새로운사이버 보안사고 통지 규칙에 따라 미국 은행은 사이버 보안 사고를 발견한 후 36시간 이내에 연방 규제 당국에 통지해야 합니다. 이 규칙은 2022년 4월 1일에 발효되지만 5월 1일이 되어야 시행될 예정입니다.
연방예금보험공사(FDIC), 연방준비제도이사회, 통화감독국(OCC)은 11월 18일 은행 기관과 해당 은행 서비스 제공업체를 위한 컴퓨터 보안 사고 통지 요건의 최종 버전을 발표했습니다.
FDIC의 규제를 받는 금융 기관은 보안 사고가 "통지 가능한 수준의 사건"으로 판단되면 이메일, 전화 또는 기타 유사한 방법을 통해 "가능한 한 빨리, 늦어도 36시간 이내에" FDIC의 지정된 담당자에게 통지해야 합니다. 또한 은행 서비스 제공업체는 은행 서비스가 4시간 이상 중단된 경우 은행에 인시던트를 보고해야 합니다.
이 규칙에 따르면 '보안 사고'란 정보 시스템의 기밀성, 무결성 또는 가용성에 실질적인 피해를 입히는 모든 사건을 의미합니다.
반면에 '알림 이벤트'는 운영에 심각한 장애를 일으키거나 은행의 상품 및 서비스 제공을 방해하거나 금융 부문의 안정성에 위험을 초래하는 이벤트를 말합니다. 컴퓨터 장애, 분산 서비스 거부 및 랜섬웨어 공격 등이 그 예입니다.
기존 지침에서는 은행이 민감한 고객 데이터에 대한 무단 액세스를 '가능한 한 빨리' 주 규제 기관에 알리도록 지시하고 있습니다. 이 새로운 규정은 "가능한 한 빨리"의 의미를 공식화합니다. 또한 고객 데이터가 노출되지 않은 사고까지 포함하도록 지침을 확장합니다.
이 규칙에 따르면 금융 기관은 그동안 어떤 일이 발생했다는 사실만 규제 기관에 통지해야 합니다. 규제 기관에 대한 통지의 일부로 완전한 평가 또는 분석은 필요하지 않으며 36시간 후에 수행할 수 있습니다. 이는 많은 조직에서 발생한 일을 신속하게 파악하지 못할 수 있으므로 중요한 차이점입니다.
은행은 여전히 발견 후 60일 이내에 의심스러운 활동 보고서(SAR)를 제출해야 합니다.
이 규칙은 원래 2020년 12월에 FDIC와 OCC에 의해 제안되었습니다.
CNCSO의 원본 기사, 재생산 시 출처를 명시해 주세요: https://cncso.com/kr/사이버-공격-신고를-위한-뱅크-오브-아메리카-html