому или потенциальному ущербу конфиденциальности, целостности или доступности информационной системы или информации, которую система обрабатывает, хранит или передает; или представляет собой нарушение или неминуемую угрозу нарушения политик безопасности, процедур безопасности или политик допустимого использования ». Правило вступает в силу 1 апреля 2022 года, а полное соблюдение продлено до 1 мая 2022 года. 

Примечание 

 Интересно, что регулирующие органы за пределами ЕС принимают правила типа GDPR, в частности, в отношении обязательной отчетности. Тем не менее, я надеюсь, что FDIC извлечет уроки из некоторых проблем, возникших при первом введении GDPR, обеспечив наличие достаточных ресурсов для обработки большого количества отчетов, которые он будет получать, и что он даст четкое руководство относительно того, что определяет нарушение, подлежащее сообщению. . Наконец, также очень важно, чтобы сообщения о нарушениях отслеживались, чтобы организации-жертвы расследовали и исправляли нарушение должным образом, и они просто не рассматривают требование об отчетности как упражнение для галочки. 

В исходной формулировке было много мягких формулировок (например, «добросовестная оценка»), которая была удалена в ответ на комментарии, что хорошо. Но базовое определение «инцидента с уведомлением» по-прежнему довольно широкое. Например, простои, вызванные простоем поставщика услуг, которые по-прежнему не нарушают SLA поставщиков услуг, могут рассматриваться как «инцидент с уведомлением». Другой вопрос будет заключаться в том, используют ли казначейские агентства все эти данные, чтобы заранее предупреждать банковские учреждения о потенциальных атаках, или это просто сбор данных?Разработайте четкое понимание того, что критерии уведомления означают для вашего финансового учреждения, и убедитесь, что вы точно знаете, кому и как вы должны подать уведомление.